臺灣臺北地方法院111年度訴字第5578號

臺灣臺北地方法院民事判決 111年度訴字第5578號 原 告 趙愛卿 訴訟代理人 許峻瑋律師 被 告 北投麗禧溫泉酒店股份有限公司 法定代理人 翁秀文 被 告 墨攻網路科技股份有限公司 法定代理人 黃少風 共 同 訴訟代理人 陳盈君律師 上列當事人間請求損害賠償等事件，本院於民國112年3月9日言 詞辯論終結，判決如下： 主　 文 被告北投麗禧溫泉酒店股份有限公司應刪除並停止利用所有原告留存於被告北投麗禧溫泉酒店股份有限公司系統中之聯絡方式。原告其餘之訴駁回。 訴訟費用由被告北投麗禧溫泉酒店股份有限公司負擔十分之九，餘由原告負擔。 事實及理由 一、原告主張： ㈠被告北投麗禧溫泉酒店股份有限公司（下稱麗禧公司）之官方網站有提供消費者線上訂購溫泉券之購買系統（下稱系爭訂購系統），該系統由被告墨攻網路科技股份有限公司（下稱墨攻公司）進行建置、維護與管理。 ㈡原告曾於民國109年10月5日、109年10月18日委由同事、於11 0年11月3日委由家人使用系爭訂購系統，依序購買溫泉券22張共新臺幣（下同）2萬0,400元、10張共1萬0,400元、5張 共6,500元，並於訂購時委填載原告之姓名、電話、電子郵 件、訴外人中國信託銀行股份有限公司（下稱中信銀行）之刷卡銀行帳號等個資。然被告麗禧公司與墨攻公司並未依個人資料保護法（下稱個資法）第27條，於取得原告個資後，採取對原告個資安全有效之保護措施，竟使他人透過系爭訂購系統竊取原告個資，且被告麗禧公司早於110年11月底透 過被告墨攻公司告以有個資外洩情形，卻未經被告麗禧公司或墨攻公司依個資法第12條之規定查明後以適當方式通知原告，均未盡其事前監督及事後通報之責。嗣原告於110年12 月21日下午5時52分接獲詐騙電話誤信為被告麗禧公司之客 服人員，並信以為真配合操作解除分期付款設定，致遭訛詐轉出受詐騙金額9萬9,987元。原告已於111年1月4日以存證 信函要求被告麗禧公司刪除並不得再使用原告個人資料，然仍持續接獲被告麗禧公司之簡訊，且屢經原告申訴始知系爭訂購系統係由被告墨攻公司負責管理維護，且除原告外，早已有上千人之個資因使用系爭訂購系統後遭外洩。被告麗禧公司與墨攻公司非公務機關卻致原告資料遭不法蒐集、處理、利用，致原告受騙損失財產，違反個資法第3條、第11條 第3、4項、第12條、第27條、第29條第1、2項、個資法施行細則第22條之規定。 ㈢又被告任意將原告個資外洩，已侵害原告之隱私權與資訊自主權，原告因該事件耗費時間、心力為申訴，過程飽受煎熬，並需持續擔心個資遭他人不當使用，受有精神上之痛苦，原告自得就被告上述行為，請求非財產上損害賠償2萬元。 ㈣爰依個資法第29條第1項、民法第184條第1項前段、第2項、民法第185條之規定，請求被告負連帶損害賠償責任。另依 個資法第3條、第11條第3項、第11條第4項，被告麗禧公司 與墨攻公司應按原告要求，刪除並停止蒐集、處理或利用原告個人資料，乃為聲明第2、3項之請求。 ㈤並聲明： 1.被告應連帶給付原告11萬9,987元，及自起訴狀繕本送達翌 日起至清償日止，按週年利率5％計算之利息。 2.被告麗禧公司應刪除並停止利用所有原告留存於被告麗禧公司系統中之所有個人資料。 3.被告墨攻公司應刪除並停止利用所有原告留存於被告麗禧公司系統中之所有個人資料。 二、被告則以： ㈠原告自系爭訂購系統購買溫泉券之時間，與其受詐騙之時間已間隔近2個月，且原告任何信用卡公司亦均有其所提供之 商品名稱、客戶姓名或聯絡方式等相關個資，自無從僅因詐騙集團佯稱為被告麗禧公司客服，即認原告個資乃被告洩漏，故原告並未證明詐騙集團取得原告個資之來源即為系爭訂購系統或係由被告將原告個資外洩之情。 ㈡被告早於原告個人資料遭不法取得前，已盡力強化提升硬體設備並更新相關資訊系統、斥資鉅額強化防火牆系統升級，並將取自消費者的個資加密處理，故被告並無致原告個資遭不法蒐集之故意或過失。 ㈢縱原告遭詐騙之來源確與系爭訂購系統有關，然被告麗禧公司早於110年8月28日在官方網站內公告相關詐騙手法及張貼警示標語，一再提醒消費者慎防詐騙，且原告亦有多次進入被告麗禧公司官網為線上刷卡，應足以查悉各該警示，然被告於接獲自稱被告麗禧公司之客服電話，並未依警示標語或撥打165反詐騙專線確認，故係原告輕信該詐騙集團所致財 產損失，與被告麗禧公司、墨攻公司處理原告個資之情形無相當因果關係；倘認被告公司應負賠償責任，該損害亦係原告上開與有過失之行為所致。 ㈣另被告早已刪除原告個資，原告於111年1月至2月間接獲被告 麗禧公司之簡訊，係因刪除後電話號碼仍留存於系統中，以供傳送提醒消費者詐騙通知，然除電話號碼外，並無任何足與彰顯原告人別之資料，自無再如原告所請刪除其個資之必要。 ㈤並聲明： 1.原告之訴及其假執行之聲請均駁回。 2.如受不利益判決，願供擔保請准宣告免為假執行。 三、查下列事項經兩造所不爭執（見本院卷第186、273頁），自堪信為真實： ㈠被告麗禧公司之官方網站有提供消費者線上訂購溫泉券之系爭訂購系統，該系統由被告墨攻公司進行建置、維護與管理。 ㈡原告曾於109年10月5日、109年10月18日委由同事、於110年1 1月3日委由家人使用系爭訂購系統，依序購買溫泉券22張共2萬0,400元、10張共1萬0,400元、5張共6,500元，並於訂購時填載原告之姓名、電話、電子郵件、中信銀行帳號等個資。 ㈢原告於110年12月21日下午5時50分起接獲詐騙電話，原告信以為真乃配合操作解除分期付款設定，並因而損失受詐騙金額9萬9,987元，隨即報警處理並聯繫中信銀行等情，亦有原告提出中華電信股份有限公司用戶授信通信紀錄報表（見本院卷第29頁）、原告於110年12月21日以跨行轉出9萬9,987 元之存摺交易明細內頁（見本院卷第33頁）、臺北市政府警察局松山分局三民派出所受理案件證明單（見本院卷第35頁）、原告於110年12月21日查悉遭詐騙後至中信銀行處理聯 繫之通訊對話紀錄與譯文（見本院卷第319至323頁）存卷為憑。 ㈣原告曾於111年1月4日以存證信函要求被告麗禧公司刪除並不 得再使用原告個人資料，該信函經被告麗禧公司於111年1月4日收受，其後曾於111年1月5日、111年1月8日、111年1月12日、111年1月19日、111年2月21日持續接獲被告麗禧公司 之防詐騙簡訊等情，亦有該存證信函（見本院卷第45至51頁）、上述訊息翻拍畫面（見本院卷第53頁）在卷可稽。 四、原告主張被告透過系爭訂購系統取得原告之個資，卻未為適當之保護措施，且於被告查悉系爭訂購系統有個資外洩之情形後，竟未依個資法第12條、個資法施行細則第22條之規定通知原告，使原告個資遭他人竊取，並進而為詐騙使用，致原告受有遭詐騙金額9萬9,987元之財產上損害，並因該隱私權、個人資訊自主權遭侵害受有精神上痛苦，應由被告連帶賠償上開財產上損害與非財產上損害賠償2萬元等情，為被 告所否認，並以前詞置辯。是本件之爭點為：㈠原告主張其個資係因遭他人自系爭訂購系統所竊得一節，是否可採？㈡就原告個資外洩之情形，是否係因被告之過失違反前開個資法之規定所致，並應負損害賠償責任？㈢如被告應賠償原告之損害，其金額應為若干？被告所為與有過失之抗辯是否可採？㈣原告主張被告應依個資法第11條第3、4項之規定刪除並停止利用原告之個資，是否可採？茲析述如下： ㈠原告主張其個資係因遭他人自系爭訂購系統所竊得一節，是否可採？ 1.按法院於依民事訴訟法第277條有關舉證責任行為規範之規 定，分配舉證責任時，應符合公平正義及訴訟上誠信原則。於分配舉證責任予原告而有顯失公平之情形，應依該條但書規定，降低原告之證明責任或命被告負舉證責任。又原告就其權利主張（訴訟標的法律關係）之構成要件事實，本應為具一貫性之主要事實或間接事實之主張，並就有利於己、被告有爭執之事實，依該條本文規定負證明之責任。惟如原告就其主張事實之發生過程未曾參與，欠缺認識，難以具體主張或證明；而被告自承曾參與該事實過程，且抗辯該事實為真實，即就該事實之發生具有認識並接近證據時，基於當事人所負促進訴訟義務及訴訟上誠信原則，法院非不得依同法第268條及第277條但書規定，命本不負主張及舉證責任之被告，就特定事項詳為表明（事案解明）並舉證（最高法院111年度台上字第194號判決意旨參照）。亦即，倘原告主張事實本非原告領域或可見聞經歷之情節，自應視各該訴訟事件類型之特性及待證事實之性質，審酌兩造舉證之難易、距離證據之遠近、經驗法則所具蓋然性之高低等因素，適當減輕原告之舉正責任。本件原告主張其個資係因系爭訂購系統遭他人以入侵系統等方式竊得一節，因系爭訂購系統本非由原告建置、管理與維護，其充其量僅為系統後端之使用者，亦無課予使用者具備系爭訂購系統管理維護之能力與義務，是就原告上開主張情節，自無庸由原告就其個資係遭他人於何時、以何入侵系統手法或方式取得其個資，並應就減輕其舉證強度。 2.經查： ⑴原告確實曾使用被告麗禧公司之系爭訂購系統訂購溫泉票等情，為兩造所不爭執，業如前述，並有被告麗禧公司之系爭訂購系統購票頁面在卷可稽（見本院卷第23至27頁），足見原告之個資確實曾輸入系爭訂購系統使用。又被告自認系爭訂購系統之個資係存放於被告麗禧公司等節（見本院卷第273頁），亦徵原告於輸入個資後，其個資確實 會保留於系爭訂購系統中無誤。 ⑵又原告於110年12月21日下午6時50分起，陸續於該時間、同日下午6時55分、下午6時56分、下午6時58分、下午6時59分（兩通）接獲詐騙電話等情，有原告提出之中華電信股份有限公司用戶授信通信紀錄報表在卷為據（見本院卷第29頁），且依證人即見聞原告接聽電話之其子王運杰於言詞辯論中證稱：當時我媽拿著手機按擴音跑到我旁邊找我，對我說你知不知道如何解除分期付款設定，我就問對方式誰、為何要突然解除分期付款設定，對方就說是被告麗禧公司員工，他就跟我解釋說我媽有去購買他們家的溫泉票券，也有提到我媽是他們的會員等語（見本院卷第424至425頁），是利用原告個資之他人，係於原告於110年11月3日最末一次使用系爭訂購系統訂購溫泉票後，始撥打上開電話聯繫原告，且其透過電話陳述內容，已清楚掌握原告為被告麗禧公司會員、原告曾購買溫泉票等細節，並自述為被告麗禧公司員工等，均與原告透過系爭訂購系統訂購商品所需輸入之訊息一致，自堪信他人取得原告個資之來源，確實與系爭訂購系統攸關。 ⑶又因原告於遭詐騙後，曾111年1月4日寄發存證信函給被告 麗禧公司，向被告麗禧公司陳明其接獲前揭電話並轉出款項，並以被告麗禧公司違反個資法要求損害賠償等內容，有該存證信函為據（見本院卷第45至51頁），被告麗禧公司遂於111年1月24日函覆原告，並於該函文中清楚提及「系爭訂購系統向來皆是委託被告墨攻公司建置與維護，客戶如欲線上訂購本公司票券皆需至墨攻平台進行操作，且本公司110年11月底接獲被告墨攻公司通報後台偵測到異 常IP」等內容，有該函文附卷可查（見本院卷第55頁），可見系爭訂購系統確實有於110年11月底發現異常IP連結 系統即他人以非法手段入侵平台取得系統資料手法情節一致。又因原告曾因主張其利用系爭訂購系統卻遭個資外洩之情形向交通部觀光局陳情，經該局處理陳情案並將相關資料於111年12月9日提供本院（見本院卷第141至142頁），其中該局監督通報紀錄表清楚記載「該飯店（即被告麗禧公司）於110年11月16日接獲被告墨攻公司通知系爭票 券系統資料被駭客入侵，相關訂購紀錄恐遭竊取」、「系爭訂購系統經由被告墨攻公司提出電腦資料洩漏紀錄預估5,423筆」等情，有該紀錄表可查（見本院卷第149頁），益證被告墨攻公司所建置管理之系爭訂購系統，確實有於110年11月16日偵測到異常IP並因該入侵行為洩漏紀錄約 為5,423筆，又觀諸該洩漏紀錄之對象為使用系爭訂購系 統會員，筆數亦預估高達5,423筆，洩漏之內容為購票紀 錄，偵測洩漏之時間為110年11月16日，確實早於原告接 獲前開指示轉帳電話之110年12月21日，且彼此時間相近 等情節，是原告雖不能證明該預估外洩之5,423筆個資中 確實包括其自身之個資，然揆諸前開說明意旨，系爭訂購系統既非原告可本其自身能力或使用範疇為建置管理，自應減輕原告之舉證責任，則原告既已證明其確實有將個資輸入系爭訂購系統，且系爭訂購系統亦將會員資料儲存於平台，而於儲存期間系爭訂購系統有異常IP入侵情形，且預估外洩之個資筆數與內容亦與會員購票資訊相當，自堪信他人以前開電話所傳遞之訊息內容，確係自系爭訂購系統所竊得原告個資一情，至臻明確。 ⑷至被告再以原告輸入中信銀行刷卡資料時亦可能遭駭客以刷卡資料查悉上情，或透過其他網際網路漏洞取得原告個資，然依證人王運杰之前揭證述，該電話發話人非僅知悉特約商店店別為被告麗禧公司，尚已清楚知悉原告為被告麗禧公司之會員身分及其訂購商品為溫泉券之特定內容，是該資訊顯屬系爭訂購系統中儲存之訊息無誤；又縱網際網路存在普遍性漏洞，然亦非必然與原告遭竊之個資有關，自無從以該情節為對被告有利之認定，是被告前開所辯，尚不可採。 ㈡就原告個資外洩之情形，是否係因被告之過失違反前開個資法之規定所致，並應負損害賠償責任？ 1.關於原告主張被告並未依個資法第27條第1項之規定，就其 保有之個資檔案採行適當之安全措施，防止個人資料被竊取、竄改、毀損、滅失或洩漏，並應依個資法第29條第1項於 致個人資料遭不法蒐集、處理、利用或其他侵害當事人權利者，負損害賠償責任，並依同條第2項準用第28條第2項負非財產上損害賠償責任，且被告於查明原告個資遭竊取、洩漏後，亦未依個資法第12條、個資法施行細則第22條之規定，以即時之方式通知原告，自應依上開個資法第29條之規定、侵權行為之法律關係負損害賠償責任等節。按非公務機關保有個人資料檔案者，應採行適當之安全措施，防止個人資料被竊取、竄改、毀損、滅失或洩漏，個資法第27條第1項定 有明文；又非公務機關違反本法規定，致個人資料遭不法蒐集、處理、利用或其他侵害當事人權利者，負損害賠償責任。但能證明其無故意或過失者，不在此限。依前項規定請求賠償者，適用前條第二項（即請求非財產上損害賠償或回復名譽適當處分）至第六項規定，個資法第29條第1、2項亦規定甚明。另公務機關或非公務機關違反本法規定，致個人資料被竊取、洩漏、竄改或其他侵害者，應查明後以適當方式通知當事人，個資法第12條定有明文。另本法第十二條所稱適當方式通知，指即時以言詞、書面、電話、簡訊、電子郵件、傳真、電子文件或其他足以使當事人知悉或可得知悉之方式為之。但需費過鉅者，得斟酌技術之可行性及當事人隱私之保護，以網際網路、新聞媒體或其他適當公開方式為之。依本法第十二條規定通知當事人，其內容應包括個人資料被侵害之事實及已採取之因應措施，個資法施行細則第22條亦規定甚明。上開規定係為確保個資之資訊自主權，自屬民法第184條第2項之「保護他人之法律」。是依上開規定，非公務機關因未採取適當安全措施以防止個人資料遭竊取、洩漏致個資遭他人蒐集而侵害個資權人之權利，或因未依規定為通知致他人權利受損，而應依上開個資法或侵權行為之規定負損害賠償責任者，自以就該情節有故意或過失為前提，綜合前揭舉證責任導致之說明意旨，併依個資法第29條第1 項但書明文規定為舉證責任倒置，即認應由該非公務機關負證明無故意或過失之責。是本件自應由被告舉證證明其就原告個資外洩一事無故意或過失，或已即時通知，抑或未及時通知無故意過失等情。 2.經查： ⑴被告早於偵測異常IP侵入之110年11月16日，曾於110年9月 8日就系爭訂購系統於110年9月8日為Fortify全系統弱點 掃描，掃描結果就Injection之插入漏洞、Broken Authentication and Session Management之授權與階段作業安 排之帳戶保護措施、Cross-Site Scripting（XSS）跨址 編寫之缺陷預防、Insecure Direct Object References 之避免攻擊者操控檔案、目錄、資料庫等暴露過程產生之媒介遭攻擊者操控、Security Misconfiguration建構強 大伺服器配置標準、Seneitive Date Exposure妥善保護 諸如信用卡、稅務辨識碼及驗證碼之敏感資訊、MissingFunction Level Access Control存取功能之控制檢查、Cross-Site Request Forgery（CSRF）之避免攻擊者執行 未經驗證之動作、Using Components with Known Vulnerabilities之避免利用易攻擊之元件引發嚴重資料遺失或 伺服器遭接管、Unvalidated Redirects and Forwards避免利用開放式重新導向將使用者誘騙導引入惡意網站達成取得使用者端資料之情形等各項檢驗結果均無相關問題等情，有Hewlett Packard Enterprise之掃弱報告存卷為憑（見本院卷第215至222頁），且亦已於110年11月5日取得系統敏感資料數位簽章認證（見本院卷第223至224頁），並由被告墨攻公司再於偵測異常IP侵入後，隨即於同月18日至同月19日委請訴外人精誠科技股份有限公司進行滲透測試服務，以國際標準之OWASP（Open web ApplicationSecurity Project）、OSSTMM（Open Source Security Testing Methodology Manual）以檢測網際網路弱點，並 僅於主機服務掃描時，查覺1項中風險弱點並警示注意， 其於就網站服務滲透均無發現異常等情，有精誠科技整合股份有限公司提供予被告墨攻公司之滲透測試報告書存卷為憑（見本院卷第289至304頁），足見被告麗禧公司所使用由被告墨攻公司建置管理之系爭訂購系統，已於事情盡其可能防堵外部入侵，並於事後查覺異常IP侵入之數日內已再度為弱點檢測。 ⑵參以交通部觀光局111年12月9日之回函亦以：雖個資外洩事件係因被告墨攻公司之系爭訂購系統遭駭客入侵所致，被告麗禧公司於個資外洩前後皆採行相關因應措施及處置，除於事前曾要求被告墨攻公司加強個資防護措施，事後即通知疑似遭個資外洩之全數消費者相關防詐騙訊息及情事，另加強飯店本身各項個資安全防護機制且持續進行改善，尚符個人資料保護法相關規定等情，有該回函存卷為憑（見本院卷第141至155頁），並就「主管機關就個資外洩事件判斷是否違反個資法」部分，調查結果表示「否」（見本院卷第151至152頁）；另數位發展部數位產業署112年1月13日之回函，亦以：平時被告墨攻公司已有相關資料維護措施：包括已強制廠商登入位置綁定、AES256加密機制針對廠商帳號密料、多重伺服器分散資料管理、資料庫與程式分開存放、主機帳密權限控管與RSA私鑰管理、 限定防火牆規則僅特定IP及帳號密碼始得進入、Linux主 機使用防毒體ClamAV、辦公室環境以ESET防毒軟體監控，以及伺服器安裝關貿網路EDR端點防護、訂定個資及資安 政策文件等；事發時已採取因應措施：包含立即向檢警單位報案、於110年8月31日及11月16日以emai通知遭個資外洩之旅宿業者客戶與官方網站宣導消費者資安觀念等。事後採取改善措施：包含強制客戶加入Email驗證、實施一 次性動態密碼(OTP)能、鎖定IP且強制客戶登入皆須要驗 證IP、Fortify全系統弱點偵測掃描、公司電腦全面安裝 關貿網路EDR端點防護、110年11月修補後透過精誠資訊進行網頁弱掃測試、111年9月14日透過nessus進行主機掃描、取得ISO 27001資訊安全管理證書等情（見本院卷第265至267頁），亦徵被告已於事情、事後均本於防止系爭訂 購系統之用戶個資被竊之相關措施，自難認原告個資外洩一事係因被告之過失行為所致。 ⑶又關於非公務機關之用戶個資遭竊取之通報義務，依據前開個資法第12條係以「非公務機關違反本法規定，致個人資料被竊取、洩漏、竄改或其他侵害」為前提，故非公務機關倘並無違反個資法之規定，本即與該通知義務之前提不合，則本件被告既如前開認定，並無因過失違反個資法之情節，自無庸負擔該通報義務；更遑論被告麗禧公司之官方網站首頁，實早於110年8月28日，即於原告最後一次使用系爭訂購系統訂購溫泉票之110年11月3日前，已有「貼心提醒 防範詐騙公告」之公告（見本院卷第205至211 頁），且該公告已記載詐騙手法包括「謊稱為飯店系統遭駭客入侵，訂單被改為團體訂單會遭到扣款，並再次謊稱為銀行人員要求解除款項，以及操作銀行轉帳」之內容（見本院卷第207頁），自已透過上開合理方式警示用戶即 原告。另兩造均不爭執被告麗禧公司亦曾再於111年1月5 日、111年1月8日、111年1月12日、111年1月19日、111年2月21日持續接獲被告麗禧公司之防詐騙簡訊等情，已如 前述，自難認被告有何違反個資法第12條、個資法施行細則第22條之違反通報義務之情形。 3.從而，被告既無違反個資法或侵權行為之過失，自無庸依前揭規定負損害賠償責任，則就賠償金額應為若干、被告所為與有過失之抗辯是否可採，自無庸再予診究。 ㈣原告主張被告應依個資法第11條第3、4項之規定刪除並停止利用原告之個資，是否可採？ 1.按個人資料蒐集之特定目的消失或期限屆滿時，應主動或依當事人之請求，刪除、停止處理或利用該個人資料。但因執行職務或業務所必須或經當事人書面同意者，不在此限。違反本法規定蒐集、處理或利用個人資料者，應主動或依當事人之請求，刪除、停止蒐集、處理或利用該個人資料，個資法第11條第3、4項分別定有明文。 2.經查，原告使用系爭訂購系統，係為藉由該系統向被告麗禧公司購買溫泉票之商品，乃有授權、同意被告麗禧公司以系爭訂購系統儲存其個資；然原告已於111年1月4日以存證信 函向被告麗禧公司要求刪除個資，並再以本件起訴狀向被告麗禧公司為刪除並禁止利用原告個資之意思表示等節，有該存證信函、起訴狀在卷可稽（見本院卷第9、45至51頁）， 且被告麗禧公司亦陳稱於收受前開存證信函後，已刪除原告除電話外之其他個資（見本院卷第202頁），且被告麗禧公 司亦已於111年11月29日收受起訴狀繕本，受領該意思表示 等情，有送達回證存卷可憑（見本院卷第117頁），可見原 告已無授權、同意被告麗禧公司持續利用原告個資之意，應認原告前開授權業因上開意思表示而屆期。又被告麗禧公司自認系爭訂購系統之個資存放於被告麗禧公司，並持續保留原告之電話等節（見本院卷第273、202頁），參以個資法第2條第1款亦清楚定義個人之聯絡方式自屬個人資料之一環，自應由被告麗禧公司，依原告之請求，刪除並停止利用原告留存於被告麗禧公司系統中之聯絡方式。至原告主張被告墨攻公司亦應為上開刪除與停止利用等節，然原告並未舉證證明其聯絡方式或其他個資仍保存於被告墨攻公司之任何系統中，被告亦已提出系爭訂購系統已無法查得原告其他個資之查詢結果翻拍畫面為據（見本院卷第281至284頁），自難認被告墨攻公司亦留存原告之任何個資，是除經被告麗禧公司自認仍保留原告聯絡方式並係存放於被告麗禧公司系統部分，應予刪除並停止利用外，原告逾此部分之請求，尚不可採。 五、綜上所述，原告本於個資法第11條第3項請求被告麗禧公司 刪除並停止利用其聯絡方式，自屬有據；另原告之個資本於舉證責任減輕，應可認確係系爭訂購系統經他人入侵而遭竊取、洩漏，然就上開個資外洩之情節，難認係因被告之過失所致，自無庸由被告負連帶損害賠償之責，另除被告麗禧公司仍保有原告之聯絡方式外，尚無被告墨攻公司亦保有原告個資之相關舉證，自難認被告墨攻公司亦應併負刪除並停止利用原告個資之責。從而，原告依個資法第11條第3項，請 求被告刪除並停止利用所有原告留存於被告麗禧公司系統中之聯絡方式，為有理由，應予准許。至逾此部分之請求，則無理由，應予駁回。 六、本件事證已臻明確，兩造其餘主張攻擊防禦方法，經本院斟酌後，認與判決結果不生影響，爰不予以一一論述，附此敘明。 七、據上論結：本件原告之訴為一部有理由、一部無理由。依民事訴訟法第79條、第85條第1項後段，判決如主文。 中　　華　　民　　國　　112 　年　　3 　　月　　20　　日民事第七庭 法 官 陳彥君 以上正本係照原本作成。 如對本判決上訴，須於判決送達後20日內向本院提出上訴狀。如委任律師提起上訴者，應一併繳納上訴審裁判費。 中　　華　　民　　國　　112 　年　　3 　　月　　20　　日書記官 吳昭誼