損害賠償
臺灣臺中地方法院(民事),簡上字,112年度,120號
TCDV,112,簡上,120,20231215,1

臺灣臺中地方法院民事判決
112年度簡上字第120號
上 訴 人
即被上訴人 鄧佩君
被上訴人即
上 訴 人 王品餐飲股份有限公司

法定代理人 陳正輝
訴訟代理人 韓世祺律師
上列當事人間請求損害賠償事件，兩造對於本院臺中簡易庭於民
國111年12月23日所為110年度中簡字第1952號民事簡易判決，提
起上訴，本院於民國112年11月24日言詞辯論終結，判決如下：
主 文
原判決關於命上訴人王品餐飲股份有限公司給付新臺幣貳萬元，及自民國110年4月7日起至清償日止，按週年利率百分之五計算之利息，及該部分假執行之宣告，暨訴訟費用之裁判，均廢棄。上開廢棄部分，被上訴人鄧佩君在第一審之訴及假執行之聲請均駁回。
上訴人鄧佩君之上訴駁回。
第一、二審訴訟費用由上訴人即被上訴人鄧佩君負擔。 事實及理由
一、按訴之變更或追加，非經他造同意，不得為之。但第255條 第1項第2款至第6款情形，不在此限，民事訴訟法第446條第 1項定有明文。又對於簡易程序第一審裁判之上訴及抗告程 序，準用民事訴訟法第446條第1項之規定，民事訴訟法第43 6條第3項亦有明文。查：上訴人鄧佩君原上訴聲明第2項係 請求被上訴人王品餐飲股份有限公司（下稱王品公司）應再 給付新臺幣（下同）489,988元，並自上訴狀繕本送達之翌 日起至清償日止，按週年利率百分之5計算之遲延利息（見 本院卷第12、182頁），嗣於民國112年7月18日具狀將前開 遲延利息之起算時間變更為自起訴狀繕本送達之翌日起算（ 見本院卷第313頁），則上訴人鄧佩君前開所為訴之變更， 核屬民事訴訟法第255條第1項第3款擴張應受判決事項之聲 明之情形，既與前開規定相符，即應予准許。
二、上訴人即被上訴人鄧佩君主張及抗辯：　　（一）上訴人鄧佩君起訴主張：　　
　 1、上訴人鄧佩君於109年11月19日8時29分自手機下載「王品 瘋美食」APP，輸入個人資料註冊為會員，並線上預約同 日18時30分被上訴人王品公司旗下之西堤牛排新店民權店 之訂位，當天消費金額共新臺幣（下同）4,185元，上訴



人鄧佩君透過「瘋PAY」線上刷卡支付，完成該次交易。 嗣於110年3月6日20時25分許前之某時，上訴人鄧佩君接 獲詐騙集團成員假冒西堤年排民權店來電，先向上訴人鄧 佩君藉口核對前開交易紀錄及消費過程，再佯稱其前開消 費遭重複下單20次，若要解除，須依指示操作以解除錯誤 設定云云，致使上訴人鄧佩君誤信為真，陷於錯誤，先後 於110年3月6日20時26分許、同日20時33分，以APP網路平 台，分別匯款49,986元、49,986元至該詐欺集團指定之人 頭帳戶內，而遭提領一空。
　 2、被上訴人王品公司因系爭平台取得上訴人鄧佩君之姓名、 聯絡資訊、信用卡交易資訊等個人資料並予記錄、儲存， 而被上訴人王品公司對於其保有之前開上訴人鄧佩君個人 資料，未依個人資料保護法規定妥適處理及利用前開個人 資料，亦未善盡對前開個人資料之保護，致使前開個人資 料外洩，而遭詐騙集團用以向上訴人鄧佩君詐取財物，被 上訴人王品公司既無法舉證其對於前開個人資料之外洩並 無故意或過失，即應對上訴人鄧佩君負賠償之責。　 3、故上訴人鄧佩君爰依個人資料保護法第12條、第27條第1 項、第29條第1項、第2項準用第28條第2、3項、第12條之 規定、消費者保護法第1條第2項、第2條第9款、第7條、 第7條之1、第11條、第12條至第17條第1項、第50條第3項 、第51條之規定、民法第18條、第172條至第178條、第18 4條第1項前段、第2項、第185條第1項前段、第2項、第18 8條、第191條之1、第193條第1項、第195條第1項、第224 條之規定、王品瘋美食APP會員契約之約定，請求被上訴 人王品公司賠償上訴人鄧佩君遭詐騙之財產上損失99,996 元【計算式：遭詐欺轉帳49,986元＋轉帳手續費12元＋遭詐 欺轉帳49,986元＋轉帳手續費12元＝99,996元】、二倍之懲 罰性違約金199,992元【計算式：99,996元×2＝199,992元 】、名譽受侵害之非財產上損害賠償2萬元、精神慰撫金5 萬元、二倍之懲罰性違約金14萬元【計算式：（20,000元 ＋50,000元）×2＝140,000元】，合計509,988元。並聲明： 被上訴人王品公司應給付上訴人鄧佩君509,988元，及自 起訴狀繕本送達翌日起至清償日止，按週年利率百分之5 計算之利息；上訴人鄧佩君願供擔保請准宣告假執行。（二）上訴人即被上訴人鄧佩君上訴主張及本院抗辯：　　　 1、原審認被上訴人王品公司確有未採行適當之安全措施，以 防止其保有上訴人鄧佩君消費個資被竊取或洩漏，而有違 個人資料保護法之事實，但上訴人依侵權行為、契約約定 及消費者保護法之規，請求被上訴人王品公司賠償，卻認



為無理由，其認事用法顯有違誤：
　　⑴內政部警政署165反詐騙諮詢專線於000年00月間即有被上 訴人王品公司會員個資外洩之零星案例，000年0月間開始 有大量會員報警檢舉，截至111年間，其會員被騙人數累 計587人，經刑事案件統計公告已蟬連高風險賣場43週/次 。又被上訴人王品公司於上訴人鄧佩君透過「王品瘋美食 」APP平台並以會員身分訂位訂餐時，即已知悉其所營運 之平台個資有外洩之情事，若非詐欺集團成員取得上訴人 鄧佩君留存於該平台內之個人資料，並使用藉以取信上訴 人鄧佩君，應不致於陷於錯誤而遭詐騙，故被上訴人王品 公司未採行適當之安全維護措施，以致洩漏上訴人鄧佩君 個人資料之行為，與上訴人鄧佩君遭詐騙所受財產損害間 有相當因果關係，自應賠償上訴人鄧佩君所受之損害。　　⑵被上訴人王品公司於知悉前開平台會員個人資料遭洩漏時 ，即應儘速確認受害會員名單並立即通知會員知曉，以防 止詐騙產生，但截至110年3月6日上訴人鄧佩君被詐騙為 止，被上訴人王品公司並未依個人資料保護法第12條主動 聯絡上訴人鄧佩君，亦未告知個資被侵害之事實及已採取 因應措施防免詐騙發生，以致上訴人鄧佩君在遭詐騙前， 完全不知其消費個資已遭被上訴人王品公司外洩乙事，則 被上訴人王品公司因違反消保法第7條之保護附隨義務致 上訴人鄧佩君個資外洩，又違反通知作為義務而有消極加 害行為。再者，以被上訴人王品公司為智識相當、有承擔 能力之保證人地位的企業主，當能預見外洩個資即易淪為 詐騙集團行騙之工具，卻在安全性欠缺下，違反消費交易 行為之安全附隨義務及緊急通知義務，亦未查明並以適當 方式通知上訴人鄧佩君，即有消極侵權行為。
　 ⑶被上訴人王品公司既持續蒐集、處理、利用、保存上訴人 鄧佩君點餐、用餐之消費交易個資，依有使用即有保護附 隨義務之法理，上訴人鄧佩君自得請求被上訴人王品公司 為金錢賠償。又消費者保護法第51條之適用，係以企業經 營者提供之商品或服務，與消費者之損害間具有相當因果 關係為要件，而上訴人鄧佩君之損害與被上訴人王品公司 洩漏其消費交易個資有因果關係，則原告援引消費者保護 法第7條、第51條之規定，請求二倍之懲罰性賠償，即非 無據。　　
　　⑷上訴人鄧佩君係因用戶端手機下載之該APP平台就其個資管 理有資安漏洞，原審既認被上訴人王品公司確有未採行適 當之安全措施，以防止其保有其消費個資被竊取或洩漏， 而有違反個人資料保護法之事實，即已侵害上訴人鄧佩君



之權利，被上訴人王品公司即應對上訴人鄧佩君負過失責 任。又被上訴人王品公司未採行適當安全維護，亦未盡緊 急通知義務，致洩漏上訴人鄧佩君個人資料，該行為與上 訴人鄧佩君遭詐騙之損害間應具有相當因果關係。原審犧 牲上訴人鄧佩君之權益，在被上訴人王品公司未提出已善 盡注意義務之無過失證明前，所為不利於上訴人鄧佩君之 認定即不公平、不對等。
　　⑸另被上訴人王品公司就該平台個資之管理有資安漏洞，致 使該詐欺集團利用此漏洞取得上訴人鄧佩君之個資，而向 上訴人鄧佩君詐財，自已造成上訴人鄧佩君權利之侵害； 又被上訴人王品公司為幫助該詐欺集團遂行犯罪者，應視 為共同侵權行為人，且被上訴人王品公司前開洩漏個資之 行為與上訴人鄧佩君所受損害之結果間具有因果關係，自 應依個資法、侵權行為及消費者保護法之法律關係負賠償 之責，原審就此部分認定被上訴人王品公司並無過失，即 有違誤。
　　⑹被上訴人王品公司提出委請遠傳建置及提供之雲端運算服 務資料（包含採行硬體防火牆與入侵防禦機制），僅是一 般企業雲端運算服務之廣告頁面；報價單只是單純詢價， 其上並無蓋用被上訴人王品公司大小章，為單方製作，真 實性可議；被上訴人王品公司租用雲端空間，並不得作為 其事前已採行適當安全維護措施之認定。況且，另案刑事 判決已經認定該APP平台之內部及外部風險控制存有諸多 缺陷，導致會員客戶個資外洩，可徵被上訴人王品公司並 未完全落實其會員個資保護之管理作業，則上訴人鄧佩君 依個人資料保護法第29條之規定，請求被上訴人王品公司 賠償損害，即屬有據。
　 2、上訴人鄧佩君並非受騙之個案，其受騙匯款之人頭帳戶內 尚有其他被害者，其等之共通性均係使用該平台，而其等 遭詐騙之手段相似且時間密接，該詐欺集團成員為取信上 訴人鄧佩君提出詳細關鍵個資及消費明細資料，而上訴人 鄧佩君亦已盡謹慎核對該來電使用市話區碼與所稱直營店 市話區碼符合，並非未盡注意義務。而被上訴人王品公司 為實收資本額高達769,878,830元、有承擔能力、具保證 人地位、具安全信賴能力之股票上市公司，上訴人鄧佩君 基於安全信賴原則，相信該多元專業技術數位服務係為適 當安全之措施，應屬有據；且被上訴人王品公司藉由該AP P平台留存消費者個人資訊作為會員經濟持續銷售謀利， 卻未就會員個資善盡適當安全維護措施，致洩漏而為詐騙 集團不法取得使用，侵害上訴人鄧佩君之資訊自主權、隱



私權，以致詐騙集團成員清楚掌握上訴人鄧佩君之詳細消 費個資而順利詐得財物。故本件應由被上訴人王品公司負 全部賠償責任，上訴人鄧佩君並無可歸責之事由。三、被上訴人即上訴人王品公司主張及抗辯：
（一）上訴人王品公司上訴主張：
　 1、原審認定詐騙集團所利用之被上訴人鄧佩君個人資料係源 自上訴人王品公司，無非係以刑事警察局高風險賣場名單 、相關新聞報導、粉絲頁網友留言及上訴人王品公司所發 送之防詐騙簡訊為依據，然此至多僅能證明有詐騙集團冒 名行騙及有消費者受騙上當之事實，實無法證明上訴人有 外洩被上訴人鄧佩君個資，原審此部分認定實有違誤：　　⑴警方為盡可能減少詐騙之受害者，只要接獲詐騙受害者之 報案，就會紀錄其遭受詐騙之態樣，並將所涉及之賣場業 者名單進行公布，以便讓民眾有所警覺與提防，而相關業 者也均會同步利用各類溝通管道，提醒其用戶防範詐騙， 以盡可能地接觸消費者，降低受害之可能性，列名於高風 險賣場名單之業者，僅係代表有詐騙集團冒用該賣場名義 行騙，並非指該賣場有違反個人資料保護法之情形。換言 之，警方所公布之高風險賣場名單並非違反個人資料保護 法賣場名單，縱使上訴人王品公司曾列名高風險賣場名單 中，亦不足以證明該詐騙集團所利用之被上訴人鄧佩君個 資係來自於上訴人王品公司，更不足以證明上訴人王品公 司有違反個人資料保護法之情事。
　　⑵被上訴人鄧佩君之消費訂單內容非僅上訴人王品公司獨有 ，實無從據此斷定資料來源必為上訴人王品公司。蓋就電 子發票歸檔和兌獎APP，只要使用者進行載具歸戶，APP就 會取得使用者之發票明細，其中就會有交易廠商、時間、 購買明細、金額等資訊；且依被上訴人鄧佩君所主張遭詐 騙經過，該詐騙集團有與其核對銀行資料、身分證字號、 郵局開戶地、帳號前五碼、網路郵局APP為4.65版本等藉 以取信，然上訴人王品公司並未保有前開個資，顯見該詐 騙集團取得被上訴人鄧佩君前開個資係自其他獨立來源。 故原審徒以該詐騙集團行騙所利用之「部分」個資包含被 上訴人鄧佩君之消費資訊，率爾認定上訴人王品公司有外 洩被上訴人鄧佩君個資云云，顯屬違誤。
　　⑶相關新聞、粉絲留言截圖至多僅能證明詐騙集團行騙之事 實，而上訴人王品公司於第一時間接獲顧客反應詐騙情事 時，有採取相應措施善意提醒顧客留意。原審逕以該等新 聞報導及粉絲頁留言，據以推論上訴人王品公司有外洩被 上訴人鄧佩君個資之行為，實屬不當。實則，司法實務已



謂不得僅以詐騙集團利用之個資係包含特定企業之消費個 資，即遽認該個資來源為該企業，亦不得逕將遭駭客攻擊 之人遽指為侵權行為人。再者，現今詐騙案件猖獗，各行 各業基於主管機關指導與保護消費者權益所進行之日常宣 導方式，實屬合理，上訴人王品公司對於顧客宣導預防受 騙之提醒，不應作為會員個資係自上訴人王品公司外洩之 佐證，而相關網友留言，亦純屬街頭巷議，無足證明詐騙 集團所利用之被上訴人鄧佩君係源自上訴人王品公司。　 ⑷從而，依據刑事警察局高風險賣場名單、相關新聞報導、 粉絲頁留言截圖及反詐騙宣導簡訊等事證，至多僅能證明 上訴人王品公司疑遭駭客惡意攻擊、遭詐騙集團冒名行騙 而已，並無法證明詐騙集團所利用之被上訴人鄧佩君個資 係源自於上訴人王品公司或上訴人王品公司有外洩個資之 情形，原判決此部分之認定顯有不當，應予廢棄。　 2、原審未詳加調查審究上訴人王品公司客觀上有無採行適當 安全措施，即逕自推定上訴人王品公司未盡個資保護義務 ，並依個資法第29條判命上訴人王品公司應賠償精神慰撫 金2萬元，明顯違反個人資料保護法第29條僅就主觀要件 推定之明文，實有違誤，應予廢棄：
　　⑴原判決僅因認定該詐騙集團所利用之被上訴人鄧佩君個資 係源自於上訴人王品公司（個資來源），即逕自推定上訴 人王品公司未採行適當安全措施（客觀要件），再依個人 資料保護法第29條第1項但書推定上訴人王品公司有故意 過失（主觀要件），即判命上訴人王品公司應就其違反個 人資料保護法之行為，賠償被上訴人鄧佩君精神慰撫金2 萬元。然原判決上開論理與個人資料保護法第27條及第29 條之解釋適用，毋寧使個人資料保護法變成客觀要件與主 觀要件雙重推定，甚至實質上質變為幾近無過失責任之謬 誤。
　　⑵蓋該詐騙集團所利用之被上訴人鄧佩君個資，縱使係源自 於上訴人王品公司，亦不等同上訴人王品公司未善盡個資 保護義務，或上訴人王品公司有外洩會員個資之情形。換 言之，若僅依資料來源之誰屬，即逕自推定該企業未採取 適當安全措施，並推定其有故意過失，進而要求其承擔違 反個人資料保護法第29條之賠償責任，不啻要求企業履行 現今科技無法達成之完全防免義務，原判決此種推定客觀 要件之論證方法，實牴觸舉證責任分配法則與個人資料保 護法第29條之明文規定，更與個人資料保護法第27條所稱 之「適當」安全維護義務及個人資料保護法施行細則第12 條第2項所揭櫫之「適當比例原則」顯相謬刺。



　　⑶故原判決不當認定該詐騙集團所利用之被上訴人鄧佩君個 資係源自於上訴人王品公司後，又未詳加調查審究上訴人 王品公司客觀上是否未採行適當安全措施，即逕自推定上 訴人王品公司未盡個資保護義務，並依個人資料保護法第 29條判命上訴人王品公司賠償2萬元，明顯違反個人資料 保護法第29條僅就主要構成要件推定之明文，實有違誤， 應予廢棄。
　 3、實則，上訴人王品公司業經採行諸多資安防護措施，當已 善盡個人資料保護法第27條規定之適當安全維護義務，亦 無違反個人資料保護法第12條規定之情形，自無須負擔個 人資料保護法第29條之損害賠償責任：
　　⑴上訴人王品公司於原審業已提出消費交易電子紀錄，並說 明有關被上訴人鄧佩君消費交易之相關電子紀錄均係採用 「加密」及「隱碼」等方式予以保護，原判決卻未予斟酌 ，亦無論駁，即逕認上訴人王品公司有外洩個資，且不當 推定上訴人王品公司未善盡個資保護義務，明顯有攻防方 法漏未審酌、判決不備理由、違背客觀證據之違誤，應予 廢棄。
　　⑵上訴人王品公司於106年起即委請遠傳協助建置及提供「雲 端運算服務」，包含採行硬體防火牆與入侵防禦機制，且 所購置之雲端服務包含「雲端運算經濟型」、「雲端運算 進階型」、「雲端運算專業型」、「雲端運算H1高速運算 型」及「雲端運算H2高速運算型」，確已購置企業級與專 業級之軟硬體防護設備，將會員資料置於遠傳高安全性雲 端機房予以保護與監控。而遠傳高安全性雲端機房業已取 得ISO27001國際資安認證證書，上訴人王品公司於109年1 1月至110年4月之期間，亦持續租用遠傳經國際資安認證 之高安全性雲端機房，益徵上訴人王品公司確實有持續委 請遠傳提供雲端運算服務並採行硬體防火牆與入侵防禦機 制，無論係被上訴人鄧佩君用餐時之109年11月19日或是 接獲詐騙電話之110年3月6日，均受遠傳高安全性機房之 監控保護。
　　⑶尤以，上訴人王品公司於接獲消費者反應有詐騙集團冒名 行騙後，經資安公司檢視雲端機房主機，確認109年11月 至110年3月之監控連線均無異常，可證上訴人王品公司確 有採行適當之資安保護監控機制，且未發現異常狀況，故 上訴人王品公司確實並無被上訴人鄧佩君所指違反個人資 料保護法之情形。是上訴人王品公司並無外洩被上訴人鄧 佩君個資或未善盡個資保護義務之情形，則上訴人王品公 司自毋庸依個人資料保護法第29條負賠償之責。另個人資



料保護法第12條之適用前提，必須上訴人王品公司有違反 個人資料保護法之規定，然承上所述，上訴人王品公司並 無違法外洩會員個資，且亦有採行適當安全措施善盡個資 保護義務，既無違反個人資料保護法第27條規定，自無個 人資料保護法第12條規定之通知義務，要屬當然。　　⑷甚者，有關詐騙集團利用被上訴人鄧佩君個資冒名行騙事 件，迄今原因仍未查明，然上訴人王品公司本於會員權益 保護立場，已於獲悉詐騙集團冒名行騙後，透過所有可運 用之溝通管道，盡可能讓會員知悉有詐騙集團冒名行騙， 提醒會員防範詐騙小心上當，包含於110年2月27日及3月2 日於王品集團官網、臉書粉絲專業、LINE官方帳號設置反 詐騙公告，並於王品旗下餐廳實體門市設置防詐騙宣導立 牌等，並無被上訴人鄧佩君指稱消極放任不作為之情形， 則上訴人王品公司自毋庸依個人資料保護法第29條負賠償 之責。　
（二）被上訴人王品公司本院抗辯：
　 1、上訴人鄧佩君遭詐騙集團冒名行騙與被上訴人王品公司間 並無因果關係：
　　⑴本件上訴人鄧佩君所受損害實係肇因於第三人故意犯罪行 為即詐騙集團施以詐術之行為所致，該不法行為、損害結 果、因果關係均係存在於上訴人鄧佩君與該詐騙集團成員 間，與被上訴人王品公司無涉。
　　⑵依上訴人鄧佩君自陳遭詐騙經過，係該詐騙集團成員與其 核對銀行資料、身分證字號、郵局開戶地、帳號前五碼、 網路郵局APP為4.65版本等個人資料，藉以取信上訴人鄧 佩君，上訴人鄧佩君因誤信該詐騙集團之詐術而依指示操 作網路銀行ATM匯款終致受有財產損害，則上訴人鄧佩君 所受損害確係因該詐騙集團成員對其施以詐欺取財行為及 其自身聽信不明來電之詐術誤提供銀行資料而受騙匯款所 致，與被上訴人王品公司間並無相當因果關係。又上訴人 鄧佩君業已對詐騙集團成員林毅桓提出刑事告訴，且經臺 灣高等法院臺中分院111年度上易字第213號刑事判決判定 有罪確定，而附帶民事求償部分，亦經臺灣高等法院臺中 分院111年度簡易字第20號民事判決，林毅桓應給付上訴 人鄧佩君99,996元，則上訴人鄧佩君所受之損害應已填補 。
　 2、另就上訴人鄧佩君主張依前開刑事判決認定，該APP平台 之內部及外部風險控制存有諸多瑕疵，導致會員客戶個資 外洩云云，係屬不實指摘，蓋遍觀該刑事判決書通編均未 有如此認定，顯為上訴人鄧佩君個人自行推論、擴大解釋



，實不足採。退步言之，上訴人鄧佩君係因聽信不明來電 指示，提供銀行資料及操作網路郵局ATM匯款而生損害， 則上訴人鄧佩君就其損害實有重大過失，縱認上訴人王品 公司應負賠償之責，則本件亦應有民法第217條過失相抵 之適用。
　 3、至於，本件係上訴人鄧佩君遭詐騙集團以其前開消費個資 行騙之事件，性質上屬個資事件，並非消費爭議事件，自 應適用制訂在後之個人資料保護法之特別規定，而無消保 法之適用。
四、原審判命被上訴人即上訴人王品公司應給付上訴人即被上訴 人鄧佩君精神慰撫金2萬元，及自起訴狀繕本送達之翌日即1 10年4月7日起至清償日止，按週年利率百分之5計算之遲延 利息，並依職權為假執行之宣告，另駁回上訴人即被上訴人 鄧佩君其餘請求。上訴人即被上訴人鄧佩君就其敗訴部分不 服，提起上訴，並聲明：㈠原判決不利於上訴人即被上訴人 鄧佩君部分廢棄；㈡上開廢棄部分，被上訴人即上訴人王品 公司應再給付上訴人即被上訴人鄧佩君489,988元，及自起 訴狀繕本送達被上訴人即上訴人王品公司之翌日起至清償日 止，按週年利率百分之5計算之利息；㈢第一、二審訴訟費用 ，由被上訴人即上訴人王品公司負擔；㈣上訴人即被訴人鄧 佩君願供擔保請准宣告假執行。被上訴人即上訴人王品公司 則答辯：上訴駁回；上訴費用由上訴人即被上訴人鄧佩君負 擔。被上訴人即上訴人王品公司就其敗訴部分亦不服，提起 上訴，並聲明：㈠原判決不利於被上訴人即上訴人王品公司 廢棄；㈡上開廢棄部分，上訴人即被上訴人鄧佩君於原審之 訴及假執行之聲請均駁回；㈢上開廢棄部分之第一審訴訟費 用及第二審訴訟費用由上訴人及被上訴人鄧佩君負擔。上訴 人即被上訴人鄧佩君則答辯：上訴駁回；上訴費用由被上訴 人即上訴人王品公司負擔。
五、本院所為之判斷：
（一）按個人資料保護法旨在保護個人資料上之人格權，並促進 個人資料之合理利用。所謂「個人資料」，依據個人資料 保護法第2條第1款之規定，係指自然人之姓名、出生年月 日、國民身分證統一編號、護照號碼、特徵、指紋、婚姻 、家庭、教育、職業、病歷、醫療、基因、性生活、健康 檢查、犯罪前科、聯絡方式、財務情況、社會活動及其他 得以直接或間接方式識別該個人之資料而言。而按公務機 關或非公務機關違反本法規定，致個人資料被竊取、洩漏 、竄改或其他侵害者，應查明後以適當方式通知當事人； 非公務機關保有個人資料檔案者，應採行適當之安全措施



，防止個人資料被竊取、竄改、毀損、滅失或洩漏；非公 務機關違反本法規定，致個人資料遭不法蒐集、處理、利 用或其他侵害當事人權利者，負損害賠償責任，但能證明 其無故意或過失者，不在此限；個人資料保護法第12條、 第27條第1項、第29條第1項分別定有明文。依此可知，個 人資料保護法就非公務機關之損害賠償責任係採過失推定 。
（二）次按因故意或過失，不法侵害他人之權利者，負損害賠償 責任；故意以背於善良風俗之方法，加損害於他人者亦同 ；違反保護他人之法律，致生損害於他人者，負賠償責任 ，但能證明其行為無過失者，不在此限；民法第184條第1 項、第2項定有明文。是個人資料保護法前開規定與民法 就侵權行為損害賠償規範之內容雖有所不同，但個人資料 保護法可認為係民法之特別規定。又按損害賠償之債，以 有損害之發生及有責任原因之事實，並二者之間，有相當 因果關係為成立要件。故上訴人即被上訴人鄧佩君所主張 損害賠償之債，如不合於此項成立要件者，即難謂有損害 賠償請求權存在。是凡違反個人資料保護法規定導致個人 資料遭不法蒐集、處理、利用，而侵害其隱私權者，即推 定為有故意、過失，且依舉證責任倒置原則，由行為人就 其無故意、過失負舉證責任。但被害人仍應就其個人資料 遭不法蒐集、處理及利用之事實負舉證之責，合先敘明。（三）本件上訴人即被上訴人鄧佩君主張其於109年11月19日8時 29分使用「王品瘋美食」APP平台，輸入個人資料註冊為 會員，並線上預約同日18時30分被上訴人王品公司旗下之 西堤牛排新店民權店之訂位，當天消費金額共4,185元， 透過「瘋PAY」線上刷卡支付，完成交易；嗣詐欺集團成 員於110年3月6日20時25分許前之某時，假冒西堤牛排民 權店來電，向其核對前開消費紀錄及消費細節，並佯稱前 開消費遭重複下單20次，若要解除，須依指示操作以解除 錯誤設定云云，致其陷於錯誤，先後於110年3月6日20時2 6分許、同日20時33分，以APP網路平台，分別匯款49,986 元、49,986元至詐欺集團指定之人頭帳戶內，而遭該詐騙 集團成員提領一空等情，業據提出王品瘋美食APP會員資 料（見原審卷一第33頁）、消費累積點數資料（見原審卷 一第143頁）、王品瘋美食APP網路訂位資料（見原審卷一 第487頁）、受騙匯款相關資料（見原審卷一第35至37頁 ）、報案紀錄（見原審卷一第39、173頁）為證，被上訴 人即上訴人王品公司對此亦不爭執，則上訴人即被上訴人 鄧佩君主張其於前揭時地前往西提牛排民權店訂位及消費



之個人資料遭外洩、利用等情，即堪信為真正。（四）至於，上訴人即被上訴人鄧佩君主張被上訴人即上訴人王 品公司透過系爭平台取得其姓名、聯絡資訊、信用卡交易 資訊等個人資料之記錄及儲存，並保有其個人資料，卻未 依個人資料保護法第27條第1項規定妥適處理及利用前開 個人資料，亦未善盡對保護前開個人資料之義務，致前開 個人資料外洩而遭詐騙集團用以向其施詐行騙，而被上訴 人王品公司於110年3月7日本件詐騙發生後始發送簡訊通 知慎防受騙，亦有違個人資料保護法第12條之規定，且被 上訴人即上訴人王品公司並無法舉證證明其並無故意或過 失，即應對其負賠償之責等情，被上訴人即上訴人王品公 司則否認屬實，並以前詞置辯。經查：
　 1、上訴人鄧佩君確曾登錄王品瘋美食APP註冊登記為會員， 並提供個人資訊、領取生日禮券及訂位消費等情，為兩造 所不爭執，足認上訴人鄧佩君前開個人資料確有儲存於被 上訴人王品公司之王品瘋美食APP平台內。而上訴人鄧佩 君因詐騙集團成員利用其於109年11月19日前往被上訴人 王品公司旗下西堤牛排新店民權店消費之個人資料而遭詐 騙財物等情，業如前述，則被上訴人王品公司由該王品瘋 美食APP平台接受上訴人鄧佩君之會員註冊登記、預約訂 位及消費，而取得上訴人鄧佩君之個人資料，即應依個人 資料保護法第27條規定，先採行適當之安全措施，防止上 訴人鄧佩君個人資料被竊取、竄改、毀損、滅失或洩漏， 並於上訴人鄧佩君個人資料被竊取、洩漏、竄改或其他侵 害後，應依個人資料保護法第12條規定，加以查明並以適 當方式通知上訴人鄧佩君。
　 2、上訴人鄧佩君固以其與被上訴人王品公司旗下西堤牛排免 付費專線客服人員於110年3月7日11時40分之對話內容， 該客服人員所述該公司會員資料受到駭客攻擊致遭取得顧 客之用餐相關資訊等情（見原審卷一第235至237頁），及 與西堤牛排新店民權店店經理於111年1月25日之對話內容 ，店經理表示有向總公司反應是否會員消費資料有遭網路 駭客取得之情（見原審卷一第437至442頁），佐以，被上 訴人王品公司旗下餐廳因會員個人資料外洩而遭詐騙之案 例，為數頗多，亦有相關新聞報導（見原審卷一第41至43 、329至335、365、494至498、557頁）、上訴人鄧佩君所 提其與內政部165防詐騙專線之對話錄音譯文（見原審卷 一第241至257頁）、臺灣彰化地方法院110年度易字第746 號刑事判決（見原審卷一第390至394、429至433頁）、臺 灣高等法院臺中分院111年度上易字第213號刑事判決（見



原審卷二第47至55頁）、上訴人鄧佩君所提其與西堤牛排 新店民權店之對話錄音譯文（見原審卷一第437至442頁） 在卷可稽，據以主張被上訴人王品公司未採取適當之安全 措施，以防止其保存之上訴人鄧佩君個人資料遭洩漏之情 。
　 3、惟被上訴人王品公司在本件上訴人鄧佩君遭詐騙前，即於 110年2月27日在王品瘋美食臉書粉絲頁面及王品集團官網 公告防範詐騙相關資訊（見原審卷一第107至111頁），及 於110年3月2日在王品瘋美食LINE官方帳號發送防範詐騙 通知（見原審卷一第113頁），並於110年3月3日在西堤牛 排臉書發出聲明，表示：「近期有不法份子謊稱購買集團 餐券重覆扣款，要求消費者提供個資或到ATM轉帳匯款， 請消費者不要相信，以確保您的權益。王品集團不會利用 電話詢問消費者信用卡或金融帳號料，也不會要求您電話 刷退或利用ATM操作匯款、退款。」（見原審卷一第45頁 ），用以提醒消費者提防詐騙；且於上訴人鄧佩君於110 年3月6日20時33分遭詐騙後，即於翌日即110年3月7日10 時38分發送簡訊通知其提防詐騙（見原審卷一第59、261 頁）。依此可知，被上訴人王品公司業已依照內政部警政 署刑事警察局為共同防制「解除分期付款」詐騙，函請電 子商務業者加註警語並於客戶完成訂單交易後即以簡訊及 電子郵件通知消費者慎防詐騙之要求。　
　 4、復以，被上訴人王品公司就各該消費交易電子紀錄，亦已 採用加密、隱碼方式，藉以保護消費者之個人資料，業已 提出上訴人本件消費交易電子紀錄（見原審卷一第597至6 01頁、本院卷第203頁）為據。而被上訴人即上訴人王品 公司自106年起即委請遠傳協助建置及提供雲端運算服務 ，包含採行硬體防火牆與入侵防禦機制，並已購置企業使 用之專業級軟硬體防護設備，將會員資料置於遠傳高安全 性雲端機房予以保護與監控，業據提出遠傳雲端運算服務 網頁簡介（見本院卷第99至100頁）、王品集團雲端管理 服務專案建置工作說明書及報價單（見本院卷第101至103 頁）、遠傳雲端機房獲ISO27001國際資安認證相關證書（ 見本院卷第205至218頁）、被上訴人即上訴人王品公司於 109年11月至000年0月間租用遠傳國際資安認證高安全性 雲端機房之帳單（見本院卷第219至278頁）、遠傳資安保 全服務王品餐飲股份有限公司入侵防禦系統事件109年11 月1日至110年3月31日報表（見本院卷第279至306頁）為 證。
　 5、再者，被上訴人王品公司委請遠傳協助建置及提供之雲端



運算服務，係建構在經國際安全性認證之國際級專業認證 機房，且取得諸多雲端資安專業認證，而遠傳擁有最高規 之雲端機房及取得資安最高階認證，此有遠傳雲端運算服 務網頁說明（見本院卷第435至452頁）、相關新聞報導（ 見本院卷第453頁）在卷可稽。而上訴人王品公司於109年 11月起至110年4月之期間，均持續租用遠傳經國際資安認 證之高安全性雲端機房，依此可知，不論係於被上訴人鄧 佩君消費之109年11月19日時或是接獲詐騙電話之110年3 月6日時，被上訴人王品公司所提供之雲端運算服務，均 受到遠傳高安全性機房之監控保護。是以，依據現有事證 ，尚不足以證明被上訴人王品公司就其保有之會員個人資 料，未採行適當安全措施以保護個人資料檔案、遭洩漏後 未以適當方式通知上訴人鄧佩君，而有違反個人資料保護 法第12條、第27條第1項之情形或其管理上有所疏失，則 上訴人鄧佩君主張依個人資料保護法及民法侵權行為之相 關規定，據以請求被上訴人王品公司賠償其財產上損失99 ,996元損害、名譽權受侵害之非財產上損害2萬元及精神 慰撫金5萬元，即屬無據，要難准許。
　 6、又按損害賠償之債，以有損害之發生及有責任原因之事實 ，並二者之間，有相當因果關係為成立要件。本件縱認被