網路購票個資外洩遭詐騙 業者應舉證證明無故意過失始可免責

力寶龍

網路購票個資外洩遭詐騙 業者應舉證證明無故意過失始可免責

臺灣高等法院日前針對一起個人資料外洩遭詐騙事件作出判決，認為溫泉公司及科技公司未對消費者的個人資料保護，採行適當的安全措施，應針對個資外洩的部分負損害賠償責任。

溫泉公司的官方網站有提供消費者線上訂購溫泉券的購買系統，有消費者於該網站訂購合計新台幣兩萬零四百元的溫泉券，並於訂購時填載消費者的姓名、電話、電子郵件、刷卡帳號等個人資料。之後卻接獲詐騙電話，致遭訛詐轉出受詐騙金額約十萬元。消費者認為溫泉公司及建置訂購系統的科技公司未依個人資料保護法第２７條規定，於取得個資後採行適當的安全措施、防止伊個資被竊取，且主管機關也認為科技公司平時維護措施並無缺漏。消費者申訴無果，因此狀告法院。

臺灣高等法院指出，個人資料保護法第２７條規定，非公務機關保有個人資料檔案者，應採行適當之安全措施，防止個人資料被竊取、竄改、毀損、滅失或洩漏。同法第２９條規定，若非公務機關違反規定，致個人資料遭不法侵害，負損害賠償責任。但能證明其無故意或過失者，不在此限。故科技公司保有個資而發生個資遭不法侵害，採過失推定原則，即由科技公司舉證證明其無故意或過失，才能免責。又消費者的個資是由科技公司存放於該系統中，消費者無法自行使用、管理，依民事訴訟法第２７７條但書規定應輕減消費者的舉證責任。

臺灣高等法院進一步指出，主管機關的調查程序與訴訟事件程序不同，且其認定並無拘束法院的效力，故審理結論認定溫泉公司無法證明消費者個資遭竊外洩前，已就科技公司管理維護訂購系統，為適當監督的行為，科技公司也無法證明網路訂購系統對於消費者的個資，已採行適當安全措施的責任，因而判定溫泉公司及科技公司均需對消費者個資的外洩負損害賠償責任。

來源：法源法律網