她買麗禧溫泉券卻遭詐團騙怒提告 公司搬出數發部的函、法院2理由不買帳

趙姓婦人購買北投麗禧溫泉酒店溫泉券,事後卻接到詐騙電話要她配合操作「解除分期付款」,她照辦結果被騙近10萬元。趙婦認爲麗禧與建置訂購系統的墨攻公司未依個人資料保護法防止她個資被竊取,提告求償金錢損失與2萬精神慰撫金、要求兩公司刪除並停用她個資。臺灣高等法院除判刪除個資外,兩公司也要賠償趙婦2萬元。

本件訴訟中,麗禧溫泉酒店、墨攻網路科技公司搬出數發部數位產業署2023年的函,指自始只有發生「網站攻擊事件」,並非「個資外泄事件」,而log紀錄雖顯示墨攻公司有遭到SQL injection攻擊,但無法排除另有其他非法攻擊行爲取得客戶個資的可能,且趙婦的個資也不是他們所獨有,系統遭攻擊與個資外泄沒有因果關係。但高院則指這不足反證被害人遭詐的個資不是由系統外泄。

趙婦於2020年10月、2021年11月間三度委託同事、家人訂購37張溫泉券,但事後卻接到詐團電話而上當失金。她主張麗禧、墨攻公司在取得她的個資後沒有采取安全措施來防止資料被竊,且墨攻公司的訂購系統2021年8月與11月都遭駭客入侵,兩家公司都未通知消費者注意,違反個資法、製造業及技術服務業個人資料檔案安全維護管理辦法等。

她埋怨爲了這件事耗費心力申訴,飽受煎熬,還要擔心個資繼續被不當使用,除要求刪除並停止使用她的個資外,也請求賠償精神慰撫金。

一審時,臺北地方法院認定酒店未違反個資法,且酒店和系統廠商也有防止個資被竊的措施,並刊登防範詐騙公告,判決麗禧、墨攻公司免賠,但麗禧必須刪除趙婦的聯絡方式。

因一審部分訴求遭駁回,趙婦上訴。高院民事庭發現詐團在趙婦於2021年11月3日最後一次使用訂票系統訂購溫泉券後,纔開始撥打她的電話聯繫,對話內容清楚掌握她爲麗禧會員、曾購買溫泉券、使用中信銀行帳戶等細節。

麗禧公司雖稱在挑選墨攻公司爲資訊服務系統廠商時,曾審覈過墨攻的條件,且數位發展部也認墨攻公司平時維護措施妥適。不過高院指數發部的調查程序與訴訟事件不同,且數發部的認定也無拘束法院的效力,援引數發部的函不可取。

雖然趙婦爲詐團所騙,高院認爲隱私權、個資自主權受侵害「不必然會有財物損失」,以本件來看,外泄的資料高達5423筆,卻只有她1人被騙,可見兩者沒有相當因果關係,兩家公司不必賠償9萬9987元金錢損失。但趙婦爲此神傷,請求2萬元精神慰撫金有據。

趙姓婦人購買北投麗禧溫泉酒店溫泉券,事後卻接到詐騙電話要她配合操作「解除分期付款」,她照辦結果被騙近10萬元。情境示意圖。圖/ingimage