去（112）年1月中旬，消基會接獲趙姓消費者到會申訴，她反映在110年11月中，透過北投麗禧溫泉酒店股份有限公司（以下簡稱北投麗禧酒店）官網訂購溫泉券22張，共新臺幣（下同）2萬0400元、10張共1萬0400元、5張共6500元，並於訂購時填載姓名、電話、電子郵件、中國信託銀行股份有限公司（下稱中信銀行）刷卡帳號等個人資料（下稱個資）。之後因個資外洩遭訛詐近十萬元。由於北投麗禧酒店及建置系統的墨攻網路科技股份有限公司（以下簡稱墨攻公司）一再堅稱在安全防護措施上無過失，主張不用賠償，申訴無果；消費者一怒，狀告法院。

        一審法院審理結果，認為消費者的個資外洩，雖來自被告業者的建置及防護系統，卻援引交通部觀光局（現已升格為觀光署）、數位發展部函文所載「該兩公司相關因應措施『尚符個人資料保護法相關規定』或『尚稱合理』意旨，判定業者在安全防護措施上無過失，而駁回消費者的請求。

        消費者不服，再行上訴。高院援引個資法第27條第1項、第29條第1項規定，認為北投麗禧酒店及墨攻公司就保有消費者個資而發生個資遭不法蒐集、處理、利用、或其他侵害當事人權利，應採過失推定原則，即需由業者舉證證明無故意過失，始可免責；並認為本件訂購系統為業者所保有、建置及管理，消費者輸入的個資，亦存放於該系統中，消費者無從自行使用、管理，此等證據偏於業者的狀況，如由消費者負舉證責任顯失公平，因此援引民事訴訟法第277條但書規定，減輕消費者的擧證責任，進而認定業者無法證明消費者的個資外洩，係其他人非法攻擊行為取得；另高院判決也認為行政主管機關數發部、觀光署的調查程序與訴訟事件調查程序不同，行政機關的認定與函旨，並無拘束法院的效力，故審理結論認定墨攻公司無法證明就其管理維護的系爭訂購系統所保有消費者的個資，已盡採取適當安全措施的責任，並認定麗禧公司無法證明消費者的個資遭外洩前，已就墨攻公司管理維護系爭訂購系統，為適當監督行為，因而判定麗禧公司、墨攻公司均需對消費者個資的外洩負損害賠償責任。

        雖然高院判決中認為消費者的財產損失是詐騙集團成員積極實施詐騙行為所致，與消費者個資的外洩沒有直接因果關係，但仍認為麗禧公司、墨攻公司不法侵害消費者隱私權、個資自主權，致消費者因系爭個資為詐騙集團不法利用，耗費時間心力申訴，過程飽受煎熬，並需持續擔心個資遭他人不當使用，受有精神上之痛苦，認定消費者可依個資法第29條，第28條第2項、3項規定得請求業者賠償非財產上損害新台幣2萬元。

        本會之所以會高度關注此高等法院判決，乃是因許多消費者碰到類似的個資外洩事件，往往因訴訟需耗費精神物力，加上蒐證舉證上的困難，或選擇自認倒楣忍氣吞聲，或獲法院不利判決而氣極敗壞，似乎拿業者一點辦法都沒有。但此高等法院判決揭櫫幾個有利消費者權益主張的觀點，包括：

        1.依個資法第27條第1項、第29條第1項規定，業者就保有消費者個資而發生個資遭不法蒐集、處理、利用、或其他侵害當事人權利，應採應採過失推定原則，需由業者舉證證明無故意過失，始可免責；

        2.票券訂購系統為業者所保有、建置及管理，消費者輸入的個資，亦存放於該系統中，消費者無從自行使用、管理，在此證據偏於業者的狀況下，如由消費者負舉證責任顯失公平，得依民事訴訟法第277條但書規定，減輕消費者的舉證責任；

        3.因個資外洩不法侵害消費者隱私權、個資自主權，消費者因申訴過程飽受煎熬，並需持續擔心個資遭他人不當使用，消費者得主張受有精神上之痛苦，而且可依個資法第29條，第28條第2項、3項規定得請求業者賠償非財產上損害；

        4.法院於判決中明示法院的證據調查及事實認定，不拘行政機關調查認定的拘束等。本件的判決理由及法律觀點，讓我們對於類此個資外洩事件，欲請求損害賠償的消費大眾，不啻點起一盞明燈，在有前例可循的情況下，相信將讓受害的消費大眾敢鼓起勇氣，力爭消費權益的維護，所以我們對於做成本案判決的合議庭法官，表示最高的敬意。

        我們也要向本件受害的趙女士也表示敬佩之至，為尋得真理正義的存在，憑一己之力鍥而不捨，小蝦米力抗大鯨魚，終尋得勝訴的判決結果，且此判決結果，將來更或影響並有利於消費權益的維護，實可讚為典範。

        最後我們要呼籲消費者，在遇有類此個資外洩權益受損情形，實可援引本件判決見解，為維護自己消費權益力爭。

財團法人中華民國消費者文教基金會