買溫泉券遭詐團騙 個資外洩判賠

趙姓婦人購買北投麗禧溫泉酒店溫泉券，事後接到詐騙電話被騙近十萬元。趙婦認為，麗禧與建置訂購系統的墨攻公司未依個資保護法防止資料被竊，提告求償金錢損失與二萬元精神慰撫金。麗禧搬出數位發展部公函為自身背書，但法官未採信，台灣高等法院除判麗禧刪除個資外，兩公司也要賠償趙婦共二萬元。

趙婦在二○二○年十月、二○二一年十一月間，前後訂購了卅七張溫泉券，事後卻接到詐團電話上當失金。她主張麗禧、墨攻公司在取得她的個資後，未採取安全措施防竊，且墨攻公司建置的訂購系統，曾經在二○二一年八月與十一月遭駭客入侵，兩家公司未通知消費者注意，違反個資法、製造業及技術服務業個人資料檔案安全維護管理辦法。趙婦埋怨此事耗費心力，飽受煎熬，還要擔心個資被不當使用，請求賠償精神慰撫金。

麗禧及墨攻公司在訴訟中提出數位部數位產業署去年公函，指出僅發生「網站攻擊事件」非「個資外洩事件」，紀錄顯示墨攻公司曾遭SQL injection攻擊，但無法排除另有其他非法攻擊取得客戶個資，並稱系統遭攻擊與個資外洩無因果關係。交通部觀光局也稱經調查，麗禧未違反個資法。

一審認定，溫泉酒店和系統廠商有防止個資被竊措施，判麗禧、墨攻公司免賠，但麗禧須刪除趙婦的聯絡方式。

全案上訴二審後，高院民庭發現，詐團在趙婦二○二一年十一月三日最後一次使用訂票系統訂購溫泉券後，才開始撥打她的電話，對話內容清楚掌握她為麗禧會員、曾購買溫泉券、使用中信銀行帳戶等細節。高院在判決中指出，數位部與觀光署的調查程序與訴訟程序不同，無法拘束法院，且不足反證被害人遭詐的個資不是由系統外洩。

判決引用個資法規定，非公務機關保有個資而發生遭不法處理、利用，侵害當事人權利者，採過失推定原則，意指企業要負較高舉證責任。法官認定麗禧、墨攻對於消費者個資未盡適當安全維護措施，導致個資外洩遭詐團不法利用，有過失責任。

但高院認為隱私權、個資自主權受侵害不必然會有財物損失，兩家公司不必賠償九萬餘元金錢損失，但須賠二萬元精神慰撫金。本件金額部分雙方都不得上訴，而趙婦要求麗禧、墨攻公司刪除並停止蒐集、處理或利用她的個人資料，因法院只判麗禧刪除並停用，仍可上訴。

【記者林海、羅建怡／台北報導】數位部表示，二○二三年一月配合台北地方法院函詢，提供對墨攻公司個資行政檢查之內容，其中有說明並無法排除有被其他攻擊取得個資的可能，而高院判決中表示「數位部之調查程序與訴訟事件程序不同，且其認定，並無拘束本院之效力」。

數位部表示，換言之，這是指個人資料保護法上之行政檢查程序與一般訴訟調查程序不同，並非指調查程序不符保護消費者規定，對於本案高院判決予以尊重。

麗禧酒店則表示「尊重判決、惟甚表遺憾」，已在官網首頁及相關社群平台發布防範詐騙提醒，並發送簡訊給所有曾購買過票券的消費者。至於飯店合作的系統商「墨攻公司」，各項檢驗結果均認定墨攻公司並無相關危險漏洞問題，且墨攻也已取得系統敏感資料數位簽章認證。