婦買溫泉券後遭詐騙 個資外洩判賠

趙姓婦人購買北投麗禧溫泉酒店溫泉券，事後接到詐騙電話被騙近10萬元（台幣，下同，約3190美元）。趙婦認為，麗禧與建置訂購系統的墨攻公司未依個資保護法防止資料被竊，提告求償金錢損失與2萬元精神慰撫金。麗禧搬出數位發展部公函為自身背書，但法官未採信，台灣高等法院除判麗禧刪除個資外，兩公司也要賠償趙婦共2萬元。

趙婦在2020年10月、2021年11月間，前後訂購了37張溫泉券，事後卻接到詐團電話上當失金。她主張麗禧、墨攻公司在取得她的個資後，未採取安全措施防竊，且墨攻公司建置的訂購系統，曾經在2021年8月與11月遭駭客入侵，兩家公司未通知消費者注意，違反個資法、製造業及技術服務業個人資料檔案安全維護管理辦法。趙婦埋怨此事耗費心力，飽受煎熬，還要擔心個資被不當使用，請求賠償精神慰撫金。

麗禧及墨攻公司在訴訟中提出數位部數位產業署去年公函，指出僅發生「網站攻擊事件」非「個資外洩事件」，紀錄顯示墨攻公司曾遭SQL injection攻擊，但無法排除另有其他非法攻擊取得客戶個資，並稱系統遭攻擊與個資外洩無因果關係。交通部觀光局也稱經調查，麗禧未違反個資法。

一審認定，溫泉酒店和系統廠商有防止個資被竊措施，判麗禧、墨攻公司免賠，但麗禧須刪除趙婦的聯絡方式。

全案上訴二審後，高院民庭發現，詐團在趙婦2021年11月3日最後一次使用訂票系統訂購溫泉券後，才開始撥打她的電話，對話內容清楚掌握她為麗禧會員、曾購買溫泉券、使用中信銀行帳戶等細節。高院在判決中指出，數位部與觀光署的調查程序與訴訟程序不同，無法拘束法院，且不足反證被害人遭詐的個資不是由系統外洩。

判決引用個資法規定，非公務機關保有個資而發生遭不法處理、利用，侵害當事人權利者，採過失推定原則，意指企業要負較高舉證責任。法官認定麗禧、墨攻對於消費者個資未盡適當安全維護措施，導致個資外洩遭詐團不法利用，有過失責任。

但高院認為隱私權、個資自主權受侵害不必然會有財物損失，兩家公司不必賠償9萬餘元金錢損失，但須賠2萬元精神慰撫金。本件金額部分雙方都不得上訴，而趙婦要求麗禧、墨攻公司刪除並停止蒐集、處理或利用她的個人資料，因法院只判麗禧刪除並停用，仍可上訴。

對於高院判決中「數位部之調查程序與訴訟事件程序不同，且其認定，並無拘束本院之效力」的說法，數位部表示，這是指個人資料保護法上之行政檢查程序與一般訴訟調查程序不同，並非指調查程序不符保護消費者規定，對於本案高院判決予以尊重。

麗禧酒店則表示「尊重判決、惟甚表遺憾」，已在官網首頁及相關社群平台發布防範詐騙提醒，並發送簡訊給所有曾購買過票券的消費者。至於飯店合作的系統商「墨攻公司」，各項檢驗結果均認定墨攻公司並無相關危險漏洞問題，且墨攻也已取得系統敏感資料數位簽章認證。