個人資料保護法第十二條規定註釋-個人資料遭違法侵害之通知

個人資料保護法第12條規定：

公務機關或非公務機關違反本法規定，致個人資料被竊取、洩漏、竄改或其他侵害者，應查明後以適當方式通知當事人。

說明：

按當事人之個人資料遭受違法侵害，往往無法得知，致不能提起救濟或請求損害賠償，爰規定公務機關或非公務機關所蒐集之個人資料被竊取、洩漏、竄改或遭其他方式之侵害時，應立即查明事實，以適當方式（例如：人數不多者，得以電話、信函方式通知；人數眾多者，得以公告請當事人上網或電話查詢等），迅速通知當事人，讓其知曉。公務機關違反本條規定而隱匿不為通知者，其上級機關應查明後令其改正，如有失職人員，得依法懲處；非公務機關違反本條規定而隱匿不為通知者，其主管機關得依第四十七條第二款規定限期改正，屆期仍不改正者，得按次處以行政罰鍰，併予敘明。

按非公務機關保有個人資料檔案者，應採行適當之安全措施，防止個人資料被竊取、竄改、毀損、滅失或洩漏。非公務機關違反本法規定，致個人資料遭不法蒐集、處理、利用或其他侵害當事人權利者，負損害賠償責任。但能證明其無故意或過失者，不在此限。個人資料保護法第27條第1項、第29條第1項分別定有明文。而民事訴訟如係由原告主張權利者，應先由原告負舉證之責，若原告先不能舉證，以證實自己主張之事實為真實，則被告就其抗辯事實即令不能舉證，或其所舉證據尚有疵累，亦應駁回原告之請求（最高法院17年上字第917號判例要旨參照）。據此，依個人資料保護法第29條第1項但書規定，被告就其無故意或過失，固負舉證之責，然原告既主張被告違反個人資料保護法規定，致其權利受損，則原告就其有利於己之事實即主張其遭詐騙時之個人資料係來自被告公司網站，及被告違反個人資料保護法規定之事實，即應先負舉證責任。經查，被告固不否認其公司網站系統曾於106年5月23日遭到入侵，然被告公司網站內原告之個人資料是否遭入侵「成功」及外流，則尚不足以「確認」。亦即詐騙份子向原告實施詐騙時所使用之原告個人資料是否係來自被告之公司網站系統遭到入侵而外流者，尚非明確。自難遽認本件向原告實施詐騙行為之人所使用之原告個人資料確係來自被告之公司網站系統遭到入侵而外流之消費者資料。此外，原告未再提出佐證，證明詐騙份子所使用原告個人資料係來自被告公司，自無從認原告主張可採。次按公務機關或非公務機關違反個人資料保護法規定，致個人資料被竊取、洩漏、竄改或其他侵害者，應查明後以適當方式通知當事人。個人資料保護法第12條定有明文。揆其立法理由略以：當事人之個人資料遭受違法侵害，往往無法得知，致不能提起救濟或請求損害賠償，爰規定公務機關或非公務機關所蒐集之個人資料被竊取、洩漏、竄改或遭其他方式之侵害時，應立即查明事實，以適當方式（例如：人數不多者，得以電話、信函方式通知；人數眾多者，得以公告請當事人上網或電話查詢等），迅速通知當事人，讓其知曉。另同法施行細則第22條規定：「本法第12條所稱適當方式通知，指即時以言詞、書面、電話、簡訊、電子郵件、傳真、電子文件或其他足以使當事人知悉或可得知悉之方式為之。但需費過鉅者，得斟酌技術之可行性及當事人隱私之保護，以網際網路、新聞媒體或其他適當公開方式為之（第1項）。依本法第12條規定通知當事人，其內容應包括個人資料被侵害之事實及已採取之因應措施（第2項）。」，係課予公務機關或非公務機關於違反本法規定且致個人資料被竊取、洩漏、竄改或其他侵害時，應於查明後負有通知之義務。而被告於知悉其網站遭不法入侵後，於106年5月27日以主旨為「重要必看！雄獅會員防詐騙說明。保障自身財物安全」電子郵件之通知會員，並於同年月23日及26日寄送如前揭意旨之提醒詐騙之簡訊至原告所有0000000000門號等情，有電子郵件及簡訊內容在卷可佐（見本院卷第36頁至38頁），並為原告所不爭執，應認被告知悉其網站遭入侵後亦有採取相當之措施。原告以被告在106年5月間已知悉其網站遭入侵之事，然原告仍於106年8月19日發生遭詐騙之事，即推論原告未盡保護消費者個人資料之義務，尚非可採。又損害賠償之債，以有損害之發生及有責任原因之事實，並二者之間，有相當因果關係為成立要件。故原告所主張損害賠償之債，如不合於此項成立要件者，即難謂有損害賠償請求權存在。且所謂相當因果關係，係指依經驗法則，綜合行為當時所存在之一切事實，為客觀之事後審查，認為在一般情形下，有此環境、有此行為之同一條件，均可發生同一之結果者，則該條件即為發生結果之相當條件，行為與結果即有相當之困果關係。反之，若在一般情形上，有此同一條件存在，而依客觀之審查，認為不必皆發生此結果者，則該條件與結果並不相當，不過為偶然之事實而已，其行為與結果間即無相當因果關係，不能僅以行為人就其行為有故意過失，即認該行為與損害間有相當因果關係（按最高法院98年度台上字第673號判決要旨參照）。換言之，相當因果關係之判斷，包含：1.應先判斷結果發生之條件，為損害發生之不可欠缺之條件。2.再判斷因果關係之相當性，即在一般情形下，有此環境、有此行為之同一條件，均可發生同一之結果，始可謂行為與結果間具有相當因果關係。本件縱認被告如未疏於維護其公司網站內之原告個人資料，原告不致被詐騙份子詐騙而受財物損失，而認被告之疏失行為可謂原告財產權受損害之不可欠缺之條件。然被告已106年5月23日及26日寄送如前揭意旨之提醒詐騙之簡訊至原告所有手機門號，予以提醒，原告即應對此一詐騙技倆有所警覺，然原告未有所警覺，因其個人疏忽而誤信詐騙份子伎倆，致被詐騙份子詐騙，又衡諸一般情形，客戶資料外洩固係對於客戶隱私權之侵害，然並不必然發生客戶受詐騙且受有財物損失之財產權侵害結果。是以被告縱令有疏失行為，其與原告之財物損失結果，不得謂有相當之因果關係，依前揭說明，即難認被告應就原告被詐騙之損失負責。從而，原告未能舉證證明被告有何違反個人資料保護法之規定，而致原告之個人資料被竊取外洩，且縱認被告確有違反個人資料保護法規定，原告遭受詐騙所受財產權損害，與被告過失行為間，難謂有相當因果關係，則原告依個人資料保護法第29條規定請求被告賠償遭詐騙之損失金額4萬元，為無理由，應予駁回（臺灣士林地方法院108年度湖小字第558號民事判決）。

按非公務機關保有個人資料檔案者，應採行適當之安全措施，防止個人資料被竊取、竄改、毀損、滅失或洩漏。非公務機關違反本法規定，致個人資料遭不法蒐集、處理、利用或其他侵害當事人權利者，負損害賠償責任。但能證明其無故意或過失者，不在此限。個人資料保護法第27條第1項、第29條第1項分別定有明文。而民事訴訟如係由原告主張權利者，應先由原告負舉證之責，若原告先不能舉證，以證實自己主張之事實為真實，則被告就其抗辯事實即令不能舉證，或其所舉證據尚有疵累，亦應駁回原告之請求（最高法院17年上字第917號判例要旨參照）。據此，依個人資料保護法第29條第1項但書規定，被告就其無故意或過失，固負舉證之責，然原告既主張被告違反個人資料保護法規定，致其權利受損，則原告就其有利於己之事實即主張其遭詐騙時之個人資料係來自被告公司網站，及被告違反個人資料保護法規定之事實，即應先負舉證責任按公務機關或非公務機關違反個人資料保護法規定，致個人資料被竊取、洩漏、竄改或其他侵害者，應查明後以適當方式通知當事人。個人資料保護法第12條定有明文。揆其立法理由略以：當事人之個人資料遭受違法侵害，往往無法得知，致不能提起救濟或請求損害賠償，爰規定公務機關或非公務機關所蒐集之個人資料被竊取、洩漏、竄改或遭其他方式之侵害時，應立即查明事實，以適當方式（例如：人數不多者，得以電話、信函方式通知；人數眾多者，得以公告請當事人上網或電話查詢等），迅速通知當事人，讓其知曉。另同法施行細則第22條規定：「本法第12條所稱適當方式通知，指即時以言詞、書面、電話、簡訊、電子郵件、傳真、電子文件或其他足以使當事人知悉或可得知悉之方式為之。但需費過鉅者，得斟酌技術之可行性及當事人隱私之保護，以網際網路、新聞媒體或其他適當公開方式為之（第1 項）。依本法第12條規定通知當事人，其內容應包括個人資料被侵害之事實及已採取之因應措施（第2 項）。」，係課予公務機關或非公務機關於違反本法規定且致個人資料被竊取、洩漏、竄改或其他侵害時，應於查明後負有通知之義務。而公務機關或非公務機關負有依上開規定以適當方式通知當事人之責，係以其違反個人資料保護法規定，致個人資料被竊取、洩漏、竄改或其他侵害者為前提，若公務機關或非公務機關並無違反個人資料保護法規定之情事，要難以其未通知當事人，即認其有何不法。原告主張其在被告公司網站消費後，迄至受詐騙前，未曾收到來自被告之通知等語。查，本件尚難確認詐騙份子所使用原告之基本資料係被告之公司網站系統遭到入侵而外流者，業如前述，易言之，並不能排除並非係被告之公司網站系統遭到入侵而導致消費者資料外流之可能性，自不能遽認被告已確有違反個人資料保護法規定之事實。況被告自陳於106 年3 月28日第一次接到會員告知接到詐騙份子電話後，查詢其公司網站系統之防駭機制，得知網站系統曾於同年月3 日、4 日、14日及27日成功阻擋了3 萬4,800 次來自相同IP位置之異常入侵等情，有被告提出而為原告不爭執之阻擋入侵明細可佐（見本院卷第35頁至36頁）。則被告於會員反應接到詐騙份子電話時，查詢的結果係其公司網站系統確實已阻擋了上萬通之異常入侵，既然該等異常入侵業已被阻擋，且究係善意入侵或惡意入侵仍不明確之情形下，即無從認被告已明確知悉其公司網站業已遭入侵成功，並有客戶資料包括原告資料外流之事。而在被告接到會員通知接到詐騙份子電話後，為求慎重，即採取報警備案、自106 年3 月29日起在網站首頁顯示防詐騙宣傳、於出貨給客戶時亦夾帶防詐騙警示之DM、加強網站之防駭邏輯等措施，應認其已有採取相當之措施。則原告主張被告違反通知義務云云，尚嫌無據。又損害賠償之債，以有損害之發生及有責任原因之事實，並二者之間，有相當因果關係為成立要件。故原告所主張損害賠償之債，如不合於此項成立要件者，即難謂有損害賠償請求權存在。且所謂相當因果關係，係指依經驗法則，綜合行為當時所存在之一切事實，為客觀之事後審查，認為在一般情形下，有此環境、有此行為之同一條件，均可發生同一之結果者，則該條件即為發生結果之相當條件，行為與結果即有相當之困果關係。反之，若在一般情形上，有此同一條件存在，而依客觀之審查，認為不必皆發生此結果者，則該條件與結果並不相當，不過為偶然之事實而已，其行為與結果間即無相當因果關係，不能僅以行為人就其行為有故意過失，即認該行為與損害間有相當因果關係（按最高法院98年度台上字第673 號判決要旨參照）。換言之，相當因果關係之判斷，包含：1.應先判斷結果發生之條件，為損害發生之不可欠缺之條件。2.再判斷因果關係之相當性，即在一般情形下，有此環境、有此行為之同一條件，均可發生同一之結果，始可謂行為與結果間具有相當因果關係。本件觀之原告提供予被告之會員資料（見本院卷第44頁），上為「姓名」、「電話」、「公司名稱」、「地址」、「訂單編號」、「消費日期」及「消費金額」等原告個人基本資料與消費資料，縱認被告如未疏於維護其公司網站內之原告上開所提供之個人資料，原告不致被詐騙份子詐騙而受財物損失，而認被告之疏失行為可謂原告財產權受損害之不可欠缺之條件。然原告財物之損失係因詐騙份子積極實施詐騙行為所致並非原告個人資料外流之必然結果，被告公司網站內客戶資料之外流，固係對於客戶隱私權之侵害，然衡諸一般情形，資料外流並不必然發生客戶受詐騙且受有財物損失之財產權侵害結果，是被告縱有疏失行為，其與原告之財物損失結果，不得謂有相當之因果關係，依前揭說明，即難被告應就原告被詐騙之損失負責。（臺灣士林地方法院107年度湖簡字第644號民事判決）。