個人資料保護法第三十二條規定註釋-團體訴訟之符合要件

個人資料保護法第32條規定：

依本章規定提起訴訟之財團法人或公益社團法人，應符合下列要件：

一、財團法人之登記財產總額達新臺幣一千萬元或社團法人之社員人數達一百人。

二、保護個人資料事項於其章程所定目的範圍內。

三、許可設立三年以上。

說明：

本條新增。為鼓勵民間公益團體能參與個人資料之保護並方便被害民眾行使本法規定之損害賠償請求權，爰於本章增訂團體訴訟相關規定，期能發揮民間團體力量，共同推動個人資料保護工作。目前社會上公益性民間團體甚多，良莠不齊，如均可以為被害民眾提起團體訴訟，恐會發生濫訟情形，或衍生其他弊端。對於得依本法規定提起團體訴訟之財團法人或公益社團法人，須符合本條所定要件，始得為之。

按對於同一原因事實造成多數當事人權利受侵害之事件，財團法人或公益社團法人經受有損害之當事人20人以上以書面授與訴訟實施權者，得以自己之名義，提起損害賠償訴訟；又依本章規定提起訴訟之財團法人或公益社團法人，應符合下列要件：一、財團法人之登記財產總額達新臺幣（下同）一千萬元或社團法人之社員人數達一百人。二、保護個人資料事項於其章程所定目的範圍內。三、許可設立三年以上。個人資料保護法（下稱個資法）第32條、第34條第1項前段分別定有明文，經查，本件原告為69年間許可設立之社團法人，財產總額為3,647萬7,246元，其設立目的為「推廣消費者教育，增進消費者地位及保障消費者權益為宗旨」，有其法人登記證書在卷可佐，參以前開設立目的雖未明文規定「保護個人資料」等字，然所定「保障消費者權益」顯可涵蓋其旨，此對照原告捐助章程第6條規定基金運用範圍包含協助並辦理消費者個人資料受侵害之求償訴訟，亦可知悉，況且，觀諸個資法第34條之立法理由，係避免良莠不齊之財團法人或公益社團法人造成濫訟，故設立提起訴訟之基本門檻而已，並非作為嚴格限制提起團體訴訟者之條件，是以，原告自屬符合個資法第32條要件之社團法人無疑，其業經如附表1-A-2、1-B所示共計25名當事人授與訴訟實施權，而提起本件訴訟，應屬合法，故被告公司抗辯原告提起訴訟不符個資法第32條規定，應依民事訴訟法第249條第1項第6款駁回其訴云云，並非可採…因可歸責於債務人之事由，致為不完全給付者，債權人得依關於給付遲延或給付不能之規定行使其權利。又債務人因債務不履行，致債權人之人格權受侵害者，準用第192條至第195條及第197條之規定，負損害賠償責任。民法第227條第1項、第227條之1分別定有明文。另損害賠償之債，以有損害之發生及有責任原因之事實，並二者之間有相當因果關係為其成立要件。惟不完全給付，非有可歸責於債務人之事由，為債務人免責要件，故債務人以不完全給付係因非可歸責於己之事由所致為抗辯，就此仍應由債務人證明之，是以，原告欲主張被告公司有不完全給付之情事，應證明損害之發生及因果關係。原告主張保管保護個人資料屬於契約附隨義務，雖經被告公司否認，然而，契約生效後，債務人除應履行給付義務（包含主給付義務與從給付義務）外，尚有附隨義務，亦即為履行給付義務或保護契約當事人人身或財產上利益，於契約發展過程基於誠信原則而生之義務，換言之，附隨義務包含輔助實現給付利益之義務及保護義務，而如附表1-A-2、附表1-B所示之人委由被告公司代購票券、住宿及自由行旅程時，交易過程中必然須向被告公司提供個人資料，已如前述，是以，被告公司獲得前開個人資訊後，就保管保護個人資料雖非屬契約之給付義務內容，然從維護契約當事人完整利益，避免給付利益以外法益遭受損害之角度而言，應屬附隨義務中之保護義務無疑，故被告公司仍應妥善加以保管保護所獲個人資料，否則即有違反契約附隨義務之可能，故被告公司抗辯此非屬契約義務云云，難認可採。原告雖以被告公司違反契約附隨義務，依不完全給付請求損害賠償云云，揆諸前開說明，自應先舉證如附表1-A-2所示之人所受財產上損害與個人資料外洩間之因果關係，惟被告公司所保有之個人資料外洩與如附表1-A-2所示之人所受損害間並無相當因果關係存在，已如前述，更遑論被告公司所保有之個人資料外洩，乃因第三人惡意入侵其電腦系統不法竊取導致，且迄今警方仍未能查獲特定人士等情…，益徵被告公司對於個人資料外洩一事不可歸責，自難認被告公司應就此負不完全給付之損害賠償責任。綜上，原告主張被告公司應負不完全給付之責，然並未證明相當因果關係，且個人資料外洩乃因第三人侵入被告公司電腦系統竊取所為，亦難認被告公司有可歸責事由，原告前開請求，並非有據。…按因故意或過失，不法侵害他人之權利者，負損害賠償責任。違反保護他人之法律，致生損害於他人者，負賠償責任。但能證明其行為無過失者，不在此限。民法第184條第1項前段、第2項定有明文。又侵權行為之成立，須行為人因故意過失不法侵害他人權利，亦即行為人須具備歸責性、違法性，並不法行為與損害間有相當因果關係，始能成立，且主張侵權行為損害賠償請求權之人，對於侵權行為之成立要件應負舉證責任。是以，原告自應就被告公司有前開侵權行為之要件舉證。然而，被告公司對其所保有個人資料已採行符合個資法規定之安全措施，雖有本件個人資料外洩之事件，卻係第三人入侵電腦作業系統竊取所致，實難認被告公司就此具有故意或過失，況且，如附表1-A-2所示之人所受財產上損害，亦因第三人故意不法行為所造成，尚不能認與被告公司個人資料外洩間有相當因果關係，均如前述；至於原告主張被告公司有違反個資法而有民法第184條第2項規定之適用云云，惟原告並未舉證被告公司有違反個資法之情事，亦已詳述如前，是以，原告主張被告公司應負侵權行為損害賠償之責，並非有理由。（臺灣士林地方法院107年度消字第6號民事判決）。