所有文章 / 基本人權‧政府 / 個人資料保護 網購平臺管理不當導致個資外洩,被害人有什麼保障? 個人資料 個人資料保護法 個資外洩 民事責任 網購 文:糰子律師(認證法律人) 刊登於 2025-11-21 「您好,請問是某某某先生/小姐嗎?關於您上週在某某網站訂購的商品,因為系統設定錯誤,導致您的訂單變成重複付款,需要您前往 ATM 操作解除……」 有多少人因為這樣的對話,聽從詐騙集團的指示而受騙匯款轉帳?聽著電話那頭的人,不僅知道自己的姓名、電話,更能準確說出消費品項與時間,不禁讓人卸下心防,將這騙局誤以為真而遭受錢財損失。 然而,究其根本,詐騙集團之所以能如此精準地掌握被害人的個資並量身打造劇本,其問題的根源往往就指向被害人使用的網購平臺。當企業的安全疏失導致個資外洩,成為詐騙集團的犯案工具時,消費者因此所受的財物與精神損害,法律上是否能向該企業求償?可以主張的賠償範圍又有多大?本文以下將根據我國個人資料保護法(下稱個資法)以及相關實務進行說明,協助被害人了解如何積極維護自身權利。 一、個資法簡介 個資法的核心精神具有雙重面向:一方面,它為公務機關與企業劃下了法遵的紅線,明確課予其保護個資的「安全維護義務」;另一方面,當損害不幸發生時,它也成為權益受損的被害人最強而有力的後盾,課予違法的業者行政、刑事與民事責任,提供被害人明確的求償管道,以及包括「舉證責任倒置」、「法定損害賠償」等關鍵的法律程序保障。 二、平臺業者違反個資法的賠償責任 (一)業者的安全維護義務 個資法明文規定,所有保有個人資料的業者,都應辦理適當的安全維護事項[1],以防止個資被竊取、竄改、毀損、滅失或洩漏,這也就是業者的「個人資料安全維護義務」。 個資法(舊法)更進一步要求,針對特定產業,中央目的事業主管機關得指定業者訂定「個人資料檔案安全維護計畫」[2],各主管機關已陸續依此授權,推出具體的「個人資料檔案安全維護管理辦法」(下稱安維辦法),從風險評估、內部管理到事故應變,都對業者設下了明確的法遵標準。網購平臺的部分,純電商業者是由數位發展部要求訂定,而兼營網購及實體店面具一定規模的業者,也被經濟部要求訂定安維辦法[3]。並且在2025年修法後的過渡期間,仍將持續適用。 (二)業者未盡義務導致個資外洩,被害人可求償 一旦業者未能善盡安全維護義務而違反個資法,導致網購平臺發生個資外洩,讓被害人的個資遭不法蒐集、處理、利用或其他侵害時,即需負擔民事損害賠償責任[4]。 即使沒有財產損失,被害人也可以針對他的精神痛苦,請求非財產上損害的賠償,也就是「慰撫金」[5]。 三、被害人在民事程序的三大保障 為了保障在資訊不對稱中處於弱勢的被害人,個資法在民事求償方面,另外設有以下幾項對於被害人相當有利的措施: (一)難以舉證被告過失的解決方案:舉證責任倒置 在一般的民事訴訟中,基本原則是「誰主張,誰舉證」[6]。這意味著,提出求償的原告(被害人)必須自己找出證據,來證明被告(業者)確實有過失。然而,在個資外洩事件中,業者內部的資安系統、管理流程對消費者而言完全是未知的黑箱。被害人身為外部人士,幾乎不可能取得證據來證明業者究竟是否確實有過失才導致個資外洩。 為了解決這種「求證無門」的困境,個資法特別導入了對被害人有利的「舉證責任倒置」規定[7]。這項規定將舉證的責任反轉,改由業者自己證明並無故意或過失,才能免除賠償責任。換句話說,法律先推定業者有過失,除非業者能提出反證,藉此大幅減低被害人的舉證負擔[8]。 (二)難以舉證損害金額的解決方案:法定損害賠償 想要向業者求償,還必須說明為什麼要求對方賠這個金額。但對被害人而言,要具體證明接到幾通詐騙電話或是個資外洩造成的困擾造成了多少「實際金錢損失」或是「精神上痛苦」未必是件容易的事[9]。 為此,個資法規定如果被害人不易或不能證明實際損害額時,得請求法院依個資被侵害的情況,以每人每一事件新臺幣(下同)500元以上、2萬元以下的金額計算賠償[10]。這項「法定損害賠償」機制,讓被害人在難以量化損失的情況下,仍能獲得實質的賠償,且實務上也不乏要求業者賠到2萬元上限的案例[11]。 (三)團結力量大:團體訴訟 若個資外洩事件的被害人眾多,只要有20名以上被害人書面同意,就可以依個資法第34條[12],委由符合資格的財團法人或公益社團法人(例如消費者保護團體)提起團體訴訟,集體向業者求償[13]。面對數萬筆會員資料外洩的重大事件,團體訴訟所累積的總賠償金額,勢必將形成一股強大的壓力,也能促進業者正視個資外洩的風險。個資法另有規定,對於同一原因事實造成多數當事人權利損害的賠償,合計最高總額以2億元為限,不過若所涉利益超過2億元,則以該利益為限[14],因此大規模求償事件的被害人也要注意有賠償總金額上限的限制。 四、求償要注意時效 被害人應特別注意,損害賠償請求權是有時效性的。根據個資法規定[15],必須在發現損害(即個資被外洩)及賠償義務人(即外洩的平臺或賣場)時起2年內請求賠償,否則請求權會消滅。即便被害人一直沒發現,損害自發生起超過5年的話,請求權也同樣會消滅。因此,一旦察覺個資可能外洩,應儘速採取法律行動,以免錯失求償的黃金時間。 五、結論 在數位經濟中,消費者的個人資料是極具價值的資產,對詐騙集團而言更是如此。電商平臺的個資外洩事件頻傳,後果不僅是垃圾郵件或騷擾電話滋擾消費者,更是讓詐騙集團可依此「精準詐騙」的完美溫床。 然而,法律並沒有讓被害人孤立無援。若因網購平臺管理不當導致個資外洩,被害人可以依據個資法向業者請求損害賠償。而且為強化被害人權益,個資法特別設計了舉證責任倒置、法定損害賠償及團體訴訟等機制。 當面臨個資外洩事件時,請務必冷靜保存所有相關證據(如詐騙對話、金流紀錄),善用個資法所賦予的權利,勇於透過法律途徑維護自身應有的權益。 延伸閱讀 糰子律師(2025),《網購平臺個資外洩害我被詐騙,被騙的錢可以向平臺求償嗎?》。 王琮儀(2024),《【詐欺專題】告別「詐騙之島」,我們還需要什麼?專欄/《詐騙手法篇》:詐欺的一百種面貌──認識那些多變的詐欺手法》。