所有文章 / 基本人權‧政府 / 個人資料保護 網購平臺個資外洩害我被詐騙,被騙的錢可以向平臺求償嗎? 個人資料 個人資料保護法 個資外洩 民事責任 詐騙 文:糰子律師(認證法律人) 刊登於 2025-11-21 「您好,請問是某某某先生/小姐嗎?關於您上週在某某網站的訂單,我們在核對資料時發現,因為系統操作錯誤,誤將您升級為我們的高級VIP會員,這個會員資格會從您的帳戶中,自動按月扣款8000元,需要麻煩您前往ATM操作,依照我們的指示來取消這個升級設定……」 有聽過這段話嗎?聽著電話那頭的人,侃侃而談報上自己在網路賣場的會員資料等個資,逐漸放下心防而聽從他的指示操作ATM,直到帳戶異常才發現這是騙局,卻早已來不及。 為什麼詐騙集團能如此精準地掌握被害人的會員資料或購物紀錄等個資?是不是網購平臺洩露了我的個資?當個資外洩害使用者被詐騙,被騙取的錢是否能夠向平臺求償?這在沒辦法成功抓到詐騙集團成員或順利向他們追索的情境下,特別重要。 這答案並非簡單的是非題,涉及複雜的個案事實以及法院不同的實務見解。簡單來說,由於平臺不是實施詐騙的犯人,所以被害人需要突破以下三道關卡,依序成功說服法院,才能另外向平臺求償,維護自身權利。 一、第一關:是否能證明個資外洩源自該業者? 被害人在第一道關卡必須證明被害人自己的個資,確實是從「該名業者」處外洩的,若無法通過此關,後續的法律責任都將無從談起。 對此,被害人需要盡可能蒐集間接證據,例如:提供與詐騙集團的對話紀錄,證明對方掌握了只有在這個平臺才能得知的精確交易細節;或有證據證明在相近時間內,同一平臺有多名用戶都接到了相同話術的詐騙電話等,讓法官相信該業者有外洩個資的高度可能性。 如果被害人無法提出足夠的證據,或是業者成功抗辯個資外洩的管道眾多,不能排除是從其他環節(例如:物流公司、軟體供應商、甚至是被害人自己的電腦被盜用)所流出[1],則案件將在第一關止步,而無法從業者處獲償。 二、第二關:業者是否已盡安全維護義務? 第二道關卡中法院會進一步審查業者是否有「過失」。在個資外洩案件中,指的是要判斷業者對於這次的個資外洩,是否違反了個人資料保護法(下稱個資法)下的「安全維護義務」,是否有採行適當的安全措施以防止個資外洩。 (一)業者的安全維護義務 個資法明文規定,所有保有個人資料的業者,都應辦理適當的安全維護事項[2]。針對特定產業(如網購平臺可能分別屬於數位經濟產業或零售業[3]),各主管機關更已訂定具體的「個人資料檔案安全維護管理辦法」,從風險評估、內部管理到事故應變,都對業者設下了明確的法遵標準[4]。 (二)被害人在訴訟中的優勢:舉證責任倒置 在一般的民事訴訟中,被害人必須自己找出證據,來證明業者有過失。然而,考量到業者內部的資安系統對消費者而言完全是未知的黑箱,個資法特別導入了對被害人有利的「舉證責任倒置」規定[5]。這項規定將舉證的責任反轉,改由業者自己證明並無故意或過失,才能免除賠償責任,這點對被害人相對有利[6]。 然而,儘管個資外洩的事實相對明確,且有舉證責任倒置的優勢,但若業者能提出證據,證明他已經投入大量資源、採行了當時水準下合理的各項資安防護措施(例如:通過國際資安認證、備有妥善個資保護辦法且落實、定期進行弱點掃描等),法院仍可能認定業者已盡善良管理人的注意義務,沒有過失。一旦法院認定業者已盡安全維護義務,被害人的請求便會在第二關被駁回,同樣是敗訴無法從業者處獲償[7]。 三、第三關:個資外洩與被詐騙間是否有「相當因果關係」? 最後一關則須證明業者的「過失」(個資外洩)與被害人的「損害結果」(被詐騙的財產損失或是精神痛苦)之間存在著「相當因果關係」。 目前法院對此的認定標準寬嚴不一,在實務上形成了兩種見解,成為決定平臺業者是否須賠償以及賠償範圍的關鍵。 (一)一般多數見解:因果關係已中斷,平臺不用賠被詐騙的錢,但可能需要賠精神慰撫金 此派見解的核心論點是,業者的過失(個資外洩)與被害人的財產損失之間,其因果關係被後續詐騙集團的積極詐騙行為所「中斷」,所以事實上詐騙集團的「積極詐騙行為」[8]或是被害人自己的「疏忽行為」,才是造成損害的直接原因[9]。因此,財產損失是詐騙集團或被害人自身行為所直接導致,業者的個資外洩不必然會發生受詐騙的結果,故兩者間不具有相當因果關係,被害人向平臺求償「被詐騙金額」的請求會被駁回。 儘管被詐騙的金額無法向平臺求償,但如果法院認定是平臺業者的過失造成被害人個資外洩,「個資外洩」本身已侵害了被害人的隱私權,而使被害人受有精神痛苦,因此業者仍應就這部分的「非財產上損害」賠償精神慰撫金[10]。 (二)少數寬鬆見解:採認因果關係,平臺要賠,但適用過失相抵不會賠全額 另一派見解則認為,此類詐騙之所以能成功,正是因為詐騙集團掌握了業者外洩的精確交易資料才能取信於被害人。因此,業者的過失(個資外洩)與被害人的被詐騙的損害,兩者之間有相當因果關係[11]。 然而即使肯認了因果關係,法院也不一定會要業者賠償全額,而會同時考量被害人自身亦有注意、查證的義務,因此會依據民法「過失相抵」的原則[12],讓業者與被害人依比例分擔損失,實務上法院認定業者約需負擔20%至70%不等的責任[13]。 四、結論:向業者求償的現實與策略 綜合觀察目前的司法實務現實,對於因個資外洩而被詐騙的被害人而言,要向業者求償「全額」的詐騙損失相對困難。多數法院傾向於否定兩者間的因果關係,頂多可能僅就隱私權受損的部分給予精神賠償。 然而,這不代表法律途徑是徒勞的。透過訴訟,被害人仍有機會爭取以下權利: 爭取適用有利見解:個案事實細節以及法院本身所持見解固然充滿不確定性,但被害人或許仍可以透過積極主張業者的過失重大程度(例如外洩事件後未及時通知消費者)、舉證個案中自身過失程度極低、援引前述成功判決等方式,藉以說服法院而爭取部分財損的賠償。 獲得慰撫金:即使無法成功求償財損,依法請求非財產上損害的慰撫金,仍是被害人應有的權利。 形成集體壓力促成和解:透過團體訴訟,即使個案金額不高,也能形成對企業的巨大壓力,迫使網購平臺正視資安問題,促進和解進行。 當面臨個資外洩後的詐騙事件時,被害人宜冷靜評估,在保存證據後,選擇最有利的法律策略,為自己討回公道。 延伸閱讀 糰子律師(2025),《網購平臺管理不當導致個資外洩,被害人有什麼保障?》。 王琮儀(2024),《【詐欺專題】告別「詐騙之島」,我們還需要什麼?專欄/《被害支持篇》:隧道盡頭的微光──詐欺被害人的處境與對策》。