企業持有的消費者個資外洩，致消費者被詐騙，有賠償責任嗎？

甲在A飯店的網站線上訂房，並輸入其個人資料，而在訂房後幾日，甲就收到自稱是A飯店員工的詐騙電話，騙甲在訂房時不小心設定到分期付款，如果不取消的話，每個月都會自動刷5000元的信用卡消費，甲因而被騙到ATM操作，因此被詐騙損失80000元。

甲雖然報警，但想當然爾，80000元是拿不回來了，那甲可不可以去告A飯店，主張因為A飯店保護個資不周，致個資洩漏害他被詐騙，請求A飯店賠償80000元？

企業經營者應採行適當安全措施，避免個資外洩

個人資料保護法第27條第1項規定：「非公務機關保有個人資料檔案者，應採行適當之安全措施，防止個人資料被竊取、竄改、毀損、滅失或洩漏。」

個人資料保護法第29條第1項規定：「非公務機關違反本法規定，致個人資料遭不法蒐集、處理、利用或其他侵害當事人權利者，負損害賠償責任。但能證明其無故意或過失者，不在此限。」

當企業保有的消費者個資，發生個資外洩事件時，係採「過失推定」原則，意即個資法已先推定企業沒有採取適當安全措施防止個資洩漏，具有過失，而業者需要舉證證明其無故意或過失，才能免責。

企業經營者就外洩個資有過失時，其賠償責任之範圍？

消費者被詐騙的金額，可以求償嗎？

企業雖然就個資保護，未為足夠的安全措施，致消費者被詐騙集團詐騙而有金錢損失，但消費者的財產損失是因詐騙集團成員積極實施詐騙行為所致。

但企業未就個資保護為足夠的安全措施，並不必然會發生消費者被詐騙而有財物損失的結果，所以此種個資保護不周的過失，和消費者被詐騙而有財物損失之間，不具「相當因果關係」，消費者不能跟企業轉而求償被詐騙的損失。（臺灣高等法院112年度上字第656號判決）

消費者就個資被外洩的隱私權、個資自主權，可以求償

個人資料保護法第29條第1項規定：「非公務機關違反本法規定，致個人資料遭不法蒐集、處理、利用或其他侵害當事人權利者，負損害賠償責任。但能證明其無故意或過失者，不在此限。」

個人資料保護法第28條第2項、第3項規定：「被害人雖非財產上之損害，亦得請求賠償相當之金額；其名譽被侵害者，並得請求為回復名譽之適當處分。依前二項情形，如被害人不易或不能證明其實際損害額時，得請求法院依侵害情節，以每人每一事件新臺幣五百元以上二萬元以下計算。」 

雖然消費者不能跟企業求償被詐騙的金錢損失，但企業未為足夠的安全措施致消費者個資外洩，就隱私權、個資自主權的損害，仍須負賠償責任（慰撫金）。若消費者不能證明其損害額，法院可於500元至20000元的範圍內酌定賠償金額。