個資外洩|案例 03|2010 Y 購物網站案
個資外洩|案例 03|2010 Y 購物網站案
——電子商務
20230428(V02);20221010(V01)|池泰毅律師
原告主張:原告在被告 Y 公司經營之購物網站發生個人資料被外洩,網購資料之所以外洩被不法利用,乃是因為被告 Y 公司對於網購資料之安全維護,未盡到善良管理人之注意責任所致,具有抽象輕過失,故對原告所受之損害,須負賠償責任,因而對 Y 公司及詐騙集團成員(刑案有罪確定)起訴求償。
裁判案號
01. 第一審|桃園地院 99 壢小 965(主文:原告之訴駁回)
02. 第二審|桃園地院 100 小上 12 裁定(主文:上訴駁回)
原告證據
03. 原告提出下列證據:
- 刑案勝訴判決(含刑案卷宗)。
桃園地院 99 壢小 965
I 非公務機關
II 個資外洩
04. 按非公務機關保有個人資料檔案者,應指定專人依相關法令辦理安全維護事項,防止個人資料被竊取、竄改、毀損、滅失或洩漏。又非公務機關違反本法規定,致當事人權益受損害者,應負損害賠償責任。但能證明其無故意或過失者,不在此限。電腦處理個人資料保護法 §17、26、28 I 分別定有明文。
|舉證責任
05. 當事人主張有利於己之事實者,就其事實有舉證之責任,民事訴訟法 §277 前項亦有明定,是被告依電腦處理個人資料保護法 §28 I 後段規定,就其無故意或過失乙節,固負舉證之責,惟原告應先就其所主張被告違反電腦處理個人資料保護法規定,致其權益受有損害乙節,負舉證之責。
06. 關於被告 Y 公司,有無洩漏原告個人資料,或對於個資之維護上有無過失之舉證責任分配問題。
07. 原告主張,依民事訴訟法 §277 但書、辦理民事訴訟注意事項第 80 點規定,法院分配舉證責任,除法律另有規定外,認依舉證責任之原則,分配舉證責任顯失公平者,亦得本諸公平正義原則,妥為分配云云,並舉台北地院 95 醫 17 民事判決揭諸見解,「隨著當今科技知識之進步、社會環境之變遷,若僅為維護侵權行為法之過失責任主義而一再堅持此項舉證責任,對於負舉證責任之原告,自有相當之不利,尤其於商品瑕疵損害、醫療事故或公害糾紛等現代社會侵權行為之類型,基於公平原則,自應於訴訟法上緩和侵權行為之舉證責任原則,在訴訟上因舉證不足而遭受敗訴判決之危險,亦不應完全歸由原告承擔。」認為本件被告 Y 公司是國內知名網購公司,具專業資訊科技人員,對網購個資安全維護之實務操作,具相當程度之瞭解與熟悉,基於證據距離、危險控制領域等理論,在網購個外洩事件之舉證上,本屬較為容易之事,而主張被告 Y 公司就網購個資安全維護及外洩,有何不可歸責事由,負舉證責任云云。
"原告舉台北地院 95 醫 17 民事判決——醫療爭議,作為主張應由被告負擔舉證責任的參考依據。在公害事件、醫療事件中,應否轉換舉證責任,由被告舉證證明其無故意過失?是常見爭執重點。"(20230428 Added)
08. 法院認為,原告上開主張,是將兩造爭執之爭點(被告 Y 公司有無洩漏原告個資或過失乙事),誤為不爭執事項(被告 Y 公司有洩漏原告個資),而以此誤解為前提,主張被告 Y 公司必須就網購個資安全維護及外洩,有何不可歸責事由,負舉證責任,顯有倒果為因的邏輯上錯誤,自無可採。
09. 原告主張被告 Y 公司有洩漏原告個人資料,或對於個資之維護上有過失,而被告 Y 公司則辯稱並無洩漏原告個人資料,或無過失,因原告主張之事實為積極事實,自應就該積極事實負舉證責任。
10. 原告雖稱,法院認依舉證責任之原則,分配舉證責任顯失公平者,亦得本諸公平正義原則,妥為分配云云,但是本件被告 Y 公司主張未洩漏原告個資之事實,或無過失之事實,是消極事實,在性質上,縱使窮盡一切的舉證方法,亦難證明被告 Y 公司未洩漏原告個資,或對於個資之維護上無過失為真,是本院認為本件由原告就被告 Y 公司有洩漏原告個資或有過失之事實,負舉證責任,並無顯失公平之情事。
"法院認為,原告仍應就被告公司有無個資外洩乙節,負擔舉證責任;在確定被告發生個資外洩事件後,再就被告有無過失,進行判斷。不過,針對告有無過失,應由原告或被告負擔舉證責任,則是實務的關鍵爭執點,在部分案例中,法院認為應由被告舉證證明其無過失。"(20230428 Added)
11. 原告應就被告 Y 公司有洩漏原告個資,或對於個資之維護上有過失之事實,負舉證責任,惟原告均未提出證據以證明該等事實,僅片面指摘被告之辯詞不足採,如稱被告之答辯事實錯誤、不合法律規定、前後立場不一、理由矛盾、不合經驗法則等等,應為駁回原告之請求。
III 違反個資法規定
IV 致受損害——因果關係
V 損害賠償
桃園地院 100 小上 12 裁定
12. 論述同上。
"(1) 原告主張詐騙集團實施詐騙行為時,所使用之交易紀錄(個人資料),係自被告公司(電子商務)處外洩,對此,負有舉證責任,關鍵在於,如何舉證?這是個資外洩訴訟的前提要件,倘若原告個人資料並非從被告公司處外洩,自無後續討論損害賠償責任之必要。(2) 不過,對於原告來說,證明上述事實,確有一定難度,因為在詐騙集團取得個資前,根本不知道經過幾手?甚者,即使是詐騙集團,也未必知悉手上個資的真實來源。(3) 因此,接下來有部分法院改以 165 專線公告、原告是否報警、警詢時陳述內容等方向,來認定原告個資是否係從被告公司外洩。"
案例整理,謹供參考,個別案件爭議結果,會因為個案主、客觀因素而有不同,讀者進行各項決策前,務必徵詢專業法律意見,以期週全。