20230428(V02);20221010(V01)|池泰毅律師
原告主張:其於 106 年 3 月 24 日加入被告 T 網站購書,嗣於 106 年 5 月 4 日接到詐騙電話,自稱是被告客服人員以幫原告取消訂單為由,要原告提供信用卡上電話,而歹徒提供之資訊與原告購書之發票中的購物日期、贈品為電子書等明細相符,之後,原告接到一通自稱是玉山銀行,以保護帳號安全為由,誘導原告到附近 ATM 及網路銀行匯款及無摺存款,歹徒再匯錢給原告,讓原告提領與使用信用卡去購買 MYCARD 點數,導致原告被詐騙金額達 257,622 元,因而請求非財產上損害賠償 20,000 元,財產上損害賠償 257,622 元,原告並願自行負擔 10% 責任。
裁判案號
01. 第一審|台南地院 106 南簡 1450(主文:被告應給付原告 194,325 元(原告負擔 30%))
02. 第二審|雙方二審和解,原告撤回起訴。
原告證據
03. 原告提出下列證據:
- 警局調查筆錄、報案三聯單、案件紀錄表、受理詐騙案件帳戶通報警示簡便格式表;
- 金融機構聯防機制通報單;
- 交易明細、交易紀錄。
台南地院 106 南簡 1450
I 非公務機關
II 個資外洩
04. 法院並未針對個資是否自被告公司外洩乙節,單獨列項認定,相關討論,請見 09 以下說明。
III 違反個資法規定
05. 被告因原告購書而取得相關活動等個人資料,依法應採行適當之安全措施以防止該個人資料被竊取或洩漏,被告倘未能舉證證明已盡此注意義務,即可認有過失,原告因而個資被竊取或外洩,自得依個資法 §29、28 II 之規定請求被告負財產上或非財產上之損害賠償責任。
06. 被告辯稱已採取針對網路平台使用者主動加強提醒防護、資安措施及政策、監測主機、內部電腦狀況、調整區隔內部網路、核心營運系統網路、DMZ 區、外部網路等、資安管理規則之制定、教育訓練與宣導,目前仍逐步建置並公告等等措施,以保護原告等消費者之交易個資,而無違反個資法之情事。
07. 然查,被告針對其所進行之資安防護加強措施所提出之相關證據,大都係原告遭詐騙「後」始進行之動作,且均無足證明被告於本案原告個資外洩時已依法訂定個人資料檔案安全維護計畫及有為適當之資安防護措施,參以被告自承其平台防火牆之加強,係於 106 年 4 月中始配合廠商完成佈署一情,更證被告明知自 105 年年底已有發生多起個資外洩情事後,仍遲至 106 年 4 月間始為防火牆之實際佈屬,而斯時距離原告購買書籍之 106 年 3 月間已相隔約有 1 個月之時間,此段期間內,難認被告有為適當之資安防護措施,堪認原告主張被告有未依個資法 §27 對原告個人資料採行適當安全措施之過失之一情,可以採信。
IV 致受損害——因果關係
08. 原告依個資法 §29 規定請求被告負損害賠償責任,尚以被告違反個資法之過失行為與損害間具備相當因果關係為要件。
09. 關於本件被告過失行為與原告個資外洩之間具備相當因果關係等歸責要件之舉證,即被告未依法訂立個人資料檔案安全維護計畫及安全稽核機制致駭客入侵竊取原告個資,抑或因而遭被告公司人員外洩等情,惟此等事實因宥於網際網絡科技浩瀚並參雜人為因素之變異而有「高度舉證困難」,責令被害人擔負完全之舉證責任實有不公;而被告既為以此交易營利之企業經營者,原告交付個資後即由其支配掌握,其對於個資被竊取或外洩風險之控制及分擔能力俱優於原告。
"法院跳過原告個資係自被告公司處外洩之事實認定,而就個資外洩之事實經過為何?究係駭客入侵?還是內部人外洩?對原告來說,都具有高度的舉證困難,責令被害人擔負完全之舉證責任實有不公。"
10. 抑有進者,參考航空業者對旅客個資之維護義務,除建立在個人資料隱私權之保護外,亦有防免旅客個資外洩致影響飛航安全等重大風險實現,本院斟酌本件訴訟性質、兩造之舉證能力及被告違反義務之情節及風險分配之合理性,而比照我國實務就公害訴訟降低被害人因果關係舉證責任之見解(最高法院 102 台上 31 民事判決)認被告行為所生之危險已有相當合理確定性,即推定有一般因果關係之存在,被告倘認無一般或個別因果關係存在,自應提出確切之反證證明。
"最高法院 102 台上 31 民事判決:按當事人主張有利於己之事實,就其事實有舉證責任,若一方就其主張之事實已提出相當之證明,他造欲否認其主張者,即不得不提出相當之證明,以盡其證明之責,此為舉證責任分配之原則,更是民事訴訟法第 277 條基於公平原理及誠信原則,適當分配舉證責任而設其抽象規範之具體展現。是以,他方如未提出證明以否定一方所為之證明,自不能認他方主張之起訴原因為真實,並為其有利之認定。"
11. 從而,被告未依法採取訂立個人資料檔案安全維護計畫及稽核機制等防免個資遭竊取或外洩之安全措施,致原告之個資外洩情事,被告過失行為與原告個資外洩之損害間具備相當合理關聯,即推定有一般因果關係存在,被告應提出確切反證始足推翻該因果關係之認定。
12. 本件原告請求乃被告違反個資維護義務致個資外洩之侵權事實,被告迄未就其違反前開法定義務與原告個資外洩間欠缺相當因果關係提出說明或確切反證,自堪認原告主張被告未盡法定維護義務,致其個資外洩而侵害其個人資料隱私權一節為可採,則原告依個資法 §29、28 II 規定,主張前開財產上損害 257,622 元、非財產上損害 20,000 元,於法有據。
V 損害賠償
13. 法院認定被告受有財產上、非財產上損害。
|非財產上損害
14. 本件法院認定被告得請求非財產上損害 20,000 元,但在計算損害賠償金額時,認為原告應負擔 30% 之與有過失責任,詳如後述。
"但是 30% 的比例怎麼來?法院沒有說明;幾件涉及比例分擔的案件,法院都面臨同樣的困難。"(20230428 Added)
|財產上損害
15. 原告係因個人資料外洩,遭第三人詐騙而為前開匯款、轉帳及購買遊戲點數等行為,致受有財產上損害 257,622 元,然衡以現今社會詐騙集團橫行,遭詐騙事件層出不窮,電視新聞、報章媒體多年來均對此類事件多所報導及分析,政府及警政機關亦常製作相關宣導影片,希冀社會大眾提高注意可疑事件,如有疑問請多加利用警政機關之反詐騙專線電話,避免受騙而遭受損害,而原告於本案發生時,為具有相當智識之成年人,對上開社會及生活經驗應甚為理解,理應對此社會常見之詐騙犯罪類型有相當之警覺性,然竟疏未注意,多次聽從歹徒指示以同一方式多次購買遊戲點數與匯款,致受騙而生損害,是認原告就本件損害之發生,亦與有過失。
16. 本院斟酌本件事故發生之一切情狀,認原告應負擔 30% 之過失責任,被告應負擔 70% 之過失責任,始為公允。
17. 據此,本件原告所得請求被告賠償之金額為 194,335 元【計算式:(257,622 元+20,000 元) × 70% ≒ 194,335 元,元以下四捨五入】。
"關於本件判決,仍有下列問題可資討論:(1) 關於被告公司應盡到何種程度之安全維護措施?有無客觀標準可憑。(2) 關於因果關係之認定,特別是在詐騙型的個資外洩事件,被害人(原告)所受財產上損害,實際上是第三人(詐騙集團)所為,如何認定與個資外洩事件之間的因果關係?有無因果關係中斷理論的適用?"
案例整理,謹供參考,個別案件爭議結果,會因為個案主、客觀因素而有不同,讀者進行各項決策前,務必徵詢專業法律意見,以期週全。