個資外洩|案例 09|2017 L 旅行社——第一案
個資外洩|案例 09|2017 L 旅行社——第一案
——電子商務
20230428(V02);20221010(V01)|池泰毅律師
原告主張:其於 106 年 4 月 24 日在被告門市購買出國機票而留存個人資料;嗣於 106 年 6 月 18 日晚間 18 時 30 分許,甫自國外返國,突然接到自稱被告公司員工之電話,陳稱公司內部人員疏失,致伊刷卡遭重複扣款,為此表達抱歉及願意協助處理之意,並表示會聯繫中國信託銀行人員進一步協助處理,以取信原告。同日 20 時許,某自稱中國信託銀行專員打電話給伊,伊受騙而不自知,乃依其指示至銀行 ATM 進行操作,共匯出 459,059 元至數個不明帳戶,嗣驚覺受騙,旋即報警處理。爰依侵權行為法律關係請求被告賠償財產損失 400,000 元(原告未請求非財產上損害)。
裁判案號
01. 第一審|士林地院 106 湖簡 1147(主文:原告之訴駁回)
原告證據
02. 原告提出下列證據:
- 信用卡帳單交易明細;
- 被告發生客戶資料外洩事件之網路新聞擷取畫面;
- 被告手機通話紀錄;
- 原告之中國信託銀行帳戶存摺節本資料、ATM操作存留單;
- 刑事案件報案三聯單。
士林地院 106 湖簡 1147
I 非公務機關
II 個資外洩
03. 原告提出信用卡帳單交易明細、被告發生客戶資料外洩事件之網路新聞擷取畫面、被告所持手機通話紀錄、原告之中國信託銀行帳戶存摺節本資料(其上載有前述各筆之跨行提款、跨行轉帳紀錄)、ATM 操作存留單、警方受理刑事案件報案三聯單為證,且有新北市警察局三重分局、高雄市警察局岡山分局回覆本院關於各該分局受理本件詐欺案件之處理情形函文可參。
04. 是則,原告主張被告因兩造間之消費關係取得系爭消費資訊,及被告公司電腦遭駭,致系爭消費資訊為詐騙集團取得與利用,嗣原告 106 年 6 月 18 日晚間接獲詐騙電話,受騙而為系爭 ATM 操作,受有系爭財產上損失等節,應堪信實。
III 違反個資法規定
05. 系爭消費資訊縱認屬被告之過失而洩漏於外,嗣遭某詐騙集團取得及利用,然 106 年 5 月間發生被告公司之電腦遭駭客入侵,約有 36 萬餘筆客戶資訊遭竊事件,經見載於報紙、網路媒體,則原告自應有所警覺與注意。又詐騙集團利用電話詐騙民眾前往 ATM 操作,此一再為政府、各媒體所宣導,原告應有防騙意識。
06. 況被告公司電腦遭駭後,被告於同年月 23 日、26 日,即曾以簡訊通知原告:「請注意,L 旅遊不會以電話通知您至 ATM 操作,以訂單操作錯誤重複扣款或不合理優惠,於電話中要求您提供信用卡資料或帳戶資訊等,均為詐騙行為。請慎防詐騙,L 旅遊敬上」、「請注意,L 旅遊日前遭境外惡意攻擊造成部分個資外洩,特此提醒:本公司絕不會以電話通知您:1)ATM 操作、2)提供信用卡、銀行帳戶資訊、3)謊稱交易或刷卡錯誤為由。以上形式均屬詐騙,切勿受騙。L 旅遊敬上」,有被告提出該發訊資料可佐。
07. 準此,可認被告已採取適當避免原告因被告公司電腦遭駭客入侵、客戶資料外洩,而可能遭受財產上損害之防護行為。
"被告公司在個資外洩後,以簡訊通知被害人(當事人),是否可認為已盡安全維護措施義務?又,上開通知內容,是否符合個資法 §12、施行細則 §22 規定。"
IV 致受損害|因果關係
08. 按因故意或過失,不法侵害他人之權利者,負損害賠償責任。故意以背於善良風俗之方法,加損害於他人者亦同。違反保護他人之法律,致生損害於他人者,負賠償責任。但能證明其行為無過失者,不在此限。民法第 184 條定有明文。又按,損害賠償之債,以有損害之發生及有責任原因之事實,並二者之間,有相當因果關係為成立要件。故原告所主張損害賠償之債,如不合於此項成立要件者,即難謂有損害賠償請求權存在(最高法院 48 台上 481 判例)。
09. 原告於 106 年 6 月 18 日晚間,接獲詐騙集團打來之詐騙電話,誤信該詐騙伎倆為真,進而為系爭 ATM 操作行為,致受有系爭財產上損害,當屬原告個人疏忽行為所致,難認該損害與被告未善盡對客戶個人資料之保護行為間,確有相當因果關係存在,即難該當上述侵權行為之法定要件。
"法院認為,原告誤信詐騙集團而受有財產上損害,當屬原告個人疏忽行為所致,「難認該損害與被告未善盡對客戶個人資料之保護行為間,確有相當因果關係存在」,被告完全沒有責任,是否合理?"
V 損害賠償
參考條文
個資法 § 12
公務機關或非公務機關違反本法規定,致個人資料被竊取、洩漏、竄改或其他侵害者,應查明後以適當方式通知當事人。
施行細則 §22
I. 本法第十二條所稱適當方式通知,指即時以言詞、書面、電話、簡訊、電子郵件、傳真、電子文件或其他足以使當事人知悉或可得知悉之方式為之。但需費過鉅者,得斟酌技術之可行性及當事人隱私之保護,以網際網路、新聞媒體或其他適當公開方式為之。
II. 依本法第十二條規定通知當事人,其內容應包括個人資料被侵害之事實及已採取之因應措施。
案例整理,謹供參考,個別案件爭議結果,會因為個案主、客觀因素而有不同,讀者進行各項決策前,務必徵詢專業法律意見,以期週全。