個資外洩|案例 11|2018 E 訂票網站
個資外洩|案例 11|2018 E 訂票網站
——電子商務
20230429(V02);20221011(V01)|池泰毅律師
原告主張:於 106 年 4 月 11 日,使用手機上網登入被告公司所營運的 E 訂票網站平台,購買 2 張電影票;嗣於 106 年 4 月 28 日下午 5 時 30 分許,即遭詐騙集團誑稱 E 網站的會計部門人員詐騙,原告不疑有他,陷入錯誤,導致上當受騙,先後遭詐騙共計 257,892 元,爰請求被告公司給付非財產上損害賠償 20,000 元,財產上損害賠償 257,892 元,及精神慰撫金 50,000 元。
裁判案號
01. 第一審|士林地院 107 士簡 438(主文:被告應給付原告 20,000 元)
02. 第二審|士林地院 107 簡上 225(主文:上訴人公司應再給付 163,274 元)
原告證據
03. 原告提出下列證據:
- 信用卡帳單;
- 匯款記錄;
- 報案三聯單。
士林地院 107 士簡 438
I 非公務機關
II 個資外洩
04. 觀諸原告受騙之經過,乃因詐騙集團成員於 106 年 4 月 28 日假冒 E 網站人員而取信原告所致,衡情原告於知悉受騙後立即報案,應無自行虛構情節誣攀被告之必要,其於警詢所述之受騙經過,應可採信。
05. 從而,原告上開個人資料為被告以外之人知悉並用以向原告詐騙,已可認定。
"第一審法院以原告在受騙後立即報案,應無自行虛構情節誣攀被告之必要,而認為原告主張個資外洩之事實為可信。"
III 違反個資法規定
06. 被告抗辯:對於 E 訂票網站系統已提供適當之安全維護,被告客觀上並無違法,主觀上自無故意或過失,原告不能僅以蒐集個資機關有個資外洩情事,即認被告有安全維護不週的違法,蓋個資法 §27僅要求採行適當之安全措施,而非一律採取最高等級之安全防護,不得僅因有個資外洩即謂必有安全維護不周之違法之處。
07. 第一審法院認為:被告就原告之個人資料於蒐集、處理後未採行適當之安全措施以防止個人資料被竊取或洩漏,否則,詐騙集團成員不致可掌握原告上開個人資料,依上開說明,被告推定為有故意、過失,自應就其行為依個人資料保護法之規定負損害賠償責任。
"法院認為,消費者個人資料外洩,被告即推定有故意、過失;此時,應轉向討論被告是否已盡採取適當安全維護措施之義務,以反證推翻故意、過失之認定。"
08. 被告雖謂其已盡適當之安全維護云云,惟查,參諸原告所提出之 165 反詐騙專線統計資料、刑事警察局統計資料等資料,可知 E 訂票網站於 105、106 年間已有個資外洩遭詐騙集團成員利用之情事,且受害件數非少,個資外洩並非偶發事件,被告雖謂其已盡適當之安全維護,顯難令人信服。
"關於被告所提已採取適當安全維護措施的抗辯,第二審逐項進行審查,較為明確,請參考 17 以下之說明。"
IV 致受損害——因果關係
V 損害賠償
09. 原告請求被告公司給付非財產上損害賠償 20,000 元,財產上損害賠償 257,892 元,及精神慰撫金 50,000 元。
|非財產上損害
10. 原告請求非財產上損害賠償 20,000 元,符合個資法 §29 規定,尚屬妥適,並應優先民法 §184、195 適用。
11. 至於原告請求精神慰撫金 50,000 元,則屬重複請求,尚難准許。
"民法所稱「慰撫金」,即係非財產上損害賠償,法院既已依個資法判准賠償非財產上損害,原告自不得再請求給付精神慰撫金。"
|財產上損害
12. 至於原告請求財產上損害賠償,則無理由。
13. 因為原告雖因其個人資料外洩而受有損害,然此之損害與受詐騙之損害,其行為人及原因各別,依卷內事證以觀,亦未見被告有何具體參與或幫助詐騙集團行騙之事實,原告尚不得僅因個人資料外洩之故,即令被告共負詐欺侵權行為之責。是原告此部分主張被告應連帶賠償受詐騙之 257,892 元,自無可採。
"第一審法院從被告公司並未參與詐騙行為的觀點,判決原告請求財產損害無理由。"
"第二審就財產上損害賠償部分改判。"(20230429 Added)
士林地院 107 簡上 225
I 非公務機關
II 個資外洩
"針對個資外洩的認定方式,相較第一審判決,第二審有較為詳細的說明,認為應運用經驗法則,依已明瞭之間接事實(民眾通報高風險平台)來推定事實真偽(個人資料係自上訴人公司外洩)。"
14. 按應證之事實雖無直接證據足資證明,但可應用經驗法則,依已明瞭之間接事實,推定其真偽。是以證明應證事實之證據資料,並不以可直接單獨證明之直接證據為限,凡先綜合其他情狀,證明某事實,再由某事實為推理的證明應證事實,而該間接事實與應證事實之間,依經驗法則及論理法則已足推認其有因果關係存在者,自非以直接證明應證事實為必要(最高法院 98 台上 2035)。
15. 經刑事警察局統計,系爭 E 網站平台自 106 年 4 月 17 日起至同年月 23 日止、自同年月 24 日起至同年月 30 日止,經民眾通報高風險平台(自稱網路賣場客服或銀行來電,要求前往操作 ATM 解除分期付款設定)之件數分別為 30 件、26 件,可知被上訴人(即被害人)於同年月 11 日透過系爭網站平台訂購電影票後,至其於同年月 28 日遭詐騙期間,經民眾通報系爭網站平台為高風險平台,亦即使用系爭網站平台之民眾接獲自稱網路賣場或銀行來電,要求前往操作 ATM 解除分期付款設定之案件累計高達 50 餘件,足徵上開報案民眾個人資料來源之「共通性」即為使用系爭網站平台,且遭詐騙集團接洽之手段相似、時間密接。
"提出 165 專線的相關數據,可以建立「報案民眾個人資料來源之『共通性』即為使用系爭網站平台,且遭詐騙集團接洽之手段相似、時間密接」的主張。"(20230429 Added)
16. 互核系爭交易所涉交易內容、付款方式、個人資料僅有上訴人公司完整掌有,竟遭詐騙行為人取得因此施行詐術,且相近期間,上訴人公司客戶遭受同樣詐騙之情事高達數十件,依通常經驗及論理法則,被上訴人因與上訴人公司為系爭交易所提供包含個人資料在內之資訊,係自上訴人公司外洩,足堪認定。
III 違反個資法規定
"第二審針對上訴人公司(即被告公司)提出之各項安全維護措施,逐一進行審酌。"
|適當安全措施
17. 上訴人公司提出下列證據,證明已盡適當之安全維護措施(資安義務):
18. 鑑識公司在事後(106 年 6 月 9 日)出具資安事件快篩分析報告。
19. 快篩分析結論記載:於 106 年 4 月 21 日(警局告知資料外洩隔日)至上訴人公司蒐集並針對其所提供與本案相關之設備共計 33 台終端主機及 1 片伺服器 log 檔彙整光碟進行快篩分析。使用專業鑑識工具 eDetector 及 EnCase 蒐證暨分析目標主機。發現:
- Amazon 伺服器主機 log 記錄不連續;
- 內部部分電腦具有可疑行為;
- 機敏資料被上傳至雲端。
20. 快篩分析建議:建議伺服器端 log 預設保存期限應該加長,且應準備異地備份,避免遭刪除;
- 針對 SQL 直接語法 QUERY 資料庫此方式應避免使用及做好防護機制;
- SSH 登入權限應限縮並稽核,且避免使用單一組萬用帳號及密碼且可取得最高權限;
- 公司內部應做好避免讓內部人員有機會將機敏資料上傳至雲端之措施,以降低資料外流之風險;
- 定期資安偵測及防護建議加強施作,以即時發現任何異常之目標電腦及惡意程式檔案;
- 應避免讓員工攜帶含有公司機密之個人電腦回家,徒增資安風險(例如:外部網路安全性未知、內部人員直接外流資料)
21. 參諸上述快篩分析建議,法院認為系爭網路平台之內部及外部風險控制存有諸多缺陷,更徵上訴人公司並未完全落實其個人資料保護之管理作業、電腦網路使用規範,包括:(1) 個人資料檔案應與加密且定期備份,並防止個人資料被竊取、竄改、毀損、滅失或洩漏;(2) 個人資料輸入、輸出、存取、更新、更正或註銷等處理行為,宜釐定使用範圍及調閱或存取權限;(3) 存放個人資料之資訊設備應安裝防毒軟體,除至少每日更新病毒碼外,並應每週執行完整掃描;(4) 儲存個人資料檔案之磁碟、磁帶,及紙本等相關儲存媒體,應設置專人管理,並置於實體保護之環境,必要時應建立備援機制,以防止資料損壞、遺失或遭竊取。相關儲存媒體非經權責單位同意,不得任意攜出或拷貝複製;(5) 機密性敏感性檔案資料應進行實體隔離(與外部網路隔絕)等,違反應盡之資安義務。
IV 致受損害——因果關係
|相當因果關係
22. 按損害賠償之債,以有損害之發生及有責任原因之事實,並二者之間,有相當因果關係為成立要件。又所謂相當因果關係,係指依經驗法則,綜合行為當時所存在之一切事實,為客觀之事後審查,認為在一般情形下,有此環境、有此行為之同一條件,均可發生同一之結果者,則該條件即為發生結果之相當條件,行為與結果即有相當之因果關係;反之,若在一般情形上,有此同一條件存在,而依客觀之審查,認為不必皆發生此結果者,則該條件與結果並不相當,不過為偶然之事實而已,其行為與結果間即無相當因果關係,不能僅以行為人就其行為有故意過失,即認該行為與損害間有相當因果關係(最高法院 87 台上 154、98 台上 673)。
23. 換言之,相當因果關係之認定,應以行為人之行為所造成之客觀存在事實為觀察之基礎,倘就該客觀存在之事實,依吾人智識經驗判斷,通常均有發生同樣損害結果之可能者,始得謂行為人之行為與被害人所受損害間,具有相當因果關係(最高法院 99 台上 1349)。
24. 查上訴人公司確有洩漏其保有被上訴人張OO之個人資料,而張OO於 106 年 4 月 28 日,因接獲詐騙集團成員致電謊稱其為系爭 E 網站平台人員,就系爭交易因系爭網站會計人員疏失,導致連續扣款,須依指示操作自動櫃員機解除上開錯誤設定,致陷於錯誤,共計匯款 257,892 元至該詐欺集團成員指示之金融帳戶,可見若非詐騙集團取得被上訴人留存於系爭 E 網站平台之個人資料,並使用該等明確、特定之個人資料以取信於被上訴人,其應不致於陷於錯誤而遭詐騙,堪認上訴人公司前揭未盡適當安全維護措施,致洩漏被上訴人個人資料之行為,與其遭詐騙受有 257,892 元損害間有相當因果關係,被上訴人自得請求該部分財產上損害之賠償。
"第二審法院認為上訴人公司個資外洩、詐騙集團用以實施詐騙、被上訴人陷於錯誤而遭受詐騙之間因果關係之認定,有無討論空間?其中,法院提到「若非詐騙集團取得被上訴人留存於系爭 E 網站平台之個人資料,並(詐騙集團)使用明確、特定之個人資料以取信於被上訴人」,應為關鍵。"
V 損害賠償
|非財產上損害
25. 本院審酌上訴人公司為實收資本額高達 11 億 5,536 萬 4,120 元之股票上市公司,藉由系爭網路平台留存消費者個人資訊以獲取利益,卻未就消費者之個人資料善盡適當安全維護措施,致洩漏被上訴人個人資料而為詐騙集團不法取得使用,侵害其資訊自主權、隱私權,暨被上訴人為專科畢業,從事營造業,家庭經濟小康、及上訴人公司侵害之情節等一切情狀,認被上訴人請求上訴人公司賠償非財產上損害 20,000 元,尚屬相當。
|財產上損害
26. 被上訴人係因個人資料,遭詐騙集團詐騙而為前開匯款行為,致受有前開財產上損害,固如前述,然衡以現今社會詐騙集團橫行,遭詐騙事件層出不窮,電視新聞、報章媒體多年來均對此類事件多所報導及分析,政府及警政機關亦常製作相關宣導影片,希冀社會大眾提高注意可疑事件,如有疑問請多加利用警政機關之反詐騙專線電話,避免受騙而遭受損害,而被上訴人為專科畢業、從事營造業,為具有相當智識之成年人,對上開社會及生活經驗應甚為理解,且詐騙行為人所用詐欺手法並非罕見,理應對此社會常見之詐騙犯罪類型有相當之警覺性,然竟疏未注意,多次聽從歹徒指示以多次匯款致受騙而生損害,是應認其就本件損害之發生,亦與有過失。
27. 本院斟酌上開事件發生之一切情狀,認被上訴人應負擔 30% 之過失責任,上訴人公司應負擔70% 之過失責任,始為公允。
案例整理,謹供參考,個別案件爭議結果,會因為個案主、客觀因素而有不同,讀者進行各項決策前,務必徵詢專業法律意見,以期週全。