20230429(V02);20221011(V01)|池泰毅律師
原告主張:於 106 年 12 月 29 日在被告經營之 T 網站購書;嗣於 107 年 3 月 8 日晚間 7 時 4 分許接獲假冒被告名義之詐騙集團成員撥打至原告之行動電話,原告雖有警覺此乃詐騙電話而未致受騙發生金錢損失,然被告疏於資訊安全防護,造成系爭交易相關個資外洩,且原告與家人在外用餐期間接獲系爭詐騙電話,不僅家庭生活受到干擾,甚至於電話中遭詐騙集團成員以髒話辱罵,原告因此深感不快,爰起訴請求被告賠償非財產上損害 20,000 元。
裁判案號
01. 第一審|台北地院 107 北小 4018(主文:被告應給付原告20,000元)
原告證據
02. 原告提出下列證據:
- 交易訂單紀錄截圖;
- 行動電話錄音及通話紀錄;
- 詐騙電話錄音譯文;
- 交易消費明細及統一發票;
- 用戶受信通信紀錄報表。
台北地院 107 北小 4018
"本件特殊處有二:(1) 原告雖然接到詐騙集團電話,但並未上當受騙,只是因為與詐騙集團發生爭吵,遭到辱罵而心生不快,受有非財產上損失,法院認為,原告請求非財產上損害賠償為有理由;(2) 被告公司因為發生多次個資外洩事故,遭刑事警察局 165 反詐騙宣導公布為高風險賣場(平臺),經多次行政檢查,因遲遲無法改善而受罰,法院將此列入被告公司違反個資法之考量。"
I 非公務機關
II 個資外洩
03. 本件並未針對原告個資是否外洩,另行判斷。
III 違反個資法規定
04. 被告因原告使用系爭平台進行交易而取得原告之姓名、電話號碼、購買書籍名稱及消費金額等與系爭交易相關之個人資料,依個資法 §27 I 規定,應採行適當之安全措施以防止該等個人資料被竊取或洩漏,被告倘未能舉證證明已盡此注意義務,即可認有過失,原告因此就系爭交易相關之個人資料被竊取或外洩,自得依上開個資法 §29 之規定請求被告為財產上或非財產上之損害賠償。
05. 雖被告以其資訊主管人員均具有完整學經歷,自營運以來亦有審慎防護交易及消費者個人資料,且有加強防護機制,認為其就原告於系爭交易相關之個人資料外洩乙事並無過失云云,並提出資訊主管人員名冊、資安安全措施佈署資料、經濟部行政檢查執行項目回報簡報等件為憑。
06. 惟資訊主管人員應具備資訊工程相關之學經歷乃事理之常,若無相應之資訊安全維護設備及適當之保護措施,仍無法確保被告經營系爭平台所保有之個人資料檔案無洩漏之虞,故以資訊主管人員之學經歷乙節,尚難遽認被告就系爭平台之資訊安全維護並無過失。
07. 復觀之被告所提資安安全措施佈署資料、經濟部行政檢查執行項目回報簡報,其內容多為政策性宣導,縱有提及具體措施,亦無從由前揭資料內容判斷該等措施足以維護被告經營系爭平台所保有之個人資料檔案不至遭他人不法取得而屬適當之資訊安全維護機制,況被告於 106 年 2 月至 107 年 8 月間屢經刑事警察局 165 反詐騙宣導公布為高風險賣場(平臺),且被告因屢次涉嫌違反個資法,經內政部警政署移送經濟部處理,經濟部召開 4 次檢查會議,命被告限期改正未果,多次要求被告訂定風險管理制度及個資盤點程序等安全控制措施,惟被告仍未落實執行,經濟部爰依個資法規定分別於 107 年 1 月裁罰被告及其代表人各 4 萬元、同年 5 月裁罰被告及其代表人各 6 萬元、同年 10 月裁罰被告及其代表人各 10 萬元,益徵被告提出之上開資安安全措施佈署資料、經濟部行政檢查執行項目回報簡報所載資訊安全防護措施顯然不足以保護於系爭平台進行交易之消費者之個人資料。
08. 是以被告所舉事證,難認被告就原告於系爭平台進行系爭交易所留存之相關個人資料已盡相當之審慎防護,故被告自有未依個資法 §27 I 規定對原告個人資料採行適當安全措施之過失無訛,則原告依個資法 §29 I 之規定,請求被告負損害賠償之責,即屬有據。
IV 致受損害——因果關係
V 損害賠償
|非財產上損害
09. 依個資法 §29 II 準用同法 §28 II、III 之規定,原告雖未因接獲系爭詐騙電話而受有具體金錢損失,然其就系爭交易之個人資料外洩遭詐騙集團不法蒐集、使用,除隱私權受侵害外,亦無端接獲系爭詐騙電話騷擾並遭詐騙集團成員辱罵,其精神上自受有相當程度之痛苦,受有非財產上之損害,而被告利用系爭平台與消費者進行交易,除節省經營店舖之人事管銷成本外,因電子交易方式較為便捷,不受時、空限制,亦容易促成交易而提高營業額,被告從中獲有利益,卻未就系爭平台所留存之相關消費者個人資料盡其審慎防護之責,致原告於系爭交易所留存之個人資料外洩而受有前述非財產上之損害,是本院衡酌原告受侵害情節,認原告請求被告給付損害賠償金 20,000 元,核屬適當,應予准許。
案例整理,謹供參考,個別案件爭議結果,會因為個案主、客觀因素而有不同,讀者進行各項決策前,務必徵詢專業法律意見,以期週全。