個資外洩|案例 16|2018 TOEIC 案
個資外洩|案例 16|2018 TOEIC 案
——電子商務
20230429(V02);20221011(V01)|池泰毅律師
原告主張:其於 105 年 4 月 25 日使用電腦上網登入被告公司網站,報名 105 年 6月 26 日舉辦之多益英語測驗場次,並依網站規定留下個人資料;詎料於 105 年 7 月 4 日即遭詐騙,先與原告核對姓名、電話、身分證字號、報名場次紀錄及報名費付費方式均正確無訛後,又由另名自稱第一銀行專員之人誆稱出現重複扣款情事,因對方清楚說明所有報考訊息,致原告不疑有他,遂依指示操作 ATM 陸續匯出 143,062 元,另購買遊戲點數損失 10,000 元,共計損失金額為 153,062 元,事後始驚覺受騙並報警處理,爰請求非財產上損害賠償 20,000 元。
裁判案號
01. 第一審|台北地院 107 北小 266(主文:被告應給付原告 20,000 元)
02. 第二審|台北地院 107 小上 160(主文:上訴駁回。)
原告證據
03. 原告提出下列證據:
- 信用卡帳單、網路報名訂單確認信、測驗服務費發票;
- 金融機構自動櫃員機交易明細表、購買遊戲點數發票;
- 報警紀錄。
台北地院 107 北小 266
I 非公務機關
II 個資外洩
04. 本件原告提出信用卡帳單、網路報名訂單確認信、測驗服務費發票、金融機構自動櫃員機交易明細表、購買遊戲點數發票、報警紀錄,並於事發翌日隨即報警,又無誣告動機,堪信上述事實並非虛構。
05. 況且 165 反詐騙專線於 105 年 5 月 23 日至 29 日間統計受理假冒被告客服人員核對考生資料後遂行詐騙之案件高達 47 件,有原告提出之 165 反詐騙宣導臉書粉絲專頁列印畫面、北市警局刑警大隊網站公告訊息等資料可佐;被告復自承自 105 年 5 月起即陸續接獲 1,699 名考生反應有冒用被告名義之詐騙事件,並於 105 年 5 月底委由數聯資安公司重新檢視網站安全性等情,益徵原告主張之上開受騙經過,應可採信。
"本件法院應用經驗法則,依已明瞭之間接事實(165 反詐騙專線統計資料)推定事實(個人資料係自被告公司外洩)真偽。"
06. 被告雖提出數聯資安出具之檢測及緊急應變服務報告書,抗辯其於 105 年 5 月 30 日委由數聯資安公司檢測網站安全性,結果均未發現有任何可疑之惡意程式,或有遭人侵入成功撈取資料之紀錄,可見本件個資洩漏與被告無關,合理懷疑為處理多益測驗之金融機構、郵務機關甚或係原告所使用之電腦端所洩漏之機率較高云云。
07. 惟查,依全部被害人報案紀錄所示,被害考生均一致指稱詐騙集團成員係以重複報考多益測驗為由使其等誤信受騙,其中更有部分考生指出詐騙集團成員除持有被害人之姓名、身分證字號、電話號碼等基本資料外,亦知悉正確之報考序號及考試日期等情,而由被告自行提出之銀行刷卡網頁及原告提出之信用卡帳單上所載之資訊以觀,可知能同時掌握以上所有資訊之人僅有被告公司,應無可能係由付款銀行端洩漏前揭各項考試相關資訊,否則亦無法合理解釋為何考生各自使用不同家金融機構之信用卡,卻巧合地於同一時間均發生個資外洩之情形。
08. 倘若係因考生個人電腦端個資被盜,則詐騙集團成員所掌握之訊息應不只考生報名多益繳交報名費ㄧ項,詐騙集團成員何須費心挑選眾多個資遭竊者中有報名多益者作為其詐騙對象,此顯不合常情,故被告此ㄧ抗辯亦無可取。
09. 綜觀以上事證,並依經驗法則推斷,應以被告所持有之個資外洩為最可能之結果。
III 違反本法規定
10. 被告應證明已盡資安義務,但未證明。
11. 依個資法 §29 I 規定,被告推定為有故意、過失,應就其行為負損害賠償責任;被告如主張免責,即須就其已善盡注意採行適當安全措施,而無故意或過失一事負舉證責任。
12. 被告固辯稱其於 105 年 5 月事件發生前即已採取防火牆、電子加密系統、封包加密處理及員工個人電腦防毒軟體等安全保護措施,亦制訂有電腦使用管理辦法及舉辦資訊安全教育訓練云云,然查前述系統安全防護措施均係基本配備,以被告公司營運規模之大,蒐集處理之個人資料數量之多,實不能僅以安裝前揭措施即謂符合安全標準。
"法院在此認定重點有二:(1) 認為被告公司所採取之資訊安全防護措施,均僅係基本配備,顯然對於資訊安全防護措施的認知,已有依防護程度,區分基本措施、進階措施的認識;(2) 針對被告公司應採取何種等級的資訊安全防護措施,則納入比例原則的考量,以被告公司營運規模判斷,應採取較為嚴謹的防護措施。不過,本判決並未進一步列出具體的判斷標準,以及資訊安全防護措施的分類,仍屬可惜。"
13. 至於被告稱其裝設之主動入侵防禦系統為當時業界評價極優秀之系統云云,除未舉證以佐其說外,縱使為真,依前揭規範意旨,資訊系統防護亦僅為資安防護工作之一環而已,本院曾曉諭被告應提出事件發生前該公司之完整資安計畫,然被告迄未提出相關資料說明該公司就電腦使用紀錄、軌跡資料係如何保存、有無對資訊系統及電腦設備進行定期安全稽核、或對經手客戶資訊之員工建置完善之稽查制度等,顯難認為被告已證明其就所取得之客戶個資善盡防護工作,以避免遭不法蒐集、處理或利用。從而,被告援引個資法 §29 I 但書規定主張免責,自屬無據。
"本判決最值贊同者,在法院考量被告公司應採取之適當安全維護措施時,並不是只從個別具體措施出發,而是從更廣泛、整體、全面的「資訊安全維護計畫」出發,要求被告公司提出關於資訊系統的使用紀錄、軌跡資料的保存紀錄、定期安全稽核等,亦即施行細則 §12 II 所列項目,殊屬不易。"
14. 至於數聯資安公司提出之上開檢測報告雖指出未發現有任何可疑之惡意程式,或有遭人侵入成功撈取資料之紀錄等語,然依被告自陳其係接獲 1000 多名考生反應有詐騙集團成員佯以被告名義來電後,始委由數聯資安公司為上開檢測,可知若有個資外洩情事,時間應早於數聯資安公司檢測之前即已發生,則數聯資安公司事後檢測是否能反映事發時之真實情況、被告當時提供之歷程紀錄是否未遭修改等,均非無疑,自不能僅憑上開報告遽為有利於被告之認定,況且資料外洩之途徑亦不只有植入惡意程序或侵入撈取,更不能排除有人為刻意洩漏之虞,益見被告僅以上開檢測報告辯稱資料外洩與其無涉云云,實不足採。
"關於個資外洩調查,當然是在知悉個資外洩事故後才開始進行,因此,本件判決所提質疑,包括:事後檢測能否反映事發時真實狀況?以及相關紀錄是否未遭竄改?等,均屬常見,此時關鍵,在於相關數位證據保存、鑑識流程,是否遵循數位鑑識的最佳守則辦理,此點,公司應特別注意。"
IV 致受損害——因果關係
15. 被告公司因未善盡安全防護措施,導致原告之個資外洩,並遭詐騙集團使用等情,堪認原告之隱私權確實受有侵害。
16. 隱私權本身即為一種法益,原告因其個資遭暴露,隨時處於不安之狀態中,而受有精神上之痛苦,此即原告所受之非財產上損害,不以原告有無因此受有財產上損害或其他實害為必要。
"隱私權是一種法益,光是個人資料被公開,被害人(個資當事人)就隨時處於不安狀態,而受有精神上痛苦,當然受有損害。"
V 損害賠償
"本件原告受有非財產上損害,但僅請求被告公司賠償非財產損害 20,000 元,避開財產上損失判斷上的困難,或許也是一種策略方法。"
|非財產上損害
17. 審酌本件原告遭洩漏之個資型態、數量及實際受害情節,認原告請求賠償 20,000 元並無過當,核屬有據。
台北地院 107 小上 160
I 非公務機關
II 個資外洩
18. 上訴人公司所述本案應係詐騙集團自未受保護之被上訴人電腦於連向上訴人公司及銀行伺服器時遭反向攔阻或側錄,始會產生僅部分考生資料遭詐騙集團取得等情,然此部分純屬上訴人公司之臆測,並無證據證明,亦無法說明為何本案被害人之共通性均為報名上訴人公司之多益測驗一情,自難僅憑上訴人公司臆測之詞,即認原審判決有何違背論理法則及經驗法則之違誤。
III 違反個資法規定
19. 上訴人公司稱原判決對於資安報告檢測結果之解讀及認定明顯與「log 紀錄依一般技術無法更改」之電算基礎常識相悖,有違經驗法則。
20. 惟上訴人公司所稱「log 紀錄依一般技術無法更改」之電算基礎常識,並未見上訴人有何舉證,且本件資安報告之檢測係在事後為之,在本案被上訴人及其他考生資料外洩後,電腦是否經過更正、修改,甚至資料外洩之途徑不只有植入惡意程序或侵入撈取,亦有可能係人為刻意洩漏,是本件自難依此一事後之檢測報告,即認上訴人已盡妥適保管被上訴人個人資料之責。
21. 本件原審判決依此認定上訴人所提資安檢測結果無法做為有利上訴人之認定,已說明得心證之理由,屬事實審法院採證認事職權行使之範圍,上訴人指稱原審判決有違經驗法則,自屬無據。
22. 至上訴人所稱原審要求上訴人需提出「完整資安計畫」係在增加法所無法之限制(施行細則 §12),惟原審判決係依本件個案具體情形,認上訴人公司營運規模之大,蒐集處理個人資料之數量即多,認定上訴人就本案所提資料,難認就資料之保管已善盡防護工作,與前開法文規定相符,亦已在判決內說明其認定之理由,上訴人指述原審判決違法或增加法所無限制之情,難認有理。
IV 致受損害——因果關係
V 損害賠償
案例整理,謹供參考,個別案件爭議結果,會因為個案主、客觀因素而有不同,讀者進行各項決策前,務必徵詢專業法律意見,以期週全。