20230429(V02);20221011(V01)|池泰毅律師
原告主張:於 106 年 4 月 24 日在被告門市購買機票,因而留存個人資料於被告公司;嗣於 106 年 7 月 3 日晚間,突然接到自稱被告公司員工來電,陳稱公司內部電腦遭駭客入侵,竊走部分客戶個人資料,其中包含原告先前下訂資料在內,且利用該資料下訂 12 張機票,因事態緊急,亟需處理,騙取原告告知持用第一銀行發行之信用卡後,繼又編以須至銀行自動提款櫃員機(ATM)辦理取消訂購 12 張機票之手續,且將聯繫第一銀行人員,續為為原告處理取消訂票事宜。嗣某自稱第一銀行專員打電話給原告,原告受騙而不自知,乃依其指示至 ATM 進行操作,致遭詐諞計 127,987 元。爰請求被告公司賠償非財產上損害 20,000 元。
裁判案號
01. 第一審|士林地院 107 湖簡 110(主文:被告應給付原告20,000元)
02. 第二審|二審和解後撤回起訴。
原告證據
03. 原告提出下列證據:
- 被告開立之收款單;
- 被告發生客戶資料外洩事件之報載資料、網路新聞擷取畫面;
- 原告第一銀行帳戶存摺節本資料、交易紀錄查詢;
- 台北地院 106 簡 8389 刑事簡易判決。
士林地院 107 湖簡 110
I 非公務機關
II 個資外洩
04. 106 年 5 月間,被告公司電腦遭駭客入侵,約有 36 萬餘筆客戶資訊遭竊事件,經見載於報紙、網路媒體;被告自承該公司電腦遭駭、發生客戶個資外洩情事,然主張不包含系爭消費資訊云云。
05. 查,系爭消費資訊成立日期為 106 年 4 月 24 日,顯在同年 5 月間被告公司電腦遭駭之前,兼以詐騙集團竟得利用系爭消費資訊,依經驗法則推斷,系爭消費資訊應在前述被告遭竊 36 萬餘筆客戶資訊當中,詐騙集團方得利用之而對原告進行精準詐騙。
III 違反個資法規定
"本件論述架構與[案例 12|2018 O 網站案]類似。"
|舉證責任
06. 按事實有常態與變態之分,其主張常態事實者無庸負舉證責任,反之,主張變態事實者,則須就其所主張之事實負舉證責任。
07. 查,被告為資本額達億元以上之公司,且經營規模非小,依常情而言其能力自較一般消費大眾來得強大。甚且被告經營網路消費平台,於公司電腦中、或資料庫中又或者於所於營網站上儲存客戶之消費資料更屬常態;反之一般消費者於其電腦或手機中留存其個人聯繫資料,則屬變態。
08. 被告雖辯稱系爭消費資訊之所以外洩,或可能出自原告,對於客戶資訊保護責任,不應全由被告承擔云云。
09. 究其所辯固非絕無可能,惟依前開說明,駭客入侵營業公司之電腦竊取其大量客戶資訊,要屬常態;反之,侵入個人電腦以竊取個人之消費資料,則屬變態。是應由被告先行舉證證明其確已善盡對於該公司客戶所留消費資料之保存責任,且未遭不法蒐集,而不應推責於原告。
"被告公司因個資外洩,而陸續發生多起訴訟求償案件,倘若係駭客侵入個人電腦以竊取個人消費資料,被害人之間,應不致有如此高的共通性,即被告公司與被害人之間的交易資訊。"
10. 被告並未提出該公司對資安防護工作之建置相關資料,以佐證發生前述公司電腦遭駭、客戶資料外洩前,已對其所取得客戶資料建置有效防護措施外,更乏資料可認被告於本事件發生前,已於該公司內部就經手客戶資訊之員工建置完善、嚴格之管理制度。故難推認被告已就其所取得客戶個人資料,善盡防護工作,以避免遭不法蒐集、處理、利用。
IV 致受損害——因果關係
11. 按,當事人主張有利於己之事實者,就其事實有舉證之責任,但法律別有規定,或依其情形顯失公平者,不在此限,民事訴訟法第 277 條規定甚明。上開但書規定係於 89 年 2 月 9 日該法修正時所增設,肇源於民事舉證責任之分配情形繁雜,僅設原則性之概括規定,未能解決一切舉證責任之分配問題,為因應傳統型及現代型之訴訟型態,尤以公害訴訟、商品製造人責任及醫療糾紛等事件之處理,如嚴守本條所定之原則,難免產生不公平之結果,使被害人無從獲得應有之救濟,有違正義原則。是法院於決定是否適用上開但書所定之公平要求時,應視各該具體事件之訴訟類型特性暨求證事實之性質,斟酌當事人間能力之不平等、證據偏在一方、蒐證之困難、因果關係證明之困難及法律本身之不備等因素,以定其舉證責任或是否減輕其證明度(最高法院 103 台上 1311 判決)。
12. 查,被告對其持有之系爭消費資訊,未盡法定維護義務而有「過失」,則原告個資遭竊取、外洩,進而為不法集團持用、利用,致原告隱私權遭侵害,自堪認定。
13. 因宥於網際網絡科技浩瀚並參雜人為因素之變異而有高度舉證困難,責令被害人擔負完全之舉證責任實有不公,兼以被告經營旅遊業,且達一定規模,原告交付個資後即由其支配掌握,其對於個資被竊取或外洩風險之控制及分擔能力俱優於原告,故本院斟酌本件訴訟性質、兩造之舉證能力、被告違反義務之情節及風險分配之合理性,進而比照我國實務就公害訴訟降低被害人因果關係舉證責任之見解,認被告行為所生之危險已有相當合理確定性,即推定有一般因果關係之存在(最高法院 102 台上 31 號判決),被告倘認無一般或個別因果關係存在,自應提出確切之反證證明。
V 損害賠償
|非財產上損害
14. 被告既未能提出確切反證,是原告主張被告未盡法定維護義務,致原告個資遭外洩,令其隱私權受侵害等節為可採,原告依個資法 §29、28 II 規定,請求「個資外洩之非財產上損害」20,000元,於法即屬有據,且衡情並未過當。
|財產上損害
15. 查,106 年 5 月間發生被告公司之電腦遭駭客入侵,約有 36 萬餘筆客戶資訊遭竊事件,經見載於報紙、網路媒體,則原告自應有所警覺與注意;又詐騙集團利用電話詐騙民眾前往 ATM 操作,此一再為政府、各媒體所宣導,原告應有防騙意識;況被告公司電腦遭駭後,被告於同年月 23 日、26 日,即曾以簡訊通知原告:「該公司不會以電話通知客戶前往 ATM 操作,以訂單操作錯誤重複扣款或不合理優惠,於電話中要求您提供信用卡資料或帳戶資訊等,均為詐騙行為。請慎防詐騙,避免受害…」並提出該發訊資料為證,原告亦自承有接到該簡訊通知,由此,足資證明被告已採取適當避免原告因被告公司電腦遭駭客入侵、客戶資料外洩,而可能遭受財產上損害之防護行為。
16. 原告於 106 年 7 月 3 日晚間,接獲詐騙集團打來之詐騙電話,竟誤信該詐騙伎倆為真,提供原告個人之信用卡資料予對方,進而為系爭 ATM 操作行為,方導致原告受有系爭財產上損害,且該損害核乃原告個人疏忽行為所致,尚難認有相當因果關係存在。
案例整理,謹供參考,個別案件爭議結果,會因為個案主、客觀因素而有不同,讀者進行各項決策前,務必徵詢專業法律意見,以期週全。