個資外洩|案例 19|2018 L 旅行社——第四案(團體訴訟)
個資外洩|案例 19|2018 L 旅行社——第四案(團體訴訟)
——電子商務
20230429(V02);20221011(V01)|池泰毅律師
"本件爭議尚未確定,故僅作案例內容整理,不予評論。"
裁判案號
01. 第一審|士林地院 107 消 6(主文:原告之訴駁回)
02. 第二審|高等法院 108 消上 22(審理中)
士林地院 107 消 6
I 非公務機關
II 個資外洩
03. 雙方不爭執下列事項:
- 被告公司於 106 年 5 月間遭第三人入侵電腦作業系統,竊取消費者購買多筆商品訂單資料。
- 被告公司於 106 年 5 月 22 日向警政署刑事局報警,翌日(即 23 日)於公開資訊觀測站發布重大訊息,並召開記者會說明及發布新聞稿,且另以簡訊、電話通知、網站聲明及實體通路門市,向消費者說明此事。
04. 被告公司確實發生個資外洩事故,應可認定。
III 違反法律規定
原告消基會分別引用個資法、消保法、民法(不完全給付)作為請求被告公司賠償損害之請求權基礎,然均遭法院予以駁回;以下,分別整理法院對於原告消基會各項主張的看法。
|個資法|否定
05. 原告主張依據個資法 §29 I、II、28 II 規定請求損害賠償,應先由原告就被告公司有違反個資法規定,亦即未就所保有個人資料檔案採行適當之安全措施一事,負擔舉證之責,若原告先不能舉證,以證實自己主張之事實為真實,則被告就其抗辯之事實即令不能舉證,或其所舉證據尚有疵累,亦應駁回原告之請求。
06. 原告乃以 106 年 5 月 23 日被告公司新聞稿、106 年 5 月 25 日內政部警政署保一總隊新聞稿為憑。
07. 然而,核以 106 年 5 月 23 日被告公司新聞稿、106 年 5 月 25 日內政部警政署保一總隊新聞稿:
- 前者乃說明被告公司員工電腦作業系統遭不法入侵,提醒消費者多加注意,並表明已報警請求處理,以及聘用外部專業資安防護顧問公司協助提升資訊防護及加密等級等情;
- 後者則為警方引用被告公司前開新聞稿,證實被告公司內部系統存在資安漏洞,遭受駭客入侵竊取個人資料,仍在持續調查等節。
08. 上開新聞稿均僅係提及本件個人資料外洩事件之緣由及後續相關處理,尚不足以推論被告公司有未採行適當安全措施保護個人資料檔案而違反個資法規定之行為,更無從證明被告公司已自承有資安管理不足之情事。
09. 其次,被告公司已提出其個人資料檔案安全維護計畫,經與交通部觀光局所發布之旅行業個人資料檔案安全維護計畫範本比對後,內容大致相符,包含個人資料處理及利用管理措施、事故預防、通報及應變機制、資料安全管理(包含員工、設備)及相關稽核機制等項目,均有明定,其中關於指定員工定期清查所保有之個人資料、設定員工不同權限以分別控管掌握之個人資料,以及輸出入個人資料時均需使用識別密碼、定期變更密碼等方式作為加密機制等,亦符合前揭旅行業個人資料檔案安全維護計畫及處理辦法 §4 I、13 (1)、(2) 等規定。
10. 至於計畫執行層面,被告公司亦進行內部稽核、資料安全人員職業訓練,並定期變更電腦系統作業密碼等情,有被告公司向交通部觀光局提出之內部稽核報告、系統指令頁面、職業訓練等資料為憑,足見被告公司為保有所掌握之個人資料檔案,已採行合於個資法所定之安全措施。
11. 況且,兩造均不爭執本件個人資料外洩肇因於第三人入侵被告公司電腦作業系統所為之竊取行為,益徵本件個人資料外洩並非被告公司管理不當所致。
12. 鑑於電腦科技雖日新月異,然駭客惡意入侵電腦系統進行攻擊之事仍層出不窮,足見現今科技尚無法提供可完全防堵駭客攻擊之防護技術,自不能僅以被告公司電腦系統遭他人惡意入侵竊取資料一事,遽而推論其違反個資法規定或管理上有所疏失。
|消保法 §7、7-1|否定
13. 原告主張被告公司對於個人資料之保管保護亦屬於消保法 §7 所定之「服務」,然遭被告公司所否認,參以「服務」之範圍,於消費者保護法及其施行細則均未定義,應參酌社會經濟狀況,依實際情形以個案方式認定之。
14. 查,被告公司為經營旅行業之企業經營者,其提供為消費者代購各式票券、飯店住宿、自由行旅程等服務,當屬前開消費者保護法所稱之服務,無庸置疑,而消費者購買前開服務時,因交通旅宿業之特性,皆必須向被告公司提供個人資料,作為代購過程中核對確認或登錄使用,此觀之兩造均不爭執如附表 1-A-2、1-B 所示之人曾與被告公司交易,並因此提供交易所需之個人資料一節,即可知悉,而消費者所提供個人資料既於被告公司提供服務交易環節中必然使用,消費者主觀上亦均可合理期待被告公司將會確保所提供個人資料之安全性,則就消費者之個人資料進行妥當保管保護,自應包含於被告公司提供服務之範圍內,而屬消保法 §7 所稱之「服務」。
15. 原告雖以被告公司新聞稿宣稱個人資料遭外洩者為四個月內代購機票、訂房、自由行服務之人,經核與如附表 1-A-2、1-B 所示之人相符,及內政部警政署保一總隊新聞稿亦可印證被告公司個人資料保管不慎與消費者遭詐騙受損之相當因果關係云云,惟前開新聞稿均僅表明本件個人資料外洩事件之事發過程及後續處理,已如前述,能否據此證明相當因果關係,實有可疑。
16. 其次,所謂相當因果關係,謂無此行為,雖必不生此種損害,有此行為,通常即足生此種損害者,為有相當因果關係;如無此行為,必不生此種損害,有此行為,通常亦不生此種損害者,即為無相當因果關係,而本件被告公司所保有之消費者個人資料有多筆外洩,雖為兩造所不爭執,然而,個人資料外洩固係對於隱私權之侵害,惟不必然發生消費者遭詐騙且受有財物損失之財產權侵害結果,況且,原告既主張如附表 1-A-2 所示之人因遭他人詐騙受有財產上損害,顯見被告公司保有個人資料雖遭到外洩,然與消費者財產上損害之結果間,尚有第三人故意不法行為即施以詐術之行為之介入,佐以本件個人資料外洩後,被告公司旋即報警及發布重大訊息,不僅召開記者會說明及發布新聞稿,且以簡訊、電話通知、網站聲明及實體通路門市,向消費者說明此事等節,亦有報案三聯單、公開訊息、傳送手機簡訊頁面、電子郵件內容可資為證,足見被告公司於所保有之個人資料外洩後,為避免可能致生財產上損害之情形,已採取適當之防護行為。
17. 是以,參酌前開情事,併考量第三人介入行為對損害結果之強度,遠超乎原先個人資料外洩之影響,且屬故意犯罪行為,被告公司亦無防止該第三人不法行為之契約或法令上義務,堪認第三人施以詐術之故意行為業已中斷被告公司個人資料外洩與消費者財產上損害間之因果關係。
|民法 §227 I、227-1|否定
18. 因可歸責於債務人之事由,致為不完全給付者,債權人得依關於給付遲延或給付不能之規定行使其權利。又債務人因債務不履行,致債權人之人格權受侵害者,準用 §192~195、197 之規定,負損害賠償責任。民法 §227 I、227-1 分別定有明文。
19. 另損害賠償之債,以有損害之發生及有責任原因之事實,並二者之間有相當因果關係為其成立要件。惟不完全給付,非有可歸責於債務人之事由,為債務人免責要件,故債務人以不完全給付係因非可歸責於己之事由所致為抗辯,就此仍應由債務人證明之,是以,原告欲主張被告公司有不完全給付之情事,應證明損害之發生及因果關係。
20. 原告主張保管保護個人資料屬於契約附隨義務,雖經被告公司否認,然而,契約生效後,債務人除應履行給付義務(包含主給付義務與從給付義務)外,尚有附隨義務,亦即為履行給付義務或保護契約當事人人身或財產上利益,於契約發展過程基於誠信原則而生之義務,換言之,附隨義務包含輔助實現給付利益之義務及保護義務,而如附表 1-A-2、1-B 所示之人委由被告公司代購票券、住宿及自由行旅程時,交易過程中必然須向被告公司提供個人資料,已如前述,是以,被告公司獲得前開個人資訊後,就保管保護個人資料雖非屬契約之給付義務內容,然從維護契約當事人完整利益,避免給付利益以外法益遭受損害之角度而言,應屬附隨義務中之保護義務無疑,故被告公司仍應妥善加以保管保護所獲個人資料,否則即有違反契約附隨義務之可能,被告公司抗辯此非屬契約義務云云,難認可採。
21. 原告雖以被告公司違反契約附隨義務,依不完全給付請求損害賠償云云,揆諸前開說明,自應先舉證如附表 1-A-2 所示之人所受財產上損害與個人資料外洩間之因果關係,惟被告公司所保有之個人資料外洩與如附表 1-A-2 所示之人所受損害間並無相當因果關係存在,已如前述,更遑論被告公司所保有之個人資料外洩,乃因第三人惡意入侵其電腦系統不法竊取導致,且迄今警方仍未能查獲特定人士等情,亦有內政部警政署刑事警察局函在卷可佐,益徵被告公司對於個人資料外洩一事不可歸責,自難認被告公司應就此負不完全給付之損害賠償責任。
|民法 §184 I 前段、II|否定
22. 按因故意或過失,不法侵害他人之權利者,負損害賠償責任。違反保護他人之法律,致生損害於他人者,負賠償責任。但能證明其行為無過失者,不在此限。民法 §184 I 前段、II 定有明文。又侵權行為之成立,須行為人因故意過失不法侵害他人權利,亦即行為人須具備歸責性、違法性,並不法行為與損害間有相當因果關係,始能成立,且主張侵權行為損害賠償請求權之人,對於侵權行為之成立要件應負舉證責任。是以,原告自應就被告公司有前開侵權行為之要件舉證。
23. 然而,被告公司對其所保有個人資料已採行符合個資法規定之安全措施,雖有本件個人資料外洩之事件,卻係第三人入侵電腦作業系統竊取所致,實難認被告公司就此具有故意或過失,況且,如附表 1-A-2 所示之人所受財產上損害,亦因第三人故意不法行為所造成,尚不能認與被告公司個人資料外洩間有相當因果關係,均如前述;至於原告主張被告公司有違反個資法而有民法 §184 II 規定之適用云云,惟原告並未舉證被告公司有違反個資法之情事,亦已詳述如前,是以,原告主張被告公司應負侵權行為損害賠償之責,並非有理由。
IV 致受損害———因果關係
V 損害賠償
高等法院 108 消上 22(審理中)
案例整理,謹供參考,個別案件爭議結果,會因為個案主、客觀因素而有不同,讀者進行各項決策前,務必徵詢專業法律意見,以期週全。