個資外洩|案例 25|2020 HB 購物網站
個資外洩|案例 25|2020 HB 購物網站
——電子商務
20230501(V02);20221011(V01)|池泰毅律師
原告主張:原告於 108 年 11 月 11 日、109 年 1 月 29 日及同年 3 月 5 日在被告所經營管理之 HB 網站平台訂購尿布產品,輸入姓名、電話號碼、地址及訂購之產品、數量、金額及付款方式等個人資料。但被告蒐集、持有原告上開個人資料後,未盡採取適當安全措施之責而外洩上開資料,遭詐騙集團不法蒐集、處理、利用,致原告陷於錯誤共計受有匯款 129,986 元之損害。又原告因個人資料遭受外洩,隱私權(含資訊自主權)受侵害,傷及原告對人性之信任感,飽受精神上極大的焦慮。爰依個資法 §29 I、民法 §184 II、185,請求被告賠償其受詐騙之財產上損害 130,016 元,依個資法 §29 I、II、28 II、III 及民法 §195 I 規定,請求被告賠償非財產上損害 150,000 元等語。
裁判案號
01. 第一審|士林地院 109 湖簡 1959(主文:被告應給付原告 26,000元)
原告證據
02. 原告提出下列證據:
- 訂購單;
- 手機受話明細單;
- 刑事警察局高風險賣場(平台)統計資料;
- 報案資料。
士林地院 109 湖簡 1959
I 非公務機關
II 個資外洩
03. 依個資法 §27 I、29 I 規定,就被告保有個人資料而發生個人資料遭不法蒐集、處理、利用或其他侵害當事人權利者,採過失推定原則,即由被告舉證證明其無故意或過失,始能免責;然原告就其有利於己之事實即其遭詐騙時之個人資料係來自被告經營管理之系爭網站平台之事實,即應先負舉證責任。
04. 審酌原告係於遭詐騙後同日晚間即向警察報案,斯時係以被害人立場向警察陳述遭詐騙過程細節,為查明遭詐騙之真相,其當無隱匿、虛偽陳述之動機,是其上開所述內容應有相當之可信度。
05. 再佐以原告確有於 108 年 11 月 11 日、109 年 1 月 29 日及同年 3 月 5 日在系爭網站平台訂購產品並完成交易乙節,及詐騙集團成員打電話給原告所顯示之電話號碼與系爭網站平台所載之客服電話相同,有原告提出之訂購單、手機受話明細單、系爭網站平台官網客服專線介紹頁面截圖可佐。可認原告所稱詐騙集團係以謊稱為被告之員工之方式對其實施詐術可採。
06. 又經刑事警察局統計,系爭網站平台自 109 年 3 月 30 日起至同年 4 月 5 日止及同年 4 月 6 日至 4 月 12 日止,經民眾通報高風險賣場(平台)之件數分別為 13 件、9 件,有刑事警察局統計資料可稽,可知原告於同年 3 月 30 日透過系爭網站平台訂購商品後,至其於同年 4 月 4 日遭詐騙期間,經民眾通報系爭網站平台為高風險平台,亦即使用系爭網站平台之民眾接獲自稱網路賣場或銀行來電,要求前往操作 ATM 解除分期付款設定之案件累計高達 22 餘件,足徵上開報案民眾個人資料來源之共通性即為使用系爭網站平台,且上開民眾遭詐騙集團接洽後行騙之手段相似、時間密接。
07. 再被告曾委由訴外人即其員工蘇○○於 109 年 4 月 14 日報警稱被告公司於 109 年 4 月 1 日據 2 位消費者告知接獲詐騙電話,其發現公司的資料遭竊取,當時向 165 詐騙專線詢問結果,客戶反應詐騙的案件有 142 筆,回報實際受害的件數為 21 件,客戶反應給被告的是 8 筆等語。
08. 另訴外人即被告之資訊技術主管董○○於 109 年 5 月 7 日警詢時稱(問:你如何判定有資料遭竊取?)「詐騙集團電話中有講出詳細的訂單資料」、「我們先檢查內部人員使用狀況,並沒有發現異常使用訂單資料的情形,因此研判是駭客入侵竊取訂單資料」、「我們現在的系統是 5 年前安裝的,後續沒有做更新,故可能有漏洞讓人從外部入侵,但經各方面的檢查均未能找出遭入侵的方式」等語。
09. 可知與原告接到詐騙集團來電話之相同時期,亦有為數眾多之消費者接到詐騙集團以相同利用系爭網站平台之訂單資料取信消費者之手法對其等實施詐騙。被告亦因懷疑其所持有之客戶訂單資料遭駭客入侵竊取而向警方報案。
10. 又詐騙集團以謊稱為被告員工之詐騙手法,其所使用之個人資料及訂單內容僅有被告完整持有,竟遭詐騙集團取得並以此施行詐術,且相近期間,被告之客戶遭受同樣詐騙之情事高達數十件,依通常經驗判斷,詐騙集團所利用之個人資料及訂單資訊,係來自被告之系爭網站平台,足堪認定。
"本件法院以 (1) 報案民眾個人資料來源之共通性均為使用系爭網站平台;以及 (2) 165 專線統計資料(民眾通報高風險賣場(平台))認定原告個人資料係自被告公司所經營之購物網站外洩,實值贊同。"
III 違反個資法規定
"關於本件網站的經營管理,涉及下列公司:(1) 被告,管理網站平台;(2) 樂利公司,受被告委託管理網站平台;以及 (3) 果核公司,出租機房系統與雲端服務。究竟何人應負採取適當安全措施之義務?"(20230501 Added)
11. 被告抗辯其對系爭網站平台系統均已依經濟部所頒布「網際網路零售業及網際網路零售服務平台業個人資料檔案安全維護計畫及業務終止後個人資料處理作業辦法」採取安全措施,包括訂定及執行相關個資安全維護計畫與資訊安全政策,並定期進行電子郵件社交工程演練,要求所有員工執行相關資安防護、帳號驗證與檔案加密程序,且向具有 ISO 資安管理認證之訴外人果核數位股份有限公司租用機房系統與雲端服務,其已盡適當之安全維護措施等語。
12. 經查,受被告委託管理系爭網站平台之樂利公司所提出之 108 年 5 月版系爭個人資料處理作業辦法及 108 年 9 月 5 日版資訊安全政策,係抽象之作業規範,而規範之制定與被告有無實際落實要屬二事,尚不足認被告確已有實際管理維護消費者個人資料之資安維護作為。
“訂定資訊安全規範與機關是否確實執行,純屬二事。”
13. 又被告雖向取得 ISO 資安管理認證之果核公司租用機房系統及雲端服務。然如前所提及之被告之資訊技術主管董○○於 109 年 5 月 7 日警詢時所稱,被告之系統是 5 年前安裝的,後續沒有做更新,故可能有漏洞讓人從外部入侵,但經各方面的檢查均未能找出遭入侵的方式等語。則被告縱使訂有上開作業規範及向果核公司租用機房系統,其使用之系統歷經 5 年未更新,於系統遭入侵後亦無法即時發現任何異常之目標電腦及惡意程式檔案,其顯然未落實系爭個人資料處理作業辦法 §16 IX 規定「對於電腦作業系統及相關應用程式之漏洞,定期安裝修補之程式」。
14. 是以不能認被告已對於系爭網路平台記錄、保存原告之個人資料盡適當安全維護措施,被告違反個資法 §27 I 規定,堪予認定。
IV 致受損害——因果關係
"考量詐騙集團介入行為對損害結果之強度,遠超乎原先個人資料外洩之影響,且屬故意犯罪行為,被告亦無防止該第三人不法行為之契約或法令上義務,堪認詐騙集團對原告施以詐術之故意行為業已中斷被告過失使資料外洩結果與原告財產上損害間之因果關係。"
15. 針對原告所受非財產上、財產上等損害,與被告公司網站發生個資外洩事故之間,是否具有相當因果關係?需依序判斷下列二項:
- 應先判斷結果發生之條件,為損害發生之不可欠缺之條件。
- 再判斷因果關係之相當性,即在一般情形下,有此環境、有此行為之同一條件,均可發生同一之結果,始可謂行為與結果間具有相當因果關係。
16. 觀之原告 108 年 11 月 11 日、109 年 1 月 29 日及同年 3 月 5 日在系爭網站平台消費之訂購單所示資料,上為「姓名」、「電話」、「地址」、「訂單編號」、「消費日期」、「商品名稱」及「消費金額」等原告個人基本資料與消費資料,均係原告私領域項目而不受干擾之資料,屬原告之隱私,縱認被告如未疏於維護系爭網站平台內之原告上開所提供之個人資料,詐騙集團即無法入侵系爭網站平台竊取上開原告之個人資料,原告不致於被詐騙集團成員詐騙而受財物損失,而認被告之疏失行為可謂原告財產權受損害之不可欠缺之條件。
17. 然而考量詐騙集團介入行為對損害結果之強度,遠超乎原先個人資料外洩之影響,且屬故意犯罪行為,被告亦無防止該第三人不法行為之契約或法令上義務,堪認詐騙集團對原告施以詐術之故意行為業已中斷被告過失使資料外洩結果與原告財產上損害間之因果關係。
18. 且被告於系爭網站平台首頁及購物車頁面已設有常態性之防詐騙宣導,於訂單成立或出貨時,再以簡訊及電子郵件發送防詐騙之提醒訊息「切勿聽從指示至 ATM 操作設定或提供信用卡資料」等內容,此有原告提出訂購通知函,及被告提出網站頁面截圖、出貨紀錄、109 年 4 月 2 日簡訊提醒可佐。原告即應對此一詐騙技倆有所警覺,然原告未有所警覺,因其個人疏忽而誤信詐騙集團伎倆,致被詐騙集團詐騙。換言之,被告系爭網站平台內客戶資料之外流,固係對於原告隱私權之侵害,然衡諸一般情形,資料外流並不必然發生客戶受詐騙且受有財物損失之侵害結果,原告財物之損失係因詐騙集團成員積極實施詐騙行為所致。此亦可由前揭蘇○○證稱 165 詐騙專線提及反應詐騙的案件有 142 件,但回報實際受害的件數為 21 件,比例僅占一成餘,亦可說明被告之過失行為與原告之財物損失結果之間,難謂有相當之因果關係。
19. 是以,依前揭說明,原告依個資法 §29 I、民法 §184 II 規定,要被告就原告遭詐騙所受財物損失負責,並非可採。
V 損害賠償
"雖然法院否定原告關於財產上損害賠償之請求,但仍認為原告受有非財產上損害,而可請求損害賠償。"
|非財產上損害
20. 本件原告個人資料因被告之疏失而為詐騙集團不法取得,致原告個人資料外洩而侵害其個人隱私權,自屬不法侵害他人隱私權,並造成原告精神承受壓力,堪足認定,則原告自得依上開規定請求被告賠償非財產上之損害。
21. 而按慰撫金之核給標準,應斟酌雙方身分、地位及經濟狀況及其他各種情形核定之。本院審酌原告為大學畢業,現在家照顧幼兒,利用空檔接受零星室內設計繪圖個案以補貼家用,109 年度所得為36 萬餘元,名下無財產;被告資本額 2,000 萬元,經營系爭網站平台從事網路購物等情,有原告所陳、被告公司變更登記表及本院依職權調閱兩造稅務電子閘門財產所得調件明細表在卷可佐,並參酌被告非故意侵害原告隱私權及原告隱私權受侵害之程度,認原告請求慰撫金 150,000 元,尚屬過高,應核減為 26,000 元為適當。
"法院認定原告所受非財產上損害,比個資法規定之 20,000 元為高。"
案例整理,謹供參考,個別案件爭議結果,會因為個案主、客觀因素而有不同,讀者進行各項決策前,務必徵詢專業法律意見,以期週全。