個資外洩|案例 29|2021 WLS 會員資料外洩
個資外洩|案例 29|2021 WLS 會員資料外洩
20230501(V01)|池泰毅律師
原告主張:其向被告申辦 WLS 卡而提供住址與被告,嗣於 109 年 7 月 29 日以其姓名透過網際網路搜尋,發現其姓名、住址等個人資料公開在 WLS 公司經營管理之網頁。
裁判案號
01. 第一審|橋頭地院 110 橋小 332(主文:被告應給付原告 10,000 元)
橋頭地院 110 橋小 332
I 非公務機關
II 個資外洩
02. 原告向被告申辦 WLS 卡而提供住址予被告。
03. 嗣於 109 年 7 月 29 日以其姓名透過網際網路搜尋,發現其姓名、住址等個人資料公開在 WLS 公司經營管理之網頁;系爭網頁乃由與被告訂有技術支援維護服務合約之訴外人 HT 科技有限公司為測試被告資料所用,業據提出 WLS 卡、系爭測試網頁為證,且為被告 WLS 公司所不爭執。
III 違反個資法規定
04. 被告應對 HT 公司善盡個人資料保護法所定監督之責。
05. 原告主張被告疏未對 HT 公司盡監督之責及要求 HT 公司刪除系爭個資等情,則為被告所否認,並辯以:被告僅被動開放資料庫給 HT 公司,未提供系爭個資給 HT 公司,且被告不知 HT 公司如何測試,無權要求該公司刪除資料,被告並無過失云云。
06. 然證人即 HT 公司經理田○○於偵查時證稱:HT 公司係提供被告賣場硬體、主機、軟體更新等服務,客戶資料由被告 WLS 輸入,存放在被告主機,有加密,HT 公司有進行被告會員初期測試資料,放在 HT 公司主機測試位置,沒有特別加密,系爭網頁即為 HT 公司測試被告資料所用等語,足見 HT 公司係受被告委託處理系爭個資,被告自應對 HT 公司善盡個人資料保護法施行細則 §7、8 所定監督之責。
07. 惟被告 WLS 迄至本件言詞辯論終結時,仍未能舉證證明其有採行適當之安全措施以防止系爭個資外洩或已盡監督之責,而僅空言辯稱如前,所辯自難憑採。
08. 是原告主張被告應依個人資料保護法 §29 負賠償之責,當屬有據。
"如依證人即 HT 公司經理在偵查中所述:「HT 公司有進行被告會員初期測試資料,放在 HT 公司主機測試位置,沒有特別加密,系爭網頁即為 HT 公司測試被告資料所用」,該公司實已自承其處理個人資料過程中,有所疏失,本件判決未從此觀點,認定應僅由委外廠商負擔損害賠償責任(當然,原告並未對公司提告),而是從「未妥善監督」受託機關的觀點,認定應由被告負擔損害賠償責任,實值贊同,因為從消費者觀點,一般是不知道購物平台實際是由何人負責維護管理。"
"【案例 22】則是直接認定受託機關應負損害賠償責任,與本件不同處,在該案原告起訴時,將受託機關及其專案經理同列被告。"
IV 致受損害——因果關係
V 損害賠償
|非財產上損害
09. 本院審酌原告就其實際損害數額未能舉證,兼衡原告之財產所得資料,另考量兩造之身分、地位、經濟能力,及原告所受侵害程度等一切情狀,認原告所得請求之損害賠償金額應以10,000元為適當,逾此範圍之請求,尚難准許。
參考條文
個資法施行細則 §8
I 委託他人蒐集、處理或利用個人資料時,委託機關應對受託者為適當之監督。
II 前項監督至少應包含下列事項:
一、預定蒐集、處理或利用個人資料之範圍、類別、特定目的及其期間。
二、受託者就第十二條第二項採取之措施。
三、有複委託者,其約定之受託者。
四、受託者或其受僱人違反本法、其他個人資料保護法律或其法規命令時,應向委託機關通知之事項及採行之補救措施。
五、委託機關如對受託者有保留指示者,其保留指示之事項。
六、委託關係終止或解除時,個人資料載體之返還,及受託者履行委託契約以儲存方式而持有之個人資料之刪除。
III 第一項之監督,委託機關應定期確認受託者執行之狀況,並將確認結果記錄之。
IV 受託者僅得於委託機關指示之範圍內,蒐集、處理或利用個人資料。受託者認委託機關之指示有違反本法、其他個人資料保護法律或其法規命令者,應立即通知委託機關。
案例整理,謹供參考,個別案件爭議結果,會因為個案主、客觀因素而有不同,讀者進行各項決策前,務必徵詢專業法律意見,以期週全。