20230501(V01)|池泰毅律師
原告主張:(1) 原告一於 108 年 3 月間,利用其先前於被告所經營之 Bxxxxxx.com 訂房網站(下稱 B 網站)註冊之會員預定民宿並以信用卡付款完成交易,嗣因故取消交易,被告即因此保有原告一姓名、聯絡資訊、信用卡付款資訊等個人資料,詎被告未依法妥適處理及利用前開個人資料,致不詳詐欺集團於同年 7 月 6 日利用前開個人資料,假冒系爭網站客服人員謊稱前開交易有重複扣款之情事,使原告一陷於錯誤,共匯款 2,783,509 元至詐欺集團指定帳戶:(2) 原告二情形類似,於 110 年 5 月 11 日匯款 49,983 元至詐欺集團指定帳戶。
裁判案號
01. 第一審|台北地院 110 訴 5351(主文:原告之訴駁回)
台北地院 110 訴 5351
I 非公務機關
02. 本件原告對「台灣 B 管理諮詢股份有限公司」提告。
03. 被告抗辯:並未經營系爭網站,與實際經營管理系爭網站之 B B.V. 公司並非同一權利義務主體,無須為 B B.V. 公司經營系爭網站所生之責任負責。且被告並未提供任何系爭網站之客服服務予消費者,亦無蒐集、處理、利用或保有原告個資之必要,原告應就被告有違反個資法規定及成立侵權行為之事實舉證。
|本案爭點
04. 本件應探究者,即為被告是否為系爭 B 訂房網站之實際管理者,而得接觸原告所稱遭洩漏之個人資訊,進而判斷其是否有違反個資法之規定。
|系爭 B 網站係由 B B.V. 公司所提供、經營和擁有
05. 觀諸被告所提出系爭網站上列載之條款:「在您使用任何平台(以下統稱『平台』)登入、瀏覽,使用本(行動裝置版)網站及任何應用程序,和/或在本網站預定時,即被視作已閱讀且理解並同意遵守以下相關條款(包括隱私聲明)。這些網頁內容和架構,以及由我們透過網站提供的線上住宿預訂服務(包含收付款服務)均由 B B.V. 所提供、經營和擁有…;『Bxxxxxx.com』、『我們』或『我們的』均指 B B.V.。B B.V.是一間依據荷蘭法律成立的私人有限責任公司,註冊地址為……。『平台』即 Bxxxxxx.com 提供服務之(行動版)網站和 APP,該旅遊服務由 Bxxxxxx.com 擁有、控制、管理、維護及/或進行主機管理。」,可知系爭網站已於其網站上列載系爭網站係由 B B.V. 公司所提供、經營和擁有,並敘明 B B.V. 公司係依荷蘭法律所成立之公司而對於系爭網站有控制管理之權限。
|支持公司沒有權力和權限提供任何服務
06. 前開條款之末段:「B B.V. 公司總部位於荷蘭阿姆斯特丹,並在全世界擁有多家下屬集團公司(「支持公司」)。其支持公司僅向 Bxxxxxx.com 提供內部協助。部分指定支持公司提供有限的客戶支持服務(僅通過電話)。支持公司不設任何平台(且不以任何方式控制、管理、維護或主管平台)。支持公司沒有權力和權限提供任何服務,亦不能夠代表 Bxxxxxx.com 或以 Bxxxxxx.com 的名義簽訂任何合約。您與支持公司之間沒有(法律或合約)關係。支持公司並不參與 Bxxxxxx.com 的營運,亦未被授權擔任 Bxxxxxx.com 任何形式的處理人或服務代理。」,可知 B B.V. 公司對外稱其係被告公司之總部,被告公司係提供內部營運管理支援,被告公司並不提供任何服務及擁有管理經營系爭網站之權限,則能否逕認被告擁有管理、使用或接觸原告聯絡資訊、訂房資料、信用卡交易資訊等個人資料之權限,實有疑問,仍應綜合其他證據審酌判斷之。
|無法逕認 B B.V. 公司有將原告之個人資料交付予被告使用、管理
07. 原告雖提出系爭網站上列載之條款,主張被告持有原告之個人資料,然細繹該條款:「按照您預定的旅遊產品/服務所需,我們也可能會請您提供住家地址、電話號碼、付款資料、生日、目前的位置(用於提供隨選服務)、同行住客姓名以及您的旅遊相關偏好(例如是否有餐食需求、行動不便需特別協助等)。在某些情況下,您可能也可透過旅遊供應商線上辦理入住,為此我們會要求您提供護照資訊或駕照和簽名…除了您提供給我們的個人資料,我們也會從其他來源獲得您的資料,這包括商業合作夥伴,如策略聯盟合作夥伴、Bxxxxxx.com 集團子公司、其他屬於 Bxxxxxx Holding Inc. 集團的公司,以及其他獨立的第三方… Bxxxxxx.com 如何和第三方分享您的個資…Bxxxxxx.com當地辦公室:為了提供Bxxxxxx.com服務,我們可能會將您的個資分享給 Bxxxxxx.com 集團的子公司(包含客戶服務)。如要進一步了解 Bxxxxxx.com 集團資訊,請參閱關於 Bxxxxxx.com」,可知個人資料由消費者交付系爭網站後,係可能基於業務需要,而交由 B B.V. 公司之子公司如被告公司,然並非必然交付予被告公司,自無法逕認 B B.V. 公司有將原告之個人資料交付予被告使用、管理。且考量系爭網站係以跨國網際網路平台媒介消費者與旅宿業者,可藉由系爭網站預定下榻處所、安排行程,尚無必由消費者或旅宿業者所在地之子公司處理事務之情形,換言之,實際上 B B.V. 公司仍可全權自行處理系爭網站之訂房管理、旅宿規劃等營運事務,則難認被告公司確實有持有或利用原告聯絡資訊、訂房資料、信用卡交易資訊等個人資料之情形。
|B B.V. 公司與被告公司為二獨立法人而有不同之法人格,僅就各自事務負其責任
08. 原告另提出被告公司於 110 年 4 月 22 日、101 年 10 月 5 日、102 年 8 月 23 日、102 年 10 月 24 日經濟部商工登記公示資料,說明被告公司之發行股數總數為 50 萬股,全由 B B.V. 公司持有,董事及監察人均係由 B B.V. 公司擔任,並由 B B.V. 公司指派自然人執行董事及監察人之職務。
09. 然 B B.V. 公司與被告公司雖為集團母公司與子公司之關係,然實際上仍為二獨立法人而有不同之法人格,原則上仍應僅就各自事務負其責任,且就本件而言,最重要之爭點在於被告公司有無持有原告聯絡資訊、訂房資料、信用卡交易資訊等個人資料,並是否為洩漏原告之前開個人資料之來源,然依卷內事證資料,至多僅能認系爭網站為原告交付聯絡資訊、訂房資料、信用卡交易資訊等個人資料之對象,但無法認定被告公司就系爭網站有管理、使用及控制之權限,則尚難以依卷內證據認定被告公司確實曾有持有原告聯絡資訊、訂房資料、信用卡交易資訊等個人資料。
"當今跨國電子商務盛行,當消費者使用 App 訂購商品或服務時,往往對於背後究竟有哪些公司參予其中,其個人資料是被哪家公司蒐集、處理及利用,無法完全掌握,而跨國企業在進行組織規劃、架構安排時,也都另有考量,也不會在每個國家設置公司或分公司,因而造成當事人在主張權利,或請求損害賠償時的困難。在台灣知名的被遺忘權案件中(台北地院 104 訴更一 31),最初也是遇到同樣的困難,因為被告抗辯其並未經管網路搜尋業務。"
"GDPR §27 要求非設立於歐盟境內控管者或處理者應設置歐盟代表的規定,或許可以做為未來個資法修法時的參考。"
II 個資外洩
III 違反個資法規定
IV 致受損害——因果關係
10. 原告雖主張系爭網站所取得之原告個資無論如何處理及利用,除被告公司及其所屬集團外,外人均無從知悉,被告公司既屬跨國業者,應負擔避免重大資安事故發生及影響我國打擊詐欺集團犯罪之社會責任,並斟酌兩造當事人之能力不平等、證據偏在於被告公司、蒐證之困難等情,應將本件評價為公害訴訟之情形,應有推定因果關係或減輕因果關係之適用等語。
11. 然個資法 §29 I 規定既設計為加害人推定過失責任,實已對於被害人之舉證責任有所減輕,又本件重要爭點在於被告公司是否持有原告聯絡資訊、訂房資料、信用卡交易資訊等個人資料而有洩漏之可能,屬與因果關係證明無關之必要要件,而依卷內證據,本院對被告有持有、管理或使用原告之個人資料之事實尚無從形成薄弱之心證,縱然依民事訴訟法 §277 後段規定減輕或倒置因果關係之舉證責任,仍無法認定被告須依個資法 §29 I 規定負擔損害賠償責任。
12. 況且,本件原告受有損害之最直接原因係受詐欺集團故意詐欺而交付款項,與原告所列舉公害訴訟、醫療事故係加害人為最直接之侵權行為人而以因果關係之判斷為審理重點之情形不同,尚無由原告負擔舉證責任將致顯失公平之情形,則原告主張本件應減輕或倒置舉證責任,應不可採。
V 損害賠償
參考條文
GDPR
§3 Territorial scope
2. This Regulation applies to the processing of personal data of data subjects who are in the Union by a controller or processor not established in the Union, where the processing activities are related to:
(a) the offering of goods or services, irrespective of whether a payment of the data subject is required, to such data subjects in the Union; or
(b) the monitoring of their behaviour as far as their behaviour takes place within the Union.
§27 Representatives of controllers or processors not established in the Union
1. Where Article 3(2) applies, the controller or the processor shall designate in writing a representative in the Union.
……
3. The representative shall be established in one of the Member States where the data subjects, whose personal data are processed in relation to the offering of goods or services to them, or whose behaviour is monitored, are.
4. The representative shall be mandated by the controller or processor to be addressed in addition to or instead of the controller or the processor by, in particular, supervisory authorities and data subjects, on all issues related to processing, for the purposes of ensuring compliance with this Regulation.
5. The designation of a representative by the controller or processor shall be without prejudice to legal actions which could be initiated against the controller or the processor themselves.
案例整理,謹供參考,個別案件爭議結果,會因為個案主、客觀因素而有不同,讀者進行各項決策前,務必徵詢專業法律意見,以期週全。