個資外洩|案例 36|2022 星○公司員工個資外洩案
個資外洩|案例 36|2022 星○公司員工個資外洩案
——雇傭關係
20230501(V01)|池泰毅律師
原告主張:(1) 原告等人均為被告一星○公司前員工,被告一委託被告二耘○公司處理財務、稅務相關會計事項;(2) 原告等人離職後,於 110 年 6 月 23 日發現其所得憑單被公開於被告二之網站上,其上有原告姓名、國民身分證統一編號、地址連絡方式、108 年度所得等個人資料等;(3) 經通知刪除後,遲至 111 年 4 月 6 日始完全刪除;(4) 原告等人爰依法請求被告一、二給付各 50,000 元損害賠償。
裁判案號
01. 第一審|台中地院 111 沙簡 3(主文:被告一、二應連帶給付原告等人 10,000~15,000 元)
台中地院 111 沙簡 3
I 非公務機關
II 個資外洩
02. 原告等人均為被告一星○公司前員工,被告一委託被告二耘○公司處理財務、稅務相關會計事項,原告等人離職後,於 110 年 6 月 23 日發現其所得憑單被公開於被告二之網站上,其上有原告個人之姓名、國民身分證統一編號、地址連絡方式、 108 年度所得等情。
03. 經過多次通知,被告一、二並仍未刪除前述個人資料:
- 110 年 11 月 23 日谷歌搜尋引擎內搜尋,仍有自動建立之頁庫存檔;
- 111 年 1 月 14 日查詢時,發現除原告龔○○外,其餘原告 5 人之國民身分證統一編號、姓名個人資料,於被告二網站網頁之「網址」欄仍公開可見;
- 111 年 3 月 2 日再次確認,原告周○○、柯○○之國民身分證統一編號、姓名之個人資料,仍於被告二網站網頁之「網址」欄公開可見等情。
04. 查,原告於 110 年 6 月 23 日查詢時,於谷歌網站上確有查到所有原告之 108 年度所得憑單等情,依畫面資料顯示,其網址資料旁確實均顯示有「pdf」之框線資料,點選後即進入所得憑單畫面資料等情,足見原告所述各該進入資料確實為可供下載之 pdf 檔資料應屬無誤,故被告所辯各該資料係圖片檔,不能由網頁上直接按取下載云云,自不可採。
05. 況且,即使資料不可下載,惟既可從網頁上瀏覽,則第三人自仍可觀察到原告之姓名、國民身分證統一編號、住址連絡方式及 108 年度所得之財務資料,而用手記等方式轉為記載,自已洩露原告個人資料,被告辯稱原告沒有舉證資料可以下載,不能認為是電腦資料外洩云云,亦不可採。
III 違反個資法規定
|被告二
06. 被告二雖辯稱其網站設有帳號及密碼機制,本件資料外洩係因網路爬蟲所造成,被告二使用谷歌網站線上反映處理機制,於 110 年 7 月 28 日通過核准,但谷歌公司處理結果是「網址連結還在,但無法預覽」。
07. 被告二又於 111 年 1 月 26 日 16 時 54 分許,再次提出移除要求,於 111 年 1 月 28 日上午 8 時許始接獲「核准移除」通知,始將鏈結移除並清除暫存檔等語,並提出被證 1、3、4、7、8 之網頁列印資料為證。
08. 惟查,原告並未登入被告二網站資料,單以關鍵字查詢,即可查得上開資料,足見確實係被告二公司電腦程式設計不佳,始造成原告個人資料外洩,自有違反個資法 §27 I 之「非公務機關保有個人資料檔案者,應採行適當之安全措施,防止個人資料被竊取、竄改、毀損、滅失或洩漏」之規定。
09. 被告二表示係網路爬蟲所造成,既為原告所否認,被告二亦未舉證其對本件資料洩露無過失之情形,其所辯自不可採信。
|被告一
10. 被告一未盡監督義務,自亦有過失責任。
IV 致受損害——因果關係
11. 個資法 §11 IV 規定:違反本法規定蒐集、處理或利用個人資料者,應主動或依當事人之請求,刪除、停止蒐集、處理或利用該個人資料。則被告自負有刪除該資料之義務,此亦可從被告二使用谷歌網站線上反映處理機制,於 110 年 7 月 28 日通過核准,但谷歌公司處理結果是網址連結還在,但無法預覽,被告二又於 111 年 1 月 26 日 16 時 54 分許,再次提出移除要求,於 111 年 1 月 28 日上午 8 時許始接獲核准移除通知,惟仍有原告周○妤、柯○瑩之資料,於 111 年 3 月 2 日仍未刪除,其後於本院 111 年 4 月 6 日言詞辯論前始全部刪除等情,足證各該違反個資情形確實可以刪除,僅係被告消極不作為,則上開期間資料洩露情形,自均可歸責被告無誤。
12. 被告二辯稱其與原告受限於谷歌公司之隱私權政策及服務條款,而立於相同地位,僅能要求谷歌公司處理,被告二對於移除個資外洩事件,已經盡到跟原告相同的注意義務云云,亦不足減免被告之責任。
V 損害賠償
13. 個資法 §29 II 準用 §28 III 規定所稱之「每一事件」,應以被害人個資遭「行為人不法蒐集、處理、利用之次數」計算,而「非」以被害人之個資件數計算;此觀法條明文以「事件」計算,而非以「被害人之個資件數(數量)」計算即明。
|非財產上損害
14. 本件法院依個別原告受害期間長短計算損害賠償。
15. 本院審酌原告財產、所得情形,及被告一、二之設立資本,並審酌原告主張受害情節,其中原告龔○○於 111 年 1 月 14 日查詢時,已無發現國民身分證統一編號、姓名之個人資料,於 111 年 3 月 2 日再次確認,僅剩原告周○○、柯○○之國民身分證統一編號、姓名之個人資料,仍於被告二之網站網頁之「網址」欄公開可見,至 111 年 4 月 6 日本院言詞辯論前始完全刪除等情,認原告龔○○受害較輕,次為原告黃○○、張○○、林○○,而原告周○○、柯○○受害期間最久,自均屬侵害原告之隱私權。
16. 衡以渠等違反個資法之行為,係因網站管理不佳及監督不佳,始造成資料洩露,致違反個資法侵害原告之隱私權,其後於 111 年 4 月 6 日言詞辯論終結前刪除完畢等一切情事,認原告依個資法 §29、民法 §185、§195 I 規定,請求被告負連帶侵權責任,於 10,000~15,000 元之範圍內為有理由,逾此範圍之請求,則屬過高,不應准許。
案例整理,謹供參考,個別案件爭議結果,會因為個案主、客觀因素而有不同,讀者進行各項決策前,務必徵詢專業法律意見,以期週全。