個資外洩|案例 39|2022 FAFCTC 訂房官網案
個資外洩|案例 39|2022 FAFCTC 訂房官網案
——電子商務
20230502|V01|池泰毅律師
原告主張:(1) 其於 110 年 5 月 12 日上被告官網,輸入姓名、手機號碼、身分證字號等個人資料,預定 110 年 6 月 12 日之溫馨套房 1 間;(2) 因疫情關係,於 110 年 5 月 24 日於官網留言板留言取消;(3) 嗣於 110 年 7 月 18 日 21 時 30 分許,在家中接獲電話,自稱係 FAFCTC 來電,稱因程式設定錯誤,誤設會員升等,所有名下之銀行帳戶全被設為授權扣繳會費 12,000 元,若無意願升等,將有銀行來電指導如何解除設定云云;接著,即有自稱銀行人員來電,告知所有帳戶餘額高於 12,000 元者都要解除設定,要求原告依指示使用手機 APP 及網路 ATM 進行操作;(4) 原告因而受騙轉帳匯出合計 605,326 元。
裁判案號
01. 第一審|台中地院 111 消 3(主文:原告之訴駁回)
原告證據
02. 原告提出下列證據:
- 派出所受(處)理案件證明單;
- 訂房線上刷卡付款通知;
- 客戶問題回覆;
- 原告刷退紀錄;
- 原告受騙匯款明細。
台中地院 111 消 3
I 非公務機關
II 個資外洩
III 違反個資法規定
03. 按公務機關或非公務機關違反本法規定,致個人資料被竊取、洩漏、竄改或其他侵害者,應查明後以適當方式通知當事人,個資法 §12 定有明文。
|被告多次反詐騙貼文及簡訊通知
04. 警政署刑事局為共同防制「解除分期付款」詐騙,於 108 年 4 月 9 日函請各電商業者於每筆訂單成立後,均需以簡訊、電子郵件加註防詐警語,並為共同強化防詐騙行為,警政署修正「電子商務業者防制詐欺作為自檢表」,主要項目為「客戶完成訂單交易後,即以簡訊及電子郵件通知消費者慎防詐騙」等作法,以提升電商資安防護等級及強化民眾之防詐意識。
05. 被告業依警政署修正後「電子商務業者防制詐欺作為自檢表」之建議項目,進行自評,並:
- 110 年 4 月 17 日在官網活動訊息網頁張貼防詐騙警語;
- 110 年 4 月 27 日在 FAFCTC 臉書網頁張貼防詐騙警語;
- 110 年 6 月 25 日在回覆住房客戶之電子郵件中加註防詐騙警語。
06. 而被告因所屬 FAFCTC 自 110 年 7 月 16 日 19 時 10 分起即有數起客戶反應遭詐騙之情形,乃:
- 110 年 7 月 16 日 19 時 52 分在其臉書網頁張貼防詐騙警語;
- 110 年 7 月 17 日,又接獲 11 通查證詐騙電話後,被告即向派出所報案,並經警員建議主動以簡訊通知住房客人注意,被告即自 110 年 7 月 18 日 8 時 58 分 33 秒開始發送防詐騙警語簡訊提醒住房客戶。
07. 況且,依據原告所提出之被告官網線上訂房留言版資料,被告於 110 年 7 月 16 日 22 時 25 分 44 秒即有針對客戶之留言,於回覆時附加反詐騙貼文,顯見在原告於110年7月18日接獲詐騙電話之前,即得透過被告在官網線上訂房留言版所加註之防詐騙警語而有所警覺。
08. 此外,被告於 110 年 7 月 20 日分別在台中日報、民眾時報、台灣省新聞記者協會、中國新聞記者協會、環球日報社,刊登澄清新聞稿,由此可知,被告在官網遭駭客侵入後,確實已盡其所能,多方提醒住房客戶慎防詐騙。
|原告個人未收到簡訊通知
09. 本件原告係於 110 年 5 月 12 日線上訂房並以信用卡支付房費,其後於 110 年 5 月 24 日線上取消訂房,被告於 110 年 6 月 3 日退刷,將原告預付之房費退回原告信用卡帳戶。
10. 依交通部指定觀光產業類非公務機關個人資料檔案安全維護計畫及處理辦法 §3 II 規定,所稱消費者,指以消費為目的而為交易、使用商品或接受服務者而言,則被告於 110 年 7 月 18 日依照轄區員警之建議,主動通知住房客戶時,距離原告取消訂房之時間已相隔 8 週,以致被告線上訂房系統未將已經取消訂房之原告列入「住房客戶」予以通知,亦屬合理有據,尚難認定被告有疏未通知之情。
11. 況且,被告在 110 年 5 月 24 日 23 時 53 分回覆原告取消訂房之電子郵件中,即已依照警政署之要求,加註防詐騙警語,以提醒原告慎防詐騙。
|技術性安全維護措施
12. 被告官網之系統商同康公司於 110 年 7 月 16 日接獲被告通報後,隨即於 110 年 7 月 19 日向訴外人川源科技有限公司添購更先進之防火牆等資安設備,以加強被告官網之安全性,足徵被告早在原告受騙前,即於獲悉有住房客人遭詐騙之情事時,立即採取適當方式,通知住房客戶,並通知系統商強化資安設備之安全措施,盡力防止客戶之個人資料被竊取或洩漏。
13. 另就原告主張被告線上訂房網路平台之內部及外部風險控制存有諸多缺陷部分,固據提出網路新聞稿中被告自稱廠商系統有疏漏之情為證,而堪認定被告之線上訂房系統因遭駭客入侵防火牆而被竊取訂房系統個人資料,然本件訂房客人個人資料之外洩,係肇因於駭客入侵被告之線上訂房系統所為之竊取行為,尚無從逕予推論係因被告之管理不當所致。
14. 電腦科技日新月異,駭客惡意入侵他人電腦系統進行攻擊之事件,層出不窮,足見現今科技尚無法提供可以完全防堵駭客攻擊之防護技術,自不能僅以被告線上訂房系統遭他人惡意入侵竊取資料乙事,遽以推論被告有未採行適當安全措施保護個人資料檔案而有違反個資法之行為或管理上有所疏失。
|結論
15. 是以,原告提出之前開事證,尚不足以證明被告有未採行適當安全措施以保護個人資料檔案、未以適當方式通知原告,而有違反個資法 §12、27 I 之情形或其管理上有所疏失。
IV 致受損害——因果關係
V 損害賠償
VI 消保法
16. 按消保法 §51 規定:「依本法所提之訴訟,因企業經營者之故意所致之損害,消費者得請求損害額五倍以下之懲罰性賠償金;但因重大過失所致之損害,得請求三倍以下之懲罰性賠償金,因過失所致之損害,得請求損害額一倍以下之懲罰性賠償金。」,其立法意旨無非係在懲罰惡性之企業經營者,以維護消費者利益,故必須企業經營者於經營企業本身有故意或過失,致消費者受損害,消費者始得依上開規定請求懲罰性賠償金。
17. 又依消保法 §2 (1)~(3) 規定,稱消費者,指以消費為目的而為交易、使用商品或接受服務者;稱企業經營者,指以設計、生產、製造、輸入、經銷商品或提供服務為營業者;稱消費關係,指消費者與企業經營者間就商品或服務所發生之法律關係。
18. 本件原告於 110 年 5 月 12 日線上訂房,嗣於 110 年 5 月 24 日線上取消訂房,經被告受理並退回預付房款後,兩造間即無任何消費關係存在,則原告主張本件為消費爭議,即屬無據。
19. 況且,原告並無法舉證被告對於其遭詐騙匯款所生之損害有何故意或過失之責任,亦未證明被告有違反消保法 §7 規定,則原告主張被告應依消保法 §51給付損害額 2 倍之懲罰性賠償金,即屬無據。
備註|歷次貼文、簡訊內容
- 「反詐騙!提醒您!不操作 ATM,『FAFCTC』不會要求您依照指示操作使用 ATM。如有任何訂單上的疑問請洽櫃檯人員!ATM 沒有退款、解除分期付款…等功能,請您務必小心。不告知信用卡資料,『FAFCTC』不會主動以電話請您提供信用卡資料,用解除或修改訂單付款設定。若您接獲可疑電話或訊息,請直接撥打 FAFCTC 專線(00)0000-0000分機222或165[反詐騙諮詢專線]查證。切勿直接回撥顯示號碼或對方提供的號碼,以確保安全。」
- 「各位親愛的好友們好:近期詐騙集團假藉本館名義邀請加入會員,並主動升等,惟需匯會費數千到萬元不等,請好友們別受騙!本館絕不會電話通知升等匯款,本館就算升等也是免費,別受騙喔!」
- 「親愛的住客您好:FAFCTC沒有提供加入會員付費升等活動,不會要求您提供信用卡號,亦不會要求您依照指示操作 ATM。若您接獲可疑電話或訊息,切勿直接回撥顯示號碼或對方提供的號碼,請直接撥打FAFCTC專線(00)0000-0000分機222或165[反詐騙諮詢專線]查詢。以確保安全。」
- 「您好:近日有詐騙集團假借 FAFCTC VIP 會員升等活動,要求房客提供個人信用卡資料等,FAFCTC 在此澄清,絕不會要求房客提供個人信用卡資料等不當動作,針對上述問題已經報案,請求司法機關處理。請提高警覺,若有疑慮可利用刑事警察局 165 反詐騙諮詢專線查證,對於您的困擾再一次抱歉。」
參考條文
個資法 §12
公務機關或非公務機關違反本法規定,致個人資料被竊取、洩漏、竄改或其他侵害者,應查明後以適當方式通知當事人。
個資法施行細則 §22
本法第十二條所稱適當方式通知,指即時以言詞、書面、電話、簡訊、電子郵件、傳真、電子文件或其他足以使當事人知悉或可得知悉之方式為之。但需費過鉅者,得斟酌技術之可行性及當事人隱私之保護,以網際網路、新聞媒體或其他適當公開方式為之。
依本法第十二條規定通知當事人,其內容應包括個人資料被侵害之事實及已採取之因應措施。
案例整理,謹供參考,個別案件爭議結果,會因為個案主、客觀因素而有不同,讀者進行各項決策前,務必徵詢專業法律意見,以期週全。