個資外洩｜案例 42｜2022 LD 基金會個資外洩案

20230502（V01）｜池泰毅律師

原告主張：(1) 其於 110 年 6 月 6 日透過被告網站連線至訴外人綠界科技之「ECPay」金流平台，以線上刷卡之方式單次捐款 1,000 元予被告，並因此於捐款系統填寫其姓名、手機號碼、電子郵件信箱、地址，及信用卡之卡號、發卡銀行、有效年月、安全碼等個人資料；(2) 然被告未採取適當安全措施，致系爭個資遭竊取或洩漏，而為真實身分不詳之詐欺集團成員不法蒐集；(3) 該等詐欺集團成員於 110 年 10 月 8 日晚間 9 時許，佯裝為被告及中信商銀職員，偽稱捐款錯誤設定為每月定期定額扣款，須依指示操作自動櫃員機始能解除設定云云，致原告陷於錯誤，陸續匯款至詐欺集團所持人頭帳戶；(4) 爰請求賠償財產上損失 471,911 元，及慰撫金 128,089 元。

裁判案號

01. 第一審｜桃園地院 111 訴 263（主文：原告之訴駁回）

桃園地院 111 訴 263

｜程序事項

02. 被告主張當事人個資係委由參加人 IS 公司代為管理，若法院認定被告須負損害賠償責任，該公司即有另受被告追償之可能，於本訴訟具有利害關係，故法院准許 IS 公司參加訴訟之聲請。

I 非公務機關

03. 本件原告對接受捐款之 LD 基金會提告。

04. 但本件關係人，尚有下列數者：

• 資訊系統廠商：代 LD 基金會管理個資（被告主張）的 IS 公司（該公司已參加本件訴訟）；
• 金流參予者：中信商銀（信用卡公司）、綠界科技（第三方支付）。

II 個資外洩

05. 原告主張系爭個資係自被告之捐款管理系統遭竊取或洩漏，既為被告所否認，即應由原告就此負舉證之責。

06. 經查，原告於 110 年 6 月 6 日，經由被告網站之捐款管理系統，並透過綠界科技之「ECPay」第三方支付平台，持中信商銀所製發信用卡，以線上刷卡之方式捐款 1,000 元予被告，因而於上開系統、平台填寫包括其姓名、手機號碼、電子郵件信箱、地址，及信用卡之卡號、發卡銀行、有效年月、安全碼等內容之系爭個資，有原告信用卡帳單明細、綠界科技付款成功通知郵件可參，此等事實固可認定；但觀諸上開捐款交易之流程，應可見其中有蒐集、處理原告個資之可能性者，除被告及參加人之外，顯然尚有第三方支付業者及發卡銀行等二機構。

07. 原告雖主張詐欺集團成員以電話向原告施用詐術時，明確知悉原告之姓名、手機號碼、電子郵件信箱、地址、信用卡卡號、安全碼及捐款金額等逐項資料，而此等資訊僅有被告蒐集最為完整等語；然參諸原告於警詢時之指述，則僅見其陳稱詐欺集團成員佯裝為被告員工及中信商銀客服人員，偽稱要替其解除固定扣款設定等概略情節，至於其等當時究竟向原告提及何等具體內容之個資，實已無從稽考。

08. 況第三方支付業者或發卡銀行既為上開刷卡交易之實際執行者，對於該筆交易相關個資蒐集、處理之詳細程度何以低於被告，亦未有合理說明。

09. 從而，依本件原告之主張，仍難合理排除系爭個資自其他環節遭竊取或洩漏之可能性，原告遭不法蒐集、利用之系爭個資是否確實來自被告捐款管理系統，即尚難證明。

III 違反個資法規定

｜技術性安全維護措施——要做到甚麼程度？

10. 再者，本件被告委由參加人建置之捐款管理系統，所採取安全管理措施已包括（依參加人陳述）：後台網站採用 SSL 加密機制、採用 FortiGate 80E FG-80E BDL 規格防火牆並有7*24硬體保固加4項特徵碼更新、主機採用 Windows Defender 及 ESET security 防毒軟體防護、採用 Acuntix OpenVas 程式弱點掃描工具、每次機構使用者連線帳號密碼、時間及 IP 紀錄存檔等，堪認被告已採取相當之安全措施。

11. 原告雖主張上開防護項目僅為一般性措施，並引述士林地院 107 簡上 225 判決，認被告至少應採取「網路及實體隔離方式」，亦即將所保有個人資料與網路連線切斷云云；但衡諸常理，一般之自然人或機構於保護其電腦系統或資料庫內電磁紀錄時，應多係針對系統或資料之整體進行廣泛、通盤之防護，以防範不特定之資訊攻擊，而非當然會就各該資料逐一採取特化之防護措施，原告以上開措施僅為一般性措施為由，認其不具適當之安全性，應非有理。

12. 另參上開判決理由，可知所謂實體隔離措施，亦僅係該案被告在其內部之個資保護管理作業要點所定「機密性敏感性檔案資料應進行實體隔離（與外部網路隔絕）」之規定，尚無其他證據可認為同業之常規標準。

13. 此外，原告亦未為其他舉證，以證明被告捐款管理系統有何欠缺適當之安全性，因而導致系爭個資被竊取或洩漏之情事，自不能認被告有違反個資法 §27 I 之情形。

IV 致受損害——因果關係

V 損害賠償

參考條文

個資法 §27

非公務機關保有個人資料檔案者，應採行適當之安全措施，防止個人資料被竊取、竄改、毀損、滅失或洩漏。

中央目的事業主管機關得指定非公務機關訂定個人資料檔案安全維護計畫或業務終止後個人資料處理方法。

前項計畫及處理方法之標準等相關事項之辦法，由中央目的事業主管機關定之。

個資法施行細則 §12

本法第六條第一項但書第二款及第五款所稱適當安全維護措施、第十八條所稱安全維護事項、第十九條第一項第二款及第二十七條第一項所稱適當之安全措施，指公務機關或非公務機關為防止個人資料被竊取、竄改、毀損、滅失或洩漏，採取技術上及組織上之措施。

前項措施，得包括下列事項，並以與所欲達成之個人資料保護目的間，具有適當比例為原則：

一、配置管理之人員及相當資源。

二、界定個人資料之範圍。

三、個人資料之風險評估及管理機制。

四、事故之預防、通報及應變機制。

五、個人資料蒐集、處理及利用之內部管理程序。

六、資料安全管理及人員管理。

七、認知宣導及教育訓練。

八、設備安全管理。

九、資料安全稽核機制。

十、使用紀錄、軌跡資料及證據保存。

十一、個人資料安全維護之整體持續改善。

案例整理，謹供參考，個別案件爭議結果，會因為個案主、客觀因素而有不同，讀者進行各項決策前，務必徵詢專業法律意見，以期週全。