■ 個資外洩。No.107.06

璞實法律事務所

池泰毅律師

20191107

 

案例摘要

  1. 法院應用經驗法則,依已明瞭之間接事實(如民眾通報高風險平台)推定事實(個人資料係自上訴人公司外洩)真偽,認為被告未盡資安義務。
  2. 被告應證明已盡資安義務(但未證明)。
  3. 原告請求非財產上損害賠償20,000元,於法有據。

 

  1. 107.06
  2. TOEIC 第一案
  3. 基本事實
  4. 原告於105425使用電腦上網登入被告公司網站,報名被告於105年6月26日舉辦之多益英語測驗場次,並依網站規定留下個人資料。
  5. 詎料於10574即遭詐騙,共計損失金額為153,062元,事後始驚覺受騙並報警處理,請求非財產上損害賠償20,000元。

 

I.北院107北小266

 

  1. 判決主文:被告應給付原告20,000
  2. 應用經驗法則,依已明瞭之間接事實(民眾通報高風險平台)推定事實(個人資料係自上訴人公司外洩)真偽
  3. 原告提出信用卡帳單、網路報名訂單確認信、測驗服務費發票、金融機構自動櫃員機交易明細表、購買遊戲點數發票、報警紀錄,並於事發翌日隨即報警,又無誣告動機,堪信上述事實並非虛構。
  4. 況且165反詐騙專線105523日至29間統計受理假冒被告客服人員核對考生資料後遂行詐騙之案件高達47件,有原告提出之165反詐騙宣導臉書粉絲專頁列印畫面、北市警局刑警大隊網站公告訊息等資料可佐;被告復自承自105年5月起即陸續接獲1,699名考生反應有冒用被告名義之詐騙事件,並於105年5月底委由數聯資安公司重新檢視網站安全性等情,益徵原告主張之上開受騙經過,應可採信。
  5. 被告雖提出數聯資安出具之檢測及緊急應變服務報告書,抗辯其於105530委由數聯資安公司檢測網站安全性,結果均未發現有任何可疑之惡意程式,或有遭人侵入成功撈取資料之紀錄,可見本件個資洩漏與被告無關,合理懷疑為處理多益測驗之金融機構、郵務機關甚或係原告所使用之電腦端所洩漏之機率較高云云。
  6. 惟查,依全部被害人報案紀錄所示,被害考生均一致指稱詐騙集團成員係以重複報考多益測驗為由使其等誤信受騙,其中更有部分考生指出詐騙集團成員除持有被害人之姓名、身分證字號、電話號碼等基本資料外,亦知悉正確之報考序號及考試日期等情,而由被告自行提出之銀行刷卡網頁及原告提出之信用卡帳單上所載之資訊以觀,可知能同時掌握以上所有資訊之人僅有被告公司,應無可能係由付款銀行端洩漏前揭各項考試相關資訊,否則亦無法合理解釋為何考生各自使用不同家金融機構之信用卡,卻巧合地於同一時間均發生個資外洩之情形
  7. 倘若係因考生個人電腦端個資被盜,則詐騙集團成員所掌握之訊息應不只考生報名多益繳交報名費ㄧ項,詐騙集團成員何須費心挑選眾多個資遭竊者中有報名多益者作為其詐騙對象,此顯不合常情,故被告此ㄧ抗辯亦無可取。
  8. 綜觀以上事證,並依經驗法則推斷,應以被告所持有之個資外洩為最可能之結果
  9. 至於數聯資安公司提出之上開檢測報告雖指出未發現有任何可疑之惡意程式,或有遭人侵入成功撈取資料之紀錄等語,然依被告自陳其係接獲1000多名考生反應有詐騙集團成員佯以被告名義來電後,委由數聯資安公司為上開檢測,可知若有個資外洩情事,時間應早於數聯資安公司檢測之前即已發生,則數聯資安公司事後檢測是否能反映事發時之真實情況、被告當時提供之歷程紀錄是否未遭修改等,均非無疑,自不能僅憑上開報告遽為有利於被告之認定,況且資料外洩之途徑亦不只有植入惡意程序或侵入撈取,更不能排除有人為刻意洩漏之虞,益見被告僅以上開檢測報告辯稱資料外洩與其無涉云云,實不足採。
  10. 被告應證明已盡資安義務(但未證明)
  11. 依個資法第29條第1項規定,被告推定為有故意、過失,應就其行為負損害賠償責任;被告如主張免責,即須就其已善盡注意採行適當安全措施,而無故意或過失一事負舉證責任。
  12. 被告固辯稱其於105年5月事件發生即已採取防火牆、電子加密系統、封包加密處理及員工個人電腦防毒軟體等安全保護措施,亦制訂有電腦使用管理辦法及舉辦資訊安全教育訓練云云,然查前述系統安全防護措施均係基本配備,以被告公司營運規模之大,蒐集處理之個人資料數量之多,實不能僅以安裝前揭措施即謂符合安全標準。
  13. 至於被告稱其裝設之主動入侵防禦系統為當時業界評價極優秀之系統云云,除未舉證以佐其說外,縱使為真,依前揭規範意旨,資訊系統防護亦僅為資安防護工作之一環而已,本院曾曉諭被告應提出事件發生前該公司之完整資安計畫,然被告迄未提出相關資料說明該公司就電腦使用紀錄、軌跡資料係如何保存、有無對資訊系統及電腦設備進行定期安全稽核、或對經手客戶資訊之員工建置完善之稽查制度等,顯難認為被告已證明其就所取得之客戶個資善盡防護工作,以避免遭不法蒐集、處理或利用。從而,被告援引個資法第29條第1項但書規定主張免責,自屬無據。
  14. 原告請求非財產上損害賠償20,000元,於法有據
  15. 經查,被告因未善盡安全防護措施,導致原告之個資外洩,並遭詐騙集團使用等情,業經本院認定如前,堪認原告之隱私權確實受有侵害。
  16. 隱私權本身即為一種法益,原告因其個資遭暴露,隨時處於不安之狀態中,而受有精神上之痛苦,此即原告所受之非財產上損害,不以原告有無因此受有財產上損害或其他實害為必要。
  17. 本院審酌本件原告遭洩漏之個資型態、數量及實際受害情節,認原告請求賠償20,000元並無過當,核屬有據。

 

II.北院107小上160

 

  1. 判決主文:上訴駁回
  2. 上訴人所述本案應係詐騙集團自未受保護之被上訴人電腦於連向上訴人及銀行伺服器時遭反向攔阻或側錄,始會產生僅部分考生資料遭詐騙集團取得等情,然此部分純屬上訴人之臆測,並無證據證明,亦無法說明為何本案被害人之共通性均為報名上訴人公司之多益測驗一情,自難僅憑上訴人臆測之詞,即認原審判決有何違背論理法則及經驗法則之違誤。
  3. 上訴人稱原判決對於資安報告檢測結果之解讀及認定明顯與「log紀錄依一般技術無法更改」之電算基礎常識相悖,有違經驗法則。惟上訴人所稱「log紀錄依一般技術無法更改」之電算基礎常識,並未見上訴人有何舉證,且本件資安報告之檢測係在事後為之,在本案被上訴人及其他考生資料外洩後,電腦是否經過更正、修改,甚至資料外洩之途徑不只有植入惡意程序或侵入撈取,亦有可能係人為刻意洩漏,是本件自難依此一事後之檢測報告,即認上訴人已盡妥適保管被上訴人個人資料之責。本件原審判決依此認定上訴人所提資安檢測結果無法做為有利上訴人之認定,已說明得心證之理由,屬事實審法院採證認事職權行使之範圍,上訴人指稱原審判決有違經驗法則,自屬無據。
  4. 至上訴人所稱原審要求上訴人需提出「完整資安計畫」係在增加法所無法之限制(施行細則第12條),惟原審判決係依本件個案具體情形,認上訴人公司營運規模之大,蒐集處理個人資料之數量即多,認定上訴人就本案所提資料,難認就資料之保管已善盡防護工作,與前開法文規定相符,亦已在判決內說明其認定之理由,上訴人指述原審判決違法或增加法所無限制之情,難認有理。

 

以上判決摘要,僅供參考,個別案件因事實認定、法律適用、舉證責任等因素,而可能有不同之判決結果,應予個案判斷。