■ 個資外洩。No.107.07

璞實法律事務所

池泰毅律師

20191108

 

案例摘要

  1. 被告應證明已盡資安義務。
  2. 法院應用舉證責任倒置原則,認為被告違反個資法與原告受有損害間,推定有「一般因果關係」,被告應提出確切反證始足以推翻該因果關係之認定(被告未提出反證)。
  3. 原告請求非財產上損害賠償20,000元,於法有據,但財產上損害賠償部分,無理由(此為原告個人疏忽行為)。

 

  1. 107.07
  2. 雄獅旅行社 第三案
  3. 基本事實
  4. 原告主張於106424在被告門市購買機票,因而留存個人資料於被告公司。
  5. 嗣於10673晚間,突然接到自稱被告公司員工來電,陳稱公司內部電腦遭駭客入侵,竊走部分客戶個人資料,其中包含原告先前下訂資料在內,且利用該資料下訂12張機票,因事態緊急,亟需處理,騙取原告告知持用第一銀行發行之信用卡後,繼又編以須至銀行自動提款櫃員機(ATM)辦理取消訂購12張機票之手續,且將聯繫第一銀行人員,續為為原告處理取消訂票事宜。嗣某自稱第一銀行專員打電話給原告,原告受騙而不自知,乃依其指示至ATM進行操作,致遭詐諞計127,987元。
  6. 請求非財產上損害20,000元。

 

I.士院107湖簡110

 

  1. 判決主文:被告應給付原告20,000元(二審和解後撤回起訴)
  2. 被告應證明已盡資安義務
  3. ( 107.02 OB 嚴選第一案)
  4. 按事實有常態與變態之分,其主張常態事實者無庸負舉證責任,反之,主張變態事實者,則須就其所主張之事實負舉證責任。
  5. 查,被告為資本額達億元以上之公司,且經營規模非小,依常情而言其能力自較一般消費大眾來得強大。甚且被告經營網路消費平台,於公司電腦中、或資料庫中又或者於所於營網站上儲存客戶之消費資料更屬常態;反之一般消費者於其電腦或手機中留存其個人聯繫資料,則屬變態。
  6. 被告雖辯稱系爭消費資訊之所以外洩,或可能出自原告,對於客戶資訊保護責任,不應全由被告承擔云云。
  7. 究其所辯固非絕無可能,惟依前開說明,駭客入侵營業公司之電腦竊取其大量客戶資訊,要屬常態;反之,侵入個人電腦以竊取個人之消費資料,則屬變態。是應由被告先行舉證證明其確已善盡對於該公司客戶所留消費資料之保存責任,且未遭不法蒐集,而不應推責於原告
  8. 被告未證明已盡資安義務
  9. 被告自承該公司電腦遭駭、發生客戶個資外洩情事,然主張不包含系爭消費資訊云云。查,系爭消費資訊成立日期為106424日,顯在同年5月間被告公司電腦遭駭之前,兼以詐騙集團竟得利用系爭消費資訊,依經驗法則推斷,系爭消費資訊應在前述被告遭竊36萬餘筆客戶資訊當中,詐騙集團方得利用之而對原告進行精準詐騙
  10. 被告並未提出該公司對資安防護工作之建置相關資料,以佐證發生前述公司電腦遭駭、客戶資料外洩前,已對其所取得客戶資料建置有效防護措施外,更乏資料可認被告於本事件發生前,已於該公司內部就經手客戶資訊之員工建置完善、嚴格之管理制度。故難推認被告已就其所取得客戶個人資料,善盡防護工作,以避免遭不法蒐集、處理、利用。
  11. 舉證責任倒置,被告違反個資法與原告受有損害間,推定有「一般因果關係」
  12. 按,當事人主張有利於己之事實者,就其事實有舉證之責任,但法律別有規定,或依其情形顯失公平者,不在此限,民事訴訟法第277規定甚明。上開但書規定係於89年2月9日該法修正時所增設,肇源於民事舉證責任之分配情形繁雜,僅設原則性之概括規定,未能解決一切舉證責任之分配問題,為因應傳統型及現代型之訴訟型態,尤以公害訴訟、商品製造人責任及醫療糾紛等事件之處理,如嚴守本條所定之原則,難免產生不公平之結果,使被害人無從獲得應有之救濟,有違正義原則。是法院於決定是否適用上開但書所定之公平要求時,應視各該具體事件之訴訟類型特性暨求證事實之性質,斟酌當事人間能力之不平等、證據偏在一方、蒐證之困難、因果關係證明之困難及法律本身之不備等因素,以定其舉證責任或是否減輕其證明度,最高法院103年度台上字第1311號判決參照。
  13. 查,被告對其持有之系爭消費資訊,未盡法定維護義務而有「過失」乙情,既經認定如前,則原告個資遭竊取、外洩,進而為不法集團持用、利用,致原告隱私權遭侵害,自堪認定。
  14. 宥於網際網絡科技浩瀚並參雜人為因素之變異而有高度舉證困難,責令被害人擔負完全之舉證責任實有不公,兼以被告經營旅遊業,且達一定規模,原告交付個資後即由其支配掌握,其對於個資被竊取或外洩風險之控制及分擔能力俱優於原告,故本院斟酌本件訴訟性質、兩造之舉證能力、被告違反義務之情節及風險分配之合理性,進而比照我國實務就公害訴訟降低被害人因果關係舉證責任之見解,認被告行為所生之危險已有相當合理確定性,即推定有一般因果關係之存在最高法院102年度台上字第31號判決意旨參照),被告倘認無一般或個別因果關係存在,自應提出確切之反證證明。
  15. 原告請求非財產上損害賠償20,000元,於法有據
  16. 被告既未能提出確切反證,是原告主張被告未盡法定維護義務,致原告個資遭外洩,令其隱私權受侵害等節為可採,原告依個資法第29條、第28條第2項規定,請求「個資外洩之非財產上損害」20,000元,於法即屬有據,且衡情並未過當。
  17. 原告請求財產上損害賠償,無理由(原告個人疏忽行為)
  18. 查,106年5月間發生被告公司之電腦遭駭客入侵,約有36萬餘筆客戶資訊遭竊事件,經見載於報紙、網路媒體,業經認定於前,則原告自應有所警覺與注意;又詐騙集團利用電話詐騙民眾前往ATM操作,此一再為政府、各媒體所宣導,原告應有防騙意識;況被告公司電腦遭駭後,被告於同年月23日、26日,即曾以簡訊通知原告:「該公司不會以電話通知客戶前往ATM操作,以訂單操作錯誤重複扣款或不合理優惠,於電話中要求您提供信用卡資料或帳戶資訊等,均為詐騙行為。請慎防詐騙,避免受害…」並提出該發訊資料為證,原告亦自承有接到該簡訊通知,由此,足資證明被告已採取適當避免原告因被告公司電腦遭駭客入侵、客戶資料外洩,而可能遭受財產上損害之防護行為。
  19. 原告於106年7月3日晚間,接獲詐騙集團打來之詐騙電話,竟誤信該詐騙伎倆為真,提供原告個人之信用卡資料予對方,進而為系爭ATM操作行為,方導致原告受有系爭財產上損害,且該損害核乃原告個人疏忽行為所致,尚難認有相當因果關係存在。

 

以上判決摘要,僅供參考,個別案件因事實認定、法律適用、舉證責任等因素,而可能有不同之判決結果,應予個案判斷。