■ 個資外洩。No.107.08

璞實法律事務所

池泰毅律師

20191111

 

案例摘要

  1. 原告應先證明被告違反個資法規定致受損害。
  2. 被告因為不知個資外洩而未採取「個資外洩通知」之安全措施,難認有不法,但在知悉個資外洩後,隨即採取「個資外洩通知」之安全措施。
  3. 本案原告受損係因第三人不法行為介入(詐騙),故原告損失與個資外洩事故間,無相當因果關係。

 

  1. 107.08
  2. 屋伊特印刷 第一案
  3. 基本事實
  4. 被告公司網站系統曾於106328接獲第1次會員反應接到詐騙電話。
  5. 原告主張於10646,透過被告官網(com.tw)線上消費列印DM,而提供個人資料予被告及線上信用卡支付費用。
  6. 嗣於10683,原告接到假冒被告公司員工之詐騙份子來電,遭詐騙轉帳至對方所提供之帳號14萬8,989元。
  7. 爰依個資法第29條規定請求被告應賠償150,000元。

 

I.士院107湖簡644

 

  1. 判決主文:原告之訴駁回
  2. 原告應先證明被告違反個資法規定致受損害
  3. 按依個資法第29條第1項但書規定,被告就其無故意或過失,固負舉證之責,然原告既主張被告違反個資法規定,致其權利受損,則原告就其有利於己之事實即主張其遭詐騙時之個人資料係來自被告公司網站,及被告違反個資法規定之事實,即應先負舉證責任
  4. 被告固不否認其公司網站系統曾於106年3月28日接獲第1次會員反應接到詐騙電話,而可認在上開時間前被告公司網站遭到入侵,然被告公司網站內原告之個人資料是否遭入侵「成功」及外流,則尚不足以「確認」。詐騙份子向原告實施詐騙時所使用之原告個人資料是否係來自被告之公司網站系統遭到入侵而外流者,尚非明確。
  5. 另外,原告係於同年4月6日在被告公司網站消費,則原告在被告公司網站消費所提供予被告之個人資料,是否亦在被告公司網站系統因疑似遭到入侵成功而外流的消費者個人資料之列,已非無疑。
  6. 被告不知個資外洩而未採取「個資外洩通知」之安全措施,難認有不法
  7. 非公務機關負有依規定以適當方式通知當事人之責,係以其違反個資法規定,致個人資料被竊取、洩漏、竄改或其他侵害者為前提,若公務機關或非公務機關並無違反個資法規定之情事,要難以其未通知當事人,即認其有何不法
  8. 查,本件尚難確認詐騙份子所使用原告之基本資料係被告之公司網站系統遭到入侵而外流者易言之,並不能排除並係被告之公司網站系統遭到入侵而導致消費者資料外流之可能性,自不能遽認被告已確有違反個資法規定之事實。
  9. 況被告自陳於106年3月28日第一次接到會員告知接到詐騙份子電話後,查詢其公司網站系統之防駭機制,得知網站系統曾於同年月3日、4日、14日及27日成功阻擋了3萬4,800次來自相同IP位置之異常入侵等情,有被告提出而為原告不爭執之阻擋入侵明細可佐。
  10. 則被告於會員反應接到詐騙份子電話時,查詢的結果係其公司網站系統確實已阻擋了上萬通之異常入侵,既然該等異常入侵業已被阻擋,且究係善意入侵或惡意入侵仍不明確之情形下,即無從認被告已明確知悉其公司網站業已遭入侵成功,並有客戶資料包括原告資料外流之事。
  11. 被告知悉個資外洩後,隨即採取「個資外洩通知」之安全措施
  12. 在被告接到會員通知接到詐騙份子電話後,為求慎重,即採取報警備案、自106329日起在網站首頁顯示防詐騙宣傳、於出貨給客戶時亦夾帶防詐騙警示之DM、加強網站之防駭邏輯等措施,應認其已有採取相當之措施。則原告主張被告違反通知義務云云,尚嫌無據。
  13. 第三人不法行為介入,故損失與個資外洩事故間,無相當因果關係
  14. 本件原告提供予被告之會員資料,上為「姓名」、「電話」、「公司名稱」、「地址」、「訂單編號」、「消費日期」及「消費金額」等原告個人基本資料與消費資料,縱認被告如未疏於維護其公司網站內之原告上開所提供之個人資料,原告不致被詐騙份子詐騙而受財物損失,而認被告之疏失行為可謂原告財產權受損害之不可欠缺之條件。
  15. 原告財物之損失係因詐騙份子積極實施詐騙行為所致並非原告個人資料外流之必然結果,被告公司網站內客戶資料之外流,固係對於客戶隱私權之侵害,然衡諸一般情形,資料外流並不必然發生客戶受詐騙且受有財物損失之財產權侵害結果,是被告縱有疏失行為,其與原告之財物損失結果,不得謂有相當之因果關係,依前揭說明,即難被告應就原告被詐騙之損失負責。
  16. 「感謝廣大網友多年的支持。本公司由於內部系統問題,將永久歇業。造成您的困擾,請多多包涵。」

 

以上判決摘要,僅供參考,個別案件因事實認定、法律適用、舉證責任等因素,而可能有不同之判決結果,應予個案判斷。