■ 個資外洩。No.108.01

璞實法律事務所

池泰毅律師

20191112

 

案例摘要

  1. 原告應先證明被告違反個資法規定致受損害。
  2. 被告已採取「個資外洩通知」之安全措施,故已盡應採取安全措施之資安義務。
  3. 原告受騙內容之付款方式(刷卡有誤)與其實際購物行為(貨到付款)之付款方式並不相同,故「無」相當因果關係。
  4. 原告之訴駁回。

 

  1. 108.01
  2. DevilCase 第一案
  3. 基本事實
  4. 原告主張於107年6月6日在被告經營之DEVILCASE平台購買手機殼。
  5. 嗣於同年7月24日晚上7點27分接獲假冒被告名義的詐騙電話,該來電中的歹徒知悉原告的姓名、手機號碼、購買物品,致遭詐騙49,989元。
  6. 原告意識到遭騙後隨即撥打165反詐騙專線,並至東湖分局完成報案筆錄。
  7. 在原告遭騙時,被告公司亦名列165反詐騙專線之高風險賣場之一。
  8. 原告以個資法第29條為請求權基礎,請求被告給付非財產上損害20,000元整。

 

I.竹院108竹小68

 

  1. 判決主文:原告之訴駁回
  2. 原告應先證明被告違反個資法規定致受損害
  3. 依個資法第29條第1項但書規定,被告就其無故意或過失,固負舉證之責,惟原告既主張被告違反個資法規定,致其權利受損,則原告就其有利於己之事實即主張其遭詐騙時之個資係來自被告公司網站,及被告違反個資法規定之事實,即應先負舉證責任。
  4. 經查,原告所提出之165反詐騙專線統計資料,可知被告網站於106年間及107年7月至12月間已有個資外洩遭詐騙集團成員利用之情事,且受害件數非少,個資外洩並非偶發事件,惟此節尚不足以確認詐騙份子向原告實施詐騙時所使用之原告個資即來自被告公司網站系統遭到入侵而致資料外流
  5. 另外,原告係於107年6月6日在被告公司網站消費,則原告在被告公司網站消費所提供之個資,是否亦在被告公司網站系統前因疑似遭到入侵成功而外流的消費者個資之列,亦非無疑,均難遽認本件向原告實施詐騙行為之人所使用之原告個資確係來自被告之公司網站系統遭到入侵而外流之消費者資料。
  6. 原告主張165反詐騙專線統計資料顯示受害件數非少之情事,即遽以推論係被告未做好安全措施云云,亦尚嫌速斷,而原告未再提出佐證證明詐騙份子所使用原告個資係來自被告公司,自無從認原告主張可採。
  7. 被告已採取「個資外洩通知」之安全措施
  8. 依被告所提原告交易時之被告官方網站頁面資料,防詐騙警語標註置放在居中位置,字體放大且顯著,其中並載明「客服…不會要求您去ATM任何取消或更改的動作!」等文字,已難認被告有違反個資法相關規定毫無管理而任令個資外流。
  9. 原告受騙內容之付款方式與其實際購物行為之付款方式並不相同,「無」相當因果關係
  10. 更有甚者,原告不爭執本件交易係網路下訂、貨到付款之方式進行,亦即,原告並無在購買本件交易之手機殼時有輸入帳號自動扣款之情事,而原告自承受詐騙時對方係以「因工作人員操作不慎,致原告『帳戶將重覆扣款12次』等語」進行詐騙而受騙,顯示原告受騙內容之付款方式與其實際購物行為之付款方式並不相同且無關,原告並未網路刷卡付款,卻因一時緊張受騙上當而至ATM轉帳,亦可證原告財物損失係因詐騙份子積極實施詐騙行為所致,並非原告個資外流之必然結果。

 

以上判決摘要,僅供參考,個別案件因事實認定、法律適用、舉證責任等因素,而可能有不同之判決結果,應予個案判斷。