內湖簡易庭107年度湖小字第401號

臺灣士林地方法院小額民事判決　　　　107年度湖小字第401號原　　　告　彭欣誼 訴訟代理人　陳信一 被　　　告　橘熊科技股份有限公司 法定代理人　王蘭芳 訴訟代理人　陳景平 上列當事人間損害賠償事件，經本院於民國107 年5 月17日言詞辯論終結，判決如下： 主 文 被告應給付原告新臺幣貳萬元，及自民國一百零七年三月十日起至清償日止，按年息百分之五計算之利息。 訴訟費用新臺幣壹仟元由被告負擔。 本判決得假執行；但被告如以新臺幣貳萬元為原告預供擔保後，得免為假執行。 事實及理由 一、原告主張： ㈠伊之前曾於被告所營OB嚴選網站上購物，因而留下個人資料，嗣於民國106 年10月21日下午突然接到自稱為0B嚴選會計人員打來之電話，陳稱該公司內部電腦系統出錯，造成多筆購買資料須轉銀行協助，並「準確告知」原告於同年8 月10日有在該公司OB嚴選網站上購買鈕釦衣物等相關資訊（包含原告當時所留手機號碼、住家地址。以下合稱系爭消費資訊），因原告個性容易相信別人，乃與之交談甚久，幸得家人即時提醒該電話可能為詐騙集團所打，方驚覺可能受騙並掛斷該電話（下稱系爭詐騙電話）。嗣致電信用卡公司客服人員及165反詐騙專線進行確認，得悉前開電話確為某詐騙集 團成員所打。因被告未依個人資料法之規定，盡力做好該公司對客戶（包含原告在內）資料之保護工作，致遭某詐騙集團獲取，並藉之對原告進行「精準詐騙」，令原告受有非財產上損害。爰依個人資料保護法第29條規定，請求被告賠償新臺幣（下同）20,000元，並加計自起訴狀繕本送達被告翌日起算之法定利息等語。 ㈡並聲明：如主文第一項。 二、被告則抗辯： ㈠原告接到之系爭詐騙電話，究其內容屬詐騙集團慣用之手法，原告當有所警覺。況被告向來重視消費者權益及資安防護，除已按照個人資料保護法規定建置相關客戶個人資料檔案之安全維護計畫外，自開站以來就資安防護建置包含Arbor Networks阻斷式（DoS , DDoS）攻擊防護系統等多種保護措施，對經手客戶資訊人員亦有完善、嚴格之管理制度，更定期委託第三方專業資安防護公司進行所營網站弱點掃描等防護措施，目前尚無發現任何可能由被告內部流出客戶個資的漏洞，有關原告個資之外洩，或可能是原告在不安全網路環境下，任意點選連結，又或者原告未定期更換密碼，致原告手機或電腦遭植入木馬程式，因而竊得系爭消費資訊。此外，物流業者、便利商店業者或是大樓管理人員均有可能得知原告之個人資料或消費訊息，實逕難認原告接獲詐騙電話係因為被告公司洩露原告之個人資料所致。因被告業依個人資料保護法之規範落實對客戶個人資料防護，與原告所述遭遇（即接獲系爭詐騙電話受有非財產上損害）間，要無因果關係，更無故意或過失等語。 ㈡並聲明：⒈原告之訴駁回；⒉如受不利判決，願供擔保請准免為假執行之宣告。 三、法院之判斷： ㈠原告主張其接獲某詐騙集團成員利用原告曾於被告所營OB嚴選網站上購物之消費資訊（即系爭消費資訊），對原告進行詐騙之事實，業據提出其個人之信用卡帳單、電話通聯紀錄、106 年9 月24日中時電子報上刊登「OB嚴選」疑洩漏客戶個資43人遭詐逾300萬元之新聞網頁資料擷取畫面等為證， 被告亦未爭執該等資料之形式真正，原告此部分主張堪認屬實。 ㈡原告復主張其接到系爭詐騙電話，乃被告未善盡對客戶個人資料之保護所起，且致其受有非財產上損害（即其個人資料遭被告外洩）等情，被告則以前揭情詞置辯。是本件之爭點厥為：⒈某詐騙集團取得之系爭消費資訊是否因被告未善盡保護責任所洩漏？⒉被告是否已依個人資料保護法之規定採取適當安全措失，以防止原告個資被竊取或外洩而無過失？⒊被告倘有過失，其過失行為與原告受有個資外洩之損害間有無相當因果關係？茲分論如下： ⒈某詐騙集團取得系爭消費資訊是否因被告未善盡保護責任所洩漏護責任所洩漏之判斷： 按事實有常態與變態之分，其主張常態事實者無庸負舉證責任，反之，主張變態事實者，則須就其所主張之事實負舉證責任。經查，被告為資本額達億元以上之公司，經營規模非小，依常情而言其能力自較一般消費大眾來得強大。甚且被告經營網路消費平台，於公司電腦中、或資料庫中又或者於所於營網站上儲存客戶之消費資料（含所留之聯繫資料，例如：手機號碼、住家地址等）更屬常態；反之一般消費者於其電腦或手機中留存其個人聯繫資料，則屬變態。是以被告辯稱系爭消費資訊之所以外洩，可能是原告在不安全網路環境下，任意點選連結，又或者是原告未定期更換密碼，致原告手機或電腦遭植入木馬程式所致，另也有可能為物流業者、便利商店業者或是大樓管理人員於取得原告之個人資料或消費訊息後外洩云云。究其所辯固非絕無可能，惟依前開說明，仍應由被告先行舉證證明已善盡對於該公司客戶（含本件原告在內）所留消費資料之保存義務，且未遭不法蒐集。⒉被告是否已依個人資料保護法之規定採取適當安全措失，以防止客戶（含原告）個資被竊取或外洩而無過失？ ⑴按，非公務機關保有個人資料檔案者，應採行適當之安全措施，防止個人資料被竊取、竄改、毀損、滅失或洩漏；中央目的事業主管機關得指定非公務機關訂定個人資料檔案安全維護計畫或業務終止後個人資料處理方法；前項計畫及處理方法之標準等相關事項之辦法，由中央目的事業主管機關定之，個人資料保護法第27條定有明文。又按，非公務機關違反本法規定，致個人資料遭不法蒐集、處理、利用或其他侵害當事人權利者，負損害賠償責任。但能證明其無故意或過失者，不在此限；依前項規定請求賠償者，適用前條第二項至第六項規定。同法第29條亦有明定。 ⑵查，被告雖否認有原告所述客戶個資有外洩情事云云，惟106年9月24日之中時電子報上既刊登有「OB嚴選」疑洩漏客戶個資43人遭詐逾300萬元之新聞，原告於民事準備狀㈠之證 物編號6之新聞資料中，亦載有警政署165反詐騙專線統計被告所營「OB嚴選」之客戶個資外洩遭詐騙集團使用之數量達106年度之第5名之新聞網頁資料。甚且，被告自承接有獲警方通知而再次檢視所營網站受攻擊狀況等情（詳107年5月17日言詞辯論筆錄），益徵被告於106年9至11月間應有大量客戶個資外洩而遭某詐騙集團不法使用之情事為是。是則，原告主張被告於公司內部儲存之系爭消費資訊有遭竊取或外洩情形，應堪認屬實。 ⑶又查，被告雖辯稱其公司內已就資安防護工作建置以下規格之保護措施：①Arbor Networks阻斷式（DoS,DDoS）攻擊防護系統、②FortiGate防火牆、③FortiAnalyzer網路安全記錄、④Imperva應用程式防火牆（WAF）、⑤Last1ine-APT防禦系統、⑥Fidelis三合一資安鑑識設備、⑥思科電子郵件 安全設備（ESA）、⑦賽門鐵克防毒軟體、⑦IP Guard文件 加密系統、⑧AppSpider網路安全掃描工具。對經手客戶資 訊人員亦有完善、嚴格之管理制度，並定期委託第三方專業資安防護公司進行網站弱點掃描等防護措施，目前尚無發現任何可能由被告內部流出客戶個資的漏洞云云。然除未提出前述資安防護工作之建置資料、建置日期、曾委託第三方專業資安防護公司定期對被告所營網站進行弱點掃描或防護措施之工作資料，以佐證所述屬實，且屬有效之防護手段外，更乏資料可認被告於本事件發生前，已於公司內部就經手客戶資訊之員工建置完善、嚴格之管理制度。故難推認被告已就其所取得客戶（包含本件原告在內）個人資料，已善盡防護工作，以避免遭不法蒐集、處理、利用。 ⒊被告倘有過失，其過失行為與原告受有個資外洩之損害間有無相當因果關係之判斷？ ⑴按，當事人主張有利於己之事實者，就其事實有舉證之責任，但法律別有規定，或依其情形顯失公平者，不在此限，民事訴訟法第277條規定甚明。上開但書規定係於89年2月9日 該法修正時所增設，肇源於民事舉證責任之分配情形繁雜，僅設原則性之概括規定，未能解決一切舉證責任之分配問題，為因應傳統型及現代型之訴訟型態，尤以公害訴訟、商品製造人責任及醫療糾紛等事件之處理，如嚴守本條所定之原則，難免產生不公平之結果，使被害人無從獲得應有之救濟，有違正義原則。是法院於決定是否適用上開但書所定之公平要求時，應視各該具體事件之訴訟類型特性暨求證事實之性質，斟酌當事人間能力之不平等、證據偏在一方、蒐證之困難、因果關係證明之困難及法律本身之不備等因素，以定其舉證責任或是否減輕其證明度（最高法院103年度台上字 第1311號判決參考）。 ⑵查，被告對其持有之原告前開交易個資，未盡法定維護義務而有「過失」乙情，既經認定如前，則原告個資遭竊取、外洩，進而為不法集團持用、利用，致原告隱私權遭侵害，自堪認定。又原告依個人資料保護法第29條規定請求被告損害賠償，仍以被告違反個人資料保護法之過失行為與原告所述損害間具備「相當因果關係」為要件，被告並以之答辯於前。然而，宥於網際網絡科技浩瀚並參雜人為因素之變異而有高度舉證困難，責令被害人擔負完全之舉證責任實有不公。且被告既為經營網路購物平台之企業，原告交付個資後即由其支配掌握，其對於個資被竊取或外洩風險之控制及分擔能力俱優於原告；抑有進者，對於經營網路購物平台業者良窳之評斷，於其就消費客戶個資維護義務一項，佔有重要之考量，更負有防免重大資安事故之社會責任，故本院斟酌本件訴訟性質、兩造之舉證能力、被告違反義務之情節及風險分配之合理性，進而比照我國實務就公害訴訟降低被害人因果關係舉證責任之見解，認被告行為所生之危險已有相當合理確定性，即推定有一般因果關係之存在（最高法院102年度 台上字第31號判決意旨參照），被告倘認無一般或個別因果關係存在，自應提出確切之反證證明。 ⑶綜上，原告主張被告違反個資維護義務致將其個資外洩之侵權事實，既經認定，且被告迄未就原告個資之外洩與其未盡之義務間是否欠缺相當因果關係提出確切之反證，自堪認原告主張被告未盡法定維護義務，致原告個資遭外洩，令其隱私權因而受害等節為可採。準此，原告依個人資料保護法第29條、第28條第2項規定，請求非財產上損害20,000元，於 法即屬有據，且衡情並未過當。 四、從而，原告依個人資料保護法第29條、第28條第2 項規定之法律關係，請求被告給付20,000元，及自起訴狀繕本送達翌日即107年3月10日起至清償日止，按前息5%計算之利息，為有理由，應予准許。 五、本件係適用小額訴訟程序，所為被告敗訴之判決，應依職權宣告假執行。另被告陳明願供擔保請准免為假執行，核無不合，爰酌定相當擔保金額宣告之。並確定本件訴訟費用額為1,000元（即第一審裁判費），應由被告負擔。 六、本件訴訟事證已臻明確，兩造其餘攻擊防禦方法及所提證據，經審酌後認與本件判決結果不生影響，爰不再逐一論述，併此敘明。 七、訴訟費用負擔之依據︰民事訴訟法第78條。 中 華 民 國 107 年 6 月 15 日內湖簡易庭法 官 施月燿 以上為正本係照原本作成。 如不服本判決，應於送達後20日內，向本院提出上訴狀並應記載上訴理由，表明關於原判決所違背之法令及其具體內容與依訴訟資料可認為原判決有違背法令之具體事實，如於本判決宣示後送達前提起上訴者，應於判決送達後20日內補提上訴理由書（須附繕本）。 中 華 民 國 107 年 6 月 15 日書記官 王玉雙