內湖簡易庭107年度湖簡字第644號

臺灣士林地方法院民事簡易判決 107年度湖簡字第644號原　　　告　賴怡弘 被　　　告　屋伊特印刷股份有限公司 法定代理人　林殿生 上列當事人間請求損害賠償事件，本院於民國107 年9 月4 日言詞辯論終結，判決如下： 主 文 原告之訴駁回。 訴訟費用新臺幣壹仟伍佰伍拾元由原告負擔。 事實及理由 一、原告主張：原告於民國106 年4 月6 日，透過被告官網（YouPrint .com .tw ）線上消費列印DM，而提供個人資料予被告，及線上信用卡支付費用新臺幣（下同）1,900元。於106年8 月3 日，原告接到假冒被告公司員工之詐騙份子來電，告知因工作人員疏失，導致會重覆扣款，為協助解決上開問題，要原告提供信用卡後面之客服電話，原告依其指示提供後，即接到自稱花旗銀行客服之人員來電，表示要協助原告解除重覆扣款設定，原告信以為真，乃至附近提款機依指示操作，總計轉帳至對方所提供之帳號14萬8,989 元。被告不否認其公司網站曾遭駭客入侵，足見被告成立網站接受消費者進行線上交易，卻未對消費者之個人資料盡安全防護之責，且於公司網站遭駭之後，明知其事卻仍繼續使用網站供消費者進行線上消費，而未向消費者公告其事，在原告消費後長達將近4 個月期間均未主動告知原告個資外洩之事，導致原告遭受詐騙，應賠償原告所受損失。爰依個人資料保護法第29條規定提起本件訴訟等語。並聲明：被告應給付原告15萬元。 二、被告則以：被告公司網站確實曾遭駭客入侵，然原告必須證明詐騙份子所使用原告之個人資料係取自被告公司網站。又被告公司網站被駭之前採用微軟Azure 之雲端系統，該系統本身就有提供資安防護，並且被告公司必須配合微軟公司之資安要求，有關個資之相關網頁，例如會員網頁、訂單網頁、雲端資料夾等，均採用SSL 加密。被告於106 年3 月28日第一次接到會員告知接到詐騙份子電話後，即查詢系統之防駭機制，曾於同年月3 日、4 日、14日及27日成功阻擋了3 萬4,800 次來自相同IP位置之異常入侵，雖無法判斷該等異常入侵係善意入侵或惡意入侵，但仍足認被告公司網站有相當之防駭能力。惟以現今之科技實無法完全阻止駭客入侵，縱駭客入侵被告公司網站成功竊取客戶資料，亦不能認被告即有疏失，且被告後續即報警備案、自106 年3 月29日起在網站首頁顯示防詐騙宣傳、於出貨給客戶時亦夾帶防詐騙警示之DM、加強網站之防駭邏輯、找資安公司即果核數位股份有限公司進行資安補強、發送Email 通知所有客戶等措施。原告於106 年4 月在被告網站進行消費時應能看到被告所張貼之防詐騙宣傳。是以，原告被詐騙份子詐騙之損失不能要被告負責等語，以資抗辯。並聲明：（一）原告之訴駁回。（二）如受不利判決，願供擔保請准宣告假執行。 三、查，原告於106 年4 月6 日，透過被告官網線上消費列印DM，而提供個人資料予被告。後於106 年8 月3 日，原告接到假冒被告公司員工之詐騙份子來電，告知因工作人員疏失，導致會重覆扣款，為協助解決上開問題，要原告提供信用卡後面之客服電話，原告依其指示提供後，即接到自稱花旗銀行客服之人員來電，表示要協助原告解除重覆扣款設定，原告信以為真，乃至附近提款機依指示操作，總計轉帳至對方所提供之帳號14萬8,989 元等情，有原告提出之會員訂單資料、銀行客戶交易明細等件（見本院卷第44頁至47頁），另有新北市政府警局海山分局提供原告遭詐欺案卷宗可佐（見本院卷第64頁至79頁），復為被告所不爭執，堪信為真實。四、本院之判斷： 原告主張被告未對消費者之個人資料盡安全防護之責，且於公司網站遭駭之後，明知其事卻仍繼續使用網站供消費者進行線上消費，而未向消費者公告其事，在原告消費後長達將近4 個月期間均未主動告知原告個資外洩之事，導致原告遭受詐騙受有財產損失等語，惟為被告所否認，並以前揭情詞置辯。茲就兩造爭點論述如下： （一）被告有無違反個人資料保護法？ 1.按非公務機關保有個人資料檔案者，應採行適當之安全措施，防止個人資料被竊取、竄改、毀損、滅失或洩漏。非公務機關違反本法規定，致個人資料遭不法蒐集、處理、利用或其他侵害當事人權利者，負損害賠償責任。但能證明其無故意或過失者，不在此限。個人資料保護法第27條第1 項、第29條第1 項分別定有明文。而民事訴訟如係由原告主張權利者，應先由原告負舉證之責，若原告先不能舉證，以證實自己主張之事實為真實，則被告就其抗辯事實即令不能舉證，或其所舉證據尚有疵累，亦應駁回原告之請求（最高法院17年上字第917 號判例要旨參照）。據此，依個人資料保護法第29條第1 項但書規定，被告就其無故意或過失，固負舉證之責，然原告既主張被告違反個人資料保護法規定，致其權利受損，則原告就其有利於己之事實即主張其遭詐騙時之個人資料係來自被告公司網站，及被告違反個人資料保護法規定之事實，即應先負舉證責任。 2.經查，被告固不否認其公司網站系統曾於106 年3 月28日接獲第1 次會員反應接到詐騙電話，而可認在上開時間前被告公司網站遭到入侵，然被告公司網站內原告之個人資料是否遭入侵「成功」及外流，則尚不足以「確認」。亦詐騙份子向原告實施詐騙時所使用之原告個人資料是否係來自被告之公司網站系統遭到入侵而外流者，尚非明確。另外，原告係於同年4 月6 日始在被告公司網站消費，則原告在被告公司網站消費所提供予被告之個人資料，是否亦在被告公司網站系統前因疑似遭到入侵成功而外流的消費者個人資料之列，已非無疑。自難遽認本件向原告實施詐騙行為之人所使用之原告個人基本資料確係來自被告之公司網站系統遭到入侵而外流之消費者資料。此外，原告未再提出佐證，證明詐騙份子所使用原告個人資料係來自被告公司，自無從認原告主張可採。 （二）被告是否有違反通知義務﹖ 1.按公務機關或非公務機關違反個人資料保護法規定，致個人資料被竊取、洩漏、竄改或其他侵害者，應查明後以適當方式通知當事人。個人資料保護法第12條定有明文。揆其立法理由略以：當事人之個人資料遭受違法侵害，往往無法得知，致不能提起救濟或請求損害賠償，爰規定公務機關或非公務機關所蒐集之個人資料被竊取、洩漏、竄改或遭其他方式之侵害時，應立即查明事實，以適當方式（例如：人數不多者，得以電話、信函方式通知；人數眾多者，得以公告請當事人上網或電話查詢等），迅速通知當事人，讓其知曉。另同法施行細則第22條規定：「本法第12條所稱適當方式通知，指即時以言詞、書面、電話、簡訊、電子郵件、傳真、電子文件或其他足以使當事人知悉或可得知悉之方式為之。但需費過鉅者，得斟酌技術之可行性及當事人隱私之保護，以網際網路、新聞媒體或其他適當公開方式為之（第1 項）。依本法第12條規定通知當事人，其內容應包括個人資料被侵害之事實及已採取之因應措施（第2 項）。」，係課予公務機關或非公務機關於違反本法規定且致個人資料被竊取、洩漏、竄改或其他侵害時，應於查明後負有通知之義務。而公務機關或非公務機關負有依上開規定以適當方式通知當事人之責，係以其違反個人資料保護法規定，致個人資料被竊取、洩漏、竄改或其他侵害者為前提，若公務機關或非公務機關並無違反個人資料保護法規定之情事，要難以其未通知當事人，即認其有何不法。 2.原告主張其在被告公司網站消費後，迄至受詐騙前，未曾收到來自被告之通知等語。查，本件尚難確認詐騙份子所使用原告之基本資料係被告之公司網站系統遭到入侵而外流者，業如前述，易言之，並不能排除並非係被告之公司網站系統遭到入侵而導致消費者資料外流之可能性，自不能遽認被告已確有違反個人資料保護法規定之事實。況被告自陳於106 年3 月28日第一次接到會員告知接到詐騙份子電話後，查詢其公司網站系統之防駭機制，得知網站系統曾於同年月3 日、4 日、14日及27日成功阻擋了3 萬4,800 次來自相同IP位置之異常入侵等情，有被告提出而為原告不爭執之阻擋入侵明細可佐（見本院卷第35頁至36頁）。則被告於會員反應接到詐騙份子電話時，查詢的結果係其公司網站系統確實已阻擋了上萬通之異常入侵，既然該等異常入侵業已被阻擋，且究係善意入侵或惡意入侵仍不明確之情形下，即無從認被告已明確知悉其公司網站業已遭入侵成功，並有客戶資料包括原告資料外流之事。而在被告接到會員通知接到詐騙份子電話後，為求慎重，即採取報警備案、自106 年3 月29日起在網站首頁顯示防詐騙宣傳、於出貨給客戶時亦夾帶防詐騙警示之DM、加強網站之防駭邏輯等措施，應認其已有採取相當之措施。則原告主張被告違反通知義務云云，尚嫌無據。 （三）又損害賠償之債，以有損害之發生及有責任原因之事實，並二者之間，有相當因果關係為成立要件。故原告所主張損害賠償之債，如不合於此項成立要件者，即難謂有損害賠償請求權存在。且所謂相當因果關係，係指依經驗法則，綜合行為當時所存在之一切事實，為客觀之事後審查，認為在一般情形下，有此環境、有此行為之同一條件，均可發生同一之結果者，則該條件即為發生結果之相當條件，行為與結果即有相當之困果關係。反之，若在一般情形上，有此同一條件存在，而依客觀之審查，認為不必皆發生此結果者，則該條件與結果並不相當，不過為偶然之事實而已，其行為與結果間即無相當因果關係，不能僅以行為人就其行為有故意過失，即認該行為與損害間有相當因果關係（按最高法院98年度台上字第673 號判決要旨參照）。換言之，相當因果關係之判斷，包含：1.應先判斷結果發生之條件，為損害發生之不可欠缺之條件。2.再判斷因果關係之相當性，即在一般情形下，有此環境、有此行為之同一條件，均可發生同一之結果，始可謂行為與結果間具有相當因果關係。本件觀之原告提供予被告之會員資料（見本院卷第44頁），上為「姓名」、「電話」、「公司名稱」、「地址」、「訂單編號」、「消費日期」及「消費金額」等原告個人基本資料與消費資料，縱認被告如未疏於維護其公司網站內之原告上開所提供之個人資料，原告不致被詐騙份子詐騙而受財物損失，而認被告之疏失行為可謂原告財產權受損害之不可欠缺之條件。然原告財物之損失係因詐騙份子積極實施詐騙行為所致並非原告個人資料外流之必然結果，被告公司網站內客戶資料之外流，固係對於客戶隱私權之侵害，然衡諸一般情形，資料外流並不必然發生客戶受詐騙且受有財物損失之財產權侵害結果，是被告縱有疏失行為，其與原告之財物損失結果，不得謂有相當之因果關係，依前揭說明，即難被告應就原告被詐騙之損失負責。 五、從而，原告未能舉證證明被告有何違反個人資料保護法之規定，而致原告之個人資料被竊取外流，且縱認被告確有違反個人資料保護法規定，原告遭受詐騙所受財產權損害，與被告過失行為間，難謂有相當因果關係，則原告依個人資料保護法第29條規定請求被告賠償遭詐騙之損失金額，為無理由，應予駁回。 六、本件事證已臻明確，兩造其餘攻擊防禦方法及證據，經審酌後，認對於判決結果均無影響，爰不一一論述，併此敘明。七、訴訟費用負擔之依據：民事訴訟法第78條。並確定訴訟費用額為1,550 元（第一審裁判費），應由原告負擔。 中 華 民 國 107 年 9 月 17 日內湖簡易庭 法 官 林銘宏 中 華 民 國 107 年 9 月 17 日書記官 王美韻 以上正本係原本作成。 如不服本判決，應於送達後20日內，向本院提出上訴狀並表明上訴理由，如於本判決宣示後送達前提起上訴者，應於判決送達後20日內補提上訴理由書（須附繕本）。