內湖簡易庭109年度湖簡字第1959號
關鍵資訊
- 裁判案由侵權行為損害賠償
- 案件類型民事
- 審判法院內湖簡易庭
- 裁判日期110 年 05 月 31 日
臺灣士林地方法院民事簡易判決 109年度湖簡字第1959號原 告 賴怡芬 訴訟代理人 葉奇鑫律師 王慕民律師 吳彥欽律師 上 一 人 複 代理人 張岑伃律師 被 告 樂益商貿股份有限公司 法定代理人 施凱文 訴訟代理人 賴淑芬律師 複代理人 林暐程律師 訴訟代理人 蘇小雅律師 上列當事人間請求侵權行為損害賠償事件,本院於民國110 年5 月11日言詞辯論終結,判決如下: 主 文 被告應給付原告新臺幣26,000元,及自民國109 年11月5 日起至清償日止,按週年利率5%計算之利息。 原告其餘之訴駁回。 訴訟費用新臺幣3,090 元,其中新臺幣290 元由被告負擔,餘由原告負擔。 本判決原告勝訴部分得假執行,但如被告以新臺幣26,000元為原告預供擔保,得免為假執行。 原告其餘假執行之聲請駁回。 事實及理由 一、原告主張:原告於民國108 年11月11日、109 年1 月29日及同年3 月5 日在被告所經營管理之「Herbuy好買寶貝網站」平台(下稱系爭網站平台)訂購尿布產品,輸入姓名、電話號碼、地址及訂購之產品、數量、金額及付款方式等個人資料。但被告蒐集、持有原告上開個人資料後,未盡採取適當安全措施之責而外洩上開資料,遭詐騙集團不法蒐集、處理、利用,原告於同年4 月4 日下午3 時13分許,接獲詐騙集團成員以顯示號碼與系爭網站平台所示客服專線相同之號碼來電謊稱其為系爭網站平台員工,因系爭網站平台工讀生作帳錯誤,產生一筆新臺幣(下同)14,000元之訂單,將於當晚由銀行扣款,須原告依銀行人員指示操作止付並取消訂單。原告於下午3 時48分許,再接獲詐騙集團成員來電自稱為中國信託銀行人員,向原告確認信用卡資料,而取得原告中國信託銀行及國泰世華銀行信用卡卡號等完整資訊。原告於下午4 時5 分許,復接獲自稱中國信託銀行人員之詐騙集團成員來電,誆騙原告操作國泰世華商業銀行的手機應用程式轉帳99,999元至其所指定之郵局帳戶,以及至全聯購物中心賣場操作ATM 匯款29,987元至其指定之合作金庫商業銀行帳戶,致原告陷於錯誤共計受有匯款129,986 元及30元手續費之損害。又原告因個人資料遭受外洩,隱私權(含資訊自主權)受侵害,傷及原告對人性之信任感,飽受精神上極大的焦慮。爰依個人資料保護法第29條第1 項、民法第184 條第2 項、第185 條,請求被告賠償其受詐騙之財產上損害130,016 元,依個人資料保護法第29條第1 項、第2 項、第28條第2 項、第3 項及民法第195 條第1 項規定,請求被告賠償非財產上損害15萬元等語。並聲明:(一)被告應給付原告280,016 元,及自起訴狀繕本送達翌日起至清償日止,按週年利率5%計算之利息。(二)願供擔保,請准宣告假執行。二、被告則以:原告所稱來電之對方自稱系爭網站平台員工,電話中與原告核對訂單資訊與其訂購之商品資訊相符乙節,並未見原告舉證以佐。而詐騙集團取得個人資訊之管道非僅一端,有可能侵入物流公司之作業系統,亦有可能透過原告造訪之其他網站入侵個人網路,實難憑原告曾在系爭網站平台購買商品,即認原告之個人資料係遭被告外洩。且原告向被告表示有個資外洩疑慮後,即於109 年4 月14日報警,並自行檢查機房系統,均未發現有遭外部入侵之異常。被告對系爭網站平台系統均已依經濟部所頒布「網際網路零售業及網際網路零售服務平台業個人資料檔案安全維護計畫及業務終止後個人資料處理作業辦法」採取安全措施,包括訂定及執行相關個資安全維護計畫與資訊安全政策,並定期進行電子郵件社交工程演練,要求所有員工執行相關資安防護、帳號驗證與檔案加密程序,且向具有ISO 資安管理認證之訴外人果核數位股份有限公司租用機房系統與雲端服務。被告於系爭網站平台首頁、購物車頁面亦設有常態性之防詐騙宣導,並於提醒詐騙之電子郵件中以顯著顏色標明,另外設有社群媒體LINE提供線上客服服務,設定若消費者留訊息,即會自動回覆包括防詐騙提醒之訊息。可見被告對於所保有之原告個人資料已提供適當之安全維護。原告於被告之系爭網站平台消費後,即已透過電子郵件寄送含有防詐騙宣導文字之訂購通知函予原告,產品出貨後,被告再於108 年11月13日、109 年1 月31日及同年3 月7 日分別寄送內含防詐騙宣導文字之簡訊予原告,被告已事前採取避免原告遭騙之適當防護行為,善意提醒原告,原告理應有所警覺。而縱使原告資料係被告之系爭網站平台所外洩,未必致原告受有損害,原告之財產損失乃訴外人之行為所致,與被告是否盡適當之安全維護措施之行為間並無相當因果關係。是原告之請求均為無理由等語,資為抗辯。並聲明:(一)原告之訴駁回。(二)如受不利判決,願供擔保請准免為假執行。 三、經查,原告於108 年11月11日、109 年1 月29日及同年3 月5 日在被告所經營管理之系爭網站平台訂購尿布等產品,輸入姓名、電話號碼、地址及訂購之產品、數量、金額及付款方式等個人資料,被告因而持有原告個人資料,為被告所不爭執,堪信為真實。 四、本院之判斷: 原告主張被告持有其個人資料,未盡採取適當安全措施之責而外洩上開資料,遭詐騙集團不法蒐集、處理、利用,進而對原告實施詐騙,致原告受有財產上損害130,016 元,其得依個人資料保護法第29條第1 項、民法第184 條第2 項、第185 條規定,請求被告賠償損害。又被告之行為侵害原告隱私權(含資訊自主權),致原告飽受精神痛苦,其得依個人資料保護法第29條第1 項、第2 項、第28條第2 項、第3 項及民法第195 條第1 項規定,請求被告賠償非財產上損害等語,然為被告以前揭情詞置辯。是本件應審究者為:(一)詐騙集團用以詐騙原告之個人資料是否來自被告經營管理之系爭網站平台?(二)被告是否未盡採取適當安全措施之責而外洩原告個人資料﹖(三)原告依個人資料保護法第29條第1 項、民法第184 條第2 項、第185 條規定,請求被告賠償財產損失,有無理由﹖(四)原告依個人資料保護法第29條第1 項、第2 項、第28條第2 項、第3 項及民法第195 條第1 項規定,請求被告賠償非財產上損害,有無理由﹖茲分別說明如下: (一)詐騙集團用以詐騙原告之個人資料是否來自被告經營管理之系爭網站平台? 1.按非公務機關保有個人資料檔案者,應採行適當之安全措施,防止個人資料被竊取、竄改、毀損、滅失或洩漏。非公務機關違反本法規定,致個人資料遭不法蒐集、處理、利用或其他侵害當事人權利者,負損害賠償責任。但能證明其無故意或過失者,不在此限。個人資料保護法第27條第1 項、第29條第1 項分別定有明文。依上開規定,就被告保有個人資料而發生個人資料遭不法蒐集、處理、利用或其他侵害當事人權利者,採過失推定原則,即由被告舉證證明其無故意或過失,始能免責。然原告就其有利於己之事實即其遭詐騙時之個人資料係來自被告經營管理之系爭網站平台之事實,即應先負舉證責任。 2.經查,依原告於109 年4 月4 日下午7 時許報案時警詢筆錄內容(見本院卷一第261 頁至264 頁),原告稱其於109 年4 月4 日下午3 時13分許,接獲詐騙集團成員以顯示號碼為0000000000來電稱其為系爭網站平台員工,因系爭網站平台內部操作錯誤,會重覆扣款,須原告依銀行人員指示操作止付並取消訂單,後再以顯示號碼為0000000000來電稱其為中國信託之行員向其確認資料,並要其依指示使用網路銀行轉帳,以及至設於臺中市○區○○路000 號之全聯福利中心內的國泰世華銀行ATM 操作才能取消等語。審酌原告係於遭詐騙後同日晚間即向警察報案,斯時係以被害人立場向警察陳述遭詐騙過程細節,為查明遭詐騙之真相,其當無隱匿、虛偽陳述之動機,是其上開所述內容應有相當之可信度。再佐以原告確有於108 年11月11日、109 年1 月29日及同年3 月5 日在系爭網站平台訂購產品並完成交易乙節,為兩造所不爭執。及詐騙集團成員打電話給原告所顯示之0000000000號碼與系爭網站平台所載之客服電話相同,有原告提出之訂購單、手機受話明細單、系爭網站平台官網客服專線介紹頁面截圖可佐(見本院卷一第53頁至59頁)。可認原告所稱詐騙集團係以謊稱為被告之員工之方式對其實施詐術可採。又經刑事警察局統計,系爭網站平台自109 年3 月30日起至同年4 月5 日止及同年4 月6 日至4 月12日止,經民眾通報高風險賣場(平台)之件數分別為13件、9 件,有刑事警察局統計資料可稽(見本院卷一第71頁、第73頁),可知原告於同年3 月30日透過系爭網站平台訂購商品後,至其於同年4 月4 日遭詐騙期間,經民眾通報系爭網站平台為高風險平台,亦即使用系爭網站平台之民眾接獲自稱網路賣場或銀行來電,要求前往操作ATM 解除分期付款設定之案件累計高達22餘件,足徵上開報案民眾個人資料來源之共通性即為使用系爭網站平台,且上開民眾遭詐騙集團接洽後行騙之手段相似、時間密接。再被告曾委由訴外人即其員工蘇宥臻於109 年4 月14日報警稱被告公司於109 年4 月1 日據2 位消費者告知接獲詐騙電話,其發現公司的資料遭竊取,當時向165 詐騙專線詢問結果,客戶反應詐騙的案件有 142 筆,回報實際受害的件數為21件,客戶反應給被告的是8 筆等語(見本院卷二第23頁至25頁)。另訴外人即被告之資訊技術主管董守銘於109 年5 月7 日警詢時稱(問:你如何判定有資料遭竊取?)「詐騙集團電話中有講出詳細的訂單資料」、「我們先檢查內部人員使用狀況,並沒有發現異常使用訂單資料的情形,因此研判是駭客入侵竊取訂單資料」、「我們現在的系統是5 年前安裝的,後續沒有做更新,故可能有漏洞讓人從外部入侵,但經各方面的檢查均未能找出遭入侵的方式」等語(見本院卷二第31頁至32頁)。可知與原告接到詐騙集團來電話之相同時期,亦有為數眾多之消費者接到詐騙集團以相同利用系爭網站平台之訂單資料取信消費者之手法對其等實施詐騙。被告亦因懷疑其所持有之客戶訂單資料遭駭客入侵竊取而向警方報案。又詐騙集團以謊稱為被告員工之詐騙手法,其所使用之個人資料及訂單內容僅有被告完整持有,竟遭詐騙集團取得並以此施行詐術,且相近期間,被告之客戶遭受同樣詐騙之情事高達數十件,依通常經驗判斷,詐騙集團所利用之個人資料及訂單資訊,係來自被告之系爭網站平台,足堪認定。 (二)被告是否未盡採取適當安全措施之責而外洩原告個人資料﹖ 1.被告抗辯其對系爭網站平台系統均已依經濟部所頒布「網際網路零售業及網際網路零售服務平台業個人資料檔案安全維護計畫及業務終止後個人資料處理作業辦法」(下稱系爭個人資料處理作業辦法)採取安全措施,包括訂定及執行相關個資安全維護計畫與資訊安全政策,並定期進行電子郵件社交工程演練,要求所有員工執行相關資安防護、帳號驗證與檔案加密程序,且向具有ISO 資安管理認證之訴外人果核數位股份有限公司(下稱果核公司)租用機房系統與雲端服務,其已盡適當之安全維護措施等語,並提出訴外人即受被告委託管理系爭網站平台之樂利數位科技股份有限公司(下稱樂利公司)提出之資訊安全政策、樂利公司通知被告進行年度集團郵件社交工程演練之電子郵件、員工執行資安防護資料、樂利公司通知自109 年3 月1 日起實施被告員工兩步驟帳號驗證、檔案加密、果核公司之ISO 資安管理認證等件為憑(見本院卷一第171 頁至216 頁)。 2.經查,受被告委託管理系爭網站平台之樂利公司所提出之108 年5 月版系爭個人資料處理作業辦法及108 年9 月5 日版資訊安全政策,係抽象之作業規範,而規範之制定與被告有無實際落實要屬二事,尚不足認被告確已有實際管理維護消費者個人資料之資安維護作為。又被告雖向取得ISO 資安管理認證之果核公司租用機房系統及雲端服務。然如前所提及之被告之資訊技術主管董守銘於109 年5 月7 日警詢時所稱,被告之系統是5 年前安裝的,後續沒有做更新,故可能有漏洞讓人從外部入侵,但經各方面的檢查均未能找出遭入侵的方式等語。則被告縱使訂有上開作業規範及向果核公司租用機房系統,其使用之系統歷經5 年未更新,於系統遭入侵後亦無法即時發現任何異常之目標電腦及惡意程式檔案,其顯然未落實系爭個人資料處理作業辦法第16條第9 項規定「對於電腦作業系統及相關應用程式之漏洞,定期安裝修補之程式」(見本院卷一第164 頁)。另樂利公司固有通知被告進行年度集團郵件社交工程演練、要求被告員工執行資安防護資料、並自109 年3 月1 日起實施被告員工兩步驟帳號驗證、檔案加密等作為,然僅可認被告對於「員工」進行之資安訓練,但無法認定上開作為係屬於對於被告之「客戶之個人資料及訂單資料」管理維護之積極作為。是以不能認被告已對於系爭網路平台記錄、保存原告之個人資料盡適當安全維護措施。被告違反個人資料保護法第27條第1 項規定,堪予認定。被告辯稱其對於系爭網路平台記錄、保存原告之個人資料已盡適當安全維護措施,所辯即無足採。 (三)原告依個人資料保護法第29條第1 項、民法第184 條第2項、第185 條規定,請求被告賠償財產損失,有無理由﹖1.按非公務機關違反本法規定,致個人資料遭不法蒐集、處理、利用或其他侵害當事人權利者,負損害賠償責任。違反保護他人之法律,致生損害於他人者,負賠償責任。但能證明其行為無過失者,不在此限。個人資料保護法第29條第1 項、民法第184 條第2 項分別定有明文。又損害賠償之債,以有損害之發生及有責任原因之事實,並二者之間,有相當因果關係為成立要件。故原告所主張損害賠償之債,如不合於此項成立要件者,即難謂有損害賠償請求權存在。且所謂相當因果關係,係指依經驗法則,綜合行為當時所存在之一切事實,為客觀之事後審查,認為在一般情形下,有此環境、有此行為之同一條件,均可發生同一之結果者,則該條件即為發生結果之相當條件,行為與結果即有相當之困果關係。反之,若在一般情形上,有此同一條件存在,而依客觀之審查,認為不必皆發生此結果者,則該條件與結果並不相當,不過為偶然之事實而已,其行為與結果間即無相當因果關係,不能僅以行為人就其行為有故意過失,即認該行為與損害間有相當因果關係(最高法院98年度台上字第673 號判決要旨參照)。換言之,相當因果關係之判斷,包含:1.應先判斷結果發生之條件,為損害發生之不可欠缺之條件。2.再判斷因果關係之相當性,即在一般情形下,有此環境、有此行為之同一條件,均可發生同一之結果,始可謂行為與結果間具有相當因果關係。 2.經查,被告對於系爭網路平台記錄、保存原告之個人資料未盡適當安全維護措施,違反個人資料保護法第27條第1 項規定,業如前述。又被告未能舉證證明其違反上開規定無過失,是原告自得依個人資料保護法第29條第1 項及民法第184 條第2 項規定,請求被告負賠償責任。然而原告遭詐騙集團詐騙而損失之財物,是否屬被告應賠償之範圍?本件觀之原告108 年11月11日、109 年1 月29日及同年3 月5 日在系爭網站平台消費之訂購單所示資料,上為「姓名」、「電話」、「地址」、「訂單編號」、「消費日期」、「商品名稱」及「消費金額」等原告個人基本資料與消費資料,均係原告私領域項目而不受干擾之資料,屬原告之隱私,縱認被告如未疏於維護系爭網站平台內之原告上開所提供之個人資料,詐騙集團即無法入侵系爭網站平台竊取上開原告之個人資料,原告不致於被詐騙集團成員詐騙而受財物損失,而認被告之疏失行為可謂原告財產權受損害之不可欠缺之條件。然而考量詐騙集團介入行為對損害結果之強度,遠超乎原先個人資料外洩之影響,且屬故意犯罪行為,被告亦無防止該第三人不法行為之契約或法令上義務,堪認詐騙集團對原告施以詐術之故意行為業已中斷被告過失使資料外洩結果與原告財產上損害間之因果關係。且被告於系爭網站平台首頁及購物車頁面已設有常態性之防詐騙宣導,於訂單成立或出貨時,再以簡訊及電子郵件發送防詐騙之提醒訊息「切勿聽從指示至ATM 操作設定或提供信用卡資料」等內容,此有原告提出訂購通知函(見本院卷一第53頁、第55頁),及被告提出網站頁面截圖、出貨紀錄、109 年4 月2 日簡訊提醒可佐(見本院一第217 頁、第223 頁、第225 頁、本院卷二第131 頁)。原告即應對此一詐騙技倆有所警覺,然原告未有所警覺,因其個人疏忽而誤信詐騙集團伎倆,致被詐騙集團詐騙。換言之,被告系爭網站平台內客戶資料之外流,固係對於原告隱私權之侵害,然衡諸一般情形,資料外流並不必然發生客戶受詐騙且受有財物損失之侵害結果,原告財物之損失係因詐騙集團成員積極實施詐騙行為所致。此亦可由前揭蘇宥臻證稱165 詐騙專線提及反應詐騙的案件有142 件,但回報實際受害的件數為21件,比例僅占一成餘,亦可說明被告之過失行為與原告之財物損失結果之間,難謂有相當之因果關係。是以,依前揭說明,原告依個人資料保護法第29條第1 項、民法第184 條第2 項規定,要被告就原告遭詐騙所受財物損失負責,並非可採。 (四)原告依個人資料保護法第29條第1 項、第2 項、第28條第2 項、第3 項及民法第195 條第1 項規定,請求被告賠償非財產上損害,有無理由﹖ 1.按被害人雖非財產上之損害,亦得請求賠償相當之金額。個人資料保護法第28條第2 項。上開規定於非公務機關依同法第29條規定應負損害賠償責任時,亦有適用。此觀之同法第29條第2 項規定自明。另按不法侵害他人之身體、健康、名譽、自由、信用、隱私、貞操,或不法侵害其他人格法益而情節重大者,被害人雖非財產上之損害,亦得請求賠償相當之金額。民法第195 條第1 項前段亦定有明文。 2.經查,本件原告個人資料因被告之疏失而為詐騙集團不法取得,致原告個人資料外洩而侵害其個人隱私權,自屬不法侵害他人隱私權,並造成原告精神承受壓力,堪足認定,則原告自得依上開規定請求被告賠償非財產上之損害。而按慰撫金之核給標準,應斟酌雙方身分、地位及經濟狀況及其他各種情形核定之。本院審酌原告為大學畢業,現在家照顧幼兒,利用空檔接受零星室內設計繪圖個案以補貼家用,109 年度所得為36萬餘元,名下無財產;被告資本額2,000 萬元,經營系爭網站平台從事網路購物等情,有原告所陳、被告公司變更登記表及本院依職權調閱兩造稅務電子閘門財產所得調件明細表在卷可佐(見本院卷一第16頁、卷二第39頁、限制閱覽卷),並參酌被告非故意侵害原告隱私權及原告隱私權受侵害之程度,認原告請求慰撫金15萬元,尚屬過高,應核減為26,000元為適當,故原告於此範圍內之請求,為屬有據,應予准許。逾此範圍之請求,為無理由,不應准許。 (五)末按給付無確定期限者,債務人於債權人得請求給付時,經其催告而未為給付者,自受催告時起,負遲延責任,其經債權人起訴而送達訴狀,或依督促程式送達支付命令,或為其他相類之行為者,與催告有同一之效力。遲延之債務,以支付金錢為標的者,債權人得請求依法定利率計算之遲延利息。但約定利率較高者,仍從其約定利率。應付利息之債務,其利率未經約定,亦無法律可據者,週年利率為百分之五。民法第229 條第2 項、第233 條第1 項、第203 條亦分別有明文。本件原告之請求為損害賠償,屬給付無確定期限者,其經准許部分,併請求自起訴狀繕本送達翌日即109 年11月5 日(見本院卷一第121 頁)起至清償日止,按週年利率5%計算之利息,為有理由。 五、從而,原告依個人資料保護法第29條第1 項、第2 項、第28條第2 項、第3 項及民法第195 條第1 項規定,請求被告給付26,000元,及自109 年11月5 日起至清償日止,按週年利率5%計算之利息部分,為有理由,應予准許,逾此範圍,為無理由,應予駁回。 六、本件係適用簡易訴訟程序,所為被告敗訴之部分應依職權宣告假執行。原告之聲明,僅為促使本院依職權發動,自無庸為准駁回之諭知。至原告敗訴部分,其假執行之聲請即失去依據,應併予駁回。另被告聲明願供擔保請准宣告免為假執行,核無不合,爰酌定相當金額准許之。 七、本件事證已臻明確,兩造其餘攻擊防禦方法及證據,經審酌後,認對於判決結果均無影響,爰不一一論述,併此敘明。八、訴訟費用負擔之依據:民事訴訟法第79條。並確定訴訟費用額為3,090 元(第一審裁判費),其中290 元由被告負擔,餘由原告負擔。 中 華 民 國 110 年 5 月 31 日內湖簡易庭 法 官 林銘宏 本件為正本係照原本作成。 如不服本判決,應於送達後20日內,向本院提出上訴狀並表明上訴理由,如於本判決宣示後送達前提起上訴者,應於判決送達後20日內補提上訴理由書(須附繕本)。 中 華 民 國 110 年 5 月 31 日書記官 許秋莉