三重簡易庭112年度重小字第3188號

臺灣新北地方法院三重簡易庭小額民事判決 112年度重小字第3188號原 告 劉姿辰 被 告 統聯汽車客運股份有限公司 法定代理人 呂奇峯 訴訟代理人 胡勝杰 上列當事人間請求侵權行為損害賠償事件，於民國112年11月16 日言詞辯論終結，本院判決如下： 主 文 被告應給付原告新臺幣伍萬柒仟伍佰玖拾叁元，及自民國一百一十二年八月三十一日起至清償日止，按年息百分之五計算之利息。 原告其餘之訴駁回。 訴訟費用新臺幣壹仟元由被告負擔新臺幣柒佰元，餘由原告負擔。 本判決原告勝訴部分得假執行。 理 由 要 旨 一、按訴狀送達後，原告不得將原訴變更或追加他訴，但擴張或減縮應受判決事項之聲明者，不在此限。原告於判決確定前，得撤回訴之全部或一部。民事訴訟法第255條第1項第3款 、第262條第1項前段分別定有明文。本件原告起訴時原聲明請求：被告應連帶給付原告新臺幣（下同）8萬3,479元及自民國112年5月13日起至清償日止，按年息百分之5計算之利 息。嗣於112年10月30日言詞辯論期日，當庭變更聲明請求 ：被告應給付原告8萬2,276元及自起訴狀繕本送達翌日起至清償日止，按年息百分之5計算之利息。又雖於112年11月14日向本院陳報民事準備狀追加非財產上損害賠償2萬元及精 神慰撫金5萬元，然於112年11月16日言詞辯論期日，當庭撤回上開部分之請求，聲明請求仍為：被告應給付原告8萬2,276元及自起訴狀繕本送達翌日起至清償日止，按年息百分之5計算之利息。此核屬減縮應受判決事項之聲明，揆諸首揭 規定，應予准許。 二、原告起訴主張： (一)緣原告於112年5月13日前某時許利用被告網路訂票服務系統訂購車票，嗣於112年5月13日20時31分許，在嘉義縣○○鄉○○ ○街00號接獲自稱被告客服人員之詐騙電話，先與原告核對個人身分證字號、訂票日期、發車時間及起訖站等詳細個人訂票資料與消費紀錄正確無訛，繼確認原告係以網路銀行消費，並佯稱因客服人員之疏失造成原告多訂20餘張車票，將通知郵局人員解除錯誤訂單等語，再於同日接到自稱郵局人員之人之電話，謊稱原告須配合操作密碼解除錯誤訂單扣款等語，原告信以為真，而陷於錯誤，遂依其指示於112年5月13日21時11分許、同日21時12分許在網路銀行分別輸入解鎖密碼「49987」與關閉密碼「32289」，旋即遭騙4萬9,987元及3萬2,289元，共計8萬2,276元。又被告雖非故意洩漏原告資料，惟其未盡個資安全保管義務，造成原告因個人資料外洩遭詐騙致生上開損害。為此，爰依個人資料保護法第29條第1項之規定，請求被告應給付原告8萬2,276元及自起訴狀 繕本送達翌日起至清償日止，按年息百分之5計算之利息。 (二)對被告抗辯之陳述：被告未將防火牆隨時汰舊換新，其使用之型號DrayTek Vigor2910硬體防火牆乃95年產品、市價約1,000至2,000元基本家用及小型企業之路由器內建防火牆， 不足以保護被告持有之數萬名會員個人資料，則被告持有之原告個人資料外洩與原告遭詐所生損害間有一定之因果關係。另於112年5月12日前已有會員向被告反應、報案遭到詐騙，然被告僅在200人按讚粉絲專為防詐騙警語公告，遲至同 年5月29日始以簡訊通知原告。 三、被告則請求駁回原告之訴，並以：被告係安裝居易科技股份有限公司研製、型號DrayTek Vigor2910硬體防火牆，基於 內容安全之防火牆得提供屏蔽IM（Instant Messemge即時通訊）/P2P（Peer to Peer點對點網路服務）應用、NAT位址 連接埠重定向/開放埠及DMZ隔離主機區（即經轉址與隔離區加以過濾保護）；基於策略安全之IP包過濾DoS/DDos保護、Syslog記錄和IP/MAC位址綁定等服務，且網路、金流皆採用SSL-TLS1.2以上等級之安全憑證進行傳輸加密解定，足見被告就個資保管已盡網路安全防護之注意義務，主觀上無故意或過失。再者，原告所受損害係源於不詳詐騙集團之詐欺行為，非因使用被告之網路訂票服務系統所致，兩者間並無因果關係。況縱被告需負損害賠償責任，然原告係成年之國立大學學生，應對詐騙新聞時有見聞，卻缺乏警覺，原告有與有過失等語，以資抗辯。 四、法院之判斷： 本件原告主張於上揭時、地受不詳詐騙集團詐欺，乃源於在被告網路訂票服務系統購票之個人資料外洩而遭利用，致原告受詐欺共計8萬2,276元，業據其提出詐騙電話號碼手機截圖、嘉義縣○○○○○○○○○○○○○○○○○○○○○○○○路○○○○○○○○○○○○○○○ 號DrayTek Vigor2910硬體防火牆說明書封面截圖、新聞截 圖及被告社群軟體臉書截圖等件為證，復被告不爭執於000 年0月間所持會員即原告個人資料外洩乙節，堪信為真實。 惟否認有故意或過失、原告遭詐所受損害與被告持有個人資料外洩間有因果關係，並以上開情詞置辯。是本件應審酌者為：被告是否已採取適當安全防護措施以維護原告個人資料而無過失？倘被告有過失，其過失行為與原告個資外洩遭不詳詐騙集團利用所受損害間有無因果關係？ (一)被告是否已採取適當安全防護措施以維護原告個人資料而無過失？ 1.按「個人資料」：指自然人之姓名、出生年月日、國民身分證統一編號、護照號碼、特徵、指紋、婚姻、家庭、教育、職業、病歷、醫療、基因、性生活、健康檢查、犯罪前科、聯絡方式、財務情況、社會活動及其他得以直接或間接方式識別該個人之資料。非公務機關保有個人資料檔案者，應採行適當之安全措施，防止個人資料被竊取、竄改、毀損、滅失或洩漏。個人資料保護法第2條第1款及第27條第1項分別 定有明文。次按非公務機關違反本法規定，致個人資料遭不法蒐集、處理、利用或其他侵害當事人權利者，負損害賠償責任。但能證明其無故意或過失者，不在此限，復為同法第29條第1項有明文規定。準此，個人資料保護法第29條規定 採「推定過失責任」，係指非公務機關如確有違反個人資料保護法規定致個人資料遭不法蒐集、處理或利用，使個人受有損害，即須由非公務機關舉證明其無故意或過失，始得不負損害賠償責任，以減輕受害當事人之舉證責任。 2.原告主張於其使用網路訂票服務系統訂購車票，使被告取得原告身分證字號、訂票等個人資料，嗣被告於000年0月間因駭客攻擊官方網頁，致其所持有之原告會員個人資料遭竊取或外洩等節，此為兩造所不爭執，則被告既持有原告個人資料，依法自應採取適當之安全防護措施以防止個資被竊取或洩漏，依上開規定，如被告否認有過失，自應舉反證證明其於本件事件並無故意或過失，即在技術上及組織上已為必要之安全措施。本件被告固辯稱伊採用型號DrayTek Vigor2910硬體防火牆及就網路、金流採用SSL-TLS1.2以上等級之安 全憑證進行傳輸加密解定等個人資料安全防護措施，已盡網路安全管理之注意義務等語，並提出防火牆硬體外觀暨後臺頁面擷取圖片、傳輸加密頁面截圖等件附卷可參。經查，觀之卷附之Vigor2910系列之雙WAN口寬頻路由器快速安裝手冊封面圖片所示之日期「2006/7/17」，可知上開防火牆係95 年產品乙情，復為被告所不爭執，是該防火牆出產迄至本件事件發生即112年5月13日止，已歷時至少16年餘，堪予認定，衡諸一般社會經驗法則，隨著時代進步、網路普及，現代資訊與科技發展日新月異，以致網路威脅快速擴張，企業資安防禦設備、資訊管理服務亦需跟進持續更新，縱上開防火牆固具屏蔽IM/P2P應用、NAT位址連接埠重定向/開放埠及DMZ隔離主機區、IP包過濾DoS/DDos保護、Syslog記錄和IP/MAC位址綁定等服務功能，被告亦就網路、金流採用SSL-TLS1.2以上等級之安全憑證進行傳輸加密解定，然防火牆乃網際 網路資訊安全之「第一道防線」，被告未持續更新、仍使用舊版防火牆，尚難認該防火牆能確實有效阻擋或隔離來自網路之惡意攻擊，以保護內網安全，遑言其他網路安全管理之防護措施能確實有效防堵個資外洩。此外，被告復未提出其他積極證據以證明本件事件發生前其確有採取並落實適當之資安防護措施。是以，原告主張被告未依法對原告個資採取適當安全措施有過失乙情，洵屬有據，故被告此部分所辯，自屬無據，不足可採。 (二)倘被告有過失，其過失行為與原告個資外洩遭不詳詐騙集團利用所受損害間有無因果關係？ 1.再按當事人主張有利於己之事實者，就其事實有舉證之責任，但法律別有規定，或依其情形顯失公平者，不在此限，民事訴訟法第277條定有明文。上開但書規定係於89年2月9日 該法修正時所增設，肇源於民事舉證責任之分配情形繁雜，僅設原則性之概括規定，未能解決一切舉證責任之分配問題，為因應傳統型及現代型之訴訟型態，尤以公害訴訟、商品製造人責任及醫療糾紛等事件之處理，如嚴守本條所定之原則，難免產生不公平之結果，使被害人無從獲得應有之救濟，有違正義原則。是法院於決定是否適用上開但書所定之公平要求時，應視各該具體事件之訴訟類型特性暨求證事實之性質，斟酌當事人間能力之不平等、證據偏在一方、蒐證之困難、因果關係證明之困難及法律本身之不備等因素，以定其舉證責任或是否減輕其證明度（最高法院103年度台上字 第1311號民事判決可資參照）。本件原告依個人資料保護法第29條之規定請求被告負損害賠償責任等情，仍須以被告違反個人資料保護法之過失行為與損害間具備「相當因果關係」為要件。然關於本件被告過失行為與原告個資外洩間具相當因果關係等歸責要件之舉證，宥於網際網絡科技浩瀚、參雜人為因素之變異而有高度舉證困難，倘責令被害人擔負完全之舉證責任實有不公；再者，被告為以此交易營利之企業經營者，原告交付個資後即由其支配掌握，顯見被告對於個資被竊取或外洩風險之控制及分擔能力俱顯優於原告；抑有進者，航空業者對旅客個資之維護義務，除建立在個人資料隱私權之保護外，亦有防免旅客個資外洩致影響飛航安全等重大風險實現。爰審酌本件訴訟性質、兩造舉證能力及被告違反義務之情節及風險分配之合理性等綜合判斷，並比照我國實務就公害訴訟降低被害人因果關係舉證責任之見解，故認被告行為所生危險已有相當合理確定性，即推定有一般因果關係之存在（最高法院102年度台上字第31號判決參照） 。是倘被告認無一般因果關係存在，自應由其提出確切反證證明。 2.次查，被告持有上開原告個人資料，未盡法定維護義務而有過失等情，業經認定如前，又不詳詐欺集團利用原告遭竊取、洩漏之個人資料對原告之隱私權施以不法侵害，致其財產受有損害情事，亦為被告所不爭，堪以認定。則揆諸上揭規定說明，被告過失行為與原告個人資料外洩所生所害之間具相當合理關聯性，即推定有一般因果關係存在，被告自應提出反證始足資推翻該因果關係之認定，然參諸被告所提出新聞資料之擷取，此僅能說明於112年5月15日媒體刊登被告因乘客反應接到以公司名義之詐騙電話而暫時關閉網路及APP 訂票、檢查問題等情事，要難阻卻因果關係之相當性。又本件原告之請求乃被告違反個資法定維護義務致原告個資外洩之侵權事實，被告迄未就其違反前開法定義務與原告個資遭竊取或外洩間欠缺相當因果關係之事實，提出具體明確說明或確切積極反證，是原告就被告未盡法定維護義務，致原告個資外洩而侵害其個人資料隱私權之主張，應屬有據。綜上，原告依個人資料保護法第29條之規定，請求受詐匯款之財產上損害8萬2,276元款項，於法有據，核無不當。 (三)惟按損害之發生或擴大，被害人與有過失者，法院得減輕賠償金額，或免除之，民法第217條第1項定有明文。此項被害人與有過失規定之目的，乃在謀求加害人與被害人間之公平，故在裁判上賦予法院得依職權減輕或免除加害人之責任。且所謂被害人與有過失，須被害人之行為助成損害之發生或擴大，就結果之發生為共同原因之一，行為與結果有相當因果關係，始足當之。若被害人之行為與結果之發生並無相當因果關係，尚不能僅以其有過失，即認有過失相抵原則之適用。查本件原告係因被告個人資料外洩，遭訴外第三人詐騙而為前開匯款行為，致受有財產上損害8萬2,276元，有如前述，然衡以現今社會詐騙集團橫行，遭詐騙事件層出不窮，不惟電視新聞、報章媒體數年來均對此類事件多所報導及分析，政府及警政機關亦經常製作相關宣導影片，希冀社會大眾提高警覺、注意可疑事件，如有疑問請多加利用警政機關之反詐騙專線電話，以避免受騙而遭受損害，而本件原告於本案發生時，係已成年之國立大學學生，具有相當智識能力，竟疏未注意，欠缺對此社會常見詐騙犯罪類型相當之警覺性，亦即未有所察覺事件狀況可疑而為確認或撥打反詐騙專線等作為，逕聽從不詳之人指示在其網路銀行輸入所謂「密碼」，旋遭詐欺而生財產損害，故認原告就本件損害之發生與有過失，依法原告自應承擔其過失責任。本院綜合雙方過失情節及相關事證等一切情狀，認原告之過失程度為十分之三，被告之過失程度為十分之七，始為公允，是被告應賠償原告之金額為5萬7,593元（計算式：82,276元×7/10＝57,593 元，元以下四捨五入）。 (四)末按給付無確定期限者，債務人於債權人得請求給付時，經其催告而未為給付，自受催告時起，負遲延責任。其經債權人起訴而送達訴狀，或依督促程序送達支付命令，或為其他相類之行為者，與催告有同一之效力。遲延之債務，以支付金錢為標的者，債權人得請求依法定利率計算之遲延利息。應付利息之債務，其利率未經約定，亦無法律可據者，年息為百分之5。民法第229條、第233條第1項及第203條分別定 有明文。本件原告對被告之侵權行為損害賠償債權，核屬無確定期限之給付，依前揭說明，原告主張以起訴狀繕本送達被告翌日即112年8月31日起至清償日止，按年息百分之5計 算之利息，自屬正當。 (五)從而，原告依個人資料保護法第29條第1項之規定，請求被 告應給付原5萬7,593元及自起訴狀繕本送達翌日即112年8月31日起至清償日止，按年息百分之5計算之利息，為有理由 ，應予准許。逾此部分之請求，為無理由，應予駁回。 五、本件事證已臻明確，兩造其餘主張陳述及所提之證據，經審酌後於本件判決結果無影響，爰不逐一記論。 六、本件原告勝訴部分係依民事訴訟法第427條第1項規定，適用簡易程序所為被告敗訴之判決，爰依同法第389條第1項第3 款之規定，應依職權宣告假執行。另依民事訴訟法第436條 之19第1項之規定，確定本件訴訟費用為1,000元（第一審裁判費1,000元），併依職權確定由被告負擔700元，餘由原告負擔。 七、結論：原告之訴為一部有理由，一部無理由，依民事訴訟法第436之23、第436條第2項、第436條之19第1項、第79條、 第436條之20，判決如主文。 中　　華　　民　　國　　112 　年　　11　　月　　21　　日臺灣新北地方法院三重簡易庭 法 官 彭松江 以上正本係照原本作成。 如不服本判決，應於送達後20日內，向本院提出上訴狀，並表明上訴理由（上訴理由應表明1、原判決所違背之法令及具體內容 。2、依訴訟資料可認為原判決有違背法令之具體事實。），如 於本判決宣示後送達前提起上訴者，應於判決送達後20日內補提上訴理由書（須附繕本），如未於上訴後20日內補提合法上訴理由書，法院得逕以裁定駁回上訴。 中　　華　　民　　國　　112 　年　　11　　月　　21　　日書 記 官 許雁婷