臺灣士林地方法院107年度簡上字第225號

臺灣士林地方法院民事判決　　　　　　107年度簡上字第225號上　訴　人　張秋蘭 訴訟代理人　張耀瓏 上　訴　人　富爾特科技股份有限公司 法定代理人　吳長青 訴訟代理人　葉奇鑫律師 王慕民律師 吳彥欽律師 上列當事人間請求侵權行為損害賠償事件，上訴人對於中華民國107 年6 月14日本院士林簡易庭107 年度士簡字第438 號第一審判決提起上訴，本院於108 年8 月8 日言詞辯論終結，判決如下： 主 文 原判決關於駁回上訴人張秋蘭後開第二項之訴及該假執行之聲請暨訴訟費用部分均廢棄。 上訴人富爾特科技股份有限公司應再給付上訴人張秋蘭新臺幣壹拾陸萬參仟貳佰柒拾肆元。 上訴人張秋蘭其餘上訴駁回。 上訴人富爾特科技股份有限公司之上訴駁回。 經廢棄之第一審訴訟費用由上訴人富爾特科技股份有限公司負擔；第二審訴訟費用關於上訴人張秋蘭上訴部分，由上訴人富爾特科技股份有限公司負擔十分之六，餘由上訴人張秋蘭負擔。關於上訴人富爾特科技股份有限公司上訴部分，由上訴人富爾特科技股份有限公司負擔。 事實及理由 一、上訴人即被上訴人張秋蘭（下稱張秋蘭）主張：伊於民國100 年間在被上訴人富爾特科技股份有限公司（下稱富爾特公司）所營運之「EZ訂」網站平台（下稱系爭網站平台）輸入姓名、手機號碼、EMAIL 等個人資料註冊為會員，嗣於106 年4 月11日，使用手機上網連結至系爭網站平台，輸入業已註冊留存之會員帳號（手機號碼）及密碼登入會員後，購買2 張電影票，再輸入信用卡卡號、到期日、卡片背面安全碼等資訊以為付款（下稱系爭交易）。詎富爾特公司蒐集、持有伊上開個人資料後，未盡採取適當安全措施之責而外洩上開資料，伊隨後於同年月28日下午5 時30分許，接獲詐騙集團成員致電謊稱其為系爭網站平台人員，因系爭網站會計人員疏失，導致連續扣款，須依指示操作自動櫃員機解除上開錯誤設定，致伊陷於錯誤，共計匯款新臺幣（下同）25萬7,892 元至該詐欺集團成員指示之金融帳戶，而受有損害。又伊因個人資料遭受外洩，隱私權受侵害，致使難以入眠，飽受精神上極大的焦慮、恐懼。爰依個人資料保護法（下稱個資法）第29條適用同法第28條第3 項、民法第184 條第2 項規定，請求富爾特公司賠償伊受詐騙之財產上損害25萬7,892 元，依個資法第29條適用第28條第2 項規定，請求富爾特公司賠償非財產上損害2 萬元，及依民法第184 條第1 項前段、第2 項、第195 條第1 項、第18條規定，請求富爾特公司賠償非財產上損害5 萬元等語。 二、富爾特公司則以：張秋蘭之個人資料並非遭伊外洩，且伊對系爭網站平台系統已提供適當之安全維護。張秋蘭遭詐欺所受之財產上損害乃訴外人之行為所致，與伊是否盡適當之安全維護措施之行為間並無相當因果關係。再張秋蘭未盡一般理性人之注意而遭詐騙，亦有過失；又張秋蘭已獲訴外人即詐騙集團成員劉永清賠償其中1 萬1,250 元損害，應予扣除，且該部分和解金額若低於劉永清依法應分擔額，就差額部分之免除對伊亦生效力。另個資法為民法侵權行為之特別規定，張秋蘭既已依個資法請求損害賠償，即不得再適用民法第184 條、第195 條等規定等語，資為抗辯。 三、原審判決富爾特公司應給付張秋蘭2 萬元，並駁回張秋蘭其餘之訴。兩造就於己不利部分，各自提起上訴，張秋蘭聲明：㈠原判決不利於張秋蘭部分廢棄；㈡上開廢棄部分，富爾特公司應再給付張秋蘭30萬7,892 元；㈢富爾特公司之上訴駁回。富爾特公司則聲明：㈠原判決不利於富爾特公司部分廢棄。㈡上廢棄部分，張秋蘭在第一審之訴及假執行之聲請均駁回。㈢張秋蘭之上訴駁回。 四、兩造不爭執之事項： ㈠張秋蘭於100 年間在富爾特公司所營運之系爭網站平台輸入其姓名、手機號碼、EMAIL 等個人資料註冊為會員，嗣於106 年4 月11日，張秋蘭使用手機上網連結至系爭網站平台，輸入業已註冊留存之會員帳號（手機號碼）及密碼登入會員後，購買2 張電影票，再輸入其信用卡卡號、到期日、卡片背面安全碼等資訊以為付款。系爭網站平台於張秋蘭成功訂購後，並寄發載有訂票序號之簡訊及EMAIL 通知予張秋蘭，其寄發通知之格式如本院卷一第216 頁所示。 ㈡張秋蘭於106 年4 月28日下午5 時30分許，接獲詐騙集團成員致電，謊稱其為系爭網站平台人員，因系爭網站會計人員疏失，導致連續扣款，須依指示操作自動櫃員機解除上開錯誤設定，致張秋蘭陷於錯誤，共計匯款25萬7,892 元至該詐欺集團成員指示之金融帳戶。嗣張秋蘭與該詐騙集團成員之一即訴外人劉永清達成訴訟上調解，劉永清同意賠償張秋蘭1 萬5,000 元，張秋蘭目前已獲清償其中之1 萬1,250 元。五、本院得心證之理由： ㈠按個人資料，指自然人之姓名、出生年月日、國民身分證統一編號、護照號碼、特徵、指紋、婚姻、家庭、教育、職業、病歷、醫療、基因、性生活、健康檢查、犯罪前科、聯絡方式、財務情況、社會活動及其他得以直接或間接方式識別該個人之資料；非公務機關保有個人資料檔案者，應採行適當之安全措施，防止個人資料被竊取、竄改、毀損、滅失或洩漏；非公務機關違反本法規定，致個人資料遭不法蒐集、處理、利用或其他侵害當事人權利者，負損害賠償責任。但能證明其無故意或過失者，不在此限；依前項規定請求賠償者，適用個資法第28條第2 項至第6 項規定，同法第2 條第1 款、第27條第1 項、第29條分別定有明文。又按應證之事實雖無直接證據足資證明，但可應用經驗法則，依已明瞭之間接事實，推定其真偽。是以證明應證事實之證據資料，並不以可直接單獨證明之直接證據為限，凡先綜合其他情狀，證明某事實，再由某事實為推理的證明應證事實，而該間接事實與應證事實之間，依經驗法則及論理法則已足推認其有因果關係存在者，自非以直接證明應證事實為必要（最高法院98年度台上字第2035號判決意旨參照）。 ㈡經查： ⒈張秋蘭於100 年間在系爭網站平台輸入其姓名、手機號碼、EMAIL 等個人資料註冊為會員，嗣於106 年4 月11日，張秋蘭使用手機上網連結至系爭網站平台，輸入業已註冊留存之會員帳號（手機號碼）及密碼登入會員後，購買2 張電影票，再輸入其信用卡卡號、到期日、卡片背面安全碼等資訊以付款（見不爭執事項㈠），完成系爭交易，足見系爭網站平台因而取得張秋蘭之個人資料，並進而將該個人資料記錄、儲存，且上開交易及記錄，儲存之個人資料，僅上訴人保有。 ⒉嗣張秋蘭於106 年4 月28日下午5 時30分許，接獲詐騙集團成員致電謊稱為系爭網站平台人員，因系爭網站會計人員就系爭交易處理有疏失，導致連續扣款，須依指示操作自動櫃員機解除上開錯誤設定，致張秋蘭陷於錯誤，共計匯款25萬7,892 元至該詐欺集團成員指示之金融帳戶（見不爭執事項㈡）；又經刑事警察局統計，系爭網站平台自106 年4 月17日起至同年月23日止、自同年月24日起至同年月30日止，經民眾通報高風險平台（自稱網路賣場客服或銀行來電，要求前往操作ATM 解除分期付款設定）之件數分別為30件、26件，有刑事警察局統計資料可稽（見原審卷第39、40頁），可知張秋蘭於同年月11日透過系爭網站平台訂購電影票後，至其於同年月28日遭詐騙期間，經民眾通報系爭網站平台為高風險平台，亦即使用系爭網站平台之民眾接獲自稱網路賣場或銀行來電，要求前往操作ATM 解除分期付款設定之案件累計高達50餘件，足徵上開報案民眾個人資料來源之共通性即為使用系爭網站平台，且遭詐騙集團接洽之手段相似、時間密接。再富爾特公司接獲刑事警察局告知自同年月17日起，165 反詐騙專線接獲2 民眾投訴相關網路交易個資遭詐騙集團利用，隨後陸續至同年月20日止，客服仍收到60餘個客戶投訴相關詐騙事件，富爾特公司即於同年月21日委託訴外人鑒真數位有限公司（下稱鑒真公司）進行掃描及快篩以找出可能外洩資料之線索、原因、手法，並如何防範類似事件再發生等情，有鑒真公司於同年6 月9 日出具之資安事件快篩分析報告（見限制閱覽卷宗第5 、7 頁），互核系爭交易所涉交易內容、付款方式、個人資料僅有富爾特公司完整掌有，竟遭詐騙行為人取得因此施行詐術，且相近期間，富爾特公司客戶遭受同樣詐騙之情事高達數十件，依通常經驗及論理法則，張秋蘭因與富爾特公司為系爭交易所提供包含個人資料在內之資訊，係自富爾特公司外洩，足堪認定。 ⒊富爾特公司雖抗辯伊已盡適當之安全維護措施云云，並提出106 年3 月9 日、同年7 月5 日Trustwave 合規性證明、同年11月9 日雲端測試平台主機安全評估測驗報告、網站安全評估測驗報告、100 年制訂之電腦網路使用規範、103 年制訂之個人資料保護之管理作業、105 年至106 年資安維護與升級作業資料、106 年4 月24日教育訓練簡報、員工簽到表為證（見原審卷第129 至174 頁）。惟上開106 年7 月5 日Trustwave 合規性證明、同年11月9 日雲端測試平台主機安全評估測驗報告均係本件事發後所為，自不得作為富爾特公司於事前已盡適當安全維護措施之認定。又觀諸富爾特公司106 年3 月9 日Trustwave 合規性證明可知，該漏洞掃描之IP位址僅為52.197.32.74，惟依照該證明記載略以：IP位址為211.22.76.71（0000-00-00）、52.197.118.211 （0000-00-00 ）（以前的掃描目標）部分已經根據富爾特公司之要求從掃描設置中刪除，並且未包含在此掃描中；在此掃描過程中，發現IP位址52.196.105.239、205.251.192.132 、205.251.194.163 、205.251.196.114 、25.251.199.76 部分（發現的掃描目標）與富爾特公司之網路相關，如該等系統與正在執行的評估相關，請查看該資訊並更新保管員掃描裝置等語（見原審卷第130 、131 頁、本院卷二第37頁），可知系爭網站平台使用之IP位址似非僅52.197.32.74，富爾特公司所提上開報告既僅針對52.197.32.74，而未能提出其他IP位址之漏洞掃描報告，尚難執此抗辯已就系爭網路平台所保存之資料盡適當之安全維護措施。另富爾特公司固已於100 年制訂之電腦網路使用規範、103 年制訂之個人資料保護之管理作業，惟上開公司內部規範之制定與富爾特公司有無實際落實要屬二事，另富爾特公司所提105 年至106 年資安維護與升級作業資料係其單方製作清單，經張秋蘭爭執其內容真正（見原審卷第199 頁背面至200 頁），而富爾特公司並未提出其他可資證明之證據以供佐證，尚不能資為有利於富爾特公司之認定。復參以鑒真公司於同年6 月9 日出具之資安事件快篩分析報告之快篩分析結論記載略以：於富爾特公司接獲刑事警察局告知資料外洩之隔日，106 年4 月21日至該公司蒐集並針對其所提供與本案相關之設備共計33台終端主機及1 片伺服器log 檔彙整光碟進行快篩分析。使用專業鑑識工具eDetec tor及EnCase蒐證暨分析目標主機。1.Amazon伺服器主機log 記錄不連續：a .ezding_movie_admin\app .e zding .com .tw_access .log 在案件敏感時段，106/4/1416：32：38至106/ 4/19 12：30：08間之log 不存在。b .ezd in g_movie_admin 該台伺服器之ssh access log在案件敏感時段，106/4/15至106/4/18 16 ：25：08前未有任何紀錄。c .ezding_movie_a dmin該伺服器之Audit Log 並無106 整年之紀錄，但secure有記錄到106/4/21，理論上應有AuditL og 。2.內部部分電腦具有可疑行為：221.222.222.26、32、37及80此4 台主機均分別使用疑似SQL-Injection 方式去撈Invoice 資料。此外，221.222.222.80頻繁利用SSH 登入；221.222.222.26同樣操作頻繁且有開啟OneDrive雲端儲存機制…。3.機敏資料被上傳至雲端：221.222.222.128 此主機曾在4/16敏感時段存取ezding伺服器並上傳公司大量機敏資料約18000 多個檔案到Dropbox 雲端硬碟，包含帳密、客戶交易等機敏資料。…。快篩分析建議：1.建議伺服器端log 預設保存期限應該加長，且應準備異地備份，避免遭刪除。2.針對SQL 直接語法QUERY 資料庫此方式應避免使用及做好防護機制。3.SSH 登入權限應限縮並稽核，且避免使用單一組萬用帳號及密碼且可取得最高權限。4.公司內部應做好避免讓內部人員有機會將機敏資料上傳至雲端之措施，以降低資料外流之風險。5.定期資安偵測及防護建議加強施作，以即時發現任何異常之目標電腦及惡意程式檔案。6.應避免讓員工攜帶含有公司機密之個人電腦回家，徒增資安風險（例如：外部網路安全性未知、內部人員直接外流資料）等語（見限制閱覽卷宗第26至28頁），足見系爭網路平台之內部及外部風險控制存有諸多缺陷，更徵富爾特公司並未完全落實其個人資料保護之管理作業第3 條第5 項「個人資料檔案應與加密且定期備份，並防止個人資料被竊取、竄改、毀損、滅失或洩漏」、第6 項「個人資料輸入、輸出、存取、更新、更正或註銷等處理行為，宜釐定使用範圍及調閱或存取權限」、第10項「存放個人資料之資訊設備應安裝防毒軟體，除至少每日更新病毒碼外，並應每週執行完整掃描」、第13項「儲存個人資料檔案之磁碟、磁帶，及紙本等相關儲存媒體，應設置專人管理，並置於實體保護之環境，必要時應建立備援機制，以防止資料損壞、遺失或遭竊取。相關儲存媒體非經權責單位同意，不得任意攜出或拷貝複製」（見原審卷第169 至169 頁背面）、電腦網路使用規範第22條「機密性敏感性檔案資料應進行實體隔離（與外部網路隔絕）」等規定（見原審卷第170 頁背面）。此外，富爾特公司所舉證據尚不足以證明其對於系爭網路平台記錄、保存張秋蘭之個人資料已盡適當安全維護措施，是張秋蘭依個人資料保護法第29條規定，請求富爾特公司負損害賠償責任，即屬有據。 ⒋茲就張秋蘭請求之金額，分別審認如下： ⑴按損害賠償之債，以有損害之發生及有責任原因之事實，並二者之間，有相當因果關係為成立要件。又所謂相當因果關係，係指依經驗法則，綜合行為當時所存在之一切事實，為客觀之事後審查，認為在一般情形下，有此環境、有此行為之同一條件，均可發生同一之結果者，則該條件即為發生結果之相當條件，行為與結果即有相當之困果關係；反之，若在一般情形上，有此同一條件存在，而依客觀之審查，認為不必皆發生此結果者，則該條件與結果並不相當，不過為偶然之事實而已，其行為與結果間即無相當因果關係，不能僅以行為人就其行為有故意過失，即認該行為與損害間有相當因果關係（最高法院87年度台上字第154 號、98年度台上字第673 號判決意旨參照）。換言之，相當因果關係之認定，應以行為人之行為所造成之客觀存在事實為觀察之基礎，倘就該客觀存在之事實，依吾人智識經驗判斷，通常均有發生同樣損害結果之可能者，始得謂行為人之行為與被害人所受損害間，具有相當因果關係（最高法院99年度台上字第1349號判決意旨參照）。查富爾特公司確有洩漏其保有張秋蘭之個人資料，已認定如前，而張秋蘭於106 年4 月28日下午5 時30分許，因接獲詐騙集團成員致電謊稱其為系爭網站平台人員，就系爭交易因系爭網站會計人員疏失，導致連續扣款，須依指示操作自動櫃員機解除上開錯誤設定，致陷於錯誤，共計匯款25萬7,892 元至該詐欺集團成員指示之金融帳戶，亦如前述，可見若非詐騙集團取得張秋蘭留存於系爭網站平台之個人資料，並使用該等明確、特定之個人資料以取信於張秋蘭，張秋蘭應不致於陷於錯誤而遭詐騙，堪認富爾特公司前揭未盡適當安全維護措施，致洩漏張秋蘭個人資料之行為，與張秋蘭遭詐騙受有25萬7,892 元損害間有相當因果關係，張秋蘭自得請求該部分財產上損害之賠償。 ⑵本院審酌富爾特公司為實收資本額高達11億5,536 萬4,120 元之股票上市公司，藉由系爭網路平台留存消費者個人資訊以獲取利益，卻未就消費者之個人資料善盡適當安全維護措施，致洩漏張秋蘭個人資料而為詐騙集團不法取得使用，侵害張秋蘭之資訊自主權、隱私權，暨張秋蘭為專科畢業，從事營造業，家庭經濟小康（見臺灣臺中地方檢察署106 年度偵字第24491 號卷第33頁所附淡水分局調查筆錄）、及富爾特公司侵害之情節等一切情狀，認張秋蘭請求富爾特公司賠償非財產上損害2 萬元，尚屬相當。 ⑶按不法侵害他人之身體、健康、名譽、自由、信用、隱私、貞操，或不法侵害其他人格法益而情節重大者，被害人雖非財產上之損害，亦得請求賠償相當之金額。其名譽被侵害者，並得請求回復名譽之適當處分，民法第195 條第1 項固定有明文。然參酌個資法第28條第2 項之立法理由：「二、…違反本法規定侵害當事人權益時，當事人可能不發生財產上損害而僅生精神上痛苦，爰參照民法第195 條之規定，於本條第2 項規定被害人亦得請求相當之慰藉金；如名譽受侵害時亦得請求為回復名譽之適當處分…。」，可知個資法第29條第2 項規定係民法第195 條規定之特別規定（最高法院91年度台上字第372 號裁定意旨參照），自優先於民法第184 條、第195 條規定，是張秋蘭復依民法第184 條、第195 條規定，請求富爾特公司賠償精神慰撫金5 萬元，難認有據。⑷按損害之發生或擴大，被害人與有過失者，法院得減輕賠償金額，或免除之，民法第217 條第1 項定有明文。此項被害人與有過失規定之目的，乃在謀求加害人與被害人間之公平，故在裁判上賦予法院得依職權減輕或免除加害人之責任。又所謂被害人與有過失，須被害人之行為助成損害之發生或擴大，就結果之發生為共同原因之一，行為與結果有相當因果關係，始足當之。倘被害人之行為與結果之發生並無相當因果關係，尚不能僅以其有過失，即認有過失相抵原則之適用。查張秋蘭係因個人資料，遭詐騙集團詐騙而為前開匯款行為，致受有前開財產上損害，固如前述，然衡以現今社會詐騙集團橫行，遭詐騙事件層出不窮，電視新聞、報章媒體多年來均對此類事件多所報導及分析，政府及警政機關亦常製作相關宣導影片，希冀社會大眾提高注意可疑事件，如有疑問請多加利用警政機關之反詐騙專線電話，避免受騙而遭受損害，而張秋蘭為專科畢業、從事營造業，為具有相當智識之成年人，對上開社會及生活經驗應甚為理解，且詐騙行為人所用詐欺手法並非罕見，理應對此社會常見之詐騙犯罪類型有相當之警覺性，然竟疏未注意，多次聽從歹徒指示以多次匯款致受騙而生損害，是應認張秋蘭就本件損害之發生，亦與有過失。本院斟酌上開事件發生之一切情狀，認張秋蘭應負擔三成之過失責任，富爾特公司應負擔七成之過失責任，始為公允。是以，應依此過失比例減輕富爾特公司之賠償金額，則張秋蘭所得請求富爾特賠償之金額為19萬4,524 元【計算式：（25萬7,892 元＋2 萬元）×70％＝19萬4,52 4 元，元以下四捨五入】，故張秋蘭請求富爾特公司給付上開金額，應為可採，逾此範圍之主張，則屬無據。 ⑸又按所謂不真正連帶債務，係指數債務人以單一目的，本於各別之發生原因負其債務，因其中一債務之履行，他債務亦同歸消滅者而言。故不真正連帶債務人中之一人所為之清償，如已滿足債權之全部，即應發生絕對清償效力，債權人不得再向他債務人請求清償（最高法院95年度台上字第2259號判決意旨參照）。查張秋蘭係依個資法第29條第1 項規定，請求富爾特公司就其未就所保管之個人資料盡適當安全維護措施行為負損害賠償之責，而張秋蘭就其遭詐騙集團詐取25萬7,892 元之損害，得依民法第184 條第1 項、第185 條第1 項等規定，請求詐騙集團成員連帶負侵權行為損害賠償責任，足見詐騙集團成員與富爾特公司係基於單一目的，本於不同法律規定之個別發生原因對張秋蘭負責，應屬不真正連帶債務關係，而張秋蘭已與該詐騙集團成員之一即劉永清達成訴訟上調解，劉永清同意賠償張秋蘭1 萬5,000 元，張秋蘭目前已獲清償其中之1 萬1,250 元（見不爭執事項㈡），揆諸前開說明，張秋蘭就上開已獲清償之1 萬1,250 元，即不得再請求富爾特公司清償，是張秋蘭得請求富爾特公司賠償之金額經扣除上開業經清償部分後，應為18萬3,274 元（計算式：19萬4,524 元－1 萬1,250 元＝18萬3,274 元）。至富爾特公司辯稱張秋蘭已與劉永清達成和解，和解金額若低於依法應分擔額，就差額部分之免除對伊亦生效力云云。惟富爾特公司與詐騙集團成員劉永清間為不真正連帶關係，其等相互間並無分擔部分，應無民法第273 條以下有關連帶債務人間外部關係與內部關係規定之適用（最高法院92年度台上字第1540號判決要旨參照），是富爾特公司此部分抗辯，並非可採。 六、綜上所述，張秋蘭依個資法第29條第1 項、第29條第2 項適用同法第28條第2 項、第3 項規定，請求富爾特公司給付18萬3,274 元，為有理由，應予准許；逾此範圍之請求，則無理由，應予駁回。原判決就上開應准許部分，為張秋蘭敗訴之判決，自有未洽，張秋蘭上訴意旨，指摘原判決此部分不當，求予廢棄改判，為有理由，應予准許。原審就上開應准許部分，所為富爾特公司敗訴之判決，及就上開不應准許部分，所為張秋蘭敗訴之判決，均無不合，兩造上訴意旨，各自指摘原判決該部分不當，求予廢棄改判，均無理由，應予駁回。 七、本件事證已臻明確，兩造其餘攻擊或防禦方法及所用之證據，經本院斟酌後，認為均不足以影響本判決之結果，爰不逐一論列，併此敘明。 八、據上論結，本件張秋蘭之上訴一部為有理由、一部為無理由，富爾特公司之上訴為無理由，依民事訴訟法第476 條之1第3 項、第449 條第1 項、第450 條、第79條，判決如主文。 中 華 民 國 108 年 9 月 5 日民事第一庭 審判長法 官 蕭錫証 法 官 劉瓊雯 法 官 黃筠雅 以上正本係照原本作成。 本件判決不得上訴。 中 華 民 國 108 年 9 月 10 日書記官 陳芝箖