法律人 LawPlayer logo
25 分鐘讀完 全文 8,531

資料來源:司法院裁判書系統

臺灣臺南地方法院臺南簡易庭民事判決

                  106年度南簡字第1450號

侵權行為損害賠償民事裁判日期 107 年 06 月 26 日

法官黃聖涵

原告
胡棨超
被告
學思行數位行銷股份有限公司
法定代理人
張天立
訴訟代理人
林珮菁

      蘇孟君

上列當事人間請求侵權行為損害賠償事件,本院於民國107年5月29日言詞辯論終結,判決如下:

主文

被告應給付原告新臺幣壹拾玖萬肆仟參佰參拾伍元,及自民國一O六年十月二十六日起至清償日止,按週年利率百分之五計算之利息。

原告其餘之訴駁回。

訴訟費用由被告負擔十分之七,餘由原告負擔。

本判決原告勝訴部分得假執行。但被告如以新臺幣壹拾玖萬肆仟參佰參拾伍元為原告預供擔保後,得免為假執行。

事實及理由

一、按起訴後,原告不得為訴之變更追加,但擴張或減縮應受判決事項之聲明者,不在此限,為民事訴訟法第255條第1項第3款定有明文。本件原告起訴時原請求「被告應給付原告新臺幣(下同)26萬元,及自起訴狀繕本送達之翌日起至清償日止,按週年利率百分之5計算之利息」,嗣於民國107年5月29日本院審理時,當庭變更請求之金額為249,860元及其法定利息(本院卷二第67頁背面),核屬減縮應受判決事項之聲明,於法相符,應予准許。

二、原告起訴主張:

㈠緣原告於106年3月24日因為要加入被告提供之平台才能購書,因此加入被告提供之平台後開始購書。然自106年5月4日接到詐騙電話,自稱是被告的客服人員以幫原告取消訂單為由,要原告提供信用卡上電話,而歹徒提供之資訊與原告購書之發票中的購物日期、贈品為電子書等明細相符,這些是僅兩造才會知道的私密資料,之後原告接到一通自稱是玉山銀行,以保護帳號安全為由,誘導原告到附近ATM及網路銀行匯款及無摺存款,歹徒再匯錢給原告,讓原告提領與使用信用卡去購買MYCARD點數,導致原告被詐騙金額達257,622元,原告當日晚上就有報警,原告並因此受有身心痛苦,故併予請求精神慰撫金2萬元。上開侵權行為原告認為被告應負擔9成責任、原告自行負擔1成責任。綜上,爰依個人資料保護法第27、29條之規定提起本件訴訟,請求被告應賠償原告財產上及非財產上損害,合計249,860元【計算式:(257,622+2萬元)90%=249,860元】。

㈡被告雖然非故意洩漏原告個人資料導致上開原告損害,但確因被告未盡安全維護義務之過失,導致原告個人資料外洩致生上開損害,分述如下:

⒈被告主張105年9月26日已對消費者發送9萬多筆反詐騙宣導簡訊,但是原告是106年3月24日才成為被告之消費者,因此被告此部分宣導根本與原告無涉。原告沒有收到被告主張已寄送之反詐騙宣導的電子郵件。

⒉被告主張106年2月已將訂單加密、106年3月已購買防火牆應用程式、4月防火牆裝設完成,但106年5月4日前被告個人交易資料仍遭竊取,顯見被告對於個人資料安全管理仍有不足之過失。

⒊TVBS在100年間就報導過被告有個人資料外洩問題,然被告在165高風險賣家排行榜統計、中時新聞、蘋果報導均有客戶多人受詐騙之統計,可見被告的消費者105年9月至106年5月間受詐騙之災情嚴重,更可佐證被告就個人資料管理確有未採行適當措施之過失,居然從100年拖到106年4月才進行防火牆升級、個資盤點等資安基本維護。

⒋被告主張之資安風險管理成本投入都是被告自說自話,被告根本無法提出證據,證明在原告106年3月24日消費日前有何資安檢測報告,被告提出的相關證據,都指出被告是在原告受詐騙之後才投入資安風險管理(況原告認為被告無法充分提出證據佐證其說),顯見被告於原告個人資料在系爭平台外洩時,實有未適當為資安防護之過失等語。

㈢並聲明:被告應給付原告249,860元,及自起訴狀繕本送達被告之翌日即民國106年10月26日起至清償日止,按週年利率百分之5計算之利息。

三、被告則以:

㈠就原告上開損害並非被告之故意或過失行為所致,被告有⒈針對網路平台使用者主動加強提醒防護,包括客服24小時,一接到消費者有被詐騙的反應就會對全體發簡訊和電子郵件通知,並自105年9月28日起在被告提供之平台左側、首頁至頂BN、商品右側BN、會員登入左側BN、訂購完成頁均有防詐騙提醒,且105年9月26日就訂單日期105年7月1日至106年9月25日發送防詐騙簡訊共90,346筆,又於106年4月25日發送防詐騙電子郵件給原告。⒉資安措施及政策,包括被告原佈署之安全措施,例如對會員個資:身分證、電話、手機皆有進行保護加密措施,加密方式使用AES-256bit。外部網路連被告公司內部網路,進行資料存取,皆需透過VPN帳號密碼,同時也有防火牆的建置,自發生事故後,採行適當之安全措施以防止再次個人資料被竊取、竄改、毀損、滅失或洩漏,加強並調整資安安全措施之佈署,包括會員資料多階段加密、資安防護查核(105年11月會員資料二次加密完成佈署、106年2月訂單即時加密、事故危機處理程序含通報查核表完成、106年3月底採購Web應用程式防火牆設備,4月中配合廠商完成佈署、106年3月10日起僅開放部分系統工程師、高階主管透過VPN帳號密碼,由外部網路連公司內部網路。非系統單位人員停止使用VPN,同時員工個人電腦與公司系統連線之管理機制,已請系統單位進行電腦IP管控、106年5月5日,訂單完成通知暫停發送:進行訂單通知信內容重新檢視與調整、106年10月1日訂單明細的呈現,不顯示訂單相關資訊),將可疑外洩訂單區間控制在106年4月17日。⒊監測主機、內部電腦狀況(自105年10月起加強管理與監控使用者進入系統,並安裝防毒軟體forticlient,降低電腦威脅)。⒋全面性進行系統整體架構調整:調整區隔內部網路、核心營運系統網路、DMZ區、外部網路等。⒌資安管理規則之制定、教育訓練與宣導,目前仍逐步建置並公告,包括資產清查(106年6月進行機房、辦公室、物流資產清查,106年7月完成)、資安管理(召開系統主管會議討論既有資安政策調整、資安強化措施、配合個人資料保護法施行細則第12條安全維護事項,進行資訊安全之原則、標準,以及員工應遵守規定之政策規劃)、資安教育訓練(強化資訊系統安全最有效的方法,讓開發者、管理者擁有正確的資安觀念,才能抵禦不斷進化的駭客攻擊)。因為上開防護,民眾通報數已於106年5月10日明顯減緩,原告雖然被詐騙是因為在被告公司購買產品的個資外洩,但是被告的資安防護已經達到相當等級,故不可歸責,原告提出的許多新聞資料與本案案情不同,不能作為本案證據。

㈡被告無意指責原告,但被告不同意原告主張的過失比例,原告不指責盜取交易紀錄之駭客,原告自己也不對平台安裝防毒軟體而導致第三人入侵平台竊取交易紀錄,原告還自行按照第三人指示購買顯與兩造原本交易內容無關之遊戲點數,且金額高達20幾萬元,此實超出因果關係射程,且可見原告覺察力與警覺性較一般人多有不足,是被告認為,縱鈞院認定被告有過失,被告頂多負擔2成責任等語。

㈢並聲明:原告之訴駁回。

四、本院得心證之理由:

㈠本件原告主張被詐騙是因為在被告公司網站購買產品的個人資料外洩,原告本件受詐騙金額共計為257,622元,原告遭詐騙後有報案等情,業據其提出遭詐騙流程說明及相關匯款、取款、購買遊戲點數之相關資料在卷可稽,並有臺南市政府警察局第四分局107年3月6日南市警四偵字第1070097517號函及所附之調查筆錄、報案三聯單、案件紀錄表、受理詐騙案件帳戶通報警示簡便格式表、金融機構聯防機制通報單、交易明細、交易紀錄存卷可參,該等資料經核對與原告主張相符,且為被告所不爭執(調字卷第9-12頁,本院卷一第106、127、174-177頁、145-155頁背面、第211頁背面、212頁),應堪信為真實。

㈡本件原告主張被告未妥善保管其會員個人資料,對原告因被告之資訊安全漏洞所受之財產上及非財產上損害,應依個人資料保護法規定負賠償責任一節,為被告所否認,並以前詞置辯。茲分述如下:

⒈按非公務機關保有個人資料檔案者,應採行適當之安全措施,防止個人資料被竊取、竄改、毀損、滅失或洩漏;中央目的事業主管機關得指定非公務機關訂定個人資料檔案安全維護計畫或業務終止後個人資料處理方法;前項計畫及處理方法之標準等相關事項之辦法,由中央目的事業主管機關定之,個人資料保護法第27條定有明文;次按非公務機關違反本法規定,致個人資料遭不法蒐集、處理、利用或其他侵害當事人權利者,負損害賠償責任。但能證明其無故意或過失者,不在此限;依前項規定請求賠償者,適用前條第二項至第六項規定,個人資料保護法第29條定有明文。又被害人雖非財產上之損害,亦得請求賠償相當之金額,同法第28條第2項亦有規定。從而,被告因原告購書而取得相關活動等個人資料,依法應採行適當之安全措施以防止該個人資料被竊取或洩漏,被告倘未能舉證證明已盡此注意義務,即可認有過失,原告因而個資被竊取或外洩,自得依個人資料保護法第29條、第28條第2項之規定請求被告負財產上或非財產上之損害賠償責任。

⒉被告固辯稱已採取針對網路平台使用者主動加強提醒防護、資安措施及政策、監測主機、內部電腦狀況、調整區隔內部網路、核心營運系統網路、DMZ區、外部網路等、資安管理規則之制定、教育訓練與宣導,目前仍逐步建置並公告等等措施,以保護原告等消費者之交易個資,而無違反個人資料保護法之情事云云。然查,被告針對其所進行之資安防護加強措施所提出之相關證據,如106年4月25日之全館會員通知請慎防詐騙電話、完整弱點檢測之稽核執行時間為106年5月18日、106年7月20日、106年9月24日、106年11月21日、107年1月23日、107年3月2日之摘要、106年5月之網頁弱點掃描服務分析報告、106年3月16日防火牆合約主張技術支援106年3月20日起至109年3月19日止、105年9月28日起客服人員教育訓練、106年12月22日銓鍇國際之系統人員資料庫教育訓練、被告網站的個資法Q&A、訓練教材等資料(見本院卷一第124頁,本院卷二第5-30頁背面),大都係原告遭詐騙後始進行之動作,且均無足證明被告於本案原告個資外洩時已依法訂定個人資料檔案安全維護計畫及有為適當之資安防護措施,參以被告自承其平台防火牆之加強,係於106年4月中始配合廠商完成佈署一情,更證被告明知自105年年底已有發生多起個資外洩情事後,仍遲至106年4月間始為防火牆之實際佈屬,而斯時距離原告購買書籍之106年3月間已相隔約有1個月之時間,此段期間內,難認被告有為適當之資安防護措施。此外,被告並未舉其他事證證明本案發生前其已依前開辦法訂定、落實個人資料檔案安全維護計畫及個人資料安全稽核機制等事實,是以,堪認原告主張被告有未依個人資料保護法第27條規定對原告個人資料採行適當安全措施之過失之一情,可以採信。

⒊就被告對其持有之原告前開交易個資,未盡法定適當之安全維護義務而有「過失」乙情,業經認定如前,且原告個資遭竊取、外洩而為不法集團持用而受有個人資料隱私權遭侵害之損害一節,亦為被告不爭執而堪認定。原告依個人資料保護法第29條規定請求被告負損害賠償責任,尚以被告違反個人資料保護法之過失行為與損害間具備「相當因果關係」為要件。而關於本件被告過失行為與原告個資外洩之間具備相當因果關係等歸責要件之舉證,即被告未依法訂立個人資料檔案安全維護計畫及安全稽核機制致駭客入侵竊取原告個資,抑或因而遭被告公司人員外洩等情,惟此等事實因宥於網際網絡科技浩瀚並參雜人為因素之變異而有高度舉證困難,責令被害人擔負完全之舉證責任實有不公;而被告既為以此交易營利之企業經營者,原告交付個資後即由其支配掌握,其對於個資被竊取或外洩風險之控制及分擔能力俱優於原告;抑有進者,航空業者對旅客個資之維護義務,除建立在個人資料隱私權之保護外,亦有防免旅客個資外洩致影響飛航安全等重大風險實現,是本院斟酌本件訴訟性質、兩造之舉證能力及被告違反義務之情節及風險分配之合理性,而比照我國實務就公害訴訟降低被害人因果關係舉證責任之見解,認被告行為所生之危險已有相當合理確定性,即推定有一般因果關係之存在(最高法院102年度台上字第31號判決參照),被告倘認無一般或個別因果關係存在,自應提出確切之反證證明。

⒋從而,被告未依法採取訂立個人資料檔案安全維護計畫及稽核機制等防免個資遭竊取或外洩之安全措施,致原告之個資外洩情事,被告過失行為與原告個資外洩之損害間具備相當合理關聯,即推定有一般因果關係存在,被告自應提出確切反證始足推翻該因果關係之認定。本件原告之請求乃被告違反個資維護義務致個資外洩之侵權事實,被告迄未就其違反前開法定義務與原告個資外洩間欠缺相當因果關係提出說明或確切反證,自堪認原告主張被告未盡法定維護義務,致其個資外洩而侵害其個人資料隱私權一節為可採,則原告依個人資料保護法第29條、第28條第2項規定,主張前開財產上損害257,622元、非財產上損害2萬元,於法有據。

㈢按損害之發生或擴大,被害人與有過失者,法院得減輕賠償金額,或免除之,民法第217條第1項定有明文。此項被害人與有過失規定之目的,乃在謀求加害人與被害人間之公平,故在裁判上賦予法院得依職權減輕或免除加害人之責任。又所謂被害人與有過失,須被害人之行為助成損害之發生或擴大,就結果之發生為共同原因之一,行為與結果有相當因果關係,始足當之。倘被害人之行為與結果之發生並無相當因果關係,尚不能僅以其有過失,即認有過失相抵原則之適用。而查,本件原告係因個人資料外洩,遭第三人詐騙而為前開匯款、轉帳及購買遊戲點數等行為,致受有前開財產上損害257,622元,業如前述,然衡以現今社會詐騙集團橫行,遭詐騙事件層出不窮,電視新聞、報章媒體多年來均對此類事件多所報導及分析,政府及警政機關亦常製作相關宣導影片,希冀社會大眾提高注意可疑事件,如有疑問請多加利用警政機關之反詐騙專線電話,避免受騙而遭受損害,而原告於本案發生時,為具有相當智識之成年人,對上開社會及生活經驗應甚為理解,理應對此社會常見之詐騙犯罪類型有相當之警覺性,然竟疏未注意,多次聽從歹徒指示以同一方式多次購買遊戲點數與匯款,致受騙而生損害,是認原告就本件損害之發生,亦與有過失。本院斟酌本件事故發生之一切情狀,認原告應負擔三成之過失責任,被告應負擔七成之過失責任,始為公允。是以,依此過失比例,則本件原告所得請求被告賠償之金額為194,335元【計算式:(257,622元+2萬元)×70%≒194,335元,元以下四捨五入】,故原告請求被告給付上開金額,應為可採,逾此範圍之主張,則屬無據。

㈣末按給付無確定期限者,債務人於債權人得請求給付時,經其催告而未為給付,自受催告時起,負遲延責任。其經債權人起訴而送達訴狀,或依督促程序送達支付命令,或為其他相類之行為者,與催告有同一之效力;遲延之債務,以支付金錢為標的者,債權人得請求依法定利率計算之遲延利息,民法第229條第2項、第233條第1項前段則分別著有明文。本件原告主張對被告之損害賠償請求權,係屬於給付未有確定期限之金錢債權。從而,原告依上開法律規定,訴請被告賠償194,335元,及自起訴狀繕本送達被告翌日即106年10月26日起至清償日止(調解卷第41頁),按週年利率百分之5計算之法定遲延利息,為有理由,應予准許,逾上開範圍之請求,為無理由,應予駁回。

㈤綜上所述,原告本於上開法律規定,請求被告給付194,335元及自106年10月26日起至清償日止,按週年利率百分之5計算之利息,為有理由,應予准許。逾此範圍之請求,為無理由,應予駁回。

五、本案事證已臻明確,兩造其餘攻擊防禦方法與舉證,經核與判決結果無影響,爰不逐一論述,附此敘明。

六、末按各當事人一部勝訴、一部敗訴者,其訴訟費用,由法院酌量情形,命兩造以比例分擔或命一造負擔,或命兩造各自負擔其支出之訴訟費用,民事訴訟法第79條定有明文。本件原告之訴為一部有理由,一部無理由,本案審酌兩造之勝敗情形,爰定兩造訴訟費用之負擔如主文第3項所示。

七、本判決原告勝訴部分,係適用民事訴訟法第427條第1項簡易訴訟程序所為被告敗訴之判決,依同法第389條第1項第3款規定,應依職權宣告假執行。另並依同法第392條第2項依職權宣告被告預供擔保得免為假執行。

八、據上論結,本件原告之訴為一部有理由,一部無理由,依民事訴訟法第436條第2項、第79條、第389條第1項第3款、第392條第2項,判決如主文。

臺灣臺南地方法院臺南簡易庭

以上正本係照原本作成。如不服本判決,應於送達後20日內,向本院提出上訴狀並表明上訴理由,如於本判決宣示後送達前提起上訴者,應於判決送達後20日內補提上訴理由書(須附繕本)。如委任律師提起上訴者,應一併繳納上訴裁判費。

中 華 民 國 107 年 6 月 26 日

法 官 黃聖涵

中 華 民 國 107 年 6 月 26 日

書記官 陳杰瑞

司法院裁判書系統 本頁全文逐字來自司法院公開資料,可開新分頁核對官方原文。

用完 AI 分析後回來繼續 — 法律人 LawPlayer 有判決書全文與相關法規連結,AI 摘要無法取代原文閱讀

AI 延伸分析
AI 幫你讀判決

帶「臺南簡易庭106年度南簡字第1…」去 AI 深度解析——快速問一鍵直送,或帶完整內容讓回答更精準

⚡ 快速問(一鍵直送)
📋 帶完整內容(複製後貼上)