臺灣臺北地方法院110年度重訴字第403號

臺灣臺北地方法院民事判決 110年度重訴字第403號 原 告 砌禾數位動畫股份有限公司 法定代理人 王俊雄 訴訟代理人 田振慶律師 邱瑞元律師 張揚律師 被 告 智聯服務股份有限公司 法定代理人 施宣輝 訴訟代理人 彭成翔律師 蔡宛珊律師 林芸律師 上列當事人間請求損害賠償事件，本院於民國111年4月12日言詞辯論終結，判決如下： 主 文 被告應給付原告新臺幣35,654元，及自民國110年6月8日起至清 償日止，按週年利率百分之五計算之利息。 原告其餘之訴駁回。 訴訟費用由被告負擔百分之1，餘由原告負擔。 本判決原告勝訴部分得假執行。但被告如以新臺幣35,654元為原告預供擔保，得免為假執行。 原告其餘假執行之聲請駁回。 事實及理由 一、原告主張略以： ㈠緣兩造曾於109年7月20日，簽署「專業人力駐廠服務合約書」（下稱系爭契約），約定由被告指派合格具經驗之工程師進駐於原告服務、處理公司IT（即資訊科技）人員所交辦之事項。被告服務之內容包括系統以及網路之防毒管理，而為便於被告提供服務，原告乃特權授與被告持有原告電腦系統管理之帳號「acerast」，並由被告設定該帳號所屬密碼， 以使被告得以進入原告公司之電腦系統。被告除能前往原告公司現場輸入管理之帳號密碼以進入電腦系統外，更能透過VPN遠端連線之方式進入原告電腦系統。為避免他人或攻擊 者利用遠端方式擅自入侵原告電腦系統，被告及其負責執行此業務之工作人員自有義務以善良管理人之注意程度設定有效之密碼並妥善保管帳號及密碼，使原告電腦系統免受他人之攻擊。 ㈡惟被告於提供服務的過程中，屢次未經原告同意即更換服務人員，導致帳號密碼處於外洩之高度風險。於109年12月11日，原告公司之電腦系統竟遭外來攻擊者，使用「acerast」之帳號，透過VPN遠端連線進入內部網路，取得IP（即網路協定位址）後，經由AD主機（即網域控制站）散佈勒索軟體，並用之將原告的重要電腦檔案加密並勒索原告，致使原告無法使用前開重要電腦檔案，受損甚鉅。 ㈢又被告身為資訊領域專業，且得於本件訴訟進行中提出原告電腦系統Log紀錄，並加以解讀並答辯，卻於服務期間卻未 曾將此異常情形通知原告，甚至未就該等Log紀錄作例行之 檢查，顯已違反善良管理人之義務。 ㈣承上所述，原告爰依民法第227條第2項、民法第184條第1項前段等規定，請求被告負損害賠償責任，金額為18,178,759元。 ㈤此外，兩造現已終止系爭契約，故被告自應返還原告預付之1 71,554元予原告；又被告之瑕疵給付已屬不能補正，倘認原告不得依民法第179條之規定進行請求，則原告尚得依民法 第227條第1項之規定，向被告請求171,554元之損害賠償， 爰請本院擇一為有利原告之判決，命被告給付171,554元予 原告。 ㈥並聲明： ⒈被告應給付原告18,350,313元暨自起訴狀繕本送達被告之翌日起至清償日止，按年息百分之5計算之利息。 ⒉願供擔保，請准宣告假執行。 二、被告則以： ㈠被告確有於109年7月20日，與原告簽署系爭契約，惟被告提供服務之範圍，依系爭契約第2條第7項之約定，應係由被告提供駐點人員於每週至原告公司一天之駐點服務及人員叫修到場服務，處理原告IT人員交辦事項，並提供「支援機房維護服務」、「支援MIS解決PC基本問題（包括安裝造成之問 題）」以及「負責協助使OA配置處於堪用狀態，並做最佳及最有效之運用」等服務。倘原告公司要求之服務範圍有超出系爭契約上開約定之項目時，依系爭契約第2條第7項第4款 及第9條第1項之規定，應由雙方另行以書面協議並由被告公司再額外酌收服務費。 ㈡而為能讓被告駐點人員順利履行系爭契約之服務內容，由原告公司提供其所創設之帳號「acerast」，被告駐點人員再 依照原告要求之密碼設定規則及條件來設定密碼，藉此登入VPN以進入原告內部網路作業。易言之，被告之契約義務僅 係就原告現有的機房及資訊設備作基本維護，是作為支援原告IT人員的輔助角色，倘現有之機房及資訊設備發生有影響原告員工正常使用之問題時，經原告IT人員交辦後，再由駐點人員根據問題之複雜程度，作簡易的障礙排除或進一步予以報修，而原告之資安系統或防毒軟體等安裝或提升，並未在雙方約定之服務範圍。 ㈢是以，依系爭契約之文義，或一般商業交易之服務內容及計 價方式解釋，應可明確知悉本案系爭契約之服務內容絕非原告所指稱之「資安服務」。從而，因資安系統、防毒軟體之安裝或維護、電腦系統log紀錄之檢視等項目，均非被告於本案之主給付義務、附隨義務抑或從給付義務之範圍，是被告應無構成不完全給付之情事。 ㈣另原告雖陳稱：因被告更換駐點人員，而有導致帳號密碼外洩之風險等語，惟原告未提出具體事證以證明被告確有洩漏帳號密碼之行為；且從系爭事件發生歷程，亦可見攻擊者入侵原告所利用之帳號不僅限於被告使用者的acerast，尚包含原告員工使用之帳號jimao及shiro923，且一開始並未掌握密碼，足證原告所受損害與被告更換駐點人員間，欠缺相當因果關係。 ㈤另被告否認原告指摘被告有債務不履行及侵權行為等一切主張。倘認被告有相關債務不履行或侵權行為之情事，針對原告所主張損害賠償範圍之相關單據及數額，被告亦否認其因果關係與真實性等語，茲為抗辯。 ㈥並聲明： ⒈原告之訴及假執行之聲請均駁回。 ⒉如受不利益判決，被告願供擔保請准宣告免為假執行。三、本件不爭執事項如下（見本院卷第216頁）： ㈠兩造於民國109年7月20日簽立專業人力駐廠服務合約書，約定由被告指派合格具經驗之工作人員於原告公司提供服務。㈡被告持有原告電腦系統管理之帳號「acerast」及其密碼。前 開帳號是原告所創設，密碼是被告依照原告提供之密碼設定規則及條件所設定。 ㈢於109年12月11日，原告公司之電腦系統遭外來攻擊者使用帳 號「acerast」，以VPN遠端連線進入內部網路，並經由網域控制站散佈勒索軟體LockBit。 四、本件爭點如下（見本院卷第217頁）： ㈠被告之主給付義務是否包含系統及網路之防毒管理？ ㈡被告之從給付義務或附隨義務是否包含系統及網路之防毒管理？ ㈢被告是否不完全給付？ ㈣被告之不作為是否構成侵權行為？ ㈤倘若被告有債務不履行或侵權行為，原告所受損害或所失利益為何？ ㈥倘若被告有債務不履行或侵權行為，原告是否也針對系爭案件的發生與有過失？ 五、得心證之理由： 兩造曾於109年7月20日簽立系爭契約，約定由被告指派合格具經驗之工作人員於原告提供服務。被告持有原告電腦系統管理之帳號acerast及其密碼。該帳號是原告所創設，密碼 是被告依照原告提供之密碼設定規則及條件所設定。於109 年12月11日，原告電腦系統遭外來攻擊者使用帳號acerast ，以VPN遠端連線進入內部網路，並經由網域控制站散佈勒 索軟體LockBit等情，為兩造所不爭執（見本院卷第216頁），復有系爭契約書附卷可參（見本院卷第41-42頁），堪信 為真實。惟就原告主張被告違反系爭契約，應負債務不履行及侵權行為損害賠償責任等情，業據被告所否認，並以前詞置辯。是本件爭點厥為：㈠被告之主給付義務是否包含系統及網路之防毒管理？㈡被告之從給付義務或附隨義務是否包含系統及網路之防毒管理？㈢被告是否不完全給付？㈣被告之 不作為是否構成侵權行為？㈤倘若被告有債務不履行或侵權行為，原告所受損害或所失利益為何？㈥倘若被告有債務不履行或侵權行為，原告是否也針對系爭案件的發生與有過失？茲說明得心證之理由如下： ㈠被告依系爭契約之主給付義務、從給付義務或附隨義務，應不包含系統、網路之防毒管理及電腦系統log紀錄之檢視， 理由如下： ⒈按解釋契約，固須探求當事人立約時之真意，不能拘泥於契約之文字，但契約文字業已表示當事人真意，無須別事探求者，即不得反捨契約文字而更為曲解解，此有最高法院110 年度台上字第2844號判決意旨足資參照。次按依契約嚴守原則，當事人本於自由意思訂定契約，如已合法成立，即應依從該契約之內容或本旨而履行，其私法上之權利義務，亦應受其拘束，非一造於事後所能主張增減，此有最高法院18年上字第484號判例意旨、最高法院105年度台上字第929號判 決意旨足資參照。再按所謂主給付義務，係指債之關係所固有、必備，並用以決定債之關係類型之基本義務；所謂從給付義務，乃為主給付義務之準備、確定、支持及完全履行，用以確保債權人之利益能獲得完全之滿足，俾當事人締結契約之目的得以實現；所謂附隨義務，乃為履行給付義務（含主給付義務及從給付義務）或保護債權人人身或財產上利益，於契約發展過程基於誠信原則而生之義務，包括協力及告知義務以輔助實現債權人之給付利益，此則有最高法院100 年度台上字第2號判決、100年度台上字第171號判決意旨參 照。 ⒉查兩造於109年7月20日簽署之系爭契約，第2條第7項明確記載被告之服務範圍為：「支援機房維護服務」、「支援MIS 解決PC基本問題(包括安裝造成之問題)」、「負責協助使OA配置處於堪用狀態，並做最佳及最有效之運用」等項目。雙方並於系爭契約第2條第7項第4款第6點約定：「雙方並於倘原告公司要求之服務範圍有超出系爭契約上開約定之項目時，被告得酌收服務費。」等語，雙方並於系爭契約第9條約 定：「本合約之增、刪或修改，非經甲乙雙方以書面協議之方式為之，不生效力。」等語。依據前開記載，應可知被告所應提供服務之範疇，應以系爭契約有明確記載者為限。準此，被告就系爭契約之給付義務，僅係就原告現有的機房及資訊設備作基本維護，並作為支援原告IT人員的輔助角色，而不包含「資安服務」在內；又IT駐點服務與「資安服務」兩者，依商業習慣而言，服務之內容及服務之價格應有顯著的差異，而屬不同之服務項目，自無所謂從屬或有相互衍生之附隨義務關係可言。揆諸前開說明，因系爭契約就被告之給付義務範圍已有明確之約定，是資安系統或防毒軟體等安裝或提升或電腦系統log紀錄之檢視等項目，應非屬被告依 系爭契約所應提供之服務，堪予認定。 ⒊綜上所述，因系爭契約就被告之給付義務範圍已有明確之約定，而無未臻明確之處，揆諸上開最高法院之見解，自不得反捨契約文字而恣意擴張解釋。從而，被告之主給付義務、從給付義務、附隨義務等，應不包含系統、網路防毒管理及電腦系統log紀錄之檢視等項目，堪予認定。 ㈡被告並未違反系爭契約而構成不完全給付，理由如下： 承前所述，原告之系統、網路防毒管理及電腦系統log紀錄 之檢視等項目，應非屬被告依系爭契約之主給付義務、附隨義務抑或從給付義務之範圍，自難認被告有違反系爭契約而構成不完全給付之情事。從而，原告依民法第227條第2項之規定，請求被告負損害賠償責任等情，應屬無據，自應予駁回。 ㈢被告並未構成侵權行為，理由如下： 查原告主張被告於提供服務的過程中，有屢次未經原告同意更換服務人員之情形，導致原告公司之電腦系統遭外來攻擊者使用「acerast」帳號，透過VPN遠端連線進入內部網路，散佈勒索軟體，致使原告受損甚鉅等情，經查，依據系爭契約第2條第1項之規定，被告應有指派合格具經驗之工作人員提供客戶人員駐廠服務之義務，是以，被告基於服務客戶之宗旨及工作調度之考量，更換駐點人員之情形，並未違反系爭契約之約定，而難認有侵害原告權利之情形；又原告公司之電腦系統雖於於109年12月11日，經外來攻擊者使用「acerast」帳號，透過VPN遠端連線進入內部網路，並散佈勒索 軟體，惟外來攻擊者入侵原告所利用之帳號不僅限於「acerast」帳號，尚包含原告員工所使用「jimao」、「shiro923」，且有輸入密碼錯誤之紀錄；參酌外來攻擊者之IP位置係在美國，應難認外來攻擊者入侵原告之電腦系統，係被告更換服務人員所致。準此，因原告公司之電腦系統遭外來攻擊者散佈勒索軟體一事，與被告公司更換服務人員間，難認有相當因果關係，是原告依民法第184條第1項前段之規定，請求被告負損害賠償責任等情，即屬無據，亦應予駁回。 ㈣被告因系爭契約之終止，應返還35,654元予原告，理由如下： 末查原告主張系爭契約已由兩造於110年1月22日合意終止，是被告應返還原告預付之171,554元款項等情，經查，依據 原告所陳報之被告核算費用暨扣除原告預付款項計算表格影本記載(見本院卷第129頁)，原告主張預付被告之金額為166,154元；原告雖陳稱：被告人員於109年12月11日起至同年 月30日止，所提供之人員叫修到場服務，係為釐清事發原因所為之補正行為，是原告應毋庸負擔此部分之費用等語，惟被告應未有債務不履行或侵權行為之情形，詳如上述，是此部分之費用仍應由原告負擔。從而，參照上開文件內容，被告因系爭契約之終止，應返還原告之預付款項為35,654元。六、綜上所述，因被告未有債務不履行或不法侵害原告權利之情形，是原告依民法第227條第2項、第184條1項前段等規定，請求被告負損害賠償責任等情，為無理由，應予駁回。又原告主張系爭契約已由兩造於110年1月22日合意終止，是原告依不當得利之法律關係，請求被告返還原告預付之35,654元款項等情，為有理由，應予准許；逾此範圍之請求，即屬無據，為無理由，亦應予駁回。 七、另兩造均陳明願供擔保聲請宣告假執行或免為假執行，經核原告勝訴部分，所命給付金額未逾500,000元，本院自應依 民事訴訟法第389條第1項第5款之規定，依職權宣告假執行 ；又被告聲請宣告免為假執行，核無不合，爰依同法第392 條第2項規定，酌定相當之擔保金額准許之。至原告敗訴部 分之訴既經駁回，其假執行之聲請即失所附麗，應併予駁回。 八、本件事證已臻明確，兩造其餘攻防方法及所提證據，經本院斟酌後，核與判決結果不生影響，爰不予逐一論述，併此敘明。 九、訴訟費用負擔之依據：民事訴訟法第79條。 中華民國111年5月10日 民事第二庭 法　官　陳雅瑩 以上正本係照原本作成 如對本判決上訴，須於判決送達後20日內向本院提出上訴狀。如委任律師提起上訴者，應一併繳納上訴審裁判費。 中華民國111年5月10日 書記官　陳薇晴