臺灣臺北地方法院110年度重訴字第916號

臺灣臺北地方法院民事判決 110年度重訴字第916號 原 告 智冠科技股份有限公司 法定代理人 王俊博 訴訟代理人 陳維鈞律師 被 告 數聯資安股份有限公司 法定代理人 曾詩淵 訴訟代理人 蔡岳霖律師 上列當事人間請求給付損害賠償等事件，本院於民國112年5月17日言詞辯論終結，判決如下： 主 文 原告之訴及其假執行之聲請均駁回。 訴訟費用由原告負擔。 事實及理由 一、原告起訴主張經審理後略以： ㈠原告為國内知名從事遊戲發行、代理營運及Mycard、Steam、Gash等遊戲點數卡發行與代理業務廠商，為確保自身遊戲及點數等伺服器資訊安全，與被告於民國108年10月1日訂立「網路入侵防護安全管理服務合約書」（下稱系爭服務合約），由被告提供網路入侵防護安全管理服務，内容包括：提供入侵偵測防禦系統之事件監控、分析、過濾、通報及處置追蹤，使原告能即時掌握網路或系統威脅事件，以快速執行威脅處置，達到持續降低資安風險目的，其中資安事件即時監控及分析，應每日24小時執行，如有任何資安案件，應在事件發生後30分鐘内完成通報，如為第三級以上資安案件，並應以電子郵件、簡訊及全日無休電話通報。 ㈡訴外人微軟公司於109年2月11日公告編號為CVE-0000-0000、等級為重要、風險等級為9.8分之資安漏洞（下稱系爭資 安漏洞），被告同業即訴外人中華資安國際股份有限公司（下稱中華資安公司）於同年月13日及21日，通知客戶系爭資安漏洞風險等級屬高度威脅，並以週報方式通報客戶，復於同年3月12日再次發布公告通知客戶注意，足見系爭資安漏 洞風險極高。而原告資訊系統於109年2月29日至4月19日間 已連續遭駭客攻擊，惟被告遲至同年3月5日始僅以等級為最低度第一級通報原告系爭資安漏洞。被告復於同年4月1日通報原告系爭資安漏洞等級為第二級，並告知因系爭資安漏洞於3月30日遭自IP位址為185.161.209.234之駭客連線攻擊，被告已設定IP阻擋，詎原告於同年4月5日仍遭上開IP位址之駭客連線攻擊，造成原告點數卡資料被竊取，並在點數卡出售前被第三人搶先儲值。再原告於同年4月11日接獲客訴表 示其購買之點數卡被他人搶先儲值，經原告委請被告檢查，被告仍告知無異狀，鑒於原告點數卡遭搶儲狀況持續發生，原告另委請中華資安公司檢查確認原告點數卡遭搶儲係駭客入侵竊取資料所致。又被告於109年5月12日整理每季資訊安全簡報，方發覺上開攻擊事件嚴重性並提出報告，指出該攻擊事件係以遊戲公司為對象之駭客Winnti Group所為，而因Winnti Group為國際知名駭客，其攻擊中繼站為被告可得掌握之位址。從而，因被告怠於履約而未降低資安風險，且被告實際上未為任何資安處置，又被告資安專業不足致無法履行系爭服務合約，此駭客攻擊事件係因被告未詳查資安訊息所致，故被告未依債之本旨提供給付，確有不完全給付情事。 ㈢原告點數卡因駭客攻擊事件遭搶儲，而全面換發並退款，原告受有新臺幣（下同）498萬8250元之損失。又訴外人統一 超商股份有限公司（下稱統一超商）因販售之點數卡無法使用，於109年4月對原告退貨計35筆訂單，其依商品品質保證協議書約定請求每筆10萬元之違約金，原告受有350萬元之 損失。再原告於109年4月23日至同年6月22日間為處理原告 點數卡因駭客攻擊事件遭搶儲，緊急調派人力支出加班費，受有55萬6900元之損失，且因被告於109年5月12日前未發現駭客攻擊事件，原告另委請中華資安公司查核支出費用，受有60萬元之損失，是原告合計受有964萬5150元之損失。再 者，原告點數卡因駭客攻擊事件遭搶儲，消費者於網路論壇給予負面評價，雖原告為法人，無精神上痛苦，惟原告商譽受損，為回復名譽，被告應依起訴狀附表（下稱附表，見本院卷第27頁）所示之期間、媒體及內容刊登道歉啟事。 ㈣爰依民法第227條、第227條之1準用第195條第1項規定，及系 爭服務合約第1條、第8條約定，提起本件訴訟，並聲明: ⒈被告應給付原告964萬5150元，及自起訴狀繕本送達翌日起至 清償日止，按年息百分之5計算之利息。 ⒉被告應依附表所示期間、媒體及内容刊登道歉啟事。 ⒊願供擔保請准宣告假執行。 二、被告則以： ㈠兩造於108年10月1日簽訂系爭服務合約，依約被告應提供網路入侵防護安全管理服務項目如系爭服務合約附件二所示，其中資安預警資訊通報要求ISS X-Force原廠公布後1個工作天内完成通報作業，該通報並為不定期發送。而ISS X-Force原廠於109年3月5日上午3:22:58公布系爭資安漏洞，被告 即於同日下午3:42通報原告知悉，並透過微軟提供版本檢視方式確認Exchange版本資訊，儘速完成Exchange更新作業；又未即時完成更新，建議關閉外部存取Exchange Control Panel（ECP）服務，如開放外部存取，應以白名單方式限制 存取來源，確認存取來源皆為授權使用者；復檢視IIS日誌 及Exchange紀錄，釐清是否存有異常連線或檔案下載/執行 等情事，以確認外部利用漏洞入侵疑慮；再注意個別系統安全修補及病毒碼更新，包含作業系統、程式套件及防毒軟體等，是以，被告確實依系爭服務合約附件二「資安預警資訊通報」遵期通報原告。 ㈡原告雖於109年4月間以電子郵件告知被告My Card或其資料庫 有疑似被入侵情形，然此不代表本件資安事件確實存在， 且不能以被告協助查詢LOG，逕認被告承認本件資安事件存 在，仍應透過公正客觀之鑑定單位，就原告主張受駭客入侵之電腦糸統實施鑑定，始能確認本件資安事件是否存在。另中華資安公司鑑識報告為原告在本件訴訟繫屬前私下委託 第三人鑑定，屬於私鑑定。又該鑑定標的，為原告自行提供之隨身碟及雲端連結，非中華資安公司親自取證，無從確認該鑑定標的為其主張遭駭客入侵之電腦主機及留存資料之正確性，且中華資安公司非經本院選任，被告亦未參與該次鑑定過程，均無法審查其是否屬適格鑑定之人。另中華資安公司與被告具有競業關係，其立場恐有偏頗，被告本可行使拒卻權，原告鑑定前及鑑定中均未通知被告，嚴重侵害被告之程序及實體利益，且中華資安公司鑑定前未經具結，係原告單方委託及支付報酬，欠缺公正客觀立場，故中華資安公司鑑識報告無證據能力，自不得作為本案證據使用，此外，原告所提出之鑑定報告未指明駭客所盜取之資料即為My Card 點數卡，均無法證明原告電腦系統係遭駭客攻擊、原告My Card點數卡於販售前遭儲值、遭儲值與駭客入侵間有因果關 係且可歸責於被告。 ㈢原告雖以中華資安公司於109年2月13日、21日已公布系爭資安漏洞為由，主張被告於同年3月5日始通報原告，為怠於履約等語，然被告有無違約，應視系爭服務合約如何約定，與第三人何時通知系爭資安漏洞毫無關聯，而ISS X-Force原 廠公布系爭資安漏洞時間為109年3月5日上午3:22:58，被告通報原告系爭資安漏洞時間為同日下午3:42，則被告於ISSX-Force原廠公布後1個工作天内完成通報作業，已依系爭服務合約遵期通報系爭資安漏洞，並無怠於履約之處。又因原告所提出My Card資料係原告自行製作之表格，非原始憑證 ，被告爭執其形式上真正，且迄今未提出統一超商請求違約金、原告員工因本件有加班事實之證明，況原告於訴訟外自行委託鑑定而支付費用，非債務不履行必然發生之損害，是原告未提出證據證明其確受有964萬5150元之損害。另原告 請求被告如附表所示之媒體刊登道歉啟事，有違憲法法庭111年憲判字第2號判決意旨。原告既未證明駭客透過系爭資安漏洞入侵原告電腦系統，並導致My Card點數卡於販售前被 儲值，則原告請求被告負損害賠償責任，並在新聞報紙刊登道歉啟事，均無理由等語資為抗辯。 ㈣並聲明:⒈原告之訴駁回。⒉如受不利判決，願供擔保請准宣告 免為假執行。 三、兩造不爭執事項: ㈠兩造於108年10月1日簽訂系爭服務合約，依約被告應提供網路入侵防護安全管理服務項目如系爭服務合約附件二所示（見本院卷一第35頁至第51頁、第53頁至第57頁）。 ㈡微軟公司於109年2月11日公告系爭資安漏洞，中華資安公司分別於109年2月13日、21日將系爭資安漏洞列為高度威脅並通知客戶（見本院卷一第67頁、69頁、71頁、第369頁至第370頁）。 ㈢被告於109年3月5日下午3時42分將系爭資安漏洞以第一級預 警通報通知原告（見本院卷一第75頁、第357頁至第358頁) 。 四、本院之判斷： 按當事人主張有利於己之事實者，就其事實有舉證之責任，民事訴訟法第277條本文定有明文。又按由當事人一方自行 委託具專門知識經驗者，就具體事實 適用專門知識所得鑑 定判斷，稱為「私鑑定」。私鑑定做成之鑑定報告，雖與民事訴訟法所謂「鑑定」之證據方法不同，但仍具私文書性質，如予當事人辯論機會，仍非不得成為法院形成心證原因，故仍屬事實認定之自由心證範圍。原告主張被告有怠於履行系爭服務合約，致駭客利用系爭資安漏洞侵入原告之電腦設備，而竊取My Card點數卡資料並搶先儲值，原告因被告之 不安全給付，受有964萬5150元之損害及商譽受損等語，為 被告所否認，並以前詞置辯，自應由原告就此有利於己之事實負舉證責任。經查： ⒈原告固主張被告未按系爭服務合約附件二所示「資安預警資訊通報」約定內容履行，而有不完全給付之情事等語（見本院卷一第237頁），而觀諸系爭服務合約附件二就「資安預 警資訊通報」部分之約定內容為「資安預警資訊通報：於ISS X-Force原廠公布後1個工作天內完成通報作業，該通報為不定期發送」（見本院卷一第55頁），系爭資安漏洞雖經微軟公司於109年2月11日公告，然ISS X-Force原廠係於109年3月5日始公布系爭資安漏洞乙節，有ISS X-Force原廠公布 系爭資安漏洞之網頁列印畫面存卷可考（見本院卷一第421 頁），既被告已於ISS X-Force原廠公布系爭資安漏洞之當 日下午3時42分，以第一級預警通報通知原告，時間上未超 過1個工作天，符合前開約定內容，則被告自無怠於履行系 爭服務契約之情事。 ⒉又原告主張原告之電腦係遭IP位址185.161.209.234之駭客連 線攻擊，而遭盜取My Card點數卡等語，並提出審判外由訴 外人中華資安公司所做成之鑑定報告及被告109年6月1日建 議報告等件為證（見本院卷一第265頁至第278頁、第469頁 至第478頁），然細繹該鑑定報告及建議報告內容，兩者所 載之IP位置、資安事件發生時間均不相同，且該鑑定報告僅指出原告之電腦或系統曾遭駭客利用系爭資安漏洞侵入並植入木馬程式，而竊取原告網管人員瀏覽器儲存之帳號密碼、cookies及憑證，並橫向滲透其他主機上傳資料，未指出侵 入原告電腦之駭客與Winnti駭客集團有無關聯，及原告遭竊之資料是否包括My Card點數卡等節，已難認該鑑定報告與 建議報告所指之資安事件為同一事件，是原告此部分主張尚非有據，難以採信。 ⒊再者，依原告主張可知原告所受之損害係直接肇因於駭客集團之侵入竊取行為，原告迄今未舉證證明其主張被告之不完全給付行為與原告所受損害間有何直接因果關係，自難單憑原告之主張而逕認被告應負損害賠償責任。從而，原告既無法證明被告有未依約履行而不完全給付之情形，及被告之履約行為與原告所受損害間有何因果關係，則原告縱受有財產上及商譽等損害，被告亦自無須負損害賠償責任。 五、綜上所述，原告依民法第227條、第227條之1準用第195條第1項等規定，及系爭服務合約第1條、第8條等約定，請求被 告給付964萬5150元暨法定遲延利息，及於如附表所示期間 、媒體及內容刊登道歉啟事，均無理由，應予駁回。又原告之訴既經駁回，其假執行之聲請即失所附麗，應併予駁回。六、本件判決之基礎已臻明確，原告請求傳喚其銷售系統部課長蔡明達及將中華資安公司提供之隨身碟送鑑定等節，因其等之待證事實與前揭鑑定報告相同，而前揭鑑定報告業經本院加以審酌，核無再予傳訊及送鑑定之必要，至兩造其餘攻擊防禦方法、主張舉證，於判決結果不生影響，無逐一審究之必要，末此敘明。 七、訴訟費用負擔之依據：民事訴訟法第78條。 中　　華　　民　　國　　112 　年　　6 　　月　　21　　日民事第九庭 法　官　翁偉玲 以上正本係照原本作成。 如對本判決上訴，須於判決送達後20日內向本院提出上訴狀。如委任律師提起上訴者，應一併繳納上訴審裁判費。 中　　華　　民　　國　　112 　年　　6 　　月　　21　　日書記官　王曉雁