臺灣臺北地方法院112年度訴字第762號

臺灣臺北地方法院民事判決 112年度訴字第762號 原 告 蔡杏沄 被 告 斑富比有限公司 法定代理人 黃建勳 訴訟代理人 吳磺慶律師 參 加 人 羽達科技有限公司 法定代理人 林宥翟 訴訟代理人 林佐偉律師 受 告知人 藍新科技股份有限公司 法定代理人 王俊博 受 告知人 綠界科技股份有限公司 法定代理人 林雪慧 上列當事人間請求損害賠償等事件，本院於民國112年8月18日言詞辯論終結，判決如下： 主 文 原告之訴及假執行之聲請均駁回。 訴訟費用由原告負擔。 事實及理由 壹、程序方面： 按當事人得於訴訟繫屬中，將訴訟告知於因自己敗訴有法律上利害關係之第三人；告知訴訟，應以書狀表明理由及訴訟程度提出於法院，由法院送達於第三人。前項書狀，並應送達於他造。受告知人不為參加或參加逾時者，視為於得行參加時已參加於訴訟，準用第63條之規定，民事訴訟法第65條第1項、第66條、第67條已有規定。經查，本件原告主張被 告未妥善保管消費者資訊，致原告個人資料外洩，因而遭受詐騙匯款而受有損害，聲明請求被告應給付新臺幣（下同）60萬，被告則辯稱相關網站平台與金流都是委外，伊並無原告刷卡相關資料等語。對此，被告主張因其係將商務委由訴外人羽達科技有限公司（下稱羽達公司）、藍新科技股份有限公司（下稱藍新公司）、綠界科技股份有限公司（下稱綠界公司）處理，並請求將本件訴訟告知羽達公司、藍新公司及綠界公司（見本院卷第155頁至第156頁）。經核被告所請與前揭規定相符，本院爰依被告聲請將上開書狀送達羽達公司、藍新公司及綠界公司（見本院卷第159頁至第167頁）。嗣羽達公司於民國112年5月14日具狀聲明參加訴訟（見本院卷第173頁至第175頁），核與上開規定相符，應予准許。至藍新公司及綠界公司經告知訴訟後到庭表明不參加訴訟（見本院卷第298頁），藍新公司及綠界公司並未因此成為參加 人，併予敘明。 貳、實體方面： 一、原告主張：109年10月22日晚上7時許，伊接獲詐騙集團謊稱為被告財務人員，因被告網站會計人員疏失，致伊於109年7月10日在被告網站平台購買兒童餐椅之訂單（下稱系爭交易），遭重複扣款，要求伊依指示解除上開錯誤設定，伊在確認系爭交易之訂購內容與消費方式後，遂依指示操作，致伊匯款50萬1,975元至該詐欺集團成員指示之金融帳戶，而受 有金錢損失。上開損失係因被告未能妥善保管消費者資訊，讓詐欺集團得以竊取消費者個資，致伊受有損害，而被告曾於109年10月27日於Facebook粉絲專頁公告防範詐騙等資訊 ，更曾於109年10月13日以簡訊通知伊「一般的防詐騙警語 」，顯見消費者資訊可能已外洩，然被告卻未能採取更積極有效之方式作防護與通知，以確保已被竊取個資之消費者可立即得知，伊與被告之交易僅此一次，並未加入被告粉絲專頁，更不常主動查閱一般簡訊，斯時伊懷有身孕，多忙於家務，經此事受有精神上之損失。為此，爰依個人資料保護法（下稱個資法）第29條、第28條第3項及民法第184條第2項 規定，請求被告賠償上開伊受詐騙之50萬1,975元；並依個 資法第29條、第28條第2項、民法第184條第1項前段、第2項、第195條第1項及第18條規定，請求被告賠償非財產上損害9萬8,025元等語。並聲明：㈠被告應給付原告60萬元。㈡願供 擔保，請准宣告假執行。 二、被告則以：原告就其遭詐騙之個資係自伊外洩一事迄未提出任何證據以實其說，且參酌原告與第三人間之刑事判決內容可知，除原告單方指述外，也無任何證據或證人證明「詐騙集團以伊名義詐騙」或「原告聽聞與伊有關交易或與交易有關個資」，均難認詐騙集團向原告實施詐騙時所使用之原告個資即來自於伊，況伊網站並未存有原告信用卡後四碼，遑論是伊系統遭入侵而致資料外流，且原告既已自承係先收到伊的防詐宣導，豈有可能因詐騙集團冒用伊資料一事來詐騙原告？再者，伊之防詐騙宣導會於客戶結帳時要求客戶閱讀確認後方可繼續結帳，是原告於購物時即已了解相關宣導，亦難認伊有違反個資法相關規定。又原告並不爭執系爭交易係以「信用卡付款」之方式進行，顯見原告受騙內容之付款方式與其實際購物行為之付款方式並不相同且無關，原告並未透過銀行帳戶付款，伊亦未透過銀行帳戶收款，僅因原告一時受騙上當而至ATM轉帳，亦可證原告財物損失係因詐騙 集團積極實施詐騙行為所致，並非原告個資外流之必然結果。況第三方支付業者、發卡銀行既為系爭交易刷卡行為之實際執行者，對系爭交易相關個資蒐集、處理之詳細程度如何均未可知。縱個資遭外洩，仍難排除原告個資係自其他環節或其他消費途徑遭竊取或洩漏之可能性，故原告自應就遭外洩之個資確係來自於伊之部分為舉證等語，資為抗辯。並聲明：㈠原告之訴駁回。㈡請准宣告免予擔保，或以現金或銀行 可轉讓定存單供擔保，免予假執行。 三、參加人則以：伊係「1shop一頁購物」（下稱系爭網站）之 服務提供者，107年5月4日被告自行上網創建帳號、密碼， 即得於系爭網站上架產品，相關金流或物流可由廠商自行選擇。系爭網站服務之主機符合資訊安全管理國際標準的ISO/IEC27001，伊電腦安裝OWASP ModSecurity Core Rule Set3.0之網站應用程式防火牆防止資料切結攻擊，除上開安全措施外，前（指顧客下單網頁）、後（指廠商操作訂單出貨之網頁）台及第三方金、物流串接跳轉過程等，皆採用SSL-TLS1.2以上等級之安全憑證進行傳輸加密解定，依109年間之 網路資訊安全規範，已符合當時之嚴格標準，故本件理應非因伊之緣故而使原告之個資遭揭露。伊所提供之安全防護措施已極盡當時之網路安全管理之注意義務，伊主觀上並無故意、過失等語。 四、受告知人部分： (一)藍新公司陳述意見略以：伊係第三方金流服務業者，主要提供企業代收款項服務，被告為伊公司之「藍新金流服務平台」會員（下稱藍新平台）。因伊係獨立於付款方及收款方外之第三方，無法取得完整之訂單資訊，故藍新平台所蒐集之資訊應依各筆訂單中收、付款方實際所提供予伊為準。又藍新平台之資安措施係遵循法令之規定並取得如SSL 256bit加密機制、PCI-DSS 3.2.1支付卡產業資料安全標準認證及ISO27001:2013資訊安全管理系統認證等相關資安認證，其中 ，「PCI-DSS 3.2.1支付卡產業資料安全標準」係支付卡產 業安全標準協會所制定的標準內容，為保障持卡人資料安全之全球性統一規範，標準內容除定期進行原始碼檢測、內外部滲透測試、內外部弱點掃描外，如涉及卡號資訊則須經過金鑰管理系統進行加密後始得儲存至資料庫，以保護持卡人之個人資料。是伊公司提供良好安全之服務，網站維護資訊安全皆符合法規範之要求等語。 (二)綠界公司陳述意見略以：伊係以網際網路平台為電子商務廠商、小型實體店鋪等交易提供金流代收代付之服務（下稱綠界平台），此等金流代收代付服務由賣家註冊為被告會員後，自行設定帳號及密碼，登錄其帳號及密碼後始可使用伊提供之金流代收代付服務。伊提供被告之綠界平台，係遵循ISO 27001認證之資訊安全管理系統，並透過PDCA（Plan-Do-Check-Act，循環式品質管理）作業持續對於內、外部資訊安全維護，分別有：雙因子認證登入、內部網路隔離、IPS保 護機制、營運持續計畫、原始碼安全檢測、弱點掃瞄、內部滲透測試、登入通知及自動登出機制、機敏資訊加密存放及CDN雲端防護機制阻擋DDOS攻擊等措施進行資訊安全防護。 另伊每年亦通過支付卡產業資料安全標準驗證，強化綠界平台於信用卡交易之個人資料保護。又伊已提供電子發票之系統與被告使用，故金流部分並未經綠界平台等語。 五、原告主張於109年10月22日接獲詐騙集團電話，佯稱係被告 財務人員，因疏失致系爭交易遭重複扣款，需依指示解除設定，致伊陷於錯誤而匯款50萬1,975元至詐欺集團帳戶內， 而受有損害等語，有原告所提系爭交易電子發票明細為據( 見本院卷第37頁)。並有臺灣臺南地方法院110年度金訴字第134號、第184號刑事判決在卷可稽(見本院卷第271頁至第291頁)。原告主張被告未妥善保管消費者資訊，致伊受有損害，依個資法第29條，適用同法第28條第3項、民法第184條第2項，請求被告賠償財產上損害50萬1,975元，依個資法第29條適用同法第28條第2項、民法第184條第1項前段、第2條、第195條第1項、第18條，請求被告賠償非財產上損害9萬8,025元，合計60萬元等語，為被告所否認，並以前詞置辯。茲說明得心證之理由如下: (一)按當事人主張有利於己之事實者，就其事實有舉證之責任。但法律別有規定，或依其情形顯失公平者，不在此限。法律上推定之事實無反證者，無庸舉證，民事訴訟法第277條、 第281條分別定有明文。故民事訴訟如係由原告主張權利者 ，除法律別有事實推定之規定等情形外，原則上即應先由原告負舉證之責，若原告先不能舉證，以證實自己主張之事實為真實，則被告就其抗辯事實即令不能舉證，或其所舉證據尚有疵累，亦應駁回原告之請求（最高法院72年度台上字第4225號判決見解可資參照）。又非公務機關保有個人資料檔案者，應採行適當之安全措施，防止個人資料被竊取、竄改、毀損、滅失或洩漏。非公務機關違反本法規定，致個人資料遭不法蒐集、處理、利用或其他侵害當事人權利者，負損害賠償責任。但能證明其無故意或過失者，不在此限，雖為個資法第27條第1項、第29條第1項所規定；惟上開但書所推定者僅為故意或過失之主觀歸責事由，至於非公務機關未採行適當安全措施，致所保有個人資料遭不法蒐集、處理、利用之事實及因果關係，仍須由主張受侵害之當事人負舉證之責。亦即，原告如依此規定主張權利者，仍須先舉證證明其遭不法蒐集、處理、利用之個資檔案係源自被告，且被告就該等個資檔案之保管措施欠缺適當之安全性後，始由被告就其無故意或過失一節負反證之責任。 (二)本件原告主張被告未妥善保護原告系爭交易之個人資料，致原告個人資料外洩，遭詐騙集團利用而受有損害等情，依前揭說明，自由原告就此負舉證之責。經查，原告於109年7月10日在被告委由羽達公司所經營之系爭網站上購買嬰兒餐桌椅，金額為2,990元，並經由系爭網站之藍新公司、綠界公 司系統進行刷卡交易等情，雖有系爭交易電子發票明細可佐(見本院卷第143頁)，然從前開交易流程可知，其中有蒐集 、處理原告個資之可能性者，除被告外，尚有羽達公司、藍新公司、綠界公司及發卡銀行等，是原告雖主張詐欺集團成員以電話向原告施用詐術時，明確知悉原告之姓名、信用卡後四碼、消費明細及金額等語，合理認定係被告未妥善保管消費者資訊所致，然依前所述，於系爭交易過程中，除被告外，尚有網站平台公司、第三方支付業者或發卡銀行為交易之實際執行者，依本件原告主張，仍難合理排除原告個資自其他環節遭竊取或洩漏之可能性，原告遭不法蒐集、利用之系爭個資是否確實來自被告，或係被告未採行適當安全措施導致外洩，即尚難證明。 (三)另參被告於網站購物頁面隱私條款中，即已明確公告被告公司不會主動告知訂單重複扣款、要求操作ATM設定，或詢問 信用卡、匯款帳號等個資，如接到自稱係被告公司人員，告知因作業疏失，導致訂單重複出貨，並能幫忙升級VIP者， 皆為詐騙集團等語，並於原告交易時，亦有再次提醒相關防範詐騙之資訊，有被告所提反詐騙宣導資料、被告相關網路資訊安全資料可佐(見本院卷第331頁至第333頁、第357頁至第361頁)。又藍新公司亦有反詐騙宣導資料，提醒網路購物之消費者留意不要匯款或提供個人資料等情，有藍新公司宣導資料、藍新金流服務平台服務條款在卷可佐(見本院卷第121頁至第138頁)，足認被告於原告進行交易時，確已提醒原告相關詐騙訊息，並有為一定之網路交易安全措施，自難認被告有何違反個資法之情。 (四)復參本件原告交易過程中，可能接觸原告個人資訊之相關業者，其中藍新公司為第三方金流服務業者，主要係提供企業代收款項服務，被告為「藍新金流服務平台」之會員，該平台之資安措施有取得相關資安認識，如SSL256bit加密機制 、PCI-DSS3.2.1支付卡產業資料安全標準認證及ISO27001:2013資訊安全管理系統認證等，其中「PCI-DSS 3.2.1支付卡產業資料安全標準」係支付卡產業安全標準協會所制定的標準內容，為保障持卡人資料安全之全球性統一規範等情，有藍新公司112年5月9日藍新法字第1120509001號函附相關金 流平台資訊安全維護措施資料在卷可稽(見本院卷第169頁至第172頁);至綠界公司係以網際網路平台為電子商務廠商、 小型實體店舖等交易提供金流代收代付之服務，由賣定註冊為被告會員後，自行設定帳號及密碼，於登錄帳號及密碼後始可使用綠界公司提供之金流代收代付服務。於網路交易過程中，由付款者與會員即賣家進行交易確認付款時，會員得透過綠界公司提供之代理收取交易款之方式(例如信用卡、ATM、WEBATM、超商條代碼)提供予付款者，以利付款者完成 與會員間交。待付款完成後，綠界公司就所代收交易款項，依照與會員約定之撥付期日，撥付款項至會員所有之綠界帳戶。而綠界公司提供之綠界平台，係遵循ISO 27001認證之 資訊安全管理系統，並透過PDCA作業持續對內、外部資訊安全維護分別有:雙因子認證登入、內部網路隔離、IPS保護機制、營運持續計畫、原始碼安全檢測、弱點掃瞄、內部滲透測試(白帽駭客)、登入通知及自動登出機制、機敏資訊加密存放及CDN雲端防護機制阻擋DDOS攻擊等措施進行資訊安全 防護，前開防護措施亦有於網站內公告等情，亦有綠界公司112年5月26日民事陳報(一)狀所附相關資訊安全維護措施資料、綠界公司ECPay電子發票系統操作手冊、註冊會員資料 可佐(見本院卷第189頁至第199頁、第393頁至第427頁)。而羽達公司則為「1shop一頁購物」之服務提供者，被告自行 上網創建帳號、密碼，即得於前開網站上架產品，相關金流或物流可由廠商自行選擇。而羽達公司前開「1shop一頁購 物」之服務主機提供者為Linode公司，之後為Akamai公司收購，Akamai公司定期會掃瞄羽達公司網頁並查找安全漏洞，而該主機符合ISO/IEC27001之規範。又羽達公司之電腦安裝OWASP ModSecurity Core Rule Set 3.0之WAF系統，可比對病毒與惡意程式等網路攻擊，並拒絕可疑、惡意流量進入網站，只讓安全且正常的流量通過，避免網站遭受惡意攻擊、資料外洩，保障網站安全等情，亦有羽達公司112年5月31日民事陳述意見狀所附「1shop一頁購物」使用條款、網路安 全資料在卷可佐(見本院卷第203頁至第265頁)。足認藍新公司、綠界公司、羽達公司確已就相關網站安全提供一定之保護措施。 (五)原告主張被告所委託之藍新公司近十多年都有遭遇駭客侵入致個資外洩情事等語，雖提出藍新公司之服務公告為據(見 本院卷第145頁至第148頁)，然此部分依原告所提資料，僅 能證明藍新公司曾公告遭受海外IP的DDOS攻擊，系統即時啟動反制DDOS攻擊機制，期間可能造成部分會員金流服務暫時中斷等情，尚難以此即認原告之個人資料即係因此而遭詐騙集團利用，原告主張，純屬臆測，自難採憑。至原告另主張遭詐騙後，被告趕緊在臉書上公告相關詐騙訊息，但目前該訊息已遭移除，伊認為被告動機可疑，是怕大家聚焦在被告公司有無做資訊安全維護此事等語，此部分亦屬原告主觀臆測;原告另主張伊嗣後翻閱歷史簡訊才得知，被告於109年10月13日曾以簡訊通知原告「一般的防詐騙警語」等資訊，同年月27日在官網也有告知消費者要提防詐騙，伊合理懷疑在那段期間被告有將消費者個資外洩，被告卻未能採取更積極有效的方式防護與通知，以確保已被竊取個資之消費者可立即得知等語，雖提出簡訊為據。惟依該簡訊內容:「【防範 詐騙，斑富比有限公司提醒您!】請您務必提高警覺防詐騙 ，本公司不會以電話進行滿意度調查，更不會有因公司員工發生設定錯誤等理由而要求您操作ATM解除、變更付款方式 或補繳金額;亦不會以電話通知要求您提供信用卡帳號或個 人及銀行相關資料。請儘速撥打165警政署反詐騙專線」(見本院卷第145頁)，僅係單純提醒防範詐騙之宣導，亦難以此簡訊，即遽認被告確有洩露原告個人資料或已知悉原告個人資料遭詐騙集團利用一事。 (六)綜合上述，本件依原告所提資料，尚不足以證明被告有未採行適當安全措施以保護個人資料檔案、未以適當方式通知原告，而有違反個資法第27條第1項之情形或其管理上有所疏 失，則原告主張依個資法第29條，適用同法第28條第3項、 民法第184條第2項，請求被告賠償財產上損害50萬1,975元 ，依個資法第29條適用同法第28條第2項、民法第184條第1 項前段、第2條、第195條第1項、第18條，請求被告賠償非 財產上損害9萬8,025元等語，自難認有據。至原告請求被告、羽達公司、藍新公司、綠界公司提供109年4月1日至同年10月31日之資訊安全報告細項、被告與羽達公司間之廠商合 作契約等語，然原告未敘明請求前開資料之必要性，亦即原告未先舉證本件原告之個人資料確係由被告所外洩、或被告有何未採行適當安全措施以保護個人資料檔案等情，是此部分自難認有調查之必要，附此敘明。 六、綜上所述，原告主張被告違反個資法之規定，致被告保有之原告個資檔案外洩、遭詐騙集團利用等情，均無法證明，故原告主張依個資法第29條，適用同法第28條第3項、民法第184條第2項，請求被告賠償財產上損害50萬1,975元，依個資法第29條適用同法第28條第2項、民法第184條第1項前段、 第2條、第195條第1項、第18條，請求被告賠償非財產上損 害9萬8,025元，合計60萬元等語，即無理由，應予駁回。又原告之訴既經駁回，假執行之聲請即失其依附，亦應併予駁回。 七、本件結論已臻明確，兩造其餘攻擊防禦方法及所提證據，經審酌均不至影響判決結果，故不逐一論述。 八、訴訟費用負擔之依據：民事訴訟法第78條。 中　　華　　民　　國　　112 　年　　9 　月　　15 　 日民事第一庭 法　官 賴淑萍 以上正本係照原本作成。 如對本判決上訴，須於判決送達後20日內向本院提出上訴狀。如委任律師提起上訴者，應一併繳納上訴審裁判費。 中　　華　　民　　國　　112 　年　　9 　月　　15 　 日書記官 李昱萱