臺北簡易庭107年度北小字第266號
關鍵資訊
- 裁判案由損害賠償
- 案件類型民事
- 審判法院臺北簡易庭
- 裁判日期107 年 08 月 31 日
臺灣臺北地方法院小額民事判決 107年度北小字第266號原 告 潘世佳 被 告 忠欣股份有限公司 法定代理人 邵作俊 訴訟代理人 甯耀南 翁國彥律師 陳景筠律師 賴郁樺律師 上列當事人間請求損害賠償事件,本院於民國107 年7 月26日言詞辯論終結,本院判決如下: 主 文 被告應給付原告新臺幣貳萬元。 訴訟費用新臺幣壹仟元由被告負擔。 本判決得假執行。但被告如以新臺幣貳萬元為原告預供擔保,得免為假執行。 事實及理由 一、原告起訴主張:原告於民國105 年4 月25日使用電腦上網登入被告公司網站,報名被告於105 年6 月26日舉辦之多益英語測驗場次,並依網站規定留下個人資料,詎料原告於105 年7 月4 日即接獲詐騙集團成員佯稱為被告員工,先與原告核對姓名、電話、身分證字號、報名場次紀錄及報名費付費方式均正確無訛後,又由另名自稱第一銀行專員之人誆稱出現重複扣款情事,因對方清楚說明所有報考訊息,致原告不疑有他,遂依指示操作ATM 陸續匯出新臺幣(下同)143,062 元,另購買遊戲點數損失10,000元,共計損失金額為153,062 元,事後始驚覺受騙並報警處理。被告持有原告之個資,依個人資料保護法(下稱個資法)第12條、第27條規定負有安全維護責任,但卻未盡妥善保管原告之個人資料,亦未能及時查明後以適當方式通知原告,致原告個資外洩,造成原告在精神上極大之焦慮、恐懼與不安,爰依個資法第28條第2 項、第3 項規定提起本訴,並聲明求為命被告應給付原告2 萬元之判決。 二、被告則以:原告主張於105 年7 月4 日接獲假冒被告員工之人之來電而遭詐騙,惟未就其曾接獲該通來電、通話內容及其受有損害之事實負舉證責任。縱認原告有接獲詐騙電話,亦有可能係由處理多益測驗之金融機構、郵務機關甚或係原告所使用之電腦端所洩漏,因被告曾於105 年5 、6 月間委由訴外人數聯資安股份有限公司(下稱數聯資安)檢測電腦安全性及對電腦存取紀錄進行資訊安全監測,結果均未發現有任何可疑之惡意程式,或有遭人侵入成功撈取資料之紀錄,可見本件個資洩漏與被告無關。且被告於105 年5 月事件發生前即已採取防火牆、電子加密系統、封包加密處理及員工個人電腦防毒軟體等安全保護措施,依當時業界之資安防護效能評價已是極優之系統,亦制訂有電腦使用管理辦法及舉辦資訊安全教育訓練;自106 年5 月下旬起,更加強內部人員資安及網路使用監控、禁止使用USB 、檔案全面加密及導入資安認證並辦理多次教育訓練等,以上所採行之保護措施已符合當時技術水準可達之資訊保護標準,並無違反個資法第27條第1 項之規定,故原告依同法第28條、第29條請求被告賠償其損害,顯無理由。退步言,即使是因被告未採行安全措施造成個資洩漏,亦非全部考生均接獲詐騙電話,況且即使接獲詐騙電話也不必然會遭受金錢損害,更非必然會產生精神上之痛苦,因此個資有無洩漏與原告接獲詐騙電話而受有損害之事實間並無因果關係。原告泛稱其因個資外洩受有精神上痛苦,但未提出相關之診斷證明,更未就其何以達法定金額之最高程度即2 萬元舉證說明,請求顯屬無據。至於原告另主張個資法第12條部分,該條本非損害賠償之請求權基礎,且被告亦已在105 年5 月27日於官方網站揭示小心詐騙之公告,另於105 年7 月9 日發送提醒簡訊予原告,故原告主張該條規定容有誤解等語置辯。並聲明:原告之訴駁回。 三、按非公務機關保有個人資料檔案者,應採行適當之安全措施,防止個人資料被竊取、竄改、毀損、滅失或洩漏;非公務機關違反本法規定,致個人資料遭不法蒐集、處理、利用或其他侵害當事人權利者,負損害賠償責任。但能證明其無故意或過失者,不在此限;依前條規定請求賠償者,被害人雖非財產上之損害,亦得請求賠償相當之金額;如被害人不易或不能證明其實際損害額時,得請求法院依侵害情節,以每人每一事件500 元以上2 萬元以下計算。個資法第27條第1 項、第29條第1 項、第29條第2 項準用同法第28條第2 項、第3 項分別定有明文。本件原告主張被告持有其報名多益測驗所用之個資,惟未採行適當之安全措施,導致其個資洩漏,造成其精神上之不安,請求依上開規定請求賠償非財產上損害2 萬元等情,為被告所否認,並以前揭情詞置辯。是本件之爭點應有:㈠原告報考多益測驗之個資是否洩漏?原因為何?㈡被告是否已依法採行適當之安全措施,防止原告個資外洩而無過失?㈢原告是否因此受有非財產上之損害?損害額若干?茲分述如下: ㈠原告報考多益測驗之個資是否洩漏?原因為何? 1.原告主張其於105 年4 月25日使用電腦上網登入被告公司網站,報名被告於105 年6 月26日舉辦之多益英語測驗場次,並依網站規定留下個人資料;嗣於105 年7 月4 日即接獲詐騙集團成員佯稱為被告員工,先與原告核對姓名、電話、身分證字號、報名場次紀錄及報名費付費方式均正確無訛後,又由另名自稱第一銀行專員之人誆稱出現重複扣款情事,因對方清楚說明所有報考訊息,致原告誤信而先後匯出153,062 元等情,業據提出105 年4 、5 月份信用卡帳單、網路報名訂單確認信、測驗服務費發票、金融機構自動櫃員機交易明細表共18紙及購買遊戲點數發票2 張等物為證(見本院卷㈠第134 至138 頁、第139 頁、第150 頁、第161 頁、卷㈡第19頁),復核與原告於105 年7 月5 日報案內容一致,此有臺北市政府警察局刑事警察大隊函覆本院之原告警詢筆錄1 份在卷可稽(見本院卷㈠第190 至206 頁),衡情原告於事發翌日隨即報警,又無誣告動機,堪信上述事實並非虛構。況且165 反詐騙專線於105 年5 月23日至29日間統計受理假冒被告客服人員核對考生資料後遂行詐騙之案件即高達47件,亦有原告提出之165 反詐騙宣導臉書粉絲專頁列印畫面、臺北市政府警察局刑事警察大隊網站公告訊息等資料可佐(見本院卷㈠第5 至6 頁);被告復自承自105 年5 月起即陸續接獲1699名考生反應有冒用被告名義之詐騙事件,並於105 年5 月底委由數聯資安公司重新檢視網站安全性等情,益徵原告主張之上開受騙經過,應可採信,被告猶稱原告未能舉證證明其有因多益測驗之個資外洩而遭詐騙云云,實無可採。 2.被告雖又提出數聯資安公司出具之檢測及緊急應變服務報告書1 份,抗辯其於105 年5 月30日委由數聯資安公司檢測網站安全性,結果均未發現有任何可疑之惡意程式,或有遭人侵入成功撈取資料之紀錄,可見本件個資洩漏與被告無關,合理懷疑為處理多益測驗之金融機構、郵務機關甚或係原告所使用之電腦端所洩漏之機率較高云云。惟查,依臺北市政府警察局大安分局詐欺偵查卷宗內所附之全部被害人報案紀錄所示(見本院卷㈢大安分局偵查卷宗第63至69頁),被害考生均一致指稱詐騙集團成員係以重複報考多益測驗為由使其等誤信受騙,其中更有部分考生指出詐騙集團成員除持有被害人之姓名、身分證字號、電話號碼等基本資料外,亦知悉正確之報考序號及考試日期等情,而由被告自行提出之銀行刷卡網頁及原告提出之信用卡帳單上所載之資訊以觀(見本院卷㈣第10頁、卷㈠第164 頁),可知能同時掌握以上所有資訊之人僅有被告公司,應無可能係由付款銀行端洩漏前揭各項考試相關資訊,否則亦無法合理解釋為何考生各自使用不同家金融機構之信用卡,卻巧合地於同一時間均發生個資外洩之情形。又倘若係因考生個人電腦端個資被盜,則詐騙集團成員所掌握之訊息應不只考生報名多益繳交報名費ㄧ項,詐騙集團成員何須費心挑選眾多個資遭竊者中有報名多益者作為其詐騙對象,此顯不合常情,故被告此ㄧ抗辯亦無可取。綜觀以上事證,並依經驗法則推斷,應以被告所持有之個資外洩為最可能之結果。至於數聯資安公司提出之上開檢測報告雖指出未發現有任何可疑之惡意程式,或有遭人侵入成功撈取資料之紀錄等語,然依被告自陳其係接獲1000多名考生反應有詐騙集團成員佯以被告名義來電後,始委由數聯資安公司為上開檢測,可知若有個資外洩情事,時間應早於數聯資安公司檢測之前即已發生,則數聯資安公司事後檢測是否能反映事發時之真實情況、被告當時提供之歷程紀錄是否未遭修改等,均非無疑,自不能僅憑上開報告遽為有利於被告之認定,況且資料外洩之途徑亦不只有植入惡意程序或侵入撈取,更不能排除有人為刻意洩漏之虞,益見被告僅以上開檢測報告辯稱資料外洩與其無涉云云,實不足採。 3.基上,原告因在被告公司網站報考多益測驗,並於報名時輸入其姓名、電話、身分證字號等個人資料,被告因而取得上開個資,惟上開個人資料事後為第三人所竊取或洩漏之事實,堪可認定。 ㈡被告是否已依法採行適當之安全措施,防止原告個資外洩而無過失? 1.承前,自原告上開個資事後為第三人所竊取或洩漏之事實以觀,足認被告對原告之個資應未採行適當之安全措施甚明。依前揭個資法第29條第1 項規定,被告推定為有故意、過失,應就其行為負損害賠償責任;被告如主張免責,即須就其已善盡注意採行適當安全措施,而無故意或過失一事負舉證責任。 2.依個資法施行細則第12條規定:「本法第6 條第1 項但書第2 款及第5 款所稱適當安全維護措施、第18條所稱安全維護事項、第19條第1 項第2 款及第27條第1 項所稱適當之安全措施,指公務機關或非公務機關為防止個人資料被竊取、竄改、毀損、滅失或洩漏,採取技術上及組織上之措施。前項措施,得包括下列事項,並以與所欲達成之個人資料保護目的間,具有適當比例為原則:一、配置管理之人員及相當資源。二、界定個人資料之範圍。三、個人資料之風險評估及管理機制。四、事故之預防、通報及應變機制。五、個人資料蒐集、處理及利用之內部管理程序。六、資料安全管理及人員管理。七、認知宣導及教育訓練。八、設備安全管理。九、資料安全稽核機制。十、使用紀錄、軌跡資料及證據保存。十一、個人資料安全維護之整體持續改善。」。被告固辯稱其於105 年5 月事件發生前即已採取防火牆、電子加密系統、封包加密處理及員工個人電腦防毒軟體等安全保護措施,亦制訂有電腦使用管理辦法及舉辦資訊安全教育訓練云云,然查前述系統安全防護措施均係基本配備,以被告公司營運規模之大,蒐集處理之個人資料數量之多,實不能僅以安裝前揭措施即謂符合安全標準。至於被告稱其裝設之主動入侵防禦系統為當時業界評價極優秀之系統云云,除未舉證以佐其說外,縱使為真,依前揭規範意旨,資訊系統防護亦僅為資安防護工作之一環而已,本院曾曉諭被告應提出事件發生前該公司之完整資安計畫(見本院卷㈠第111 頁),然被告迄未提出相關資料說明該公司就電腦使用紀錄、軌跡資料係如何保存、有無對資訊系統及電腦設備進行定期安全稽核、或對經手客戶資訊之員工建置完善之稽查制度等,顯難認為被告已證明其就所取得之客戶個資善盡防護工作,以避免遭不法蒐集、處理或利用。從而,被告援引個資法第29條第1 項但書規定主張免責,自屬無據。 ㈢原告是否因此受有非財產上之損害?損害額若干? 經查,被告因未善盡安全防護措施,導致原告之個資外洩,並遭詐騙集團使用等情,業經本院認定如前,堪認原告之隱私權確實受有侵害。被告雖以並非全部考生均接獲詐騙電話,且即使接獲詐騙電話也不必然會遭受金錢損害,更非必然會產生精神上之痛苦等語,否認原告個資洩漏與其接獲詐騙電話而受有損害之事實間有何因果關係云云,然而隱私權本身即為一種法益,原告因其個資遭暴露,隨時處於不安之狀態中,而受有精神上之痛苦,此即原告所受之非財產上損害,不以原告有無因此受有財產上損害或其他實害為必要,被告前揭抗辯,明顯有所誤認,洵不足採。是依前揭個資法第29條第2 項準用同法第28條第2 項、第3 項之規定,原告自得就其所受非財產上之損害,請求賠償相當之金額;數額如不易或不能證明時,以每人每一事件500 元以上2 萬元以下計算。本院審酌本件原告遭洩漏之個資型態、數量及實際受害情節,認原告請求賠償2 萬元並無過當,核屬有據。 四、從而,原告依個資法第29條第1 項規定請求被告賠償其非財產上損害2 萬元,為有理由,應予准許。 五、本件事證基礎已臻明確,兩造其餘攻防方法及所舉證據,經斟酌後核與判決結果不生影響,無再予一一論述之必要,附此敘明。 六、本件訴訟費用額,依後附計算書確定如主文所示之金額。 中 華 民 國 107 年 8 月 31 日臺灣臺北地方法院臺北簡易庭 法 官 吳若萍 計 算 書 項 目 金 額(新臺幣) 備 註第一審裁判費 1,000元 合 計 1,000元 以上正本證明與原本無異。 如不服本判決,須以違背法令為理由,應於判決送達後20日內向本庭(臺北市○○○路0 段000 巷0 號)提出上訴狀。(須按他造當事人之人數附繕本)。如委任律師提起上訴者,應一併繳納上訴審裁判費。 中 華 民 國 107 年 8 月 31 日書記官 賴敏慧 附錄: 一、民事訴訟法第436條之24第2項: 對於小額程序之第一審裁判上訴或抗告,非以其違背法令為理由,不得為之。 二、民事訴訟法第436條之25: 上訴狀內應記載上訴理由,表明下列各款事項: (一)原判決所違背之法令及其具體內容。 (二)依訴訟資料可認為原判決有違背法令之具體事實。