臺灣士林地方法院民事判決
113年度簡上字第219號
上 訴 人 曾淑娟
上列
當事人間請求
侵權行為損害賠償事件,
上訴人對於本院民國113年3月26日內湖簡易庭112年度湖簡字第1096號第一審判決提起上訴,本院於民國114年8月6日
言詞辯論終結,判決如下:
原判決關於
駁回後開第二項之訴及該
假執行之
聲請暨訴訟費用均廢棄。
上開廢棄部分,被上訴人應給付上訴人新臺幣柒萬玖仟玖佰柒拾捌元。
第一審、第二審訴訟費用,由被上訴人負擔十分之二,餘由上訴人負擔。
事實及理由
壹、程序方面:
按訴狀送達後,原告不得將原訴變更或追加他訴。但擴張或減縮應受判決事項之聲明者,不在此限,民事訴訟法第255條第1項但書第3款定有明文。查上訴人上訴時聲明原為:㈠原判決廢棄;㈡被上訴人應給付上訴人470,000元(本院卷第22頁)。
嗣上訴人於民國114年8月6日本院審理程序
期日當庭變更聲明為:㈠原判決關於駁回後開第2項之訴部分廢棄;㈡被上訴人應給付上訴人469,890元(本院卷第146頁),經
核屬縮減應受判決事項之聲明,合於前開規定,
爰准許之。
貳、實體方面:
一、上訴人主張:被上訴人公司經營旅行業務,因而獲有伊的個人資料,卻未妥善保管、處理及建立個人資訊安全保護機制,致伊的個人資料外洩。伊於111年12月6日19時許接獲詐騙集團成員致電佯為被上訴人客服人員、渣打銀行信用卡客服人員,稱因被上訴人人員疏失,致伊於同年10月29日至30日參加旅行後,遭誤植重複訂單,須依渣打銀行信用卡客服人員指示取消上開訂單,致伊陷於錯誤,共計匯款新臺幣(下同)398,990元至該詐欺集團成員指示之金融帳戶,而受有損害。伊因被上訴人上開疏失,致精神痛苦,且情節重大。被上訴人在106年5月間即有資料外洩之情形,竟未亡羊補牢,致111年11月間仍發生伊個人資料外洩之事,足見被上訴人未對
消費者之個人資料盡安全防護之責,亦未即時通知消費者,致伊遭受詐騙,爰擇一依
消費者保護法第7條、個人資料保護法第29條第1項、第2項、第28條第2項、
民法第184條第1條前段、第195條規定,請求被上訴人賠償財產上損失400,000元、個資賠償金20,000元,及
非財產上損失50,000元等語。
並聲明:㈠被上訴人應給付上訴人470,000元;㈡願供
擔保,請准宣告假執行。
二、被上訴人則以:上訴人之個人資料並非遭伊外洩,
乃遭網路駭客入侵,且伊於111年11月底疑入侵事件後,
旋即於111年12月7日以簡訊通知上訴人慎防詐騙、免遭受害。上訴人遭詐欺所受之財產上損害乃訴外人之行為所致,與伊是否盡
適當之安全維護措施之行為間並無相當
因果關係。再上訴人未盡一般理性人之注意而遭詐騙,亦有過失。且上訴人個資縱遭外洩,仍難排除其個資係自其他環節或其他消費途徑遭竊取或洩漏之可能性,故上訴人自應就遭外洩之個資確係來自於伊之部分盡舉證之責等語,資為
抗辯。
三、原審經審理後,判決駁回上訴人之請求,上訴人不服提起上訴,並聲明:㈠原判決關於駁回後開第2項之訴部分廢棄;㈡被上訴人應給付上訴人469,890元(財產上損失399,890元、個資賠償金20,000元,及非財產上損失50,000元)。被上訴人則答辯聲明:上訴駁回。
㈠、上訴人因不詳詐欺集團成員佯為被上訴人客服人員,以電話對上訴人謊稱因訂單誤植,需依渣打銀行客服人員指示取消訂單
云云,致上訴人陷於錯誤,依指示於111 年12月6 日匯款至399,890元至詐欺集團指定之帳戶(原審卷原證2 )。
㈡、被上訴人有於原審卷第79頁所示時間發送如原審卷第79頁所示內容之簡訊予上訴人。
㈢、被上訴人遭駭客入侵客戶資料,於111年11月27日後陸續接獲通報後,分別於111年11月27、29日、12月7日發送簡訊給客戶告知如原審卷第79頁12月7日簡訊所示內容(原審卷第181頁)。
㈠、按個人資料,指自然人之姓名、出生年月日、國民身分證統
一編號、護照號碼、特徵、指紋、婚姻、家庭、教育、職業
、病歷、醫療、基因、性生活、健康檢查、犯罪前科、聯絡
方式、財務情況、社會活動及其他得以直接或間接方式識別
該個人之資料;非公務機關保有個人資料檔案者,應採行適
當之安全措施,防止個人資料被竊取、竄改、毀損、滅失或
洩漏;非公務機關違反本法規定,致個人資料遭不法蒐集、
處理、利用或其他侵害當事
人權利者,負
損害賠償責任。但
能證明其無故意或過失者,不在此限;依前項規定請求賠償
者,適用個資法第28條第2項至第6項規定,同法第2條第1 款、第27條第1項、第29條分別定有明文。又按應證之事實雖無直接證據足資證明,但可應用
經驗法則,依已明瞭之間接事實,
推定其真偽。
是以證明應證事實之證據資料,並不以可直接單獨證明之直接證據為限,凡先綜合其他情狀,證明某事實,再由某事實為推理的證明應證事實,而該間接事實與應證事實之間,依經驗法則及
論理法則已足推認其有因果關係存在者,自非以直接證明應證事實為必要(最高法院98年度
台上字第2035號判決意旨
參照)。
⒈上訴人於111年10月19日下單訂購雲林縣政府委託被上訴人舉辦之二日遊行程,因而提供其姓名、身分證字號、生日、手機號碼、E-mail、付款方式等個人資料予被上訴人,有卷附被上訴人所提出上訴人參加被上訴人旅遊行程訂單網頁為證(原審卷第65頁),足見被上訴人確實有取得上訴人之個人資料,並進而將該個人資料
記錄、儲存,而保有於被上訴人公司電腦資料庫中。
⒉嗣上訴人於111年12月6日19時許,接獲詐騙集團成員致電謊稱為被上訴人客服人員,對上訴人確認該次旅遊時間、地點等相關旅遊資訊,並佯稱因訂單誤植,需依渣打銀行客服人員指示取消訂單云云,致上訴人陷於錯誤,依指示於111年12月6日匯款至399,890元至詐欺集團指定之帳戶等節,為兩造所不爭執。而自上訴人於111年10月19日提供個人資訊下單訂購被上訴人旅遊行程後,至其於同年月12月6日遭詐騙
期間,同為被上訴人客戶接獲自稱被上訴人客服人員來電,佯稱電腦設定錯誤重複下訂單,須依指示操作解除設定,因而遭詐騙匯款之案件,經法院判決認定受害者累計已有15件(含
本案上訴人),有臺灣花蓮地方法院113年度原金簡字第2號判決影本在卷
可參(本院卷第128至142頁)。可見上開被害民眾個人資料來源之共通性即均為被上訴人客戶,且遭詐騙集團接洽之手段相似、時間密接。又被上訴人自111年11月27日起即陸續接獲客戶反應接到詐騙電話,經資安團隊查知遭駭客網路攻擊,遂委請外部資安公司即數聯資安公司技術專家共同處理,並向法務部調查局報案啟動調查,
復於同年11月29日發佈「作業系統被駭,籲消費者慎防詐騙」新聞稿,且就111年11月27日起回溯半年內曾與被上訴人交易之客戶均發送預防詐騙簡訊通知,有被上訴人自行提出之111年12月21日雄獅總法字第11112010號函文、數聯公司於111年12月20日出具之被上訴人3033資安事件處理應變說明報告、被上訴人發送簡訊紀錄、相關新聞稿等件可資為憑(原審卷第181至213頁)。經互核上訴人所涉交易內容、個人資料僅有被上訴人完整掌有,且於相近期間被上訴人曾發生資安事件,及被上訴人客戶遭受同樣詐騙之情事高達十數件,依通常經驗及論理法則,上訴人因與被上訴人公司為
系爭交易所提供包含個人資料在內之資訊,係自被上訴人公司外洩致遭詐騙集團取得,應屬具備高度蓋然性之事實推定,自應認上訴人就此已為適當充足之舉證,被上訴人片面否認個資來源,自應提出
反證,加以推翻始可。
⒊被上訴人雖抗辯自106年發生駭客入侵電腦以來,已有成立相關防範詐騙機制,除設定訂購人之個人資訊於旅遊團出發日、飯店入住日、航班出發日等經6個月後自動遮罩及封存處理外,並於訂單成立後發送訂單成立簡訊,提醒旅客慎防詐騙,亦透過簡訊、網站聲明及被上訴人所有通路門市向消費者說明、提醒民眾慎防受騙,亦於官網以跑馬燈及BANNER連結方式,提供本次事件說明、反詐騙宣導及主動聯繫被上訴人之查證方式,呼籲消費者於接獲詐騙電話時應立即致電反詐騙專線165查證,並於11月29日15時7分於公開資訊觀測站發布重大訊息並同步透過媒體發佈新聞稿,更分別於111年11月27日、29日及12月7日共發送47,647筆防詐騙簡訊,此外更研議矯正預防措施,增加資安預算高達690萬元設置資安防護作業,已盡適當之安全維護措施等語,並提出
前揭111年12月21日雄獅總法字第11112010號函文、數聯公司於111年12月20日出具之被上訴人3033資安事件處理應變說明報告、被上訴人發送簡訊紀錄、相關新聞稿等件為證(原審卷第181至213頁)。
惟上開資安防護作業之設置均係
本件事發後所為,姑不論被上訴人並未舉證其確實有依函文所述內容於事發後建置資安防護作業完成,縱認其所述為真,亦不得作為被上訴人公司於事前已盡適當安全維護措施之認定。而被上訴人就本件事發前就其保有個人資料所為防護措施則僅提及於106年後設定訂購人之個人資訊於旅遊團出發日、飯店入住日、航班出發日等經6個月後自動遮罩及封存處理,然如上訴人即於6個月內成立訂單客戶之個人資料防護措施則付之闕如。併參以數聯資安公司亦於調查分析報告中表示:「檢視Apache相關log,發現大量異常IP於2022/10/16即開始存取網站中之webshell檔案」、「⒈於Core Cloud agent安裝範圍中,攻擊者最初取得控制權的機器為GDCO2,但攻擊者僅於該機器上安裝用於協助滲透內網之程式後便無後續行為。研判攻擊者已於未安裝範圍取得高權限帳號,完成內網資訊收集、探索等行為。⒉此次事件中,攻擊者透過多台未安裝之機器橫向入侵進行攻擊,研判攻擊者已於未安裝agent範圍取得許多不同機器控制權。⒊由於許多來源機器並未安裝agent,故無法確認攻擊者攻擊入口點,以及是否已經完全清除」、「建議立即擴大部署agent至其於未安裝端點之機器上,以確認攻擊者攻擊來源,並確認是否仍有其餘惡意行為」、「依據分析結果,相關主機應存在上傳漏洞,建議進行系統更新並針對主機/網站弱點掃描及滲透測試後,找出漏洞並評估風險能否接受,並依據評估結果修補相關漏洞以避免同樣事件再次發生。建議除本案主機外,針對其他對外服務之主機亦進行釐清,若有發現惡意程式建議立刻清除,並依需求評估是否針對主機/網站弱點掃描及滲透測試」等語(原審卷第190至194頁),
益徵被上訴人公司之電腦主機及對外服務主機存有諸多資安缺陷,被上訴人公司所舉證據尚不足以證明其對於所保有上訴人之個人資料已盡適當安全維護措施,是上訴人依個人資料保護法第29條規定,請求被上訴人公司負損害賠償責任,
即屬有據。
㈢、茲就上訴人請求之金額,分別審認如下:
⒈按損害賠償之債,以有損害之發生及有責任原因之事實,並
二者之間,有相當因果關係為成立要件。又所謂相當因果關
係,係指依經驗法則,綜合行為當時所存在之一切事實,為
客觀之事後審查,認為在一般情形下,有此環境、有此行為
之同一條件,均可發生同一之結果者,則該條件即為發生結
果之相當條件,行為與結果即有相當之困果關係;反之,若
在一般情形上,有此同一條件存在,而依客觀之審查,認為
不必皆發生此結果者,則該條件與結果並不相當,不過為偶
然之事實而已,其行為與結果間即無相當因果關係,不能僅
以行為人就其行為有故意過失,即認該行為與損害間有相當
因果關係(最高法院87年度台上字第154 號、98年度台上字
第673 號判決意旨參照)。換言之,相當因果關係之認定,
應以行為人之行為所造成之客觀存在事實為觀察之基礎,倘
就該客觀存在之事實,依吾人智識經驗判斷,通常均有發生
同樣損害結果之可能者,始得謂行為人之行為與被害人所受
損害間,具有相當因果關係(最高法院99年度台上字第1349
號判決意旨參照)。查被上訴人公司確有洩漏其保有上訴人之個人資料,已認定如前,而上訴人於111年12月6日19時許,因接獲詐騙集團成員致電謊稱為被上訴人客服人員,對上訴人確認該次旅遊時間、地點等相關旅遊資訊,並佯稱因訂單誤植,需依渣打銀行客服人員指示取消訂單云云,致上訴人陷於錯誤,依指示於111年12月6日匯款至399,890元至詐欺集團指定之帳戶等節,亦如前述。可見若非詐騙集團取得上訴人留存於被上訴人公司主機之個人資料及旅遊資訊,並使用該等明確、特定之個人資料以取信於上訴人,上訴人應不致於陷於錯誤而遭詐騙,足認無此條件即無此結果,且洩漏個資,一般情形即足使詐騙集團惡用行詐,亦足認有此條件,通常均有發生同樣結果之情形,是
堪認被上訴人公司前揭未盡適當安全維護措施,致洩漏上訴人個人資料之行為,與上訴人遭詐騙受有399,890元損害間有相當因果關係,上訴人自得請求該部分財產上損害之賠償。
⒉又非公務機關違反本法規定,致個人資料遭不法蒐集、處理、利用或其他侵害當事人權利者,被害人雖非財產上之損害,亦得請求賠償相當之金額,個人資料保護法第29條第2項、第28條第2項固有明文。惟
參酌個資法第28條第2 項之立法理由:「二、…違反本法規定侵害當事人權益時,當事人可能不發生財產上損害而僅生精神上痛苦,爰參照民法第195 條之規定,於本條第2 項規定被害人亦得請求相當之慰藉金;如名譽受侵害時亦得請求為
回復名譽之適當處分…」。準此,依個資法第28條第2項請求非財產上損害,仍應以
人格權遭遇侵害,使精神上受痛苦為必要,且法均有明文規定者為限,若行為人僅使被害人發生財產上之損害而已,對其身體、生命、自由等人格權並未有何加害行為,縱因此使被害人苦惱,亦不生賠償慰藉金之問題。查依上訴人主張內容,所侵害者為上訴人之財產權,上訴人並未舉證證明被上訴人對其身體、生命、自由等人格權有何加害行為,依前揭說明,上訴人自不得請求被上訴人賠償非財產上損害。
⒊上訴人固依個人資料保護法第28條第3項規定請求20,000元賠償金,惟
參諸上開規定之立法理由:「為確保當事人權益,避免損害數額舉證困難,爰參照美國一九七四年
隱私權法第G四A條及我國通訊監察法草案第十八條之規定,於本條第三項明定每人每一事件得請求最高及最低限額,以利法院就具體情形斟酌損害賠償之額度,但若被害人能證明損害超過最高限額時,仍應准許其請求」。本件上訴人舉證證明之損害為其受詐之金額即399,890元,已超過本條規定之最高限額,本院自應審酌上訴人提出之證據認定損害賠償金額,而無本條規定之適用。
⒋按損害之發生或擴大,被害人
與有過失者,法院得減輕賠償
金額,或
免除之,民法第217條第1項定有明文。此項被害人與有過失規定之目的,乃在謀求加害人與被害人間之公平,故在
裁判上賦予法院得
依職權減輕或免除加害人之責任。又所謂被害人與有過失,須被害人之行為助成損害之發生或擴大,就結果之發生為共同原因之一,行為與結果有相當因果關係,
始足當之。倘被害人之行為與結果之發生並無相當因果關係,尚不能僅以其有過失,即認有過失相抵原則之適用。查上訴人係因個人資料,遭詐騙集團詐騙而為前開匯款
行為,致受有前開財產上損害,固如前述,然衡以現今社會
詐騙集團橫行,遭詐騙事件層出不窮,電視新聞、報章媒體
多年來均對此類事件多所報導及分析,政府及警政機關亦常
製作相關宣導影片,希冀社會大眾提高注意可疑事件,如有
疑問請多加利用警政機關之反詐騙專線電話,避免受騙而遭
受損害,而上訴人乃具有相當智識之成年人,對上開社會及生活經驗應甚為理解,且詐騙行為人所用詐欺手法並非罕見,被上訴人於上訴人下單訂購時即已傳送預防詐騙之簡訊予上訴人,上訴人理應對此社會常見之詐騙犯罪類型有相當之警覺性,然竟疏未注意,聽從歹徒指示多次匯款致受騙而生損害,是應認上訴人就本件損害之發生,亦與有過失。本院斟酌上開事件發生之一切情狀,認上訴人應負擔八成之過失責任,被上訴人公司應負擔二成之過失責任,始為公允。是以,應依此過失比例減輕被上訴人公司之賠償金額,則上訴人所得請求被上訴人賠償之金額為79,978元【計算式:399,890 元×20%=79,978元,元以下四捨五入】,故上訴人請求被上訴人公司給付上開金額,應為可採,
逾此範圍之主張,則屬無據。
⒌本院業就上訴人所主張個資法責任、消保法責任、
侵權行為責任等
法律關係,擇一依個資法責任之
法律關係准許上訴人就損害賠償之請求,其他法律關係之請求,即便再經審究,並無由獲得更有利之結果,自不必再予論斷裁判,
附此敘明。
六、
綜上所述,上訴人依個資法第29條第1項規定,請求被上訴人公司給付79,978元,為有理由,應予准許;逾此範圍之請求,則無理由,應予駁回。從而,原審就上開應准許部分,為上訴人敗訴之判決,
尚有未洽,此部分上訴人之上訴為有理由,應將原審關於此部分之判決宣告廢棄,改判如主文第二項所示;至於上訴人請求不應准許部分,原審為上訴人敗訴之判決,並駁回其假執行之聲請,經核並無不合,
上訴意旨指摘原判決此部分不當,求予廢棄改判,為無理由,應駁回此部分之上訴。
七、本件事證
已臻明確,兩造其餘攻擊或
防禦方法及所用之證據
,經本院斟酌後,認為均不足以影響本判決之結果,爰不逐
一論列,併此敘明。
八、訴訟費用負擔之依據:民事訴訟法第79條。
中 華 民 國 114 年 8 月 27 日
民事第三庭 審判長法 官 王沛雷
法 官 余盈鋒
法 官 黃瀞儀
本件判決不得上訴。
中 華 民 國 114 年 8 月 27 日