臺灣臺中地方法院民事判決
112年度簡上字第120號
上 訴 人
上 訴 人 王品餐飲股份有限公司
上列
當事人間請求
損害賠償事件,
兩造對於本院臺中簡易庭於民國111年12月23日所為110年度中簡字第1952號民事簡易判決,提起上訴,本院於民國112年11月24日
言詞辯論終結,判決如下:
主 文
原判決關於命上訴人王品餐飲股份有限公司給付新臺幣貳萬元,及自民國110年4月7日起至清償日止,
按週年利率百分之五計算之利息,及該部分
假執行之宣告,
暨訴訟費用之
裁判,均廢棄。
上開廢棄部分,被上訴人鄧佩君在第一審之訴及假執行之
聲請均
駁回。
第一、二審訴訟費用由上訴人即被上訴人鄧佩君負擔。
事實及理由
一、按訴之變更或追加,
非經
他造同意,不得為之。但第255條第1項第2款至第6款情形,不在此限,民事訴訟法第446條第1項定有明文。又對於簡易程序第一審裁判之上訴及
抗告程序,
準用民事訴訟法第446條第1項之規定,民事訴訟法第436條第3項亦有明文。查:上訴人鄧佩君原
上訴聲明第2項係請求被上訴人王品餐飲股份有限公司(下稱王品公司)應再給付新臺幣(下同)489,988元,並自
上訴狀繕本送達之
翌日起至清償日止,按週年利率百分之5計算之
遲延利息(見本院卷第12、182頁),
嗣於民國112年7月18日具狀將前開遲延利息之起算時間變更為自
起訴狀繕本送達之翌日起算(見本院卷第313頁),則上訴人鄧佩君前開所為訴之變更,
核屬民事訴訟法第255條第1項第3款擴張應受判決事項之聲明之情形,既與前開規定相符,即應予准許。
(一)上訴人鄧佩君起訴主張:
1、上訴人鄧佩君於109年11月19日8時29分自手機下載「王品瘋美食」APP,輸入個人資料註冊為會員,並線上預約同日18時30分被上訴人王品公司旗下之西堤牛排新店民權店之訂位,當天消費金額共新臺幣(下同)4,185元,上訴人鄧佩君透過「瘋PAY」線上刷卡支付,完成該次交易。嗣於110年3月6日20時25分許前之某時,上訴人鄧佩君接獲詐騙集團成員假冒西堤年排民權店來電,先向上訴人鄧佩君藉口核對前開交易紀錄及消費過程,再佯稱其前開消費遭重複下單20次,若要解除,須依指示操作以解除錯誤設定
云云,致使上訴人鄧佩君誤信為真,陷於錯誤,先後於110年3月6日20時26分許、同日20時33分,以APP網路平台,分別匯款49,986元、49,986元至該詐欺集團指定之人頭帳戶內,而遭提領一空。
2、被上訴人王品公司因
系爭平台取得上訴人鄧佩君之姓名、聯絡資訊、信用卡交易資訊等個人資料並予
記錄、儲存,而被上訴人王品公司對於其保有之前開上訴人鄧佩君個人資料,未依個人資料保護法規定妥
適處理及利用前開個人資料,亦未善盡對前開個人資料之保護,致使前開個人資料外洩,而遭詐騙集團用以向上訴人鄧佩君詐取財物,被上訴人王品公司既無法舉證其對於前開個人資料之外洩並無故意或過失,即應對上訴人鄧佩君負賠償之責。
3、故上訴人鄧佩君
爰依個人資料保護法第12條、第27條第1項、第29條第1項、第2項準用第28條第2、3項、第12條之規定、
消費者保護法第1條第2項、第2條第9款、第7條、第7條之1、第11條、第12條至第17條第1項、第50條第3項、第51條之規定、
民法第18條、第172條至第178條、第184條第1項前段、第2項、第185條第1項前段、第2項、第188條、第191條之1、第193條第1項、第195條第1項、第224條之規定、王品瘋美食APP會員契約之約定,請求被上訴人王品公司賠償上訴人鄧佩君遭詐騙之財產上損失99,996元【計算式:遭詐欺轉帳49,986元+轉帳手續費12元+遭詐欺轉帳49,986元+轉帳手續費12元=99,996元】、二倍之懲罰性
違約金199,992元【計算式:99,996元×2=199,992元】、名譽受侵害之非財產上損害賠償2萬元、
精神慰撫金5萬元、二倍之
懲罰性違約金14萬元【計算式:(20,000元+50,000元)×2=140,000元】,合計509,988元。
並聲明:被上訴人王品公司應給付上訴人鄧佩君509,988元,及自起訴狀繕本送達翌日起至清償日止,按週年利率百分之5計算之利息;上訴人鄧佩君願供
擔保請准宣告假執行。
(二)上訴人即被上訴人鄧佩君上訴主張及本院抗辯:
1、原審認被上訴人王品公司確有未採行適當之安全措施,以防止其保有上訴人鄧佩君消費個資被竊取或洩漏,而有違個人資料保護法之事實,但上訴人依
侵權行為、契約約定及
消費者保護法之規,請求被上訴人王品公司賠償,卻認為無理由,其認事用法
顯有違誤:
⑴內政部警政署165反詐騙諮詢專線於000年00月間即有被上訴人王品公司會員個資外洩之零星案例,000年0月間開始有大量會員報警檢舉,截至111年間,其會員被騙人數累計587人,經刑事案件統計公告已蟬連高風險賣場43週/次。又被上訴人王品公司於上訴人鄧佩君透過「王品瘋美食」APP平台並以會員身分訂位訂餐時,即已知悉其所營運之平台個資有外洩之情事,若非詐欺集團成員取得上訴人鄧佩君留存於該平台內之個人資料,並使用藉以取信上訴人鄧佩君,應不致於陷於錯誤而遭詐騙,故被上訴人王品公司未採行適當之安全維護措施,以致洩漏上訴人鄧佩君個人資料之行為,與上訴人鄧佩君遭詐騙所受財產損害間有相當
因果關係,自應賠償上訴人鄧佩君所受之損害。
⑵被上訴人王品公司於知悉前開平台會員個人資料遭洩漏時,即應儘速確認受害會員名單並立即通知會員知曉,以防止詐騙產生,但截至110年3月6日上訴人鄧佩君被詐騙為止,被上訴人王品公司並未依個人資料保護法第12條主動聯絡上訴人鄧佩君,亦未告知個資被侵害之事實及已採取因應措施防免詐騙發生,以致上訴人鄧佩君在遭詐騙前,完全不知其消費個資已遭被上訴人王品公司外洩乙事,則被上訴人王品公司因違反消保法第7條之保護附隨義務致上訴人鄧佩君個資外洩,又違反通知作為義務而有消極加害行為。再者,以被上訴人王品公司為智識相當、有承擔能力之
保證人地位的企業主,當能預見外洩個資即易淪為詐騙集團行騙之工具,卻在安全性欠缺下,違反消費交易行為之安全附隨義務及緊急通知義務,亦未查明並以適當方式通知上訴人鄧佩君,即有消極侵權行為。
⑶被上訴人王品公司既持續蒐集、處理、利用、保存上訴人鄧佩君點餐、用餐之消費交易個資,依有使用即有保護附隨義務之法理,上訴人鄧佩君自得請求被上訴人王品公司為金錢賠償。又消費者保護法第51條之適用,係以企業經營者提供之商品或服務,與消費者之損害間具有相當因果關係為要件,而上訴人鄧佩君之損害與被上訴人王品公司洩漏其消費交易個資有因果關係,則原告援引消費者保護法第7條、第51條之規定,請求二倍之
懲罰性賠償,即非無據。
⑷上訴人鄧佩君係因用戶端手機下載之該APP平台就其個資管理有資安漏洞,原審既認被上訴人王品公司確有未採行適當之安全措施,以防止其保有其消費個資被竊取或洩漏,而有違反個人資料保護法之事實,即已侵害上訴人鄧佩君之權利,被上訴人王品公司即應對上訴人鄧佩君負過失責任。又被上訴人王品公司未採行適當安全維護,亦未盡緊急通知義務,致洩漏上訴人鄧佩君個人資料,該行為與上訴人鄧佩君遭詐騙之損害間應具有相當因果關係。原審犧牲上訴人鄧佩君之權益,在被上訴人王品公司未提出已善盡注意義務之無過失證明前,所為不利於上訴人鄧佩君之認定即不公平、不對等。
⑸另被上訴人王品公司就該平台個資之管理有資安漏洞,致使該詐欺集團利用此漏洞取得上訴人鄧佩君之個資,而向上訴人鄧佩君詐財,自已造成上訴人鄧佩君權利之侵害;又被上訴人王品公司為幫助該詐欺集團遂行犯罪者,應視為
共同侵權行為人,且被上訴人王品公司前開洩漏個資之行為與上訴人鄧佩君所受損害之結果間具有因果關係,自應依個資法、侵權行為及消費者保護法之
法律關係負賠償之責,原審就此部分認定被上訴人王品公司並無過失,即有違誤。
⑹被上訴人王品公司提出委請遠傳建置及提供之雲端運算服務資料(包含採行硬體防火牆與入侵防禦機制),僅是一般企業雲端運算服務之廣告頁面;報價單只是單純詢價,其上並無蓋用被上訴人王品公司大小章,為單方製作,真實性可議;被上訴人王品公司租用雲端空間,並不得作為其事前已採行適當安全維護措施之認定。況且,另案刑事判決已經認定該APP平台之內部及外部風險控制存有諸多缺陷,導致會員客戶個資外洩,
可徵被上訴人王品公司並未完全落實其會員個資保護之管理作業,則上訴人鄧佩君依個人資料保護法第29條之規定,請求被上訴人王品公司賠償損害,
即屬有據。
2、上訴人鄧佩君並非受騙之個案,其受騙匯款之人頭帳戶內尚有其他被害者,其等之共通性均係使用該平台,而其等遭詐騙之手段相似且時間密接,該詐欺集團成員為取信上訴人鄧佩君提出詳細關鍵個資及消費明細資料,而上訴人鄧佩君亦已盡謹慎核對該來電使用市話區碼與
所稱直營店市話區碼符合,並非未盡注意義務。而被上訴人王品公司為實收資本額高達769,878,830元、有承擔能力、
具保證人地位、具安全信賴能力之股票上市公司,上訴人鄧佩君基於安全信賴原則,相信該多元專業技術數位服務係為適當安全之措施,應屬有據;且被上訴人王品公司藉由該APP平台留存消費者個人資訊作為會員經濟持續銷售謀利,卻未就會員個資善盡適當安全維護措施,致洩漏而為詐騙集團不法取得使用,侵害上訴人鄧佩君之資訊自主權、
隱私權,以致詐騙集團成員清楚掌握上訴人鄧佩君之詳細消費個資而順利詐得財物。故
本件應由被上訴人王品公司負全部賠償責任,上訴人鄧佩君並無可歸責之事由。
三、被上訴人即上訴人王品公司主張及抗辯:
(一)上訴人王品公司上訴主張:
1、原審認定詐騙集團所利用之被上訴人鄧佩君個人資料係源自上訴人王品公司,無非係以刑事警察局高風險賣場名單、相關新聞報導、粉絲頁網友留言及上訴人王品公司所發送之防詐騙簡訊為依據,然此至多僅能證明有詐騙集團冒名行騙及有消費者受騙上當之事實,實無法證明上訴人有外洩被上訴人鄧佩君個資,原審此部分認定實有違誤:
⑴警方為盡可能減少詐騙之受害者,只要接獲詐騙受害者之報案,就會紀錄其遭受詐騙之
態樣,並將所涉及之賣場業者名單進行公布,以便讓民眾有所警覺與提防,而相關業者也均會同步利用各類溝通管道,提醒其用戶防範詐騙,以盡可能地接觸消費者,降低受害之可能性,列名於高風險賣場名單之業者,僅係代表有詐騙集團冒用該賣場名義行騙,並非指該賣場有違反個人資料保護法之情形。換言之,警方所公布之高風險賣場名單並非違反個人資料保護法賣場名單,縱使上訴人王品公司曾列名高風險賣場名單中,亦不足以證明該詐騙集團所利用之被上訴人鄧佩君個資係來自於上訴人王品公司,更不足以證明上訴人王品公司有違反個人資料保護法之情事。
⑵被上訴人鄧佩君之消費訂單內容非僅上訴人王品公司獨有,實無從據此斷定資料來源必為上訴人王品公司。蓋就電子發票歸檔和兌獎APP,只要使用者進行載具歸戶,APP就會取得使用者之發票明細,其中就會有交易廠商、時間、購買明細、金額等資訊;且依被上訴人鄧佩君所主張遭詐騙經過,該詐騙集團有與其核對銀行資料、身分證字號、郵局開戶地、帳號前五碼、網路郵局APP為4.65版本等藉以取信,然上訴人王品公司並未保有前開個資,顯見該詐騙集團取得被上訴人鄧佩君前開個資係自其他獨立來源。故原審徒以該詐騙集團行騙所利用之「部分」個資包含被上訴人鄧佩君之消費資訊,率爾認定上訴人王品公司有外洩被上訴人鄧佩君個資云云,顯屬違誤。
⑶相關新聞、粉絲留言截圖至多僅能證明詐騙集團行騙之事實,而上訴人王品公司於第一時間接獲顧客反應詐騙情事時,有採取相應措施善意提醒顧客留意。原審逕以該等新聞報導及粉絲頁留言,據以推論上訴人王品公司有外洩被上訴人鄧佩君個資之行為,實屬不當。實則,司法實務已謂不得僅以詐騙集團利用之個資係包含特定企業之消費個資,即
遽認該個資來源為該企業,亦不得逕將遭駭客攻擊之人遽指為侵權行為人。再者,現今詐騙案件猖獗,各行各業基於
主管機關指導與保護消費者權益所進行之日常宣導方式,實屬合理,上訴人王品公司對於顧客宣導預防受騙之提醒,不應作為會員個資係自上訴人王品公司外洩之
佐證,而相關網友留言,亦純屬街頭巷議,無
足證明詐騙集團所利用之被上訴人鄧佩君係源自上訴人王品公司。
⑷從而,依據刑事警察局高風險賣場名單、相關新聞報導、粉絲頁留言截圖及反詐騙宣導簡訊等事證,至多僅能證明上訴人王品公司疑遭駭客惡意攻擊、遭詐騙集團冒名行騙而已,並無法證明詐騙集團所利用之被上訴人鄧佩君個資係源自於上訴人王品公司或上訴人王品公司有外洩個資之情形,原判決此部分之認定顯有不當,應予廢棄。
2、原審未詳加調查審究上訴人王品公司客觀上有無採行適當安全措施,即逕自
推定上訴人王品公司未盡個資保護義務,並依個資法第29條判命上訴人王品公司應賠償精神慰撫金2萬元,明顯違反個人資料保護法第29條僅就
主觀要件推定之明文,實有違誤,應予廢棄:
⑴原判決僅因認定該詐騙集團所利用之被上訴人鄧佩君個資係源自於上訴人王品公司(個資來源),即逕自推定上訴人王品公司未採行適當安全措施(客觀要件),再依個人資料保護法第29條第1項但書推定上訴人王品公司有故意過失(主觀要件),即判命上訴人王品公司應就其違反個人資料保護法之行為,賠償被上訴人鄧佩君精神慰撫金2萬元。然原判決上開論理與個人資料保護法第27條及第29條之解釋適用,毋寧使個人資料保護法變成客觀要件與主觀要件雙重推定,甚至實質上質變為幾近無過失責任之謬誤。
⑵蓋該詐騙集團所利用之被上訴人鄧佩君個資,縱使係源自於上訴人王品公司,亦不等同上訴人王品公司未善盡個資保護義務,或上訴人王品公司有外洩會員個資之情形。換言之,若僅依資料來源之誰屬,即逕自推定該企業未採取適當安全措施,並推定其有故意過失,進而要求其承擔違反個人資料保護法第29條之賠償責任,
不啻要求企業履行現今科技無法達成之完全防免義務,原判決此種推定客觀要件之論證方法,實牴觸
舉證責任分配法則與個人資料保護法第29條之明文規定,更與個人資料保護法第27條所稱之「適當」安全維護義務及個人資料保護法施行細則第12條第2項所
揭櫫之「適當
比例原則」顯相謬刺。
⑶故原判決不當認定該詐騙集團所利用之被上訴人鄧佩君個資係源自於上訴人王品公司後,又未詳加調查審究上訴人王品公司客觀上是否未採行適當安全措施,即逕自推定上訴人王品公司未盡個資保護義務,並依個人資料保護法第29條判命上訴人王品公司賠償2萬元,明顯違反個人資料保護法第29條僅就主要
構成要件推定之明文,實有違誤,應予廢棄。
3、實則,上訴人王品公司業經採行諸多資安防護措施,當已善盡個人資料保護法第27條規定之適當安全維護義務,亦無違反個人資料保護法第12條規定之情形,自無須負擔個人資料保護法第29條之
損害賠償責任:
⑴上訴人王品公司於原審業已提出消費交易電子紀錄,並說明有關被上訴人鄧佩君消費交易之相關電子紀錄均係採用「加密」及「隱碼」等方式
予以保護,原判決卻未予斟酌,亦無論駁,即逕認上訴人王品公司有外洩個資,且不當推定上訴人王品公司未善盡個資保護義務,明顯有攻防方法漏未審酌、判決不備理由、違背客觀證據之違誤,應予廢棄。
⑵上訴人王品公司於106年起即委請遠傳協助建置及提供「雲端運算服務」,包含採行硬體防火牆與入侵防禦機制,且所購置之雲端服務包含「雲端運算經濟型」、「雲端運算進階型」、「雲端運算專業型」、「雲端運算H1高速運算型」及「雲端運算H2高速運算型」,確已購置企業級與專業級之軟硬體防護設備,將會員資料置於遠傳高安全性雲端機房予以保護與監控。而遠傳高安全性雲端機房業已取得ISO27001國際資安
認證證書,上訴人王品公司於109年11月至110年4月之
期間,亦持續租用遠傳經國際資安認證之高安全性雲端機房,
益徵上訴人王品公司確實有持續委請遠傳提供雲端運算服務並採行硬體防火牆與入侵防禦機制,無論係被上訴人鄧佩君用餐時之109年11月19日或是接獲詐騙電話之110年3月6日,均受遠傳高安全性機房之監控保護。
⑶尤以,上訴人王品公司於接獲消費者反應有詐騙集團冒名行騙後,經資安公司檢視雲端機房主機,確認109年11月至110年3月之監控連線均無異常,
可證上訴人王品公司確有採行適當之資安保護監控機制,且未發現異常狀況,故上訴人王品公司確實並無被上訴人鄧佩君所指違反個人資料保護法之情形。是上訴人王品公司並無外洩被上訴人鄧佩君個資或未善盡個資保護義務之情形,則上訴人王品公司自毋庸依個人資料保護法第29條負賠償之責。另個人資料保護法第12條之適用前提,必須上訴人王品公司有違反個人資料保護法之規定,然承上所述,上訴人王品公司並無違法外洩會員個資,且亦有採行適當安全措施善盡個資保護義務,既無違反個人資料保護法第27條規定,自無個人資料保護法第12條規定之通知義務,要屬當然。
⑷甚者,有關詐騙集團利用被上訴人鄧佩君個資冒名行騙事件,
迄今原因仍未查明,然上訴人王品公司本於會員權益保護立場,已於獲悉詐騙集團冒名行騙後,透過所有可運用之溝通管道,盡可能讓會員知悉有詐騙集團冒名行騙,提醒會員防範詐騙小心上當,包含於110年2月27日及3月2日於王品集團官網、臉書粉絲專業、LINE官方帳號設置反詐騙公告,並於王品旗下餐廳實體門市設置防詐騙宣導立牌等,並無被上訴人鄧佩君指稱消極放任
不作為之情形,則上訴人王品公司自毋庸依個人資料保護法第29條負賠償之責。
(二)被上訴人王品公司本院抗辯:
1、上訴人鄧佩君遭詐騙集團冒名行騙與被上訴人王品公司間並無因果關係:
⑴本件上訴人鄧佩君所受損害實係肇因於
第三人故意犯罪行為即詐騙集團施以詐術之行為所致,該不法行為、損害結果、因果關係均係存在於上訴人鄧佩君與該詐騙集團成員間,與被上訴人王品公司
無涉。
⑵依上訴人鄧佩君自陳遭詐騙經過,係該詐騙集團成員與其核對銀行資料、身分證字號、郵局開戶地、帳號前五碼、網路郵局APP為4.65版本等個人資料,藉以取信上訴人鄧佩君,上訴人鄧佩君因誤信該詐騙集團之詐術而依指示操作網路銀行ATM匯款終致受有財產損害,則上訴人鄧佩君所受損害確係因該詐騙集團成員對其施以詐欺取財行為及其自身聽信不明來電之詐術誤提供銀行資料而受騙匯款所致,與被上訴人王品公司間並無相當因果關係。又上訴人鄧佩君業已對詐騙集團成員林毅桓提出刑事告訴,且經臺灣高等法院臺中分院111年度上易字第213號刑事判決判定有罪確定,而附帶民事
求償部分,亦經臺灣高等法院臺中分院111年度簡易字第20號民事判決,林毅桓應給付上訴人鄧佩君99,996元,則上訴人鄧佩君所受之損害應已填補。
2、另就上訴人鄧佩君主張依前開刑事判決認定,該APP平台之內部及外部風險控制存有諸多瑕疵,導致會員客戶個資外洩云云,係屬不實指摘,蓋遍觀該刑事判決書通編均未有如此認定,顯為上訴人鄧佩君個人自行推論、擴大解釋,實不足採。
退步言之,上訴人鄧佩君係因聽信不明來電指示,提供銀行資料及操作網路郵局ATM匯款而生損害,則上訴人鄧佩君就其損害實有
重大過失,縱認上訴人王品公司應負賠償之責,則本件亦應有民法第217條過失相抵之適用。
3、至於,本件係上訴人鄧佩君遭詐騙集團以其前開消費個資行騙之事件,性質上屬個資事件,並非消費爭議事件,自應適用制訂在後之個人資料保護法之特別規定,而無消保法之適用。
四、原審判命被上訴人即上訴人王品公司應給付上訴人即被上訴人鄧佩君精神慰撫金2萬元,及自起訴狀繕本送達之翌日即110年4月7日起至清償日止,按週年利率百分之5計算之遲延利息,並
依職權為假執行之宣告,另駁回上訴人即被上訴人鄧佩君其餘請求。上訴人即被上訴人鄧佩君就其敗訴部分不服,提起上訴,並聲明:㈠原判決不利於上訴人即被上訴人鄧佩君部分廢棄;㈡上開廢棄部分,被上訴人即上訴人王品公司應再給付上訴人即被上訴人鄧佩君489,988元,及自起訴狀繕本送達被上訴人即上訴人王品公司之翌日起至清償日止,按週年利率百分之5計算之利息;㈢第一、二審訴訟費用,由被上訴人即上訴人王品公司負擔;㈣上訴人即被訴人鄧佩君願供擔保請准宣告假執行。被上訴人即上訴人王品公司則答辯:上訴駁回;上訴費用由上訴人即被上訴人鄧佩君負擔。被上訴人即上訴人王品公司就其敗訴部分亦不服,提起上訴,並聲明:㈠原判決不利於被上訴人即上訴人王品公司廢棄;㈡上開廢棄部分,上訴人即被上訴人鄧佩君於原審之訴及假執行之聲請均駁回;㈢上開廢棄部分之第一審訴訟費用及第二審訴訟費用由上訴人及被上訴人鄧佩君負擔。上訴人即被上訴人鄧佩君則答辯:上訴駁回;上訴費用由被上訴人即上訴人王品公司負擔。
五、本院所為之判斷:
(一)按個人資料保護法旨在保護個人資料上之
人格權,並促進個人資料之合理利用。
所謂「個人資料」,依據個人資料保護法第2條第1款之規定,係指自然人之姓名、出生年月日、國民身分證統一編號、護照號碼、特徵、指紋、婚姻、家庭、教育、職業、病歷、醫療、基因、性生活、健康檢查、犯罪前科、聯絡方式、財務情況、社會活動及其他得以直接或間接方式識別該個人之資料而言。而按公務機關或非公務機關違反本法規定,致個人資料被竊取、洩漏、竄改或其他侵害者,應查明後以適當方式通知當事人;非公務機關保有個人資料檔案者,應採行適當之安全措施,防止個人資料被竊取、竄改、毀損、滅失或洩漏;非公務機關違反本法規定,致個人資料遭不法蒐集、處理、利用或其他侵害當事人權利者,負損害賠償責任,但能證明其無故意或過失者,不在此限;個人資料保護法第12條、第27條第1項、第29條第1項分別定有明文。依此可知,個人資料保護法就非公務機關之損害賠償責任係採過失推定。(二)次按
因故意或過失,不法侵害他人之權利者,負損害賠償責任;故意以背於善良風俗之方法,加損害於他人者亦同;違反保護他人之法律,致生損害於他人者,負賠償責任,但能證明其行為無過失者,不在此限;民法第184條第1項、第2項定有明文。是個人資料保護法前開規定與民法就侵權行為損害賠償規範之內容雖有所不同,但個人資料保護法可認為係民法之特別規定。又按損害賠償之債,以有損害之發生及有責任原因之事實,並二者之間,有相當
因果關係為成立要件。故上訴人即被上訴人鄧佩君所主張
損害賠償之債,如不合於此項成立要件者,即
難謂有
損害賠償請求權存在。是凡違反
個人資料保護法規定導致個人資料遭不法蒐集、處理、利用,而侵害其隱私權者,即推定為有故意、過失,且依舉證責任倒置原則,由行為人就其無故意、過失負舉證責任。但被害人仍應就其個人資料遭不法蒐集、處理及利用之事實負舉證之責,
合先敘明。
(三)本件上訴人即被上訴人鄧佩君主張其於109年11月19日8時29分使用「王品瘋美食」APP平台,輸入個人資料註冊為會員,並線上預約同日18時30分被上訴人王品公司旗下之西堤牛排新店民權店之訂位,當天消費金額共4,185元,透過「瘋PAY」線上刷卡支付,完成交易;嗣詐欺集團成員於110年3月6日20時25分許前之某時,假冒西堤牛排民權店來電,向其核對前開消費紀錄及消費細節,並佯稱前開消費遭重複下單20次,若要解除,須依指示操作以解除錯誤設定云云,致其陷於錯誤,先後於110年3月6日20時26分許、同日20時33分,以APP網路平台,分別匯款49,986元、49,986元至詐欺集團指定之人頭帳戶內,而遭該詐騙集團成員提領一空
等情,
業據提出王品瘋美食APP會員資料(見原審卷一第33頁)、消費累積點數資料(見原審卷一第143頁)、王品瘋美食APP網路訂位資料(見原審卷一第487頁)、受騙匯款相關資料(見原審卷一第35至37頁)、報案紀錄(見原審卷一第39、173頁)為證,被上訴人即上訴人王品公司對此亦不爭執,則上訴人即被上訴人鄧佩君主張其於
前揭時地前往西提牛排民權店訂位及消費之個人資料遭外洩、利用等情,即
堪信為真正。
(四)至於,上訴人即被上訴人鄧佩君主張被上訴人即上訴人王品公司透過系爭平台取得其姓名、聯絡資訊、信用卡交易資訊等個人資料之記錄及儲存,並保有其個人資料,卻未依個人資料保護法第27條第1項規定妥適處理及利用前開個人資料,亦未善盡對保護前開個人資料之義務,致前開個人資料外洩而遭詐騙集團用以向其施詐行騙,而被上訴人王品公司於110年3月7日本件詐騙發生後始發送簡訊通知慎防受騙,亦有違個人資料保護法第12條之規定,且被上訴人即上訴人王品公司並無法舉證證明其並無故意或過失,即應對其負賠償之責等情,被上訴人即上訴人王品公司則否認屬實,並以前詞置辯。
經查:
1、上訴人鄧佩君確曾登錄王品瘋美食APP註冊登記為會員,並提供個人資訊、領取生日禮券及訂位消費等情,為兩造所不爭執,足認上訴人鄧佩君前開個人資料確有儲存於被上訴人王品公司之王品瘋美食APP平台內。而上訴人鄧佩君因詐騙集團成員利用其於109年11月19日前往被上訴人王品公司旗下西堤牛排新店民權店消費之個人資料而遭詐騙財物等情,業如前述,則被上訴人王品公司由該王品瘋美食APP平台接受上訴人鄧佩君之會員註冊登記、預約訂位及消費,而取得上訴人鄧佩君之個人資料,即應依個人資料保護法第27條規定,先採行適當之安全措施,防止上訴人鄧佩君個人資料被竊取、竄改、毀損、滅失或洩漏,並於上訴人鄧佩君個人資料被竊取、洩漏、竄改或其他侵害後,應依個人資料保護法第12條規定,加以查明並以適當方式通知上訴人鄧佩君。
2、上訴人鄧佩君固以其與被上訴人王品公司旗下西堤牛排免付費專線客服人員於110年3月7日11時40分之對話內容,該客服人員所述該公司會員資料受到駭客攻擊致遭取得顧客之用餐相關資訊等情(見原審卷一第235至237頁),及與西堤牛排新店民權店店經理於111年1月25日之對話內容,店經理表示有向總公司反應是否會員消費資料有遭網路駭客取得之情(見原審卷一第437至442頁),佐以,被上訴人王品公司旗下餐廳因會員個人資料外洩而遭詐騙之案例,為數頗多,亦有相關新聞報導(見原審卷一第41至43、329至335、365、494至498、557頁)、上訴人鄧佩君所提其與內政部165防詐騙專線之對話錄音譯文(見原審卷一第241至257頁)、臺灣彰化地方法院110年度易字第746號刑事判決(見原審卷一第390至394、429至433頁)、臺灣高等法院臺中分院111年度上易字第213號刑事判決(見原審卷二第47至55頁)、上訴人鄧佩君所提其與西堤牛排新店民權店之對話錄音譯文(見原審卷一第437至442頁)在卷
可稽,據以主張被上訴人王品公司未採取適當之安全措施,以防止其保存之上訴人鄧佩君個人資料遭洩漏之情。
3、
惟被上訴人王品公司在本件上訴人鄧佩君遭詐騙前,即於110年2月27日在王品瘋美食臉書粉絲頁面及王品集團官網公告防範詐騙相關資訊(見原審卷一第107至111頁),及於110年3月2日在王品瘋美食LINE官方帳號發送防範詐騙通知(見原審卷一第113頁),並於110年3月3日在西堤牛排臉書發出聲明,表示:「近期有不法份子謊稱購買集團餐券重覆扣款,要求消費者提供個資或到ATM轉帳匯款,請消費者不要相信,以確保您的權益。王品集團不會利用電話詢問消費者信用卡或金融帳號料,也不會要求您電話刷退或利用ATM操作匯款、退款。」(見原審卷一第45頁),用以提醒消費者提防詐騙;且於上訴人鄧佩君於110年3月6日20時33分遭詐騙後,即於翌日即110年3月7日10時38分發送簡訊通知其提防詐騙(見原審卷一第59、261頁)。依此可知,被上訴人王品公司業已依照內政部警政署刑事警察局為共同防制「解除分期付款」詐騙,函請電子商務業者加註警語並於客戶完成訂單交易後即以簡訊及電子郵件通知消費者慎防詐騙之要求。
4、復以,被上訴人王品公司就各該消費交易電子紀錄,亦已採用加密、隱碼方式,藉以保護消費者之個人資料,業已提出上訴人本件消費交易電子紀錄(見原審卷一第597至601頁、本院卷第203頁)為據。而被上訴人即上訴人王品公司自106年起即委請遠傳協助建置及提供雲端運算服務,包含採行硬體防火牆與入侵防禦機制,並已購置企業使用之專業級軟硬體防護設備,將會員資料置於遠傳高安全性雲端機房予以保護與監控,業據提出遠傳雲端運算服務網頁簡介(見本院卷第99至100頁)、王品集團雲端管理服務專案建置工作說明書及報價單(見本院卷第101至103頁)、遠傳雲端機房獲ISO27001國際資安認證相關證書(見本院卷第205至218頁)、被上訴人即上訴人王品公司於109年11月至000年0月間租用遠傳國際資安認證高安全性雲端機房之帳單(見本院卷第219至278頁)、遠傳資安保全服務王品餐飲股份有限公司入侵防禦系統事件109年11月1日至110年3月31日報表(見本院卷第279至306頁)為證。
5、再者,被上訴人王品公司委請遠傳協助建置及提供之雲端運算服務,係建構在經國際安全性認證之國際級專業認證機房,且取得諸多雲端資安專業認證,而遠傳擁有最高規之雲端機房及取得資安最高階認證,此有遠傳雲端運算服務網頁說明(見本院卷第435至452頁)、相關新聞報導(見本院卷第453頁)
在卷可稽。而上訴人王品公司於109年11月起至110年4月之期間,均持續租用遠傳經國際資安認證之高安全性雲端機房,依此可知,不論係於被上訴人鄧佩君消費之109年11月19日時或是接獲詐騙電話之110年3月6日時,被上訴人王品公司所提供之雲端運算服務,均受到遠傳高安全性機房之監控保護。
是以,依據現有事證,尚不足以證明被上訴人王品公司就其保有之會員個人資料,未採行適當安全措施以保護個人資料檔案、遭洩漏後未以適當方式通知上訴人鄧佩君,而有違反個人資料保護法第12條、第27條第1項之情形或其管理上有所疏失,則上訴人鄧佩君主張依個人資料保護法及民法侵權行為之相關規定,據以請求被上訴人王品公司賠償其財產上損失99,996元損害、名譽權受侵害之非財產上損害2萬元及精神慰撫金5萬元,
即屬無據,要難准許。
6、又按
損害賠償之債,以有損害之發生及有責任原因之事實,並二者之間,有相當因果關係為成立要件。本件縱認被上訴人王品公司有因故意或過失致其保有之上訴人鄧佩君個人資料遭洩漏之情,惟上訴人鄧佩君所受99,996元之財產損害,係因詐騙集團成員於110年3月6日對其施用詐術,致其陷於錯誤而依指示於110年3月6日20時26分許、20時33分匯款49,986元、49,986元至該詐欺集團成員指定之人頭帳戶所致,依此推論,若無該詐騙集團成員對其施以前開詐欺取財之行為,客觀上應不致於發生上訴人鄧佩君受有前開財產損害之情,
足徵二者間並無相當因果關係存在。況且,上訴人鄧佩君業已於臺灣高等法院臺中分院111年度上易字第213號刑事幫助詐欺案件審理期間,對提供銀行帳戶予該詐欺集團成員作為詐財匯款帳戶使用之訴外人林毅桓提起刑事附帶民事訴訟,依侵權行為之
法律關係請求賠償其損害,並經臺灣高等法院臺中分院於111年8月16日以111年度簡易字第20號民事判決,林毅桓應給付上訴人鄧佩君99,996元及法定遲延利息確定,此有臺灣高等法院臺中分院111年度上易字第213號刑事判決(見本院卷第361至364頁)、臺灣高等法院臺中分院111年度簡易字第20號民事判決(見本院卷第365至367頁)在卷可稽,益徵上訴人鄧佩君所受之99,996元財產損害,實
乃因該詐騙集團成員對其施以詐欺取財行為所致,與前開行為間確無相當因果關係可言。故上訴人鄧佩君依民法侵權行為之法律關係,對被上訴人王品公司請求賠償其財產上損失99,996元、名譽受侵害之非財產上損害2萬元及精神慰撫金5萬元,
亦屬無據,要難准許。
7、另按消費者保護法第51條規定:「依本法所提之訴訟,因企業經營者之故意所致之損害,消費者得請求損害額五倍以下之懲罰性賠償金;但因重大過失所致之損害,得請求三倍以下之懲罰性賠償金,因過失所致之損害,得請求損害額一倍以下之懲罰性賠償金。」,其立法意旨無非係在懲罰惡性之企業經營者,以維護消費者利益,故必須企業經營者於經營企業本身有故意或過失,致消費者受損害,消費者始得依上開規定請求懲罰性賠償金。又依消費者保護法第2條第1款、第2款、第3款規定,稱消費者,指以消費為目的而為交易、使用商品或接受服務者;稱企業經營者,指以設計、生產、製造、輸入、經銷商品或提供服務為營業者;稱消費關係,指消費者與企業經營者間就商品或服務所發生之法律關係。本件上訴人鄧佩君於109年11月19日透過王品瘋美食APP平台訂位後並於同日晚間前往消費及付款後,兩造間即已完成該次交易,上訴人鄧佩君於110年3月6日遭詐騙時,兩造間並無任何消費關係存在,則上訴人鄧佩君主張本件為消費爭議,即屬無據。況且,上訴人鄧佩君並無法舉證被上訴人王品公司對於其遭詐騙匯款所生之損害有何故意或過失之責任,亦未證明被上訴人王品公司有何違反消費者保護法第7條規定之情事,則上訴人鄧佩君主張被上訴人王品公司應依消費者保護法第51條之規定,給付損害額二倍之懲罰性賠償金199,992元、14萬元,即屬無據。
8、從而,上訴人鄧佩君依個人資料保護法第29條第1項前段、第2項、消費者保護法第51條、民法第18條第2項、第184條第1項前段、第2項前段、第185條第1項、第188條第1項前段、第191條之1第1項、第193條第1項、第195條第1項、第224條前段之規定,及王品瘋美食APP會員契約之約定,請求被上訴人王品公司給付上訴人鄧佩君遭詐騙之財產上損失99,996元、名譽受侵害之非財產上損害賠償2萬元、精神慰撫金5萬元及二倍之懲罰性違約金339,992元,合計509,988元之損害,並自起訴狀繕本送達翌日起至清償日止,按週年利率百分之5計算之利息,
洵屬無據,要難准許。
(五)
綜上所述,上訴人鄧佩君依個人資料保護法第29條第1項前段、第2項、消費者保護法第51條、民法侵權行為之規定及王品瘋美食APP會員契約之約定,請求被上訴人王品公司給付509,988元,及自起訴狀繕本送達翌日即110年4月7日起至清償日止,按週年利率百分之5計算之利息,為無理由,應予駁回。原審判決就不應准許之489,988元及遲延利息部分,為上訴人即被上訴人鄧佩君敗訴之判決,並無不合,
上訴意旨指摘原判決此部分不當,求予廢棄改判,為無理由,應予駁回。至於,其餘不應准許之2萬元及遲延利息部分,原審為上訴人即被上訴人鄧佩君勝訴之判決,
依職權宣告假執行及依聲請為供擔保得免為假執行之宣告,自有未洽,被上訴人即上訴人王品公司指摘原判決此部分不當,求予廢棄改判,為有理由,應由本院將原判決此部分廢棄,改
諭知如
主文第2項所示。
六、本件事證
已臻明確,兩造其餘主張陳述及所提之證據,與判決結果不生影響,爰不逐一論述,
附此敘明。
七、據上論結,本件被上訴人即上訴人王品公司之上訴為有理由,上訴人即被上訴人鄧佩君之上訴為無理由。爰依民事訴訟法第436條之1第3項、第450條、第449條第1項、第78條,判決如主文。
中 華 民 國 112 年 12 月 15 日
民事第六庭 審判長法 官 陳學德
法 官 孫藝娜
法 官 巫淑芳
本件不得上訴。
中 華 民 國 112 年 12 月 15 日