臺灣臺南地方法院臺南簡易庭民事判決
106年度南簡字第1450號
原 告 胡棨超
被 告 學思行數位行銷股份有限公司
法定
代理人 張天立
訴訟代理人 林珮菁
蘇孟君
上列
當事人間請求
侵權行為損害賠償事件,本院於民國107年5月
29日
言詞辯論終結,判決如下:
主 文
被告應給付原告新臺幣壹拾玖萬肆仟參佰參拾伍元,及自民國一
O六年十月二十六日起至清償日止,
按週年利率百分之五計算之
利息。
原告其餘之訴
駁回。
訴訟費用由被告負擔十分之七,餘由原告負擔。
本判決原告勝訴部分得
假執行。但被告如以新臺幣壹拾玖萬肆仟
參佰參拾伍元為原告
預供擔保後,得免為假執行。
事 實 及 理 由
一、按起訴後,原告不得為訴之變更追加,但擴張或減縮應受判
決事項之聲明者,不在此限,為民事訴訟法第255條第1項第
3款定有明文。
本件原告起訴時原請求「被告應給付原告新
臺幣(下同)26萬元,及自
起訴狀繕本送達之
翌日起至清償
日止,按週年利率百分之5計算之利息」,
嗣於民國107年5
月29日本院審理時,當庭變更請求之金額為249,860元及其
法定利息(本院卷二第67頁背面),
核屬減縮應受判決事項
之聲明,於法相符,應予准許。
二、原告起訴主張:
㈠緣原告於106年3月24日因為要加入被告提供之平台才能購書
,因此加入被告提供之平台後開始購書。然自106年5月4日
接到詐騙電話,自稱是被告的客服人員以幫原告取消訂單為
由,要原告提供信用卡上電話,而歹徒提供之資訊與原告購
書之發票中的購物日期、贈品為電子書等明細相符,這些是
僅
兩造才會知道的私密資料,之後原告接到一通自稱是玉山
銀行,以保護帳號安全為由,誘導原告到附近ATM及網路銀
行匯款及無摺存款,歹徒再匯錢給原告,讓原告提領與使用
信用卡去購買MYCARD點數,導致原告被詐騙金額達257,622
元,原告當日晚上就有報警,原告並因此受有身心痛苦,故
併予請求
精神慰撫金2萬元。
上開侵權行為原告認為被告應
負擔9成責任、原告自行負擔1成責任。綜上,
爰依個人資料
保護法第27、29條之規定提起本件訴訟,請求被告應賠償原
告財產上及
非財產上損害,合計249,860元【計算式:(257
,622+2萬元)90%=249,860元】。
㈡被告雖然非故意洩漏原告個人資料導致上開原告損害,但確
因被告未盡安全維護義務之過失,導致原告個人資料外洩致
生上開損害,分述如下:
⒈被告主張105年9月26日已對
消費者發送9萬多筆反詐騙宣導
簡訊,但是原告是106年3月24日才成為被告之消費者,因此
被告此部分宣導根本與原告
無涉。原告沒有收到被告主張已
寄送之反詐騙宣導的電子郵件。
⒉被告主張106年2月已將訂單加密、106年3月已購買防火牆應
用程式、4月防火牆裝設完成,但106年5月4日前被告個人交
易資料仍遭竊取,顯見被告對於個人資料安全管理仍有不足
之過失。
⒊TVBS在100年間就報導過被告有個人資料外洩問題,然被告
在165高風險賣家排行榜統計、中時新聞、蘋果報導均有客
戶多人受詐騙之統計,可見被告的消費者105年9月至106年5
月間受詐騙之災情嚴重,更
可佐證被告就個人資料管理確有
未採行
適當措施之過失,居然從100年拖到106年4月才進行
防火牆升級、個資盤點等資安基本維護。
⒋被告主張之資安風險管理成本投入都是被告自說自話,被告
根本無法提出證據,證明在原告106年3月24日消費日前有何
資安檢測報告,被告提出的相關證據,都指出被告是在原告
受詐騙之後才投入資安風險管理(況原告認為被告無法充分
提出證據
佐證其說),顯見被告於原告個人資料在
系爭平台
外洩時,實有未適當為資安防護之過失等語。
㈢
並聲明:被告應給付原告249,860元,及自起訴狀繕本送達
被告之翌日即民國106年10月26日起至清償日止,按週年利
率百分之5計算之利息。
三、被告則以:
㈠就原告上開損害並非被告之故意或過失行為所致,被告有⒈
針對網路平台使用者主動加強提醒防護,包括客服24小時,
一接到消費者有被詐騙的反應就會對全體發簡訊和電子郵件
通知,並自105年9月28日起在被告提供之平台左側、首頁至
頂BN、商品右側BN、會員登入左側BN、訂購完成頁均有防詐
騙提醒,且105年9月26日就訂單日期105年7月1日至106年9
月25日發送防詐騙簡訊共90,346筆,又於106年4月25日發送
防詐騙電子郵件給原告。⒉資安措施及政策,包括被告原佈
署之安全措施,例如對會員個資:身分證、電話、手機皆有
進行保護加密措施,加密方式使用AES-256bit。外部網路連
被告公司內部網路,進行資料存取,皆需透過VPN帳號密碼
,同時也有防火牆的建置,自發生事故後,採行適當之安全
措施以防止再次個人資料被竊取、竄改、毀損、滅失或洩漏
,加強並調整資安安全措施之佈署,包括會員資料多階段加
密、資安防護查核(105年11月會員資料二次加密完成佈署
、106年2月訂單即時加密、事故危機處理程序含通報查核表
完成、106年3月底採購Web應用程式防火牆設備,4月中配合
廠商完成佈署、106年3月10日起僅開放部分系統工程師、高
階主管透過VPN帳號密碼,由外部網路連公司內部網路。非
系統單位人員停止使用VPN,同時員工個人電腦與公司系統
連線之管理機制,已請系統單位進行電腦IP管控、106年5月
5日,訂單完成通知暫停發送:進行訂單通知信內容重新檢
視與調整、106年10月1日訂單明細的呈現,不顯示訂單相關
資訊),將可疑外洩訂單區間控制在106年4月17日。⒊監測
主機、內部電腦狀況(自105年10月起加強管理與監控使用
者進入系統,並安裝防毒軟體forticlient,降低電腦威脅)
。⒋全面性進行系統整體架構調整○○○區○○○○路、核
心營運系統網路、○○○區○○○○路等。⒌資安管理規則之
制定、教育訓練與宣導,目前仍逐步建置並公告,包括資產
清查(106年6月進行機房、辦公室、物流資產清查,106年7
月完成)、資安管理(召開系統主管會議討論既有資安政策
調整、資安強化措施、配合個人資料保護法施行細則第12條
安全維護事項,進行資訊安全之原則、標準,以及員工應遵
守規定之政策規劃)、資安教育訓練(強化資訊系統安全最
有效的方法,讓開發者、管理者擁有正確的資安觀念,才能
抵禦不斷進化的駭客攻擊)。因為上開防護,民眾通報數已
於106年5月10日明顯減緩,原告雖然被詐騙是因為在被告公
司購買產品的個資外洩,但是被告的資安防護已經達到相當
等級,故不可歸責,原告提出的許多新聞資料與
本案案情不
同,不能作為本案證據。
㈡被告無意指責原告,但被告不同意原告主張的過失比例,原
告不指責盜取交易紀錄之駭客,原告自己也不對平台安裝防
毒軟體而導致
第三人入侵平台竊取交易紀錄,原告還自行按
照第三人指示購買顯與兩造原本交易內容無關之遊戲點數,
且金額高達20幾萬元,此實超出
因果關係射程,且可見原告
覺察力與警覺性較一般人多有不足,是被告認為,縱
鈞院認
定被告有過失,被告頂多負擔2成責任等語。
㈢並聲明:
原告之訴駁回。
四、本院得
心證之理由:
㈠本件原告主張被詐騙是因為在被告公司網站購買產品的個人
資料外洩,原告本件受詐騙金額共計為257,622元,原告遭
詐騙後有報案
等情,
業據其提出遭詐騙流程說明及相關匯款
、取款、購買遊戲點數之相關資料在卷
可稽,並有臺南市政
府警察局第四分局107年3月6日南市警四偵字第1070097517
號函及所附之調查筆錄、報案三聯單、案件紀錄表、受理詐
騙案件帳戶通報警示簡便格式表、金融機構聯防機制通報單
、交易明細、交易紀錄存卷
可參,該等資料經核對與原告主
張相符,且為被告所不爭執(調字卷第9-12頁,本院卷一第
106、127、174-177頁、145-155頁背面、第211頁背面、212
頁),應
堪信為真實。
㈡本件原告主張被告未妥善保管其會員個人資料,對原告因被
告之資訊安全漏洞所受之財產上及非財產上損害,應依個人
資料保護法規定負賠償責任
一節,為被告所否認,並以前詞
置辯。茲分述如下:
⒈按非公務機關保有個人資料檔案者,應採行適當之安全措施
,防止個人資料被竊取、竄改、毀損、滅失或洩漏;中央目
的事業
主管機關得指定非公務機關訂定個人資料檔案安全維
護計畫或業務終止後個人資料處理方法;前項計畫及處理方
法之標準等相關事項之辦法,由中央目的事業主管機關定之
,個人資料保護法第27條定有明文;次按非公務機關違反本
法規定,致個人資料遭不法蒐集、處理、利用或其他侵害當
事
人權利者,負
損害賠償責任。但能證明其無故意或過失者
,不在此限;依前項規定請求賠償者,適用前條第二項至第
六項規定,個人資料保護法第29條定有明文。又被害人雖非
財產上之損害,亦得請求賠償相當之金額,同法第28條第2
項亦有規定。從而,被告因原告購書而取得相關活動等個人
資料,依法應採行適當之安全措施以防止該個人資料被竊取
或洩漏,被告倘未能舉證證明已盡此注意義務,即可認有過
失,原告因而個資被竊取或外洩,自得依個人資料保護法第
29條、第28條第2項之規定請求被告負財產上或非財產上之
損害賠償責任。
⒉被告固辯稱已採取針對網路平台使用者主動加強提醒防護、
資安措施及政策、監測主機、內部電腦狀況○○○區○○○
○路、核心營運系統網路、○○○區○○○○路等、資安管理
規則之制定、教育訓練與宣導,目前仍逐步建置並公告等等
措施,以保護原告等消費者之交易個資,而無違反個人資料
保護法之情事
云云。然查,被告針對其所進行之資安防護加
強措施所提出之相關證據,如106年4月25日之全館會員通知
請慎防詐騙電話、完整弱點檢測之稽核執行時間為106年5月
18日、106年7月20日、106年9月24日、106年11月21日、107
年1月23日、107年3月2日之摘要、106年5月之網頁弱點掃描
服務分析報告、106年3月16日防火牆合約主張技術支援106
年3月20日起至109年3月19日止、105年9月28日起客服人員
教育訓練、106年12月22日銓鍇國際之系統人員資料庫教育
訓練、被告網站的個資法Q&A、訓練教材等資料(見本院卷
一第124頁,本院卷二第5-30頁背面),大都係原告遭詐騙
後始進行之動作,且均無
足證明被告於本案原告個資外洩時
已依法訂定個人資料檔案安全維護計畫及有為適當之資安防
護措施,參以被告
自承其平台防火牆之加強,係於106年4月
中始配合廠商完成佈署一情,更證被告明知自105年年底已
有發生多起個資外洩情事後,仍遲至106年4月間始為防火牆
之實際佈屬,而
斯時距離原告購買書籍之106年3月間已相隔
約有1個月之時間,此段
期間內,
難認被告有為適當之資安
防護措施。此外,被告並未舉其他事證證明本案發生前其已
依前開辦法訂定、落實個人資料檔案安全維護計畫及個人資
料安全稽核機制等事實,
是以,
堪認原告主張被告有未依個
人資料保護法第27條規定對原告個人資料採行適當安全措施
之過失之一情,可以採信。
⒊就被告對其
持有之原告前開交易個資,未盡法定適當之安全
維護義務而有「過失」乙情,業經認定如前,且原告個資遭
竊取、外洩而為不法集團持用而受有個人資料
隱私權遭侵害
之損害一節,亦為被告不爭執而堪認定。原告依個人資料保
護法第29條規定請求被告負損害賠償責任,尚以被告違反個
人資料保護法之過失行為與損害間具備「相當因果關係」為
要件。而關於本件被告過失行為與原告個資外洩之間具備相
當因果關係等歸責要件之舉證,即被告未依法訂立個人資料
檔案安全維護計畫及安全稽核機制致駭客入侵竊取原告個資
,抑或因而遭被告公司人員外洩等情,
惟此等事實因宥於網
際網絡科技浩瀚並參雜人為因素之變異而有高度舉證困難,
責令被害人擔負完全之
舉證責任實有不公;而被告既為以此
交易營利之企業經營者,原告交付個資後即由其支配掌握,
其對於個資被竊取或外洩風險之控制及分擔能力俱優於原告
;
抑有進者,航空業者對旅客個資之維護義務,除建立在個
人資料隱私權之保護外,亦有防免旅客個資外洩致影響飛航
安全等重大風險實現,是本院斟酌本件訴訟性質、兩造之舉
證能力及被告違反義務之情節及風險分配之合理性,而
比照
我國實務就公害訴訟降低被害人因果關係舉證責任之見解,
認被告行為所生之危險已有相當合理確定性,即
推定有一般
因果關係之存在(最高法院102年度
台上字第31號判決
參照
),被告倘認無一般或個別因果關係存在,自應提出確切之
反證證明。
⒋從而,被告未依法採取訂立個人資料檔案安全維護計畫及稽
核機制等防免個資遭竊取或外洩之安全措施,致原告之個資
外洩情事,被告過失行為與原告個資外洩之損害間具備相當
合理關聯,即推定有一般因果關係存在,被告自應提出確切
反證始足推翻該因果關係之認定。本件原告之請求
乃被告違
反個資維護義務致個資外洩之侵權事實,被告
迄未就其違反
前開法定義務與原告個資外洩間欠缺相當因果關係提出說明
或確切反證,自堪認原告主張被告未盡法定維護義務,致其
個資外洩而侵害其個人資料隱私權一節為可採,則原告依個
人資料保護法第29條、第28條第2項規定,主張前開財產上
損害257,622元、非財產上損害2萬元,
於法有據。
㈢按損害之發生或擴大,被害人
與有過失者,法院得減輕賠償
金額,或
免除之,
民法第217條第1項定有明文。此項被害人
與有過失規定之目的,乃在謀求加害人與被害人間之公平,
故在
裁判上賦予法院得
依職權減輕或免除加害人之責任。又
所謂被害人與有過失,須被害人之行為助成損害之發生或擴
大,就結果之發生為共同原因之一,行為與結果有相當因果
關係,
始足當之。倘被害人之行為與結果之發生並無相當因
果關係,尚不能僅以其有過失,即認有過失相抵原則之適用
。而查,本件原告係因個人資料外洩,遭第三人詐騙而為前
開匯款、轉帳及購買遊戲點數等行為,致受有前開財產上損
害257,622元,業如前述,然衡以現今社會詐騙集團橫行,
遭詐騙事件層出不窮,電視新聞、報章媒體多年來均對此類
事件多所報導及分析,政府及警政機關亦常製作相關宣導影
片,希冀社會大眾提高注意可疑事件,如有疑問請多加利用
警政機關之反詐騙專線電話,避免受騙而遭受損害,而原告
於本案發生時,為具有相當智識之成年人,對上開社會及生
活經驗應甚為理解,理應對此社會常見之詐騙犯罪類型有相
當之警覺性,然竟疏未注意,多次聽從歹徒指示以同一方式
多次購買遊戲點數與匯款,致受騙而生損害,是認原告就本
件損害之發生,亦與有過失。本院斟酌本件事故發生之一切
情狀,認原告應負擔三成之過失責任,被告應負擔七成之過
失責任,始為公允。是以,依此過失比例,則本件原告所得
請求被告賠償之金額為194,335元【計算式:(257,622元+
2萬元)×70%≒194,335元,元以下四捨五入】,故原告請
求被告給付上開金額,應為可採,
逾此範圍之主張,則屬無
據。
㈣末按給付無確定期限者,
債務人於
債權人得請求給付時,經
其催告而未為給付,自受催告時起,負遲延責任。其經
債權
人起訴而送達訴狀,或依
督促程序送達
支付命令,或為其他
相類之行為者,與催告有同一之效力;遲延之債務,以支付
金錢為標的者,債權人得請求依法定利率計算之
遲延利息,
民法第229條第2項、第233條第1項前段則分別著有明文。
本件原告主張對被告之
損害賠償請求權,係屬於給付未有確
定期限之金錢債權。從而,原告依上開
法律規定,訴請被告
賠償194,335元,及自起訴狀繕本送達被告翌日即106年10月
26日起至清償日止(調解卷第41頁),按週年利率百分之5
計算之法定遲延利息,為有理由,應予准許,逾上開範圍之
請求,為無理由,應予駁回。
㈤
綜上所述,原告本於上開法律規定,請求被告給付194,335
元及自106年10月26日起至清償日止,按週年利率百分之5計
算之利息,為有理由,應予准許。逾此範圍之請求,為無理
由,應予駁回。
五、本案事證
已臻明確,兩造其餘攻擊
防禦方法與舉證,經
核與
判決結果無影響,爰不逐一論述,
附此敘明。
六、末按各當事人一部勝訴、一部敗訴者,其訴訟費用,由法院
酌量情形,命兩造以比例分擔或命一造負擔,或命兩造各自
負擔其支出之訴訟費用,民事訴訟法第79條定有明文。本件
原告之訴為一部有理由,一部無理由,本案審酌兩造之勝敗
情形,爰定兩造訴訟費用之負擔如主文第3項所示。
七、本判決原告勝訴部分,係適用民事訴訟法第427條第1項
簡易
訴訟程序所為被告敗訴之判決,依同法第389條第1項第3款
規定,應
依職權宣告假執行。另並依同法第392條第2項依職
權宣告被告預供擔保得免為假執行。
八、據上論結,本件原告之訴為一部有理由,一部無理由,依民
事訴訟法第436條第2項、第79條、第389條第1項第3款、第
392條第2項,判決如主文。
中 華 民 國 107 年 6 月 26 日
臺灣臺南地方法院臺南簡易庭
法 官 黃聖涵
以上
正本係照原本作成。
如不服本判決,應於送達後20日內,向本院提出
上訴狀並表明上
訴理由,如於本判決宣示後送達前提起上訴者,應於判決送達後
20日內補提上訴理由書(須附繕本)。如委任
律師提起上訴者,
應一併繳納上訴裁判費。
中 華 民 國 107 年 6 月 26 日
書記官 陳杰瑞