臺灣臺北地方法院小額民事判決　　　　104年度北小字第376號 原　　　告　李明豪 兼　訴　訟 代　理　人　李明旭 被　　　告　露天市集國際資訊股份有限公司 法定代理人　詹宏志 訴訟代理人　李貞儀律師 　　　　　　林怡芳律師 上一人 複代理人　　魏芳瑜律師 上列當事人間請求損害賠償事件，經臺灣臺中地方法院移送前來 ，本院於民國104年6月9日言詞辯論終結，判決如下︰ 主 文 原告之訴駁回。 訴訟費用新臺幣壹仟元由原告負擔。 事實及理由要領 壹、程序方面： 按訴狀送達後，原告不得將原訴變更或追加他訴，但有下列 各款情形之一者，不在此限：二、請求之基礎事實同一者， 民事訴訟法第255條第1項第2款定有明文。又所謂請求之基 礎事實同一，係指變更或追加之訴與原訴之主要爭點有共同 性，各請求利益之主張在社會生活上可認為同一或關聯，而 就原請求之訴訟及證據資料，於審理繼續進行在相當程度範 圍內具有同一性或一體性，得期待於後請求之審理予以利用 ，俾先後兩請求在同一程序得加以解決，避免重複審理，進 而為統一解決紛爭者（最高法院91年度台抗字第552號裁定 意旨參照）。本件原告起訴時原係依個人資料保護法第28條 、第29條規定，請求被告分別給付原告李明豪新臺幣（下同 ）60,000元、原告李明旭30,000元。嗣於民國104年3月27日 具狀追加依民法第184條及第185條規定，請求被告分別給付 原告上開金額。核其追加之訴與原訴，兩者之事實，皆為被 告是否未盡善良管理人注意義務，妥善保管其會員之個人資 料，致原告個人資料外洩，及原告得否因此請求賠償損害之 問題，且原告提出之證據資料具有同一性，顯見係基於相同 之基礎事實，揆諸前開說明，應予准許，合先敘明。 貳、實體方面： 一、原告主張：原告李明豪於103年8月6日接獲詐騙電話，宣稱 其帳號MIKEJKJ4在被告所經營之露天拍賣帳號focus2500cc 賣家（即晶站LED汽機車批發精品）購買商品時，有誤勾選 分期付款之情形，為免原告李明豪日後遭按月重複扣款，要 求原告李明豪配合至提款機進行相關操作。原告李明豪因此 損失2萬9千9百餘元，此情業經臺南市政府警察局永康分局 復興派出所受理在案。另原告李明旭於103年8月24日20時30 分許再次接獲相同詐騙電話，因痛恨詐騙行為，乃全程以電 話錄音，並依詐騙集團指示匯款10元，復經臺中市政府警察 局第三分局東區分駐所受理在案。原告李明旭個人電腦裝有 防火牆及2套防毒軟體，所使用之露天拍賣帳號Vivan85於 103年7月3日至同年8月24日間，均由中華電信固定IP「59.1 26.249.200」登入。詐騙集團既將原告李明旭於103年8月12 日向露天拍賣帳號BUY_HERE007（即双元電化製品有限公司 經營之元元家電館）購買飲水機之過程及個人資料瞭若指掌 ，顯見被告未對消費者個人資料善盡保護義務，甚有故意外 洩之嫌。被告非單純提供會員從事網路拍賣之交易平台，其 既向使用露天拍賣平台（下稱系爭網站）之賣家收取成交手 續費，即屬提供有償服務，對於消費者因被告之資訊安全漏 洞所受之損害，應負賠償責任。為此請求被告分別賠償原告 李明豪、李明旭所受詐騙之財產上損害各25,102元、10元； 及分別給付原告李明豪、李明旭慰撫金34,898元、29,990元 ，爰依個人資料保護法第28條、第29條、民法第184條、第 185條規定，提起本件訴訟等語，並聲明：㈠被告應給付原 告李明豪60,000元。㈡被告應給付原告李明旭30,000元。 二、被告則以：被告為維護系爭網站個人資料之安全，業已採取 各項安全措施，包含訂定資訊作業安全管理辦法、於資料保 存系統中設置加密措施、定期審查程式碼及防火牆等防護設 備安全性、實施員工資訊安全教育訓練、禁止員工自行安裝 軟體於被告公司所配發之相關電腦設備等。被告並設有「個 人資料保護處理小組」及「資訊安全事故處理小組」，負責 個資保護事項之檢討及監督。此外，並委請第三方機構每季 以專業程式對系爭網站進行弱點掃瞄，皆獲合格評鑑。系爭 網站並無遭他人非法入侵之跡象，足見被告並無任何違反個 人資料保護法致原告個人資料自系爭網站洩漏之情事。原告 應就被告有違反個人資料保護法，致其個人資料遭不法蒐集 、處理、利用或其他侵害渠等權利之結果等事實，及因此致 其受有財產上、精神上損害等節舉證以實其說。又原告係以 在被告經營之拍賣網站設定帳號、密碼之方式，於系爭網站 上進行各種交易。因此，任何第三人若取得原告之帳號、密 碼，即得正常登入系爭網站系統查詢原告之交易資訊，縱有 第三人取得原告在系爭網站之交易資訊，亦無法據此推論系 爭網站系統即有違反個人資料保護法之情形。尤以現今網路 使用環境，原告使用之電腦、智慧型手機等本即伴隨被第三 人入侵、植入木馬程式等以盜取其帳號、密碼之高風險。詐 騙集團有多種犯罪手法可盜取原告於系爭網站上之帳號、密 碼，並進而以原告正確之帳號、密碼登入系爭網站查詢取得 原告之交易資料。又原告之交易相對人亦持有相關交易資料 ，益證原告主張其交易資料遭詐騙集團取得必係因被告有違 反個人資料保護之情事，顯無可採。另原告李明豪曾於103 年5月19日向被告公司反應帳號遭人盜用販賣手機商品，經 被告公司調閱帳號登入之IP位址，發現其中有數筆非自其常 用IP位址登入，旋即於同年月22日通知原告李明豪其帳號、 密碼可能遭第三人盜用，同時並為暫時凍結帳號之處置，是 被告公司業已為妥適之處理。原告李明豪既已知悉其所使用 之帳號有遭盜用之前揭情形，復於同年8月6日接獲詐騙電話 ，依一般合理之注意，理應不會受騙，且其所受詐騙之手法 為媒體所大肆宣傳警告，卻未加查證予以匯款，顯與被告公 司無涉。另原告李明旭明知為詐騙電話，仍決意匯款10元至 指定帳戶，顯見原告李明旭非因詐騙集團之詐術而陷於錯誤 匯款，且經被告公司查證後發現原告李明旭交易相對人元元 家電館帳號登入之IP位址亦有自非常用IP位址登入之情形， 益徵原告損害與被告行為間欠缺相當因果關係等語，資為抗 辯，並聲明：㈠原告之訴駁回。㈡如受不利之判決，願供擔 保請准宣告免為假執行。 三、本件原告主張被告未盡善良管理人注意義務妥善保管其會員 個人資料，對渠等因被告之資訊安全漏洞所受之財產上及非 財產上損害，應負賠償責任等節，為被告所否認，並以前詞 置辯。茲分述如下： ㈠按非公務機關保有個人資料檔案者，應採行適當之安全措施 ，防止個人資料被竊取、竄改、毀損、滅失或洩漏；非公務 機關違反本法規定，致個人資料遭不法蒐集、處理、利用或 其他侵害當事人權利者，負損害賠償責任。但能證明其無故 意或過失者，不在此限。依前項規定請求賠償者，適用前條 第2項至第6項規定，個人資料保護法第27條第1項、第29條 第1項、第2項分別定有明文。次按故意或過失，不法侵害他 人之權利者，負損害賠償責任。故意以背於善良風俗之方法 ，加損害於他人者亦同。違反保護他人之法律，致生損害於 他人者，負賠償責任。但能證明其行為無過失者，不在此限 ，民法第184條亦有明定；且所謂保護他人之法律，係指保 護他人為目的之法律，即一般防止危害權益，或禁止侵害權 益之法律，凡直接或間接以保護個人之權益為目的者，均屬 之（最高法院100年度台上字第390號、1314號判決意旨可供 參照）。參以個人資料保護法第1條規定：「為規範個人資 料之蒐集、處理及利用，以避免人格權受侵害，並促進個人 資料之合理利用，特制定本法。」，則個人資料保護法之規 範目的，當係為求個人權益之保障周全，而同屬民法第184 條第2項所稱「保護他人之法律」。又當事人主張有利於己 之事實者，就其事實有舉證之責任，民事訴訟法第277條前 項亦有明定，是被告依個人資料保護法第29條第1項後段、 民法第184條規定，就其無故意或過失乙節，固負舉證之責 ，惟原告應先就其所主張被告違反個人資料保護法規定，致 其權益受有損害乙節，負舉證責任。 ㈡經查，原告前揭主張，固據其提出系爭網站會員規範、臺南 市政府警察局永康分局復興派出所受理刑事案件報案三聯單 、被告公司103年8月11日露安103法字第733號函、臺中市政 府警察局第三分局東區分駐所受理刑事案件報案三聯單、原 告李明旭於103年7月3日至同年8月24日間之IP登入紀錄、 Hinet寬頻上網用戶連線資料查詢服務、103年8月12日於系 爭網站之購物紀錄、網頁資料、統一發票、103年5月10日於 系爭網站之購物紀錄及網頁資料、臺中旱溪郵局第282號存 證信函、被告公司103年9月3日露安103法字第791號函等件 為證（見臺灣臺中地方法院103年度中小字第2336號卷，下 稱中院卷，第11頁至第16頁、第62頁至第66頁、第71頁、第 77頁、第185頁至第188頁）。惟查，前揭受理刑事案件報案 三聯單、購物紀錄、網頁資料及統一發票等資料，僅能證明 原告李明豪、李明旭分別曾於103年5月10日、同年8月12日 使用系爭網站從事網路購物交易，且於同年8月6日、同年8 月24日分別接獲詐騙集團來電之事實。又原告李明豪曾於 103年5月19日向被告反應有遭人盜用帳號販賣手機商品之情 形，經被告調閱帳號MIKEJKJ4之登入IP紀錄，其中IP「202. 133.245.240」並非自原告李明豪常用IP位址，而係於103年 5月18日首次登入。被告公司乃於103年5月22日將原告李明 豪之帳號予以停權，並發送帳號異常停權通知信致原告李明 豪之認證信箱等情，有電子郵件、原告李明豪於103年3月2 日至同年5月22日間之登入IP紀錄、刊登商品清單及截圖、 全球WHOIS系統IP查詢結果、被告公司103年8月11日露安103 法字第733號函附卷可稽（見中院卷第15頁、第160頁，本院 卷第189頁至第190頁、第191頁至第192頁、第193頁），足 徵原告李明豪交易資料外洩可能係因帳號、密碼外洩，遭第 三人登入系爭網站取得交易資料所致。另就原告李明旭於 103年8月24日接獲詐騙電話部分，經被告調閱與原告李明旭 交易相對人即帳號BUY_HERE007賣家之登入IP紀錄，發現其 中「210.242.49.229」非該賣家常用IP，而係於103年8月22 日首次登入，足徵與原告李明旭從事交易之賣家疑似有異常 登入之情況。被告並因此建議原告李明旭與該賣家聯繫等節 ，有被告103年9月3日露安103法字第791號函、帳號BUY_HER E007於103年5月1日至同年8月24日間之登入IP紀錄、全球 WHOIS系統IP查詢結果存卷可查（見中院卷第77頁，本院卷 第194頁至第198頁、第199頁至第200頁），足徵原告李明旭 交易資料外洩可能係因其交易相對人遭他人以正確帳號、密 碼自「210.242.49.229」之IP位置登入，進而窺探系爭交易 資料所致。 ㈢次查，被告為維護系爭網站個人資料之安全，業依個人資料 保護法第27條第1項規定採取各項安全措施，包含訂定資訊 作業安全管理辦法、於資料保存系統中設置加密措施、定期 審查程式碼及防火牆等防護設備之安全性、實施員工資訊安 全教育訓練、禁止員工自行安裝軟體於被告公司所配發之相 關電腦設備等。被告並設有「個人資料保護處理小組」及「 資訊安全事故處理小組」，負責個資保護事項之檢討及監督 。此外，復委請經PCIDSS官方網站公布核可之Trustwave公 司每季以專業程式對系爭網站進行弱點掃瞄，皆獲合格評鑑 等節，有PCIDSS官方網站公布核可之弱點掃瞄廠商名單、系 爭網站於101年5月16日迄至103年9月23日間每季弱點掃瞄合 格評鑑、101年12月7日至103年9月23日之弱點掃瞄報告在卷 足憑（見中院卷第159頁、本院卷第201頁至第211頁、第212 頁至第213頁、第224頁至第234頁），足徵被告為維護系爭 網站個人資料之安全，已於平日踐行各項資訊安全管理措施 、實施員工資訊安全教育，並定期請第三人自外部檢視系爭 網站網路及應用程式之安全性。此外，被告於接獲原告李明 豪通知帳號盜用時，因其所選擇信件類別非帳號遭盜用，乃 於3日後將原告李明豪所持有之帳號予以停權，並建議原告 李明豪將其使用之電腦完整掃毒、變更密碼；於接獲原告李 明旭所寄發之存證信函時，亦於103年9月3日以露安103法字 第791號函覆已全面檢視電腦系統，並通知原告李明旭與其 交易之相對人疑似有異常登入之情形，建議原告李明旭與該 名賣家聯繫，已如前述。綜此，被告既已確實對系爭網站進 行例行性弱點掃瞄，平時亦針對會員資料採取各項安全措施 ，復於接獲原告通知後，積極查詢原告及其交易相對人之帳 號有無自異常IP位置登入之情形，進而提出建議方法，益徵 被告對於所屬會員資料之維護，已善盡管理維護責任。原告 復未提出其他相關證據證明被告有未妥善保管其會員個人資 料等情事，是原告主張因被告未盡善良管理人注意義務，致 原告個人資料外洩，對於渠等因被告之資訊安全漏洞所受之 損害，應負賠償責任云云，洵屬無據。 四、綜上所述，原告未能舉證證明被告有何未妥善保管原告個人 資料而未盡善良管理人注意義務等違反個人資料保護法之情 事，從而，原告依個人資料保護法第28條、第29條，民法第 184條、第185條規定，請求被告分別給付原告李明豪60,000 元、原告李明旭30,000元，均無理由，應予駁回。 五、按適用小額訴訟程序事件法院為訴訟費用之裁判時，應確定 其費用額，民事訴訟法第436條之19定有明文，爰依後附計 算書確定本件訴訟費用額如主文所示。 六、本件事證已臻明確，兩造其餘攻擊防禦方法及證據，核與判 決之結果，不生影響，爰不一一論列，併此敘明。 七、訴訟費用負擔之依據：民事訴訟法第78條。 中 華 民 國 104 年 7 月 7 日 臺灣臺北地方法院臺北簡易庭 法 官 葉詩佳 以上正本係照原本作成。 如不服本判決，須以違背法令為理由，應於判決送達後20日內向 本庭提出上訴狀。（須按他造當事人之人數附繕本）。 如委任律師提起上訴者，應一併繳納上訴審裁判費。 中 華 民 國 104 年 7 月 7 日 書記官 林錫欽 訴訟費用計算書 項 目 金 額（新臺幣） 第一審裁判費 1,000元 合 計 1,000元 附錄： 一、民事訴訟法第436條之24第2項： 對於小額程序之第一審裁判上訴或抗告，非以其違背法令為 理由，不得為之。 二、民事訴訟法第436條之25： 上訴狀內應記載上訴理由，表明下列各款事項： （一）原判決所違背之法令及其具體內容。 （二）依訴訟資料可認為原判決有違背法令之具體事實。