臺灣高等法院民事判決
113年度上易字第471號
上 訴 人 李青樺
張惠雯
歐陽智文
丁俐玲
柯旻宜
陳彥翰
盛心毓
邱泓達
李立聖
賴冠霖
吳淑蘋
劉宜其
蕭祐德
曾郁茹
廖宥咨
李育霖
林禹賢
王晨宇
蔡欣憲
鄧佳珣
黃柏元
洪妤瑄
劉玳爾
涂祥誠
李奕賢
莊琬琪
劉廣彞
共 同
方瑋晨律師
上列
當事人間請求
損害賠償事件,
上訴人對於中華民國112年12月8日臺灣臺北地方法院112年度訴字第3711號第一審判決提起上訴,本院於113年10月8日
言詞辯論終結,判決如下:
主 文
事實及理由
一、上訴人主張
略以:被上訴人經營汽機車租賃業,提供iRent APP共享汽機車服務供
消費者使用,伊等因使用iRent APP而提供個人資料(含姓名、手機號碼、電子信箱、住址、駕照照片與信用卡資料,下稱
系爭個資),被上訴人依個人資料保護法(下稱個資法)第27條第1項、第2項規定應採行
適當安全措施,防止系爭個資洩漏。
詎外國媒體Tech Crunch於民國112年1月31日報導某安全研究員在被上訴人關係企業和泰車雲端伺服器(下稱和泰車雲端伺服器)發現公開資料庫,iRent APP用戶個資遭外洩(下稱系爭Tech Crunch報導),工商時報亦於112年2月1日報導此事,交通部公路局臺北市區監理所(下稱臺北市監理所)於112年2月1日前往被上訴人營業處所行政檢查始知外洩原因為「紀錄應用程式Log檔之暫存資料庫發生防護性缺口」,被上訴人先後於112年2月1日、4日以電子郵件發出聲明稿(下分稱聲明稿一、二),並核發汽車3小時折抵券予伊等受個資外洩影響用戶,然自110年8月30日起,陸續有網友在被上訴人經營之FACE BOOK粉絲團「和雲行動服務-iRent汽機車共享」(下稱iRent臉書粉絲專頁)表示接獲詐騙電話,顯見被上訴人自110年8月30日起至112年2月1日止,違反個資法第27條第1項、第2項規定,致系爭個資洩漏,侵害伊等
隱私權;又保護系爭個資雖
非iRent APP使用契約之主給付義務,然從維護契約當事人完整利益而言,應屬附隨義務中之保護義務,被上訴人遲至112年1月28日接獲通報方察覺系爭個資洩漏情事,自可歸責於被上訴人之
不完全給付,侵害伊等隱私權
等情。
爰依個資法第29條、
民法第184條第1項前段、第184條第2項,或民法第227條、第227條之1
準用同法第195條第1項前段規定,擇一求為命被上訴人應給付上訴人27人新臺幣(下同)各2萬元本息之判決(原審原告未聲明上訴者,及上訴人不再主張被上訴人未依法提供「汽車運輸業個人資料檔案安全維護計畫書」部分,本院卷第475頁,下均不贅述)。
二、被上訴人則以:上訴人應就其主張伊違反個資法第27條第1項、第2項規定,致系爭個資洩漏等節負
舉證責任。伊於112年1月28日晚間首次獲悉資料庫有資安風險,已隨即檢查確認資料庫未遭入侵且阻斷外部連線,外部人已無法進入資料庫進行存取,並無iRent APP用戶個資外洩情事。伊基於風險管控及維護消費者權益,先後於112年2月1日、4日發出聲明稿一、二,僅表明消費者個資可能有外洩風險,預先提醒消費者留意潛在詐騙風險,事實上並無具體外洩情事。交通部公路局112年2月4日稽核報告並未記載iRent APP用戶個資有何遭不法蒐集、處理、利用或其他侵害當事
人權利之情事,伊復委託訴外人果核數位股份有限公司及精誠資訊股份有限公司查驗合格,主機系統未發現弱點,
可證iRent APP用戶個資無洩漏情事。雖交通部112年2月8日交授公字第1120015562A號函裁罰伊罰鍰20萬元(下稱系爭行政處分),經伊提起訴願,交通部重新審查後,已於112年10月5日自行撤銷系爭行政處分。至伊於110年8月30日在iRent臉書粉絲專頁之貼文及臉友留言(下稱系爭貼文及留言),與上訴人主張系爭個資外洩情事無關,是上訴人主張伊未採取適當安全措施,致系爭個資洩漏,侵害其等隱私權,伊應負損害賠償任,為無理由等語,資為
抗辯。
三、原審為上訴人敗訴之判決,上訴人不服,提起上訴,
上訴聲明:㈠原判決駁回上訴人下開之訴部分廢棄。㈡
上開廢棄部分,被上訴人應各給付上訴人27人各2萬元及自
起訴狀繕本送達
翌日起至清償日止,
按年息5%計算之利息。被上訴人答辯聲明:上訴駁回。
四、上訴人主張被上訴人經營汽機車租賃業,提供iRent APP共享汽機車服務,其等於112年1月28日前已是iRent APP用戶,被上訴人因而獲取其等系爭個資;Tech Crunch於112年1月31日報導某安全研究員在和泰車雲端伺服器發現包含iRent APP用戶個資之資料庫等情,工商時報亦於112年2月1日報導此事,被上訴人先後於112年2月1日、4日發出聲明稿一、二;
惟被上訴人不服交通部於112年2月8日作成系爭行政處分,提起訴願,交通部重新審查後於112年10月5日撤銷系爭行政處分,行政院訴願審理委員會(下稱訴願委員會)於112年10月25日以院臺訴字第1125021559號訴願決定書決定被上訴人訴願不受理等情,有系爭Tech Crunch報導、工商時報報導、聲明稿一、二、系爭行政處分及訴願決定書在卷
可稽(原審卷二第187、188頁,原審卷一第161至162、177、181頁,本院卷第197至198、277至279頁),復為被上訴人所不爭執(本院卷第272至273、292至295頁),
堪以採信。
五、茲就
兩造協議簡化之爭點(本院卷第295、296頁)及本院之判斷分述如下:
㈠按主張
侵權行為損害賠償請求權之人,對於侵權行為之成立要件應負舉證責任。次按非公務機關保有個人資料檔案者,應採行適當之安全措施,防止個人資料被竊取、竄改、毀損、滅失或洩漏。中央目的事業
主管機關得指定非公務機關訂定個人資料檔案安全維護計畫或業務終止後個人資料處理方法,個資法第27條第1項、第2項分別定有明文;又非公務機關違反本法規定,致個人資料遭不法蒐集、處理、利用或其他侵害當事人權利者,負
損害賠償責任。但能證明其無故意或過失者,不在此限,同法第29條第1項亦有明定。個資法
乃侵權行為法之特別規定,
參酌個資法第29條第1項之立法理由係謂非公務機關違反本法規定致當事人權益受損害時,在立法上宜採較輕責任之政策,爰於第1項規定過失賠償責任及舉證責任倒置,係規定非公務機關違反個資法規定,致個人資料遭不法蒐集、處理、利用或其他侵害權利情事發生時,即
推定非公務機關有過失,並依舉證責任倒置,由非公務機關就其無故意或過失負舉證責任,亦即被害人仍應就非公務機關保有個人資料有遭不法蒐集、處理、利用或洩漏等侵害權利情事,先負舉證責任,倘有此情事,依上開規定推定非公務機關有過失,並依舉證責任倒置方式,由其舉證證明無故意或過失。準此,上訴人主張被上訴人未採取適當安全措施之
不作為,導致110年8月30日起至112年2月1日止,iRent APP暫存資料庫發生防護性缺口,致系爭個資洩漏,侵害其等隱私權之事實,既為被上訴人否認,依上開說明,應由上訴人就系爭個資洩漏乙情,先負舉證責任。
㈡查,
上訴人李立聖向臺北市監理所反應有關iRent APP行動服務個資資料庫外洩乙事,該所於112年3月9日回覆意見雖記載:「三、本案iRent APP用戶個資外洩,該公司未依『個人資料保護法』與『汽車運輸業個人資料檔案安全維護計畫及處理辦法(下稱修正前運輸業個資檔案安全維護處理辦法)』採行適當之安全措施致個人資料洩漏,又未訂定完整個人資料檔案安全維護計畫,已明確違反個人資料保護法第27條第1項、第2項規定,爰依個人資料保護法第48條第4款規定處最高罰鍰新臺幣20萬元…」等語(原審卷一第183、185頁)。惟經臺北市監理所函覆上開內文係依交通部112年2月8日作成之系爭行政處分等情,有該所函覆在卷可稽(本院卷第155、161、162頁),而修正前運輸業個資檔案安全維護處理辦法係111年4月1日制訂,臺北市監理所於112年2月1日始通知被上訴人於同年月2日前提供消費者個人資料檔案安全維護計畫,該公司已於同年月2日提送相關資料,並於2月6日提送補正資料,有臺北市監理所113年8月12日函文可稽(本院卷第285、307頁),且上訴人於本院已表明不再主張被上訴人未提供個人資料檔案安全維護計畫(本院卷第475頁)。又依交通部公路局於112年2月4日、3月1日對被上訴人進行資訊安全及個資保護業務委外稽核結果,並未記載有發現iRent APP用戶個資外洩情事,有稽核報告可稽(本院卷第157至159頁),可徵被上訴人並無違反個資法第27條第1項、第2項規定,未採行適當安全措施,防止個資洩漏之情事。況被上訴人對系爭行政處分提起訴願後,交通部重新審查已撤銷系爭行政處分,並經訴願委員會決定不受理,已見前述。是上訴人執上開臺北市監理所112年3月9日回覆意見,主張被上訴人未採取適當安全措施之不作為,致系爭個資洩漏
云云,並非可採。
㈢又依系爭Tech Crunch報導及工商時報報導固提及:「…一名安全
研究員Anurag Sen在和泰雲端伺服器上發現一個資料庫,其中包含iRent客戶個資,該資料庫可無意中透過網際網路存取,任何人只要知道其IP位址就可以存取iRent客戶資料。Tech Crunch證實了研究員訊息後,寄出多封信件給和泰車,隨後聯繫臺灣數位發展部,唐鳳部長以電子郵件回覆Tech Crunch,暴露資料庫已經臺灣電腦網路危機處理暨協調中心(TWCERT/CC)標記。在1個小時內,該暴露的iRent資料庫已無法存取。…目前尚不清楚,除了Sen之外,是否還有其他人在該資料庫暴露資料的九個月內發現了該資料庫…」等情(原審卷一第161、162頁,原審卷二第187、188頁),雖報導知悉IP位置可存取iRent APP用戶個資之資料庫,惟依上開報導,Tech Crunch於112年1月28日轉知上情,被上訴人於同日晚間獲悉後,隨即阻斷iRent APP資料庫之外部連線,外部第三人已無法再對資料庫進行存取乙節,亦有被上訴人電子郵件可稽(本院卷第281頁)。是依上開報導尚難逕認被上訴人iRent APP內系爭個資有洩漏情事。 ㈣被上訴人於112年2月1日聲明稿一雖記載:「近日新聞媒體提及本公司iRent資料庫部分資料存在外洩風險,經内部調查後,為紀錄應用程式Log檔之『暫存資料庫』發生防護性缺口,倘外部專業資訊人員使用特定工具及技巧,可能得以進入該資料庫内查詢近三個月的會員異動資料…經過本公司初步評估,可能受影響會員資料約有14萬筆…本公司將儘速針對可能受影響之用戶寄發通知與補償,提醒用戶留意潛在詐騙風險…」等語(原審卷一第177頁);112年2月4日聲明稿二記載:「iRent針對日前發生會員個資外流疑慮,引起廣大消費者不安與社會關注,向大眾致上萬分歉意…經連日盤查,iRent原初步發現並通報近三個月內可能受影響用戶為14萬名,但基於珍視會員權益、積極防堵詐騙之態度,決定拉高資訊安全防護原則,主動擴大將個資風險對象之定義調整為該暫存資料庫自啟用以來,所有曾涉潛在風險之40.01萬用戶,全數納入本次對應範圍…提醒全體會員留心潛在詐騙風險,同時指派專人持續監測會員個資是否遭受侵害…」等語(原審卷一第181頁),僅係說明被上訴人內部調查媒體報導iRent資料庫存在外洩風險之原因、處理方式、可能受影響會員人數及對可能受影響會員後續補償通知等情,並非謂系爭個資業已洩漏。是上訴人以上開聲明稿主張系爭個資有洩漏云云,尚非可取。 ㈤上訴人再提出原審原告施元凱於112年2月1日以後有未接不明來電紀錄、原審原告陳昆甫信用卡發生網路盜刷紀錄、上訴人劉宜其攔截不明來電紀錄、上訴人蕭祐德有未接不明來電紀錄(見原審卷二第287至337頁),惟依上開紀錄並無法證明來電者或盜刷者,獲悉上開4人聯絡電話或信用卡資料係源自於iRent APP用戶個資之資料庫,則上訴人據此主張系爭個資有洩漏云云,即非可採。
㈥上訴人另主張臉友劉羿緯於110年8月30日在iRent臉書粉絲專頁,留言接獲詐騙電話,顯見被上訴人自110年8月30日起至112年2月1日止,違反個資法第27條第1項、第2項規定,致系爭個資洩漏,侵害其等隱私權云云,並提出系爭貼文及留言為佐(原審卷二第207、227、229頁)。惟觀諸被上訴人110年8月30日系爭貼文係記載:「【反詐騙公告】親愛的iRent會員您好。非常感謝您對iRent的支持,近來有不法份子假冒和雲/和運或iRent名義進行詐騙行為…」等語,僅係提醒會員留意冒用和雲/和運或iRent名義之詐騙行為,並非被上訴人iRent APP用戶個資有洩漏情事。雖臉友劉羿緯在系爭貼文下方留言:「個資外漏。貴公司是否該補償用戶損失。剛剛我也接到詐騙電話…」、「太誇張了,剛剛打來,還說要寄補償卷500元。我問對方是寄到簡訊嗎?對方直接說寄到我家地址。把地址直接全部念出來」等語,劉羿緯則在本院證述:伊於110年8月30日有接獲兩通電話,第1通自稱是iRent客服,告知伊購買方案是選擇一次性付款,後續如未續訂,可自行取消,卻遭系統誤訂為自動續訂20期,且無法自行取消等語,後來接到第2通電話,自稱是和雲客服,說確實有被駭,要寄補償卷500元給伊,伊未提供個人資料,對方確能明確與伊核對個資,伊知道是詐騙電話,所以未依指示操作,就掛斷電話,當下伊有另行撥打電話給真正的和雲客服,告知會查明狀況,過一陣子,客服有回應會補償180分鐘汽車時數,伊可確定詐騙電話所提及個資來源是iRent APP,因為對方都是針對伊與和雲訂單內容細項與伊核對,事後,伊有繼續使用iRent APP,但112年1月28日前後,伊沒有在接到自稱和雲客服的詐騙電話等語(本院卷第356至358頁),顯見劉羿緯於110年8月30日接獲詐騙電話之時點,距上訴人主張系爭Tech Crunch報導安全研究員於112年1月28日發現iRent APP用戶資料庫之時間點已有1年4個月之遙,縱劉羿緯個資有洩漏,並無法據此推論系爭個資亦有洩漏情事。上訴人援引劉羿緯證述欲證明系爭個資有洩漏云云,尚無可取。 ㈦承上,上訴人不能舉證證明系爭個資業已洩漏,則其主張被上訴人違反個資法第27條第1項、第2項規定,未採取適當安全措施,防止個資洩漏,致系爭個資洩漏,侵害其等隱私權,依個資法第29條第1項、民法第184條第1項前段或第184條第2項規定,請求被上訴人負損害賠償責任,均無理由。
㈧末查,上訴人主張被上訴人未採取適當安全措施之不作為,未盡契約附隨義務,保護系爭個資,遲至112年1月28日接獲通報方察覺系爭個資洩漏情事,係可歸責於被上訴人之不完全給付,侵害其等隱私權云云,為被上訴人否認,然上訴人並未能舉證系爭個資有洩漏情事,已見前述,則上訴人依民法第227條、第227條之1準用民法第195條第1項前段規定,請求被上訴人負損害賠償責任,並非可採。
六、
綜上所述,上訴人既未能證明被上訴人iRent APP內系爭個資有洩漏情事,則其等依個資法第29條第1項規定,或依民法第184條第1項前段、第184條第2項規定,或依民法第227條、第227條之1準用民法第195條第1項前段規定,請求被上訴人應各給付上訴人27人各2萬元本息,為無理由,不應准許。原審駁回上訴人之訴,
核無不合,
上訴意旨指摘原判決此部分不當,求予廢棄改判,為無理由,應予駁回。
七、
本件事證
已臻明確,上訴人
聲請命被上訴人說明110年8月30日起至112年1月28日止,有何具體加強資安漏洞或資安防護行為之證據調查(本院卷第321頁),即無必要。又兩造其餘攻擊或
防禦方法及所用證據,經本院斟酌後,認為均不足以影響本判決之結果,爰不逐一論列,併此敘明。
八、據上論結,本件上訴為無理由。依民事訴訟法第449條第1項、第78條、第85條第1項前段,判決如
主文。
中 華 民 國 113 年 10 月 22 日
民事第四庭
審判長法 官 傅中樂
法 官 廖慧如
法 官 黃欣怡
不得上訴。
中 華 民 國 113 年 10 月 22 日