#個資 #隱私權
#北投麗禧 #墨攻網路
看完了一審和二審判決,
覺得跟新聞媒體報導差很多耶!
本件的背景事實是:
消費者跟北投麗禧買了溫泉卷,
但是後來接到詐騙集團電話被騙了9萬多元。
消費者向數發部和交通局提出陳情,
但這二個單位認為北投麗禧以及其所委託的墨攻網路公司已經盡到防止個資外洩的責任。
於是消費者對北投麗禧及墨攻網路公司(被告)提起民事訴訟。
一審法院認為:被告不用負責。因為被告事發之前有檢測,事後有發警示警訊給消費者,有盡到避免個資外洩的責任,沒有「過失」。一審法院也引用數發部和交通部的意見。
但二審法院認為:被告要負責。因為依據事證,被告「沒有證明」自己事前和事後都有盡到避免個資外洩的責任。至於數發部和交通部的意見,二審法院則認為沒有拘束法院的效力。
因此,一二審判決結果南轅北轍,
關鍵在於:業者事前到底做了什麼?事後到底做了什麼?
一審法院說:
「被告早於偵測異常IP侵入之110年11月16日,曾於110年9月8日就系爭訂購系統於110年9月8日為Fortify全系統弱點掃描,掃描結果就Injection之插入漏洞、Broken Authentication and Session Management之授權與階段作業安排之帳戶保護措施、Cross-Site Scripting(XSS)跨址編寫之缺陷預防、Insecure Direct Object References之避免攻擊者操控檔案、目錄、資料庫等暴露過程產生之媒介遭攻擊者操控、Security Misconfiguration建構強大伺服器配置標準、Seneitive Date Exposure妥善保護諸如信用卡、稅務辨識碼及驗證碼之敏感資訊、Missing Function Level Access Control存取功能之控制檢查、Cross-Site Request Forgery(CSRF)之避免攻擊者執行未經驗證之動作、Using Components with Known Vulnerabilities之避免利用易攻擊之元件引發嚴重資料遺失或伺服器遭接管、Unvalidated Redirects and Forwards避免利用開放式重新導向將使用者誘騙導引入惡意網站達成取得使用者端資料之情形等各項檢驗結果均無相關問題等情,有Hewlett Packard Enterprise之掃弱報告存卷為憑,且亦已於110年11月5日取得系統敏感資料數位簽章認證,並由被告墨攻公司再於偵測異常IP侵入後,隨即於同月18日至同月19日委請訴外人精誠科技股份有限公司進行滲透測試服務,以國際標準之OWASP(Open web Application Security Project)、OSSTMM(Open Source Security Testing Methodology Manual)以檢測網際網路弱點,並僅於主機服務掃描時,查覺1項中風險弱點並警示注意,其於就網站服務滲透均無發現異常等情,有精誠科技整合股份有限公司提供予被告墨攻公司之滲透測試報告書存卷為憑,足見被告麗禧公司所使用由被告墨攻公司建置管理之系爭訂購系統,已於事情盡其可能防堵外部入侵,並於事後查覺異常IP侵入之數日內已再度為弱點檢測。」
「本件被告既如前開認定,並無因過失違反個資法之情節,自無庸負擔該通報義務;更遑論被告麗禧公司之官方網站首頁,實早於110年8月28日,即於原告最後一次使用系爭訂購系統訂購溫泉票之110年11月3日前,已有「貼心提醒 防範詐騙公告」之公告,且該公告已記載詐騙手法包括「謊稱為飯店系統遭駭客入侵,訂單被改為團體訂單會遭到扣款,並再次謊稱為銀行人員要求解除款項,以及操作銀行轉帳」之內容,自已透過上開合理方式警示用戶即原告。」
但二審法院就只有簡單地說被告所提上開事證「沒有辦法證明」其事前和事後都有盡到防止個資外洩的責任。
所以業者到底應該做到哪個程度,才算是盡到防止個資外洩的責任?
我覺得從目前一二審判決理由看來:不是很容易參透呢!
另外一個值得注意的點是:消費者被詐騙集團騙的9萬元,可否跟業者要呢?
二審法院認為「不行」。
理由是:
1.進行詐騙的行為人是詐騙集團,不是業者。
2.總共有5423筆資料外洩,但是只有1個人被詐騙損失財物,表示「個資外洩」不必然造成「財產損失」,所以本件消費者的損失與業者的行為沒有因果關係,業者無須賠償。
「查被上訴人不法侵害上訴人之隱私權、個資自主權固如前述,惟上訴人受有9萬9987元財產損害係因遭詐騙集團施以不爭執事項㈢所示之詐術,致其陷於錯誤,而依詐騙集團指示於110年12月21日以跨行轉出9萬9987元至指定之帳戶,上訴人之財產損失係因詐騙集團成員積極實施詐騙行為所致,即被上訴人上開不法侵害上訴人隱私權、個資自主權之行為,在一般情形下,並不必然會發生上訴人受詐騙且受有財物損失之侵害結果,此亦可由系爭陳情事件之監督通報紀錄表記載資料庫外洩約5423筆,然發生財損案件僅1筆足佐,即被上訴人之過失行為與上訴人之財物損失結果間,難謂有相當因果關係。依上說明,上訴人依個資法第29條、民法第184條第1項前段、第2項、民法第185條規定,請求被上訴人應就其遭詐騙所受損失9萬9987元負連帶賠償之責,洵非可採。」
【北投麗禧】
臺灣臺北地方法院111年度訴字第5578號民事判決(2023.3.20)
臺灣高等法院112年度上字第656號民事判決(2024.01.30)
https://ipcase.blogspot.com/2024/02/v-2.html
__________________________
上 訴 人 趙O卿
被 上訴人 北投麗禧溫泉酒店股份有限公司
被 上訴人 墨攻網路科技股份有限公司
上列當事人間請求損害賠償等事件,上訴人對於中華民國112年3月20日臺灣臺北地方法院111年度訴字第5578號第一審判決提起上訴,本院於113年1月16日言詞辯論終結,判決如下:
被 上訴人 北投麗禧溫泉酒店股份有限公司
被 上訴人 墨攻網路科技股份有限公司
上列當事人間請求損害賠償等事件,上訴人對於中華民國112年3月20日臺灣臺北地方法院111年度訴字第5578號第一審判決提起上訴,本院於113年1月16日言詞辯論終結,判決如下:
主 文
原判決關於駁回上訴人後開第二項之訴部分,及除確定部分外訴訟費用之裁判均廢棄。
被上訴人北投麗禧溫泉酒店股份有限公司、墨攻網路科技股份有限公司應分別給付上訴人新臺幣2萬元。...
事實及理由
...
三、兩造不爭執事項:
原判決關於駁回上訴人後開第二項之訴部分,及除確定部分外訴訟費用之裁判均廢棄。
被上訴人北投麗禧溫泉酒店股份有限公司、墨攻網路科技股份有限公司應分別給付上訴人新臺幣2萬元。...
事實及理由
...
三、兩造不爭執事項:
㈠麗禧公司之官方網站有提供消費者線上訂購溫泉券之系爭訂購系統,該系統由墨攻公司進行建置、維護與管理。
㈡上訴人曾於109年10月5日、109年10月18日委由同事、於110年11月3日委由家人使用系爭訂購系統,依序購買溫泉券22張共2萬0400元、10張共1萬0400元、5張共6500元,並於訂購時填載上訴人之姓名、電話、電子郵件、中信銀行帳號等個資。
㈢上訴人於000年00月00日下午5時50分起接獲詐騙電話,上訴人信以為真乃配合操作解除分期付款設定,並因而損失受詐騙金額9萬9987元,隨即報警處理並聯繫中信銀行等情,有上訴人提出中華電信股份有限公司用戶授信通信紀錄報表、上訴人於110年12月21日以跨行轉出9萬9987元之存摺交易明細內頁、臺北市政府警察局松山分局三民派出所(下稱三民派出所)受理案件證明單、上訴人於110年12月21日查悉遭詐騙後至中信銀行處理聯繫之通訊對話紀錄與譯文存卷為憑。
㈣上訴人曾於111年1月4日以存證信函要求麗禧公司刪除並不得再使用上訴人個資,該信函經麗禧公司於111年1月4日收受,其後曾於111年1月5日、111年1月8日、111年1月12日、111年1月19日、111年2月21日持續接獲麗禧公司之防詐騙簡訊等情,有該存證信函、上述訊息翻拍畫面在卷可稽。
四、得心證之理由:
上訴人主張被上訴人透過系爭訂購系統取得上訴人之個資,卻未為適當之保護措施,且於被上訴人查悉系爭訂購系統有個資外洩之情形後,竟未依個資法第12條、個資法施行細則第22條之規定通知上訴人,使上訴人個資遭他人竊取,並進而為詐騙集團使用,致上訴人受有遭詐騙金額9萬9987元之財產上損害,並因該隱私權、個資自主權遭侵害受有精神上痛苦,應賠償其非財產上損害2萬元,爰依個資法第29條第1項、第2項、民法第184條第1項前段、第2項、民法第185條規定,請求被上訴人連帶賠償共計11萬9987元本息;另依個資法第3條、第11條第3項、第11條第4項、第20條第2項規定,請求被上訴人應刪除並停止利用所有上訴人留存於被上訴人系統中之所有如上訴聲明㈡⒉⒊所示之個資等情,為被上訴人所否認,並以前詞置辯。茲就兩造爭執事項,析述如下:
㈠上訴人遭詐騙集團詐騙所用之個資是否來自系爭訂購系統?
⒈按非公務機關保有個人資料檔案者,應採行適當之安全措施,防止個人資料被竊取、竄改、毀損、滅失或洩漏。非公務機關違反本法規定,致個人資料遭不法蒐集、處理、利用或其他侵害當事人權利者,負損害賠償責任。但能證明其無故意或過失者,不在此限。個資法第27條第1項、第29條第1 項分別定有明文。依上開規定,就被上訴人保有個資而發生個資遭不法蒐集、處理、利用或其他侵害當事人權利者,採過失推定原則,即由被上訴人舉證證明其無故意或過失,始能免責。又當事人主張有利於己之事實者,就其事實有舉證之責任。但法律別有規定,或依其情形顯失公平者,不在此限,民事訴訟法第277條亦有規定。
是上訴人就其遭詐騙集團詐騙所用之個資,係來自被上訴人經營管理之系爭訂購系統乙節,固應先負舉證責任,惟系爭訂購系統為被上訴人所保有、建置及管理,上訴人所輸入之個資亦存放於該系統中,上訴人無從自行使用、管理,此等證據偏在被上訴人方面之情形對上訴人顯失公平,自有民事訴訟法第277條但書規定之適用,應輕減上訴人之舉證責任。
⒉查麗禧公司之官方網站有提供消費者系爭訂購系統,該系統由墨攻公司進行建置、維護與管理;上訴人曾於109年10月5日、109年10月18日委由同事、於110年11月3日委由家人使用系爭訂購系統購買溫泉券,並於訂購時填載上訴人之姓名、電話、電子郵件、中信銀行帳號等個資(下稱系爭個資),業如不爭執事項㈠、㈡所示,並有系爭訂購系統購票頁面在卷可稽;又被上訴人自認系爭訂購系統之消費者個資係存放於麗禧公司,足見上訴人之系爭個資確曾輸入系爭訂購系統使用,且會保留於該系統中。
佐以上訴人於000年00月00日下午5時50分起,陸續接獲詐騙電話,亦如不爭執事項㈢所示,且依證人即上訴人之子王O杰證稱:當時我是拿我媽媽的手機,當時她也在場,我直接和對方通話;我媽拿著手機按擴音跑到我旁邊找我,對我說你知不知道如何解除分期付款設定,我就問對方是誰、為何要突然解除分期付款設定,對方就說是麗禧公司員工,他就跟我解釋說我媽有去購買他們家的溫泉票券,他們系統有出問題,需要我們去協助解除分期付款設定,因為我還是不會解除分期付款定,對方就說他會請中國信託客服跟我們聯絡;對方除了表示是麗禧公司員工,也有提到我媽是他們的會員等語,可知該詐騙集團係於上訴人110年11月3日最末一次使用系爭訂購系統訂購溫泉券後,始撥打上訴人之電話聯繫上訴人,且其對話內容已清楚掌握上訴人為麗禧公司會員、上訴人曾購買溫泉券、上訴人係使用中信銀行帳戶等細節,並自述為麗禧公司員工等節,均與上訴人透過系爭訂購系統訂購商品所需輸入之系爭個資相符。
⒊而上訴人於遭詐騙後,曾於111年1月4日寄發存證信函給麗禧公司,麗禧公司遂於111年1月24日函覆上訴人,並於該函文中提及「…本公司線上訂票系統向來皆是委託…墨攻網路科技股份有限公司(下稱墨攻公司)建置與維護,客戶如欲線上訂購本公司票券皆需至墨攻平台進行操作…本公司110年11月底接獲墨攻公司通報後台偵測到異常IP…」;
再徵之上訴人因其利用系爭訂購系統遭個資外洩之情形向交通部觀光局陳情(下稱系爭陳情事件),經該局111年12月9日函覆其處理之相關卷證資料,其中監督通報紀錄表記載:「事件發生種類:竊取、個資侵害之總筆數(大約)資料庫外洩約5,423筆…」、「發生原因及事實摘要:…2.該飯店(即麗禧公司)於110/11/16日接獲墨攻公司通知票券系統資料被駭客入侵,相關購買紀錄恐遭竊取…」、「個資外洩可能結果:…另票券系統經由墨攻公司提出電磁資料洩漏紀錄預估5,423筆,恐為不法利用之風險。」,足徵墨攻公司所建置管理之系爭訂購系統,確有於110年11月16日偵測到異常IP,其資料庫遭駭客侵入竊取而洩漏個資約為5423筆。
又上訴人係於上開個資外洩事件發生後之110年12月21日接獲上開詐騙電話,詐騙集團於電話中之對話內容已清楚掌握上訴人透過系爭訂購系統所輸入之系爭個資,亦如前述,堪認上訴人就其主張遭詐騙集團詐騙所用之個資,為系爭訂購系統所外洩乙節,已盡舉證之責,洵屬可採。
⒋被上訴人抗辯由數發部數位產業署(下逕稱數發部)112年1月13日函內容,可知自始至終僅發生「網站攻擊事件」,並非「個資外洩事件」,且該函所提Log紀錄雖顯示墨攻公司有受到SQL injection之攻擊,但無法排除另有其他非法攻擊行為取得客戶個資之可能,而上訴人之個資亦非被上訴人獨有,故墨攻公司系統遭到攻擊與上訴人之個資外洩並無相當因果關係云云。
惟如前述,上訴人已證明其遭詐騙集團詐騙所用之個資,為系爭訂購系統所外洩,而被上訴人所舉上開函文僅係表示「無法排除另有其他非法攻擊行為取得客戶個資之可能」,並非確認上訴人之個資外洩係由其他非法攻擊行為所致,而非墨攻公司之前述網站攻擊事件所致,不足據為反證證明上訴人遭詐騙集團詐騙所用之個資,非系爭訂購系統所外洩。被上訴人上開抗辯,洵屬無稽。
㈡被上訴人就上訴人個資外洩而遭詐騙集團不法利用,是否具有故意、過失?
⒈上訴人主張麗禧公司未於個資外洩前就消費者個資親自採取適當安全措施、未於個資外洩前監督墨攻公司平時採取相關資安措施;墨攻公司未盡個資安全維護措施、未依照其制定之資安文件執行個資安全防護措施、未於事前採取適當之安全措施或防護作為,違反個資法第27條規定、觀光旅館業個人資料檔案安全維護計畫辦法(於111年4月1日廢止)、製造業及技術服務業個人資料檔案安全維護管理辦法第8條及墨攻公司自行訂定之資安文件等情,為被上訴人否認,惟上訴人遭詐騙集團詐騙所用之個資,為系爭訂購系統所外洩,已如前述,依上說明,自應由被上訴人舉證證明其就上訴人個資外洩乙事,並無違反個資法之故意或過失。
⒉被上訴人抗辯墨攻公司平時(包括000年0月間及11月間受到SQL injection之攻擊前及攻擊後)已有相關資料維護措施,且亦符合製造業及技術服務業個人資料檔案安全維護管理辦法第8條、觀光旅館業個人資料檔案安全維護計畫辦法(已於111年4月1日廢止)第15條等規定,即墨攻公司已強制廠商IP登入位置綁定、AES256加密機制針對廠商帳號密碼及個人資料、多重伺服器分散資料管理、資料庫與程式分開存放、主機帳密權限控管與RSA私鑰管理、限定防火牆規則僅特定IP及帳號密碼始得進入、Linux主機使用防毒軟體ClamAV、辦公室環境以ESET防毒軟體監控,以及伺服器安裝關貿網路EDR端點防護、訂定個資及資訊安全政策文件等。惟查:
⑴觀諸被上訴人所提被上證7:墨攻公司透過測試帳號模擬登入,系統將針對IP來源進行白名單限制,並對非允許IP進行阻擋之截圖、被上證10:AES256加密機制針對廠商帳號密碼及個人資料截圖、被上證11:多重伺服器分散資料、被上證12:主機帳密權限控管與RSA私鑰管理、被上證13:限定防火牆規則僅特定IP及帳號密碼始得進入截圖,均僅有片段截圖,且有資料遭遮隱,無從辨識為系爭訂購系統及被上訴人上開抗辯之資料維護措施;被上證14:ClamAV維基百科介紹,僅為網頁就ClamAV應用程式之介紹;被上證15:墨攻公司資訊安全管理政策、被上證16:墨攻公司個人資料保護管理政策,均屬抽象之管理規範,非就系爭訂購系統所為之具體維護措施;被證8:關貿EDR雲服務交貨確認表、被證9:關貿網路EDR端點防護說明、被證10:「精誠全盤滲透報告」、「墨攻滲透報告書 210.241.131.226Nessus」、「墨攻滲透測試報告書」、被上證19:墨攻公司就XSS攻擊提出之改善方式,均屬110年11月16日系爭訂購系統資料庫遭駭客侵入竊取個資後所為,亦未見與墨攻公司就個資外洩前之管理維護系爭訂購系統行為,有何關聯性。是以被上訴人所提上開資料,均無法證明墨攻公司就其管理維護之系爭訂購系統所保有之上訴人個資,已盡採取適當安全措施之責,被上訴人上開抗辯,即無足取。上訴人主張墨攻公司就其系爭個資外洩而遭詐騙集團不法利用,有違反個資法第27條第1項規定之疏失,洵屬可採。
⑵至數發部112年1月13日函固認:「本署檢視前揭所復內容暨佐證資料,認為墨攻公司之平時維護措施尚稱妥適,亦於110年8月及11月事件發生時之應變措施尚屬合宜,並持續精進其個資安全管理措施,且已依照本署要求補充相關佐證資料,該公司之改善措施亦尚稱合理。」,惟數發部之調查程序與訴訟事件程序不同,且其認定並無拘束本院之效力,被上訴人抗辯應援引數發部上開函文及112年7月28日函檢送之相關資料為有利被上訴人之認定云云,亦非可取。
⒊被上訴人抗辯麗禧公司委由墨攻公司開發電子票證業務並管理客戶資料,已盡其選任及監督義務云云。
惟查,系爭訂購系統之消費者個資係存放於麗禧公司,上訴人之系爭個資確曾輸入系爭訂購系統使用,且會保留於該系統中,麗禧公司就其所保有之上訴人系爭個資,即應採行適當之安全措施,防止其個資被竊取或洩漏,則麗禧公司委由墨攻公司管理維護系爭訂購系統,亦應對墨攻公司為適當監督,而被上訴人所提被上證17:墨攻公司官方網站首頁、被上證18:墨攻公司擁有多項專利,均為墨攻公司之單方資料,無法據以證明麗禧公司於上訴人系爭個資遭竊外洩前,已就墨攻公司管理維護系爭訂購系統,為適當監督之行為,被上訴人上開抗辯,不足採信。是上訴人主張麗禧公司就其系爭個資外洩而遭詐騙集團不法利用,有違反個資法第27條第1項規定之疏失,亦屬可採。
至交通部觀光局111年12月9日回函固認:「…麗禧公司於個資外洩前後皆採行相關因應措施及處置,除於事前曾要求墨攻公司加強個資防護措施…加強飯店本身各項個資安全防護機制且持續進行改善,尚符個人資料保護法相關規定…」,並於「主管機關就個資外洩事件判斷是否違反個資法」部分,調查結果表示「否」,惟交通部觀光局之調查程序與訴訟事件程序不同,且其認定並無拘束本院之效力,無從據為有利被上訴人之認定。
⒋綜前,被上訴人對於系爭訂購系統保存上訴人之系爭個資未盡適當安全維護措施,致系爭個資外洩而遭詐騙集團不法利用,違反個資法第27條第1項規定,係有過失;又系爭個資為上訴人個人基本資料與消費資料,均屬上訴人之隱私及個資自主範疇,故上訴人主張被上訴人不法侵害其隱私權、個資自主權,應為可採。
㈢上訴人請求被上訴人賠償受詐騙集團詐騙之財產損失,有無理由﹖
⒈按損害賠償之債,以有損害之發生及有責任原因之事實,並二者之間,有相當因果關係為成立要件。故原告所主張損害賠償之債,如不合於此項成立要件者,即難謂有損害賠償請求權存在。且所謂相當因果關係,係指依經驗法則,綜合行為當時所存在之一切事實,為客觀之事後審查,認為在一般情形下,有此環境、有此行為之同一條件,均可發生同一之結果者,則該條件即為發生結果之相當條件,行為與結果即有相當之困果關係。反之,若在一般情形上,有此同一條件存在,而依客觀之審查,認為不必皆發生此結果者,則該條件與結果並不相當,不過為偶然之事實而已,其行為與結果間即無相當因果關係,不能僅以行為人就其行為有故意過失,即認該行為與損害間有相當因果關係(最高法院98年度台上字第673號判決意旨參照)。
⒉查被上訴人不法侵害上訴人之隱私權、個資自主權固如前述,惟上訴人受有9萬9987元財產損害係因遭詐騙集團施以不爭執事項㈢所示之詐術,致其陷於錯誤,而依詐騙集團指示於110年12月21日以跨行轉出9萬9987元至指定之帳戶,上訴人之財產損失係因詐騙集團成員積極實施詐騙行為所致,即被上訴人上開不法侵害上訴人隱私權、個資自主權之行為,在一般情形下,並不必然會發生上訴人受詐騙且受有財物損失之侵害結果,此亦可由系爭陳情事件之監督通報紀錄表記載資料庫外洩約5423筆,然發生財損案件僅1筆足佐,即被上訴人之過失行為與上訴人之財物損失結果間,難謂有相當因果關係。依上說明,上訴人依個資法第29條、民法第184條第1項前段、第2項、民法第185條規定,請求被上訴人應就其遭詐騙所受損失9萬9987元負連帶賠償之責,洵非可採。
㈣上訴人請求被上訴人賠償非財產上損害,有無理由﹖
⒈按非公務機關違反本法規定,致個人資料遭不法蒐集、處理、利用或其他侵害當事人權利者,負損害賠償責任。依前項規定請求賠償者,適用前條第二項至第六項規定;又被害人雖非財產上之損害,亦得請求賠償相當之金額。依前二項情形,如被害人不易或不能證明其實際損害額時,得請求法院依侵害情節,以每人每一事件新臺幣五百元以上二萬元以下計算。為個資法第29條、第28條第2、3項所規定。
準此,被上訴人不法侵害上訴人隱私權、個資自主權,致上訴人系爭個資為詐騙集團不法利用,已如前述,則上訴人主張其因此而耗費時間心力為申訴,過程飽受煎熬,並需持續擔心個資遭他人不當使用,受有精神上之痛苦,自堪採信。是上訴人依前揭規定請求被上訴人賠償非財產上損害,即屬有據。
⒉按慰撫金之賠償,其核給之標準固與財產上損害之計算不同,然非不可斟酌雙方身分、資力與加害程度,及其他各種情形核定相當之數額(最高法院51年台上字第223號判例意旨參照),是慰撫金之多寡,應斟酌雙方之身分、地位、資力、加害之程度、被害人所受之痛苦及其他各種情形,加以核定。
查上訴人現年滿63歲、專科學校畢業,111年度無薪資所得,110、111年度報稅所得分別為32萬6719元、157萬9003元,110、111年度財產資料均為11筆,財產總額均為1456萬1598元;麗禧公司、墨攻公司之資本總額分別為4億2100萬元、1000萬元,有三民派出所報案證明、經濟部商工登記公示資料查詢、111年度綜合所得稅電子結算申報繳稅系統、稅務電子閘門財產所得調件明細表、全國財產稅總歸戶財產查詢清單、系爭刑案之上訴人110年12月21日調查筆錄在卷可稽。
爰審酌上訴人教育程度、年齡、身分、地位及兩造經濟狀況,被上訴人加害之態樣為過失侵害上訴人隱私權、個資自主權、上訴人所受精神上痛苦之程度等,認上訴人請求被上訴人賠償非財產上損害即慰撫金2萬元,核屬適當。至上訴人依民法第184條第1項前段、第2項規定為同此請求部分,即無庸再論。...
㈤上訴人請求被上訴人應刪除並停止利用上訴人之個資,是否可採?
㈤上訴人請求被上訴人應刪除並停止利用上訴人之個資,是否可採?
上訴人主張被上訴人應刪除並停止利用所有上訴人留存於被上訴人公司系統中之所有LineID、UUID、姓名、電話、地址、電子信箱,為被上訴人所否認。
上訴人就其上開主張固提出「北投麗禧溫泉酒店」之Line廣告訊息截圖、112年10月25日電子折讓單通知信等件。
惟查,被上訴人抗辯其已刪除上訴人「姓名」、「購買紀錄」等個資,業據提出電腦系統截圖為證;
而上訴人所提上開Line訊息截圖,依Line公司112年10月26日、同年11月15日回覆麗禧公司之電子郵件內容可知,如上訴人不願再持續收到「北投麗禧LINE官方」訊息,須由上訴人自行操作封鎖或者解除與「北投麗禧LINE官方」好友關係、Line官方帳戶服務內並未提供管理「好友」的相關功能,因此無法刪除或封鎖追蹤官方帳號的Line用戶,則上訴人如不欲再收到「北投麗禧LINE官方」之訊息,僅需自行解除與「北投麗禧LINE官方」好友關係即可,是被上訴人抗辯上開官方帳號資料庫並非其等所擁有,其等無法刪除「北投麗禧LINE@官方帳號」、「我的票夾」中之購票訊息等情,即屬可採。
至112年10月25日電子折讓單通知信,為電子發票加值中心認證業者即鯨躍公司所寄送,僅係署名為麗禧公司,亦有該公司112年12月1日回覆麗禧公司之電子郵件可稽,是上訴人所提上開資料均無從證明被上訴人公司系統中,現仍留存上訴人所有LineID、UUID、姓名、電話、地址、電子信箱,且為被上訴人所利用,上訴人亦未再提出其他證據以實其說,其依個資法第3條、第11條第3項、第11條第4項、第20條第2項規定,請求被上訴人應刪除並停止利用所有上訴人留存於被上訴人公司系統中之所有上開個資,即非可採。
㈥至上訴人主張被上訴人亦有均未依個資法規定,就個資外洩查明後以適當方式通知伊、未盡事後通報之責等疏失部分,縱認為真,亦與上訴人請求受詐騙之金錢損失結果間無相當因果關係;且被上訴人隱私權、個資自主權受侵害乃因墨攻公司就其管理維護之系爭訂購系統所保有之上訴人系爭個資,未盡採取適當安全措施之責;麗禧公司於上訴人系爭個資遭竊外洩前,未就墨攻公司管理維護系爭訂購系統,為適當監督之行為所致,均如前述,與被上訴人是否未以適當方式通知上訴人、未盡事後通報之責無涉。是上訴人此部分主張,自無再審究之必要。...
______________________________
原 告 趙O卿
被 告 北投麗禧溫泉酒店股份有限公司
被 告 墨攻網路科技股份有限公司
上列當事人間請求損害賠償等事件,本院於民國112年3月9日言詞辯論終結,判決如下:
被 告 北投麗禧溫泉酒店股份有限公司
被 告 墨攻網路科技股份有限公司
上列當事人間請求損害賠償等事件,本院於民國112年3月9日言詞辯論終結,判決如下:
主 文
被告北投麗禧溫泉酒店股份有限公司應刪除並停止利用所有原告留存於被告北投麗禧溫泉酒店股份有限公司系統中之聯絡方式。...
事實及理由
...
三、查下列事項經兩造所不爭執,自堪信為真實:
事實及理由
...
三、查下列事項經兩造所不爭執,自堪信為真實:
㈠被告麗禧公司之官方網站有提供消費者線上訂購溫泉券之系爭訂購系統,該系統由被告墨攻公司進行建置、維護與管理。
㈡原告曾於109年10月5日、109年10月18日委由同事、於110年11月3日委由家人使用系爭訂購系統,依序購買溫泉券22張共2萬0,400元、10張共1萬0,400元、5張共6,500元,並於訂購時填載原告之姓名、電話、電子郵件、中信銀行帳號等個資。
㈡原告曾於109年10月5日、109年10月18日委由同事、於110年11月3日委由家人使用系爭訂購系統,依序購買溫泉券22張共2萬0,400元、10張共1萬0,400元、5張共6,500元,並於訂購時填載原告之姓名、電話、電子郵件、中信銀行帳號等個資。
㈢原告於110年12月21日下午5時50分起接獲詐騙電話,原告信以為真乃配合操作解除分期付款設定,並因而損失受詐騙金額9萬9,987元,隨即報警處理並聯繫中信銀行等情,亦有原告提出中華電信股份有限公司用戶授信通信紀錄報表、原告於110年12月21日以跨行轉出9萬9,987元之存摺交易明細內頁、臺北市政府警察局松山分局三民派出所受理案件證明單、原告於110年12月21日查悉遭詐騙後至中信銀行處理聯繫之通訊對話紀錄與譯文存卷為憑。
㈣原告曾於111年1月4日以存證信函要求被告麗禧公司刪除並不得再使用原告個人資料,該信函經被告麗禧公司於111年1月4日收受,其後曾於111年1月5日、111年1月8日、111年1月12日、111年1月19日、111年2月21日持續接獲被告麗禧公司之防詐騙簡訊等情,亦有該存證信函、上述訊息翻拍畫面在卷可稽。
㈣原告曾於111年1月4日以存證信函要求被告麗禧公司刪除並不得再使用原告個人資料,該信函經被告麗禧公司於111年1月4日收受,其後曾於111年1月5日、111年1月8日、111年1月12日、111年1月19日、111年2月21日持續接獲被告麗禧公司之防詐騙簡訊等情,亦有該存證信函、上述訊息翻拍畫面在卷可稽。
四、原告主張被告透過系爭訂購系統取得原告之個資,卻未為適當之保護措施,且於被告查悉系爭訂購系統有個資外洩之情形後,竟未依個資法第12條、個資法施行細則第22條之規定通知原告,使原告個資遭他人竊取,並進而為詐騙使用,致原告受有遭詐騙金額9萬9,987元之財產上損害,並因該隱私權、個人資訊自主權遭侵害受有精神上痛苦,應由被告連帶賠償上開財產上損害與非財產上損害賠償2萬元等情,為被告所否認,並以前詞置辯。
是本件之爭點為:
㈠原告主張其個資係因遭他人自系爭訂購系統所竊得一節,是否可採?
㈡就原告個資外洩之情形,是否係因被告之過失違反前開個資法之規定所致,並應負損害賠償責任?
㈢如被告應賠償原告之損害,其金額應為若干?被告所為與有過失之抗辯是否可採?
㈣原告主張被告應依個資法第11條第3、4項之規定刪除並停止利用原告之個資,是否可採?茲析述如下:
㈠原告主張其個資係因遭他人自系爭訂購系統所竊得一節,是否可採?
1.按法院於依民事訴訟法第277條有關舉證責任行為規範之規定,分配舉證責任時,應符合公平正義及訴訟上誠信原則。於分配舉證責任予原告而有顯失公平之情形,應依該條但書規定,降低原告之證明責任或命被告負舉證責任。又原告就其權利主張(訴訟標的法律關係)之構成要件事實,本應為具一貫性之主要事實或間接事實之主張,並就有利於己、被告有爭執之事實,依該條本文規定負證明之責任。惟如原告就其主張事實之發生過程未曾參與,欠缺認識,難以具體主張或證明;而被告自承曾參與該事實過程,且抗辯該事實為真實,即就該事實之發生具有認識並接近證據時,基於當事人所負促進訴訟義務及訴訟上誠信原則,法院非不得依同法第268條及第277條但書規定,命本不負主張及舉證責任之被告,就特定事項詳為表明(事案解明)並舉證(最高法院111年度台上字第194號判決意旨參照)。亦即,倘原告主張事實本非原告領域或可見聞經歷之情節,自應視各該訴訟事件類型之特性及待證事實之性質,審酌兩造舉證之難易、距離證據之遠近、經驗法則所具蓋然性之高低等因素,適當減輕原告之舉正責任。本件原告主張其個資係因系爭訂購系統遭他人以入侵系統等方式竊得一節,因系爭訂購系統本非由原告建置、管理與維護,其充其量僅為系統後端之使用者,亦無課予使用者具備系爭訂購系統管理維護之能力與義務,是就原告上開主張情節,自無庸由原告就其個資係遭他人於何時、以何入侵系統手法或方式取得其個資,並應就減輕其舉證強度。
2.經查:
⑴原告確實曾使用被告麗禧公司之系爭訂購系統訂購溫泉票等情,為兩造所不爭執,業如前述,並有被告麗禧公司之系爭訂購系統購票頁面在卷可稽(見本院卷第23至27頁),足見原告之個資確實曾輸入系爭訂購系統使用。又被告自認系爭訂購系統之個資係存放於被告麗禧公司等節(見本院卷第273頁),亦徵原告於輸入個資後,其個資確實會保留於系爭訂購系統中無誤。
⑵又原告於110年12月21日下午6時50分起,陸續於該時間、同日下午6時55分、下午6時56分、下午6時58分、下午6時59分(兩通)接獲詐騙電話等情,有原告提出之中華電信股份有限公司用戶授信通信紀錄報表在卷為據(見本院卷第29頁),且依證人即見聞原告接聽電話之其子王運杰於言詞辯論中證稱:當時我媽拿著手機按擴音跑到我旁邊找我,對我說你知不知道如何解除分期付款設定,我就問對方式誰、為何要突然解除分期付款設定,對方就說是被告麗禧公司員工,他就跟我解釋說我媽有去購買他們家的溫泉票券,也有提到我媽是他們的會員等語(見本院卷第424至425頁),是利用原告個資之他人,係於原告於110年11月3日最末一次使用系爭訂購系統訂購溫泉票後,始撥打上開電話聯繫原告,且其透過電話陳述內容,已清楚掌握原告為被告麗禧公司會員、原告曾購買溫泉票等細節,並自述為被告麗禧公司員工等,均與原告透過系爭訂購系統訂購商品所需輸入之訊息一致,自堪信他人取得原告個資之來源,確實與系爭訂購系統攸關。
⑶又因原告於遭詐騙後,曾111年1月4日寄發存證信函給被告麗禧公司,向被告麗禧公司陳明其接獲前揭電話並轉出款項,並以被告麗禧公司違反個資法要求損害賠償等內容,有該存證信函為據(見本院卷第45至51頁),被告麗禧公司遂於111年1月24日函覆原告,並於該函文中清楚提及「系爭訂購系統向來皆是委託被告墨攻公司建置與維護,客戶如欲線上訂購本公司票券皆需至墨攻平台進行操作,且本公司110年11月底接獲被告墨攻公司通報後台偵測到異常IP」等內容,有該函文附卷可查(見本院卷第55頁),可見系爭訂購系統確實有於110年11月底發現異常IP連結系統即他人以非法手段入侵平台取得系統資料手法情節一致。又因原告曾因主張其利用系爭訂購系統卻遭個資外洩之情形向交通部觀光局陳情,經該局處理陳情案並將相關資料於111年12月9日提供本院(見本院卷第141至142頁),其中該局監督通報紀錄表清楚記載「該飯店(即被告麗禧公司)於110年11月16日接獲被告墨攻公司通知系爭票券系統資料被駭客入侵,相關訂購紀錄恐遭竊取」、「系爭訂購系統經由被告墨攻公司提出電腦資料洩漏紀錄預估5,423筆」等情,有該紀錄表可查(見本院卷第149頁),益證被告墨攻公司所建置管理之系爭訂購系統,確實有於110年11月16日偵測到異常IP並因該入侵行為洩漏紀錄約為5,423筆,又觀諸該洩漏紀錄之對象為使用系爭訂購系統會員,筆數亦預估高達5,423筆,洩漏之內容為購票紀錄,偵測洩漏之時間為110年11月16日,確實早於原告接獲前開指示轉帳電話之110年12月21日,且彼此時間相近等情節,是原告雖不能證明該預估外洩之5,423筆個資中確實包括其自身之個資,然揆諸前開說明意旨,系爭訂購系統既非原告可本其自身能力或使用範疇為建置管理,自應減輕原告之舉證責任,則原告既已證明其確實有將個資輸入系爭訂購系統,且系爭訂購系統亦將會員資料儲存於平台,而於儲存期間系爭訂購系統有異常IP入侵情形,且預估外洩之個資筆數與內容亦與會員購票資訊相當,自堪信他人以前開電話所傳遞之訊息內容,確係自系爭訂購系統所竊得原告個資一情,至臻明確。
⑷至被告再以原告輸入中信銀行刷卡資料時亦可能遭駭客以刷卡資料查悉上情,或透過其他網際網路漏洞取得原告個資,然依證人王運杰之前揭證述,該電話發話人非僅知悉特約商店店別為被告麗禧公司,尚已清楚知悉原告為被告麗禧公司之會員身分及其訂購商品為溫泉券之特定內容,是該資訊顯屬系爭訂購系統中儲存之訊息無誤;又縱網際網路存在普遍性漏洞,然亦非必然與原告遭竊之個資有關,自無從以該情節為對被告有利之認定,是被告前開所辯,尚不可採。
㈡就原告個資外洩之情形,是否係因被告之過失違反前開個資法之規定所致,並應負損害賠償責任?
1.關於原告主張被告並未依個資法第27條第1項之規定,就其保有之個資檔案採行適當之安全措施,防止個人資料被竊取、竄改、毀損、滅失或洩漏,並應依個資法第29條第1項於致個人資料遭不法蒐集、處理、利用或其他侵害當事人權利者,負損害賠償責任,並依同條第2項準用第28條第2項負非財產上損害賠償責任,且被告於查明原告個資遭竊取、洩漏後,亦未依個資法第12條、個資法施行細則第22條之規定,以即時之方式通知原告,自應依上開個資法第29條之規定、侵權行為之法律關係負損害賠償責任等節。
按非公務機關保有個人資料檔案者,應採行適當之安全措施,防止個人資料被竊取、竄改、毀損、滅失或洩漏,個資法第27條第1項定有明文;又非公務機關違反本法規定,致個人資料遭不法蒐集、處理、利用或其他侵害當事人權利者,負損害賠償責任。但能證明其無故意或過失者,不在此限。依前項規定請求賠償者,適用前條第二項(即請求非財產上損害賠償或回復名譽適當處分)至第六項規定,個資法第29條第1、2項亦規定甚明。
另公務機關或非公務機關違反本法規定,致個人資料被竊取、洩漏、竄改或其他侵害者,應查明後以適當方式通知當事人,個資法第12條定有明文。
另本法第十二條所稱適當方式通知,指即時以言詞、書面、電話、簡訊、電子郵件、傳真、電子文件或其他足以使當事人知悉或可得知悉之方式為之。但需費過鉅者,得斟酌技術之可行性及當事人隱私之保護,以網際網路、新聞媒體或其他適當公開方式為之。依本法第十二條規定通知當事人,其內容應包括個人資料被侵害之事實及已採取之因應措施,個資法施行細則第22條亦規定甚明。
上開規定係為確保個資之資訊自主權,自屬民法第184條第2項之「保護他人之法律」。
是依上開規定,非公務機關因未採取適當安全措施以防止個人資料遭竊取、洩漏致個資遭他人蒐集而侵害個資權人之權利,或因未依規定為通知致他人權利受損,而應依上開個資法或侵權行為之規定負損害賠償責任者,自以就該情節有故意或過失為前提,綜合前揭舉證責任導致之說明意旨,併依個資法第29條第1項但書明文規定為舉證責任倒置,即認應由該非公務機關負證明無故意或過失之責。是本件自應由被告舉證證明其就原告個資外洩一事無故意或過失,或已即時通知,抑或未及時通知無故意過失等情。
2.經查:
⑴被告早於偵測異常IP侵入之110年11月16日,曾於110年9月8日就系爭訂購系統於110年9月8日為Fortify全系統弱點掃描,掃描結果就Injection之插入漏洞、Broken Authentication and Session Management之授權與階段作業安排之帳戶保護措施、Cross-Site Scripting(XSS)跨址編寫之缺陷預防、Insecure Direct Object References之避免攻擊者操控檔案、目錄、資料庫等暴露過程產生之媒介遭攻擊者操控、Security Misconfiguration建構強大伺服器配置標準、Seneitive Date Exposure妥善保護諸如信用卡、稅務辨識碼及驗證碼之敏感資訊、Missing Function Level Access Control存取功能之控制檢查、Cross-Site Request Forgery(CSRF)之避免攻擊者執行未經驗證之動作、Using Components with Known Vulnerabilities之避免利用易攻擊之元件引發嚴重資料遺失或伺服器遭接管、Unvalidated Redirects and Forwards避免利用開放式重新導向將使用者誘騙導引入惡意網站達成取得使用者端資料之情形等各項檢驗結果均無相關問題等情,有Hewlett Packard Enterprise之掃弱報告存卷為憑,且亦已於110年11月5日取得系統敏感資料數位簽章認證,並由被告墨攻公司再於偵測異常IP侵入後,隨即於同月18日至同月19日委請訴外人精誠科技股份有限公司進行滲透測試服務,以國際標準之OWASP(Open web Application Security Project)、OSSTMM(Open Source Security Testing Methodology Manual)以檢測網際網路弱點,並僅於主機服務掃描時,查覺1項中風險弱點並警示注意,其於就網站服務滲透均無發現異常等情,有精誠科技整合股份有限公司提供予被告墨攻公司之滲透測試報告書存卷為憑,足見被告麗禧公司所使用由被告墨攻公司建置管理之系爭訂購系統,已於事情盡其可能防堵外部入侵,並於事後查覺異常IP侵入之數日內已再度為弱點檢測。
⑵參以交通部觀光局111年12月9日之回函亦以:雖個資外洩事件係因被告墨攻公司之系爭訂購系統遭駭客入侵所致,被告麗禧公司於個資外洩前後皆採行相關因應措施及處置,除於事前曾要求被告墨攻公司加強個資防護措施,事後即通知疑似遭個資外洩之全數消費者相關防詐騙訊息及情事,另加強飯店本身各項個資安全防護機制且持續進行改善,尚符個人資料保護法相關規定等情,有該回函存卷為憑,並就「主管機關就個資外洩事件判斷是否違反個資法」部分,調查結果表示「否」;
另數位發展部數位產業署112年1月13日之回函,亦以:平時被告墨攻公司已有相關資料維護措施:包括已強制廠商登入位置綁定、AES256加密機制針對廠商帳號密料、多重伺服器分散資料管理、資料庫與程式分開存放、主機帳密權限控管與RSA私鑰管理、限定防火牆規則僅特定IP及帳號密碼始得進入、Linux主機使用防毒體ClamAV、辦公室環境以ESET防毒軟體監控,以及伺服器安裝關貿網路EDR端點防護、訂定個資及資安政策文件等;事發時已採取因應措施:包含立即向檢警單位報案、於110年8月31日及11月16日以emai通知遭個資外洩之旅宿業者客戶與官方網站宣導消費者資安觀念等。事後採取改善措施:包含強制客戶加入Email驗證、實施一次性動態密碼(OTP)能、鎖定IP且強制客戶登入皆須要驗證IP、Fortify全系統弱點偵測掃描、公司電腦全面安裝關貿網路EDR端點防護、110年11月修補後透過精誠資訊進行網頁弱掃測試、111年9月14日透過nessus進行主機掃描、取得ISO 27001資訊安全管理證書等情,亦徵被告已於事情、事後均本於防止系爭訂購系統之用戶個資被竊之相關措施,自難認原告個資外洩一事係因被告之過失行為所致。
⑶又關於非公務機關之用戶個資遭竊取之通報義務,依據前開個資法第12條係以「非公務機關違反本法規定,致個人資料被竊取、洩漏、竄改或其他侵害」為前提,故非公務機關倘並無違反個資法之規定,本即與該通知義務之前提不合,則本件被告既如前開認定,並無因過失違反個資法之情節,自無庸負擔該通報義務;
更遑論被告麗禧公司之官方網站首頁,實早於110年8月28日,即於原告最後一次使用系爭訂購系統訂購溫泉票之110年11月3日前,已有「貼心提醒 防範詐騙公告」之公告,且該公告已記載詐騙手法包括「謊稱為飯店系統遭駭客入侵,訂單被改為團體訂單會遭到扣款,並再次謊稱為銀行人員要求解除款項,以及操作銀行轉帳」之內容,自已透過上開合理方式警示用戶即原告。
另兩造均不爭執被告麗禧公司亦曾再於111年1月5日、111年1月8日、111年1月12日、111年1月19日、111年2月21日持續接獲被告麗禧公司之防詐騙簡訊等情,已如前述,自難認被告有何違反個資法第12條、個資法施行細則第22條之違反通報義務之情形。
3.從而,被告既無違反個資法或侵權行為之過失,自無庸依前揭規定負損害賠償責任,則就賠償金額應為若干、被告所為與有過失之抗辯是否可採,自無庸再予診究。
㈣原告主張被告應依個資法第11條第3、4項之規定刪除並停止利用原告之個資,是否可採?
1.按個人資料蒐集之特定目的消失或期限屆滿時,應主動或依當事人之請求,刪除、停止處理或利用該個人資料。但因執行職務或業務所必須或經當事人書面同意者,不在此限。違反本法規定蒐集、處理或利用個人資料者,應主動或依當事人之請求,刪除、停止蒐集、處理或利用該個人資料,個資法第11條第3、4項分別定有明文。
2.經查,原告使用系爭訂購系統,係為藉由該系統向被告麗禧公司購買溫泉票之商品,乃有授權、同意被告麗禧公司以系爭訂購系統儲存其個資;然原告已於111年1月4日以存證信函向被告麗禧公司要求刪除個資,並再以本件起訴狀向被告麗禧公司為刪除並禁止利用原告個資之意思表示等節,有該存證信函、起訴狀在卷可稽,且被告麗禧公司亦陳稱於收受前開存證信函後,已刪除原告除電話外之其他個資,且被告麗禧公司亦已於111年11月29日收受起訴狀繕本,受領該意思表示等情,有送達回證存卷可憑,可見原告已無授權、同意被告麗禧公司持續利用原告個資之意,應認原告前開授權業因上開意思表示而屆期。
又被告麗禧公司自認系爭訂購系統之個資存放於被告麗禧公司,並持續保留原告之電話等節,參以個資法第2條第1款亦清楚定義個人之聯絡方式自屬個人資料之一環,自應由被告麗禧公司,依原告之請求,刪除並停止利用原告留存於被告麗禧公司系統中之聯絡方式。
至原告主張被告墨攻公司亦應為上開刪除與停止利用等節,然原告並未舉證證明其聯絡方式或其他個資仍保存於被告墨攻公司之任何系統中,被告亦已提出系爭訂購系統已無法查得原告其他個資之查詢結果翻拍畫面為據,自難認被告墨攻公司亦留存原告之任何個資,是除經被告麗禧公司自認仍保留原告聯絡方式並係存放於被告麗禧公司系統部分,應予刪除並停止利用外,原告逾此部分之請求,尚不可採。
五、綜上所述,原告本於個資法第11條第3項請求被告麗禧公司刪除並停止利用其聯絡方式,自屬有據;另原告之個資本於舉證責任減輕,應可認確係系爭訂購系統經他人入侵而遭竊取、洩漏,然就上開個資外洩之情節,難認係因被告之過失所致,自無庸由被告負連帶損害賠償之責,另除被告麗禧公司仍保有原告之聯絡方式外,尚無被告墨攻公司亦保有原告個資之相關舉證,自難認被告墨攻公司亦應併負刪除並停止利用原告個資之責。從而,原告依個資法第11條第3項,請求被告刪除並停止利用所有原告留存於被告麗禧公司系統中之聯絡方式,為有理由,應予准許。至逾此部分之請求,則無理由,應予駁回。
沒有留言:
張貼留言