設定要替換的判決書內文
臺灣士林地方法院民事簡易判決 107年度湖簡字第110號
原 告 游家信
訴訟代理人 曾子興律師
被 告 雄獅旅行社股份有限公司
法定代理人 王文傑
訴訟代理人 李家誠
林彥志律師
上列當事人間侵權行為損害賠償事件,經本院於民國107 年5 月25日言詞辯論終結,判決如下:
主 文
被告應給付原告新臺幣貳萬元,及自民國一百零六年十一月二日起至清償日止,按週年利率百分之五計算之利息。
原告其餘之訴駁回。
訴訟費用新臺幣壹仟伍佰伍拾元,由被告負擔百分之二十即新臺幣叁佰壹拾元,餘由原告負擔。
本判決第一項得假執行;
但被告如以新臺幣貳萬元為原告預供擔保後,得免為假執行。
原告其餘假執行之聲請駁回。
事實及理由
一、原告主張:㈠伊前於民國106年4月24日在被告之宜蘭門市購買前往越南胡志明市之機票2張並委託辦理簽證,因而留存個人資料(下稱系爭消費資訊)於被告公司。
嗣於同年7月3日晚間,突然接到自稱被告公司員工(實為某詐騙集團成員)來電,陳稱公司內部電腦遭駭客入侵,竊走部分客戶個人資料,其中包含原告先前下訂資料(即系爭消費資訊)在內,且利用該資料下訂12張機票,因事態緊急,亟需處理,騙取原告告知持用第一銀行發行之信用卡後,繼又編以須至銀行自動提款櫃員機(ATM)辦理取消訂購12機票之手續,且將聯繫第一銀行人員,續為為原告處理取消訂票事宜。
嗣某自稱第一銀行專員(實亦為詐騙集團成員)打電話給原告,原告受騙而不自知,乃依其指示至ATM進行操作,先後進行提款新臺幣(下同)1,000元、轉帳12元、轉帳29,987元;
嗣至另一台ATM分5次共提款99,000元後,再至第一銀行之ATM操作,以30,000元為存款單位,對某帳戶存入2筆(共60,000元);
嗣又要求原告另至台新銀行的ATM續行操作,對某帳戶存入30,000元1筆、至中國信託銀行的ATM續行操作,再對某帳戶存入8,000元1筆(上開操作過程,下合稱系爭ATM操作),致原告遭詐諞計127,987元(即29,987+30,0002+10,000+8,000=127,987,下合稱系爭財產上損害)。
㈡由於被告員工取得客戶消費資訊(含系爭消費資訊在內)後,未採行適當安全保護措施,被告亦未依個人資料法之規定,善盡該公司對客戶(包含原告在內)資料之保護工作,致106年5月間被告公司發生36萬筆客戶資料(包含系爭消費資訊在內)外洩事件,嗣遭某詐騙集團取得,並藉之對原告進行詐騙得逞,爰依民法第28條、第184條、第188條及個人資料保護法第29條第1項為規定,訴請被告賠償系爭財產上損害;
併依個人資料保護法第29條第2項規定,請求被告賠償非財產上損害20,000元,並均加計利息。
㈢聲明為:⒈被告應給付原告147,987元,及自起訴狀繕本送達翌日起至清償日止,按週年利率5%計算之利息;
⒉願供擔保請准宣告假執行。
二、被告則以:㈠原告主張於106 年7 月3 日晚間接獲詐騙電話,受騙而為系爭ATM操作,受有系爭財產上損失,應先舉證證明之。
被告公司電腦遭駭客入侵後,為免客戶受害,於106年5月23日、同年月26日分別以簡訊通知原告,通知其慎防詐騙、免遭受害,並提出發訊資料為證(詳答辯狀㈡所附被證3)。
是以,原告主張於106年7月3日晚間接獲詐騙電話,受騙而為系爭ATM操作,致有系爭財產上損害等情,縱認屬實,該損害亦屬詐騙集團所為,或係原告個人疏失所致,與被告無涉,且難認該損害與被告公司電腦遭駭客入侵、客戶資訊外洩事件間有相當因果關係。
㈡原告指摘被告有違反個人資料保護法、旅行業個人資料檔案維安維護計畫及處理辦法等規定,以及系爭消費資訊為被告所洩漏等情,亦應由原告先行舉證證明之。
再者,網路資訊發達,伴隨高風險,關於客戶資訊保護責任,實不應全由提供服務業者承擔等語,資為抗辯。
㈢聲明為:⒈駁回原告之訴;
⒉如受不利判決,願供擔保請准免為假執行之宣告。
三、法院之判斷:㈠原告主張其於106 年4 月24日在被告之宜蘭門市購買前往越南胡志明市之機票2 張並委託辦理簽證,因而留存個人資料(即系爭消費資訊)於被告公司,及被告於同年5 月間發生客戶資料外洩事件,嗣其於同年7月3日晚間接到詐騙電話,誤信其個資被濫用,進而為系爭ATM操作款,共計遭詐諞127,987元等節,業據提出被告開立之收款單、被告發生客戶資料外洩事件之報載資料、網路新聞擷取畫面、原告之第一銀行帳戶存摺節本資料(其上載有前述各筆之跨行提款、跨行轉帳紀錄)、交易紀錄查詢、臺灣臺北地方法院106年度簡字第8389號刑事簡易判決影本(按:原告為該詐欺案件之受害人,見載於該判決附表編號2中。
詳原告於107年5月21日所提出之民事辯論意旨㈡暨調查證據聲請狀所附證物6)為證,被告亦不爭執該等資料之形式真正,且自承該公司電腦有遭駭客入侵,已向刑事局報案之情(見107年4月20日言詞辯論筆錄)。
是原告主張被告因兩造間之消費與委任關係取得系爭消費資訊後,被告公司電腦遭駭,致系爭消費資訊為詐騙集團取得與利用,嗣原告106年7月3日晚間接獲詐騙電話,受騙而為系爭ATM操作,受有系爭財產上損失等節,應堪認屬實。
㈡原告主張其接到系爭詐騙電話,乃被告未善盡對客戶個人資料之保護所起,且致其受有財產上(即系爭財產上損害)及非財產上損害(即其個人資料遭被告外洩,人格權受侵害)等情,被告則以前揭情詞置辯。
是本件應審酌之爭點應在於:⒈某詐騙集團取得之系爭消費資訊是否因被告未善盡對客戶資訊保護責任所洩漏?⒉被告是否已依個人資料保護法之規定採取適當安全措失,以防止原告個資被竊取或外洩而無過失?⒊被告倘有過失,其過失行為與原告受有「個資外洩之非財產上損害」間有無相當因果關係?⒋原告主張受有「系爭財產上損害」與被告或其受僱人之行為間有無相當因果關係?茲分論如下:⒈某詐騙集團取得系爭消費資訊是否因被告未善盡對客戶資訊保護責任而洩漏之判斷:按事實有常態與變態之分,其主張常態事實者無庸負舉證責任,反之,主張變態事實者,則須就其所主張之事實負舉證責任。
查,被告為資本額達億元以上之公司,且經營規模非小,依常情而言其能力自較一般消費大眾來得強大。
甚且被告經營網路消費平台,於公司電腦中、或資料庫中又或者於所於營網站上儲存客戶之消費資料(含所留之聯繫資料,例如:手機號碼、住家地址等)更屬常態;
反之一般消費者於其電腦或手機中留存其個人聯繫資料,則屬變態。
被告雖辯稱系爭消費資訊之所以外洩,或可能出自原告,對於客戶資訊保護責任,不應全由被告承擔云云。
究其所辯固非絕無可能,惟依前開說明,駭客入侵營業公司之電腦竊取其大量客戶資訊,要屬常態;
反之,侵入個人電腦以竊取個人之消費資料,則屬變態。
是應由被告先行舉證證明其確已善盡對於該公司客戶(含本件原告在內)所留消費資料之保存責任,且未遭不法蒐集,而不應推責於原告。
⒉被告是否已依個人資料保護法之規定採取適當安全措失,以防止客戶(含原告在內)個資被竊取或外洩而無過失?⑴按,非公務機關保有個人資料檔案者,應採行適當之安全措施,防止個人資料被竊取、竄改、毀損、滅失或洩漏;
中央目的事業主管機關得指定非公務機關訂定個人資料檔案安全維護計畫或業務終止後個人資料處理方法;
前項計畫及處理方法之標準等相關事項之辦法,由中央目的事業主管機關定之,個人資料保護法第27條定有明文。
又按,非公務機關違反本法規定,致個人資料遭不法蒐集、處理、利用或其他侵害當事人權利者,負損害賠償責任。
但能證明其無故意或過失者,不在此限;
依前項規定請求賠償者,適用前條第二項至第六項規定。
同法第29條亦有明定。
⑵查,被告雖自承該公司電腦遭駭、發生客戶個資外洩情事,然不包含系爭消費資訊云云。
查,系爭消費資訊成立日期為106年4月24日,顯在同年5月間被告公司電腦遭駭之前,兼以詐騙集團竟得利用系爭消費資訊(即明確敘明消費內容以取信原告),依經驗法則推斷,系爭消費資訊應在前述被告遭竊36萬餘筆客戶資訊當中,詐騙集團方得利用之而對原告進行精準詐騙。
⑶又查,被告並未提出該公司對資安防護工作之建置相關資料,以佐證發生前述公司電腦遭駭、客戶資料外洩前,已對其所取得客戶資料建置有效防護措施外,更乏資料可認被告於本事件發生前,已於該公司內部就經手客戶資訊之員工建置完善、嚴格之管理制度。
故難推認被告已就其所取得客戶(包含本件原告在內)個人資料,善盡防護工作,以避免遭不法蒐集、處理、利用。
⒊被告倘有過失,其過失行為與原告受有「個資外洩之非財產上損害」間有無相當因果關係之判斷?⑴按,當事人主張有利於己之事實者,就其事實有舉證之責任,但法律別有規定,或依其情形顯失公平者,不在此限,民事訴訟法第277條規定甚明。
上開但書規定係於89年2月9日該法修正時所增設,肇源於民事舉證責任之分配情形繁雜,僅設原則性之概括規定,未能解決一切舉證責任之分配問題,為因應傳統型及現代型之訴訟型態,尤以公害訴訟、商品製造人責任及醫療糾紛等事件之處理,如嚴守本條所定之原則,難免產生不公平之結果,使被害人無從獲得應有之救濟,有違正義原則。
是法院於決定是否適用上開但書所定之公平要求時,應視各該具體事件之訴訟類型特性暨求證事實之性質,斟酌當事人間能力之不平等、證據偏在一方、蒐證之困難、因果關係證明之困難及法律本身之不備等因素,以定其舉證責任或是否減輕其證明度,最高法院103年度台上字第1311號判決參照。
⑵查,被告對其持有之系爭消費資訊(包含原告個資在內),未盡法定維護義務而有「過失」乙情,既經認定如前,則原告個資遭竊取、外洩,進而為不法集團持用、利用,致原告隱私權遭侵害,自堪認定。
又原告依個人資料保護法第29條規定請求被告損害賠償,乃以被告違反個人資料保護法之過失行為與原告所述損害間具備「相當因果關係」為要件,被告則辯稱無相當因果關係並答辯於前。
因宥於網際網絡科技浩瀚並參雜人為因素之變異而有高度舉證困難,責令被害人擔負完全之舉證責任實有不公,兼以被告經營旅遊業,且達一定規模,原告交付個資後即由其支配掌握,其對於個資被竊取或外洩風險之控制及分擔能力俱優於原告,故本院斟酌本件訴訟性質、兩造之舉證能力、被告違反義務之情節及風險分配之合理性,進而比照我國實務就公害訴訟降低被害人因果關係舉證責任之見解,認被告行為所生之危險已有相當合理確定性,即推定有一般因果關係之存在(最高法院102年度台上字第31號判決意旨參照),被告倘認無一般或個別因果關係存在,自應提出確切之反證證明。
⑶被告有違反個資維護義務致將原告個資外洩等情,既經認定於前,則原告主張其因而受有非財產上損害與被告公司電腦遭駭侵入、發生客戶資料外洩間,依前揭規定與說明,即推定有一般因果關係之存在,而被告既未能提出確切反證,是則原告主張被告未盡法定維護義務,致原告個資遭外洩,令其隱私權受侵害等節為可採。
故原告依個人資料保護法第29條、第28條第2項規定,請求「個資外洩之非財產上損害」20,000元,於法即屬有據,且衡情並未過當。
⒋原告主張受有「系爭財產上損害」與被告或其受僱人之行為間有無相當因果關係之判斷?查,106年5月間發生被告公司之電腦遭駭客入侵,約有36萬餘筆客戶資訊遭竊事件,經見載於報紙、網路媒體,業經認定於前,則原告自應有所警覺與注意;
又詐騙集團利用電話詐騙民眾前往ATM操作,此一再為政府、各媒體所宣導,原告應有防騙意識;
況被告公司電腦遭駭後,被告於同年月23日、26日,即曾以簡訊通知原告:「該公司不會以電話通知客戶前往ATM操作,以訂單操作錯誤重複扣款或不合理優惠,於電話中要求您提供信用卡資料或帳戶資訊等,均為詐騙行為。
請慎防詐騙,避免受害…」並提出該發訊資料為證(詳答辯狀㈡所附被證3),原告亦自承有接到該簡訊通知(詳107年5月25日言詞辯論筆錄),由此,足資證明被告已採取適當避免原告因被告公司電腦遭駭客入侵、客戶資料外洩,而可能遭受財產上損害之防護行為。
是以,原告之後於106年7月3日晚間,接獲詐騙集團打來之詐騙電話,竟誤信該詐騙伎倆(即誤信原告之信用卡遭盜刷)為真,提供原告個人之信用卡資料予對方,進而為系爭ATM操作行為,方導致原告受有系爭財產上損害,且該損害核乃原告個人疏忽行為所致,尚難認系爭財產上損害與前述被告未善盡對客戶個人資料之保護行為間,確有相當因果關係存在。
是則,原告依民法第28條、第184條、第188條及個人資料保護法第29條第1項為規定,請求被告賠償「系爭財產上損害」,核與前揭條文所規定得為請求之要件即有不符,而難准許之。
四、從而,原告依民法侵權行為、個人資料保護法第29條第2項、第28條第2項規定之法律關係,請求被告給付20,000元(即非財產上損害),及自起訴狀繕本送達之翌日即106 年11月2 日起至清償日止,按法定利率即週年利率5%計算之利息,為有理由,應予准許。
逾此範圍之請求,則無理由,應予駁回。
五、本件係適用簡易程序,所為被告敗訴部分,應職權宣告假執行;
並依被告聲請酌定相當擔保金額,為被告得免假執行之宣告。
至原告其餘假執行之聲請,已失所附麗,應併予駁回。
六、本件訴訟事證已臻明確,兩造其餘攻擊防禦方法及所提證據,經審酌後認與本件判決結果不生影響,爰不再逐一論述,併此敘明。
七、末依職權確定本件訴訟費用額為1,550 元(即第一審裁判費),其中20% 即310 元應由被告負擔,餘由原告負擔。
八、訴訟費用負擔之依據︰民事訴訟法第79條。
中 華 民 國 107 年 6 月 22 日
內湖簡易庭法 官 施月燿
以上為正本係照原本作成。
如不服本判決,應於判決送達後20日內,向本院提出上訴狀並應記載上訴理由,如於本判決宣示後送達前提起上訴者,應於判決送達後20日內補提上訴理由書(須附繕本)。
中 華 民 國 107 年 6 月 22 日
書記官 王玉雙
還沒人留言.. 成為第一個留言者