臺灣高等法院民事-TPHV,111,重上,551,20240423,1

臺灣高等法院民事判決
111年度重上字第551號
上 訴 人 砌禾數位動畫股份有限公司

法定代理人 王俊雄
訴訟代理人 田振慶律師
邱瑞元律師
張揚律師
被 上訴 人 智聯服務股份有限公司

法定代理人 施宣輝
訴訟代理人 彭成翔律師
蔡宛珊律師
上列當事人間請求損害賠償事件，上訴人對於中華民國111年5月10日臺灣臺北地方法院110年度重訴字第403號第一審判決提起上訴，本院於113年3月12日言詞辯論終結，判決如下：

主 文

上訴駁回。

第二審訴訟費用由上訴人負擔。

事實及理由

一、上訴人主張：兩造於民國109年7月20日簽訂專業人力駐廠服務合約書（下稱系爭契約），約定由被上訴人指派合格具經驗之工程師進駐於上訴人公司處理公司IT人員（即資訊科技人員）所交辦事項，服務內容包括系統及網路之防毒管理。

被上訴人依約應設置有效防毒系統、定期檢查電腦系統log紀錄，並妥善保管上訴人電腦系統之登入密碼，竟屢次更換進駐人員，使多數人持有得以進入伊電腦系統之帳號，復未設置高強度之密碼，致伊公司電腦系統於109年12月11日遭外來攻擊者，以被上訴人持有之系統管理帳號「acerast」，透過VPN遠端連線進入伊內部網路，取得IP（即網路協定位址），經由AD主機（即網域控制站）散佈勒索軟體，將伊電腦檔案加密後對伊勒索（下稱系爭事件），致伊受有支付攻擊者贖金、鑑識費用、購買備份硬碟費用、無法營業之成本損失、額外加班費、專案重置成本、專案報酬損失等損害共新臺幣（下同）1,793萬7,008元（下稱系爭入侵電腦損害，明細如附表）。

又兩造已於110年1月22日合意終止系爭契約，被上訴人為補正其加害給付而於109年12月11日至16日、18日、21日至23日、25日、28日至第30日到場修繕電腦系統，自不得請求服務費，被上訴人受領預付之服務費13萬5,900元（下稱系爭預付服務費）即屬無法律上原因而受有利益，爰擇一依民法第227條第2項、第184條第1項前段規定，請求被上訴人給付系爭入侵電腦損害；

另擇一依民法第179條、第227條第1項準用第226條第1項規定，請求給付系爭預付服務費，共計1,807萬2,908元本息之判決【原審就上開部分為上訴人敗訴之判決，上訴人聲明不服提起上訴，逾上開請求部分，上訴人提起上訴後減縮上訴聲明（見本院卷二第10頁、第63頁、第190頁），被上訴人就其敗訴部分未提起上訴，均非本院審理範圍，茲不贅述】。

並上訴聲明：㈠原判決關於駁回上訴人後開第㈡項之訴部分及假執行之聲請均廢棄。

㈡被上訴人應再給付上訴人1,807萬2,908元，及自110年6月8日起至清償日止，按週年利率5％計算之利息。

㈢願供擔保，請准宣告假執行。

二、被上訴人則以：伊依約僅負有提供駐點人員到場處理上訴人IT人員交辦事項，服務範圍僅限於提供「支援機房維護服務」、「支援MIS解決PC基本問題（包括安裝造成之問題）」以及「負責協助使OA配置處於堪用狀態，並做最佳及最有效之運用」等服務，不包括資安系統、防毒軟體之安裝、維護及檢視電腦系統log紀錄等項目，且伊係依上訴人所提供之設定規則及條件設定密碼，自無不完全給付之情事。

另系爭事件之攻擊者入侵方式，尚包含使用上訴人員工之帳號即jimao及shiro923，其所受損害與伊更換駐點人員之行為間無相當因果關係等語，資為抗辯。

三、兩造於109年7月20日簽立系爭合約，約定由被上訴人指派合格具經驗之工作人員於上訴人公司提供服務，被上訴人持有上訴人電腦系統管理之帳號「acerast」及密碼乃被上訴人依上訴人提供之密碼設定規則及條件設定，上訴人公司之電腦系統於109年12月11日遭外來攻擊者使用帳號「acerast」，以VPN遠端連線進入內部網路，並經由網域控制站散佈勒索軟體LockBit（即系爭事件）等情，有系爭契約、安碁資訊股份有限公司（下稱安碁公司）出具之砌禾數位事件調查報告可證（見原審卷第41頁至第42頁、第51頁至第61頁），且為兩造所不爭執（見本院卷二第85頁），信屬實在。上訴人主張被上訴人應賠償系爭入侵電腦損害，並返還系爭預付服務費，為被上訴人所否認，茲分述如下：㈠上訴人不得請求被上訴人賠償系爭入侵電腦損害：⒈被上訴人並無為上訴人進行防毒管理之契約義務：①上訴人主張被上訴人依系爭契約負有對伊公司系統及網路為防毒管理之義務云云，然依系爭契約第2條第7項：「維護服務範圍：工程師於駐廠期間，需處理砌禾IT人員交辦事項，其維護範圍如下：⒈每周駐點一天，及一週4天8小時on call執機時間（執機區間周一至周五正常工作時間）。

駐點服務天數一年以52天計，實際日期可因應砌禾需求，雙方討論後進行調整。

⒉支援機房維護服務：協助SERVER設定管理、STORAGE維護、SWITCH維護管理冷氣系統管理、AD主機管理、VMware管理、Mailserver管理。

⒊支援MIS解決PC基本問題（包括安裝造成之問題）：基本作業環境之安裝及升級、基本OA環境之安裝及升級（含Office Tools,Mail,Internet……）、支援軟體（AP）升級之安裝與問題之解決、支援不同使用環境之功能（系統）安裝及設定（網路卡）。

⒋負責協助使OA配備處於堪用狀態，並作最佳及最有效之運用：解決User PC及問題排除，使其能即時上線運用以保持工作順暢、支援MIS人力配置作例行工作或專業維修及特案處理、PC故障排除之優先順序處理PC及相關週邊連結故障排除、支援PC軟體及週邊組裝測試、PC及週邊（Printer……）等設備之維護、如甲方（即上訴人）要求維護服務範圍超出本合約所約定之項目時，乙方（即被上訴人）得酌收費用」；

第3條：「服務費用：乙方提供本服務之費用包含總價計新台幣肆拾伍萬元整（含稅），包含一年52天駐點人力服務費新台幣參拾陸萬元（含稅）及年約叫修服務費用新台幣玖萬元（含稅）」（見原審卷第41頁至第42頁）；

以及上訴人所提出其按「人力駐點服務」及「人員叫修到場服務」等服務項目記點付費之服務費計算表格（見原審卷第129頁），可知兩造約定由被上訴人指派駐點人員提供維護、維修上訴人電腦系統等相關硬體設備及支援辦公系統、軟體之安裝及升級等服務，上訴人再依服務時數給付報酬。

②又被上訴人派駐上訴人公司服務之工程師陳宗群證稱：伊於109年8月至12月專責負責上訴人之專案，如果上訴人硬體有問題，伊就要去服務，伊做的是硬體維護，就是處理電腦壞掉，無法開機，不能打字等問題，與勒索軟體無關等語（見本院卷一第348頁、第351頁），佐以上訴人之副總陳蕙卿所證：兩造簽約之前，伊有跟被上訴人之業務安家慶討論機房代管的項目，mis日常需要的工作，即伺服器權限控管、員工的權限開關、遠端連線的控管，被上訴人必須每週來上訴人公司進駐一天，其餘時間是遠端救援，如果有額外需要被上訴人派人過來，伊公司會額外支出費用，伊和安家慶溝通過程中有在電子郵件提到「防毒」，但後來看到契約沒有把它放進去等語（見本院卷一第329頁、第330頁），被上訴人亦稱系爭契約第2條第7項所載之AD主機管理，係指主機硬體機器本身正常運作進行維護，非系統安全管理（見本院卷二第143頁），再觀上訴人提出陳蕙卿簽認之報價單（下稱系爭報價單）上產品說明欄記載：「服務內容：駐點人力1人（一年為12個月）一周駐點一天（同砌禾班上班時間，每日工作間為8小時）一週4天8小時on call執機時間（執機區間周一至周五）。

工程師於駐點期間，需處理砌禾IT人員交辦事項，其維護範圍如下：（一）支援機房維護服務：協助SERVER設定管理、STORAGE維護、SWITCH維護管理（二）支援MIS解決PC基本問題（包括安裝造成之問題）：基本作業環境之安裝及升級基本OA環境之安裝及升級（含Office Tools,Mail,Internet……）。

支援軟體（AP）升級之安裝與問題之解決。

支援不同使用環境之功能（系統）安裝及設定（網路卡）（三）負責協助使建興儲存OA配備處於堪用狀態，並作最佳及最有效之運用：解決User PC及問題排除，使其能即時上線運用以保持工作順暢。

支援MIS人力配置，作例行工作或專業維修及特案處理。

PC故障排除之優先順序處理PC及相關週邊連接故障排除。

支援PC軟體及週邊組裝測試。

PC及週邊（Printer……）等裝備之維護等情（見原審卷第155頁），與系爭契約第2條第7項所載服務範圍相同，即被上訴人係提供駐點人員維護、維修上訴人電腦系統硬體設備、支援辦公室系統、軟體之安裝及升級等服務，並無包括防毒相關事項。

復依系爭報價單備註第7點所載：「如雙方就本報價單相關事宜另行簽訂書面協議，而該書面協議內容與本報價單內容不一致或牴觸者，應以該書面協議內容為優先適用。」

（見原審卷第155頁），堪認兩造於簽立系爭契約前之報價階段，係以維護、維修電腦硬體設備及支援辦公室系統軟體之安裝及升級等相關服務內容進行締約磋商，簽訂系爭契約時並已列明該等服務項目，上訴人主張被上訴人依系爭契約尚負有防毒管理之義務，即應設置有效防毒系統、定期檢查電腦系統log紀錄等情，要屬無據。

③上訴人雖稱其簽立系爭契約前，業已與被上訴人之業務安家慶合意服務項目包括防毒管理云云，觀諸上訴人提出之電子郵件，固可見被上訴人之業務安家慶有將上訴人之mis工程師列出包含「系統管理-防毒」、「網路管理-firewall」之系統管理事項，以附件形式請求上訴人之副總陳蕙卿進行確認（見原審卷第44頁至第45頁），惟依安家慶所證：伊是要把上訴人mis工程師跟伊說的事情，向上訴人經理陳蕙卿做確認，確認陳經理所說的工作內容與工程師開出的內容是否相同，沒有印象陳蕙卿有無回覆伊，伊僅是業務，不瞭解上開電子郵件附件所載系統管理事項詳細的意義，也沒有核決契約內容之權限，亦無承諾上訴人會提供電子郵件附件所載服務，亦不知道被上訴人有無派其他人與上訴人接洽等語（見本院卷一第342頁、第343頁、第345頁），核與安家慶上開電子郵件記載：附件是MIS所list出來的項目，mis工程師希望我們這邊過去的工程師都要會附件內容所有事情，麻煩幫我確認一下說，MIS所需的跟陳經理這邊是否一致等語相符（見原審卷第44頁），則以上開郵件內容所載之「系統管理-防毒」、「網路管理-firewall」等文義，不能當然認為被上訴人負有設置有效防毒系統、定期檢查電腦系統log紀錄等防毒管理之義務。

又陳蕙卿已證稱防毒事項簽約時並無列入系爭契約（見本院卷一第330頁），上訴人亦自承其於簽訂系爭契約前，係向安碁公司、鼎新公司購買防毒軟體及防火牆乙情（見本院卷二第84頁）；

輔以證人陳宗群證稱：伊不知道怎麼阻止勒索軟體入侵電腦，伊只有透過遠端連線看到上訴人儲存設備的硬碟有無壞掉，有建議過上訴人購買備份軟體，因為被上訴人有販賣備份軟體等語（見本院卷一第351頁、第352頁），以及證人陳蕙卿所證：系爭事件發生後，伊係找資安公司即安碁公司提出調查報告，安碁公司跟伊說駭客是用什麼帳號登入上訴人公司電腦等語（見本院卷一第335頁），足見上訴人於簽立系爭契約前係委請宏碁公司等資安公司處理防毒相關事宜，系爭事件發生後亦係委由安碁公司查明系爭事件發生經過，被上訴人於系爭契約簽訂後僅提供維護、維修電腦系統設備之服務，可見被上訴人提供服務範圍並無包括防毒管理之部分。

至陳蕙卿雖證稱：上開電子郵件附件所載之防毒、網路管理-firew-all等語，即是指被上訴人應負責權限控管、資安維護及使用者權限，伊與安家慶有達成合意等語（見本院卷一第329頁至第333頁），惟上訴人未舉證證明被上訴人授權安家慶與其合意將該電子郵件附件作為系爭契約之服務項目，簽認系爭報價單及系爭契約時，亦未依安家慶上開電子郵件附件內容列舉服務項目，更無將「防毒」相關項目列入系爭契約，再觀之系爭契約第1條已明示服務內容詳如本合約及報價單，再於第2條第7項條列載維護服務範圍，並於同條另約定被上訴人指派人員之資格、駐廠服務應遵守規範、智慧財產權歸屬及損害賠償責任等，已明確約定兩造權利義務，倘兩造約定被上訴人負有防毒管理義務，為何未明載在契約中。

陳蕙卿之證言既與系爭契約內容及安家慶之證言不符，自難以該證言為有利上訴人之認定。

上訴人主張被上訴人依約負有防毒管理之義務，應設置有效防毒系統、定期檢查電腦系統log紀錄等情，要屬無據。

④上訴人另以系爭契約總價達45萬元，服務項目無可能限於駐點維護電腦系統硬體設備云云，然參被上訴人提出訴外人食品藥物管理署資訊安全監控委外服務案之契約，可見當事人間若有約定提供防毒管理之服務契約，應載明資訊安全防護管理等內容服務項目，且契約總價達上百萬元（見原審卷第233頁至第267頁），上訴人復未舉證證明系爭契約未包含防毒管理等資安服務，其價金約定顯高於交易常情等情，其前開主張，亦無可取。

⒉被上訴人管理維護電腦硬體設備之行為與系爭入侵電腦損害間，並無相當因果關係：上訴人主張被上訴人屢次更換進駐人員，致多數人持有得以進入伊電腦系統之帳號，復未設置高強度之密碼，造成系爭事件發生云云。

查被上訴人持有上訴人電腦系統管理帳號「acerast」之密碼，係依上訴人提供之密碼設定規則及條件設定等情，為兩造所不爭執（見本院卷二第85頁），被上訴人否認有洩漏密碼或未設置高強度密碼之情形，上訴人自應就被上訴人有洩漏或違反設置高強度密碼之義務致系爭事件發生乙情負舉證責任。

而系爭事件發生前之同年10月21日，駭客即透過中國IP位址61.149.219.18，利用上訴人員工帳號「jimao」攻擊上訴人電腦系統，復於同年11月26日再以保加利亞IP位址188.119.149.166，以上訴人員工帳號「shiro923」再次攻擊未果，嗣於同年00月間進行4次攻擊後，方於當月11日利用帳號「acerast」散佈勒索軟體，有安碁公司出具之系爭事件調查報告可佐（見本院卷一第345頁至第346頁、原審卷第54頁、第63頁），且為兩造所不爭執（見本院卷二第86頁、卷一第165頁），則系爭事件之駭客非單純利用被上訴人之管理系統帳號「acerast」進行攻擊，而係利用上訴人數名員工帳號進行數次攻擊後，方造成系爭事件，上訴人復未舉證證明被上訴人有防毒管理之義務，亦無證明被上訴人設置密碼非高強度，是難認被上訴人設置管理帳號「acerast」之密碼未盡管理維護之注意義務，其行為與上訴人所受系爭入侵電腦損害之間難認有因果關係。

從而，上訴人依民法第227條第2項、第184條第1項前段規定，請求被上訴人賠償系爭入侵電腦損害，均屬無據。

㈡上訴人不得請求被上訴人返還系爭預付服務費：被上訴人並無違反系爭契約義務，業如前述，且被上訴人確有於109年12月11日至16日、18日、21日至23日、25日、28日至第30日至上訴人公司提供修繕電腦系統等服務，亦為兩造所不爭（見本院卷二第86頁、原審卷第129頁），則上訴人依約應給付系爭預付服務費，自不得依民法第179條、第227條第1項準用第226條第1項規定請求被上訴人返還。

四、綜上所述，上訴人依民法第227條第2項、第184條第1項前段規定、第179條、第227條第1項準用第226條第1項規定，請求被上訴人給付1,807萬2,908元，及自110年6月8日起至清償日止，按週年利率5％計算之利息，為無理由，不應准許。

原審為上訴人敗訴判決，並無不合，上訴論旨指摘原判決不當，求予廢棄改判，為無理由，應駁回其上訴。

五、本件事證已臻明確，兩造其餘之攻擊或防禦方法及所用之證據，經本院斟酌後，認為均不足以影響本判決之結果，爰不逐一論列，附此敘明。

六、據上論結，本件上訴為無理由，依民事訴訟法第449條第1項、第78條，判決如主文。

中 華 民 國 113 年 4 月 23 日
民事第十八庭
審判長法 官 黃書苑
法 官 林政佑
法 官 陳 瑜

正本係照原本作成。
如不服本判決，應於收受送達後20日內向本院提出上訴書狀，其未表明上訴理由者，應於提出上訴後20日內向本院補提理由書狀（均須按他造當事人之人數附繕本），上訴時應提出委任律師或具有律師資格之人之委任狀；
委任有律師資格者，另應附具律師資格證書及釋明委任人與受任人有民事訴訟法第466條之1第1項但書或第2項所定關係之釋明文書影本。
如委任律師提起上訴者，應一併繳納上訴審裁判費。
中 華 民 國 113 年 4 月 24 日

書記官 江怡萱