企業個資外洩之最新實務

 

你有沒有過這種經驗?手機突然響起,一個陌生的聲音說:「您好,我是XX公司的客服,您在我們網站上有一筆未完成的分期付款訂單,需要協助嗎?」你一頭霧水,不知道他在說什麼,但他卻能報出你的姓名、身分證字號、信用卡號等個人資料,讓你覺得很不安。這時候你該怎麼辦?

其實,這種詐騙案件越來越多。根據刑事局統計,2018年到2022年間詐騙財損高達新台幣70億元,5年成長75%,今天要跟各位聊的案例就是其中一個。 

事件介紹

這是一個關於知名運動用品店「迪卡儂」的故事。去年,迪卡儂爆出會員個資遭外洩,一名律師因此接到詐團電話,依指示匯了57萬元才知受害。

律師曾在迪卡儂線上平台購物並成為會員,在1115月接到自稱是迪卡儂客服人員的電話。對方正確地說出了她的姓名和購買紀錄。對方表示迪卡儂遭到駭客入侵,她的會員資料被竄改並加入高級會員,將有12,000元的低消扣款。 當律師表示要取消高級會員時,對方表示會請銀行與律師聯繫。隨後,律師陸續接到自稱是台新銀行人員的電話。該人員稱受到迪卡儂急件委託,請律師操作網路銀行並輸入驗證碼以取消高級會員。而自稱台新銀行的人員還通知她由於有數個銀行帳戶互相設定約定轉帳等語言。最終,律師依照詐團指示陸續匯款共計571,573元。

這個案子其實有進法院,法院判決迪卡儂要負擔1成過失責任並賠償律師59千元;而律師本身也要負擔9成過失。

 法院判決

其實,在看這類型案子時,最重要的是理解:為何資料外洩公司要賠錢?他們不僅倒楣還得背責任?原因是他們沒有做好該做的事情,導致大家的個人資料流出去被詐騙集團利用。也就是說「你靠這些資料賺錢,就得保護好這些資料」。

資料外洩源頭

所以第一步要看:這些資料是否由迪卡儂外洩?法院不需要眼睛看到資料是迪卡儂流出的,而是只要合情合理的看出來就可以了,例如:

  • 1111月至9月期間,冒用迪卡儂名義詐騙通報案件數高達500餘件;
  • 111425日起至同年918日止,迪卡儂連續被刑事警察局公告為「解除分期付款詐騙」類型之高風險賣場;
  • 迪卡儂臉書粉絲團發布反詐騙公告後,多筆留言表示個人資料外洩。

這些都顯示迪卡儂有持續發生問題。而且每個留言都說:詐騙集團知道他們的姓名、買了甚麼、多少錢、用甚麼信用卡等只有迪卡儂才知道的資訊。如果不是迪卡儂外洩那是誰?法院當然就認定是迪卡儂外流。

適當安全措施的必要性

再來第二步要看:即使由迪卡儂外洩,如果他們有採取適當安全措施防止外洩呢?如果詐騙集團很厲害能破解安全措施呢?那就不一定要迪卡儂負責了。所以要看:迪卡儂是否未採行適當之安全措施?

根據法院判決書顯示,迪卡儂提供了以下幾個東西作為其資訊安全防護措施的證據:1. 伺服器之安全群組配置頁面截圖及中文註解、2. 內部管理程序清單、3. 111524日回覆經濟部函文、4. 被告資訊安全防護措施列表,以及5. 迪卡儂與合作廠商間關於個人資料保護約定條款節本。

然而,法院對這些證據進行了詳細的審查和評估,發現它們都無法證明迪卡儂在事前已採取適當的安全維護措施。例如,第一個證據顯示,被告的伺服器安全群組建立時間比資料外洩的時間點還要晚,無法證明被告在事發前已採取適當的安全措施。同樣地,第二個證據顯示,內部管理程序清單中許多關於資訊安全架構的項目仍在「擬訂中」,無法證明被告已經完成了所有應該要做的程序。

而第三個證據顯示,迪卡儂提出主管機關回函,但是回函指出尚未完成調查,因此難以確定迪卡儂是否已採取適當的安全措施防止個人資料外洩,這無法證明你已經做好安全維護措施。而第四個證據,資訊安全防護措施列表是在事後自行製作的,也無法證明迪卡儂在事前已經盡適當的安全維護措施。

甚至法院直接表示「根據被告提供的疑似個資外洩事件發生後之多種後續強化措施清單,顯示被告在原告受騙時所採取的安全措施仍有應加強之處。」這表示在事後的補強,恰好證明迪卡儂在事發前並沒有做好。至於第五個證據所提到的,迪卡儂提出關於與合作廠商間關於個人資料保護之約定條款節本,這僅能證明合約內容被告與合作廠商間有有個資保護之相關約定,但無法推認被告已採取適當之安全措施防止個人資料外洩。也就是,這個合約與被告是否已採取適當的安全措施並無直接關係,因此無法證明被告在事前已盡到安全維護義務。

證明個資外洩與遭受詐騙間的因果關係

而接下來,法院提到,「詐騙集團利用被告未對所保有的個人資料採行適當安全措施之機會,取得被告所保有之含會員購買紀錄的會員個人資料,而詐欺集團取得上開個人資料後,即假冒被告名義利用該個人資料進行詐騙,導致原告受騙而陸續匯出571,573元。」

法院認為迪卡儂沒有採行適當的安全措施來保護所保有的個人資料。因此,被害人遭到詐欺集團利用個人資料而受騙致生損害。這兩件事情之間具有相當因果關係。只有在這種情況下,迪卡儂才需要賠償被害人。

賠償金額

而在判斷賠償金額時,首先要考慮被害人因此事所遭受的財產損失,包括匯出去的款項及非財產損失。然而,僅因有損失而必須全額賠償嗎?實際上不然,因為若被害人有所過失,資料外洩的公司也可能減少賠償金額。法院針對這點提出了幾個重點:「社會風氣使人應該有警覺」、「資料外洩的公司採取了哪些減少損失的措施」以及「被害人的能力和行為」。三者需綜合考慮。

社會風氣使人應該要有警覺是純然外在的狀態,法院認為,在今天這個詐騙橫行的社會中,大家都應該要有警覺。尤其是在網路購物或是線上交易時,更需要加倍小心。法院認為迪卡儂有在官網或臉書粉絲團刊登反詐騙公告,內政部警政署刑事警察局也長期將迪卡儂公告為高風險賣場。而被害人明明是高知識份子,還承辦過詐騙案件,如果被害人能夠花一些時間去查證,也許就能夠發現這是一個詐騙行為。但是,被害人卻在很長的空檔內不去確認,反而把錢陸續匯出,這也是有過失的表現。因此,最後法院只判定迪卡儂賠償被害人請求的10%。

 對企業帶來的意義

這個案件涉及到企業的賠償問題,從中我們可以看出幾個重要的點。

  • 不需要眼睛看到是企業流出的

首先,法院認為有足夠的間接證據就可以證明個資外洩與詐騙集團詐騙的關聯,而不必要直接證明資料是否流出。因此,如果在一段時間內,有許多人發生相類似的狀況,就容易被認定個資外洩的源頭,而與詐騙集團的詐騙具有相當因果關係。

  • 適當安全措施的必要性

其次,企業必須提供充足的「適當安全措施」,才能避免賠償問題的發生。然而,事後補救永遠無法證明事情是有做好的。因此,企業必須在事前做好相關的安全維護計畫和紀錄,才能降低日後風險實現時的損害賠償金額。

  •  事後補救措施可以降低損害賠償金額

而賠償金額取決於實際損失加上非財產上損失,再乘上雙方過失比例,因此,如果企業在事後有採取補救措施,避免被害人的損失擴大,法院會給予比較大的寬容。

 

註:臺灣臺中地方法院 111 年度訴字第 2708 號民事判決

 


位置: 台灣台北市

留言

張貼留言

熱門文章