標籤

臺灣高等法院112年度上字第656號民事判決 - 個資外洩致詐騙,飯店與系統廠商應連帶賠償




臺灣高等法院112年度上字第656號民事判決,對於保存客戶個人資料未盡適當安全維護措施,導致個資外洩時,縱使財產損失部分沒有相當因果關係,也有很大可能會有非財產上損害。 

背景事實 

在2022年12月,一位消費者在北投麗禧溫泉酒店和墨攻網路科技的線上訂購系統中預訂了一晚的住宿,並提供了姓名、身分證字號、電話、信用卡等個人資料。然而,在12月21日,該消費者接到一通自稱來自麗禧酒店客服部門的電話,對方聲稱因為系統故障,需要消費者的配合以進行「解除分期付款」的操作,否則可能影響其信用卡額度。消費者不疑有它,遵從對方指示,在ATM上轉帳了9萬9987元。事後方才發現,這是詐騙集團的手法,而自己已經被騙。

在向業者查詢後,消費者發現其個人資料已被駭客竊取,並被詐騙集團利用。因此,消費者認為這兩家業者未能採取適當的安全措施,導致其個人資料外洩,構成了侵權行為。因此,消費者向法院提起訴訟,要求這兩家業者連帶賠償其受到詐騙造成的金錢損失和非財產上的損害,並要求刪除並停止使用其個人資料。 

地方法院

刪除並停止利用個人資料,消費者勝訴

根據地方法院判決(臺灣臺北地方法院111年度訴字第5578號民事判決),消費者先前曾透過存證信函向麗禧酒店要求刪除其個人資料,並在起訴狀中再次明確表達這一要求。因此,法院認為消費者已經表達不允許麗禧酒店繼續使用其個人資料的意願,並且未授權其繼續利用。基於此,法院要求麗禧酒店刪除消費者的所有個人資料,包括電話號碼。

而墨攻科技則主張已經刪除了消費者的所有個人資料,並提供相關的證據加以佐證。因此,法院認為墨攻科技已履行刪除個人資料的義務,並且無需再次進行刪除。

損害賠償,消費者敗訴

就損害賠償部分而言,地方法院認為麗禧酒店和墨攻科技均不需對消費者因個人資料外洩而造成的損失負擔責任。

地方法院認為,兩家業者在個人資料外洩事件發生前後都採取應有的措施。這些措施包括:在事前,定期進行弱點掃描和滲透測試,並取得系統敏感資料的數位簽章認證;在事中,立即向檢警單位報案,並以防詐騙簡訊提醒受到個人資料外洩影響的消費者;在事後,加強了個人資料安全防護機制,並取得ISO 27001資訊安全管理證書。

此外,交通部觀光局和數位發展部數位產業署也認定麗禧酒店和墨攻科技未違反個人資料保護法關於安全維護措施的部份。基於這些事實,法院認定被告在防止用戶個人資料被竊的相關措施上已盡合理之義務,且難以認定原告個人資料外洩是因為被告的過失所致。因此,法院認為麗禧酒店和墨攻科技並無過失,故無須對消費者負擔損害賠償責任。

高等法院

消費者對於這種判決結果當然感到不服,因此上訴,而到了高等法院,情勢則有所逆轉。

損害賠償

舉證責任歸屬於消費者,但減輕其舉證責任

按民事訴訟法第277條本文規定,當事人主張有利於己之事實者,就其事實有舉證之責任。在本案中,系統是由麗禧酒店所保有、建置及管理,消費者所輸入之個資亦存放於該系統中。消費者無從自行使用、管理,此等證據偏在麗禧酒店方面之情形,對消費者顯失公平。因此,高等法院依民事訴訟法第277條但書規定,減輕消費者之舉證責任。

具體來說,消費者提出以下證據:

  • 消費者於110113日使用系爭訂購系統訂購溫泉券,並輸入其姓名、電話、電子郵件、中信銀行帳號等個資。
  • 麗禧酒店委託墨攻科技建置、維護與管理的系爭訂購系統,於1101116日遭駭客入侵,導致約5,423筆個資外洩。
  • 消費者於1101221日接獲詐騙電話,詐騙集團對話內容清楚掌握消費者透過訂購系統輸入的個人資料。

高等法院認為,根據上述提供的證據,消費者已充分履行舉證責任,能夠證明其所主張的事實。因此,法院認為消費者已經足夠地證明其遭詐騙集團詐騙所使用的個人資料來自麗禧酒店經營管理的系統。

個資外洩致不法利用之故意過失應見諸適當安全措施之有無

業者主張他們已盡可能地採取適當的安全措施,並且沒有故意或過失。然而,高等法院指出,業者提供的資料並無法證明他們已經確實採取了具體的安全維護措施。

高等法院指出,判斷是否採取適當安全措施,應以以下標準為準:

  • 是否採取具體之安全維護措施,而不僅僅是片段截圖或抽象的管理規範。
  • 事後的改善方式,與個資外洩前之管理維護行為並無關聯。

至於主管機關的函文,其調查程序與訴訟程序有所不同,而且主管機關的認定並不具有約束法院的效力。此外,高等法院認為,麗禧酒店委由墨攻科技管理和維護系統,因此應對墨攻科技進行適當監督。然而,麗禧酒店未能提供證據證明他們對墨攻科技進行監督。

綜上所述,高等法院認定兩家業者對於保存消費者的個人資料未盡適當的安全維護措施,導致個人資料外洩並遭詐騙集團不法利用,違反個人資料保護法第27條第1項的規定,認為業者存在過失。

財產上損失與非財產上損失

在損害賠償方面,業者應向消費者賠償非財產上的損失,即精神撫慰金,金額為新台幣 2 萬元。然而,在財產上的損失方面,法院認為消費者受騙而導致財產損失,主要是由於詐騙集團的詐術,與業者侵害消費者隱私權和個資自主權之間並沒有相當因果關係。

高等法院的理由是,儘管有超過 5400 筆個資外洩,但只有 1 件導致財產損失。這表明個資外洩和消費者被騙走錢並不是必然的。然而,法院也認為,消費者因個資外洩而受到精神上的痛苦,包括花費時間和精力進行申訴、過程中感到煎熬,以及擔心個資被他人不當使用等。因此,法院衡量雙方的情況後認為,消費者要求賠償非財產上的損失,即精神撫慰金,是合理的。

因此,高等法院判決業者應該賠償消費者非財產上的損失,金額為每人每一事件上限額的新台幣 2 萬元。然而,對於消費者受騙而導致的財產損失,業者則沒有賠償責任。

刪除並停止利用個人資料

在刪除並停止利用個人資料部分,高等法院與地方法院的判決結果不同。地方法院認為,業者應刪除消費者包括電話號碼在內的所有個人資料,而高等法院則認為,沒有證據證明業者仍然留存消費者的所有個資,而其理由在於:

  • 業者主張已刪除消費者「姓名」、「購買紀錄」等個資,並提出電腦系統截圖為證。
  • 消費者所提Line訊息截圖顯示,可由消費者自行解除與「北投麗禧LINE官方」好友關係,從而避免收到訊息。
  • 1121025日的電子折讓單通知信是由電子發票加值中心認證業者鯨躍公司發送,而不是業者發送的。

因此,高等法院判決業者無須刪除並停止利用消費者所有個人資料。

未查明後以適當方式通知

至於消費者主張業者未按照個資保護法規定,在個資外洩後以適當方式通知消費者,未盡事後通報之責等疏失,法院認為這些行為與消費者受騙的金錢損失結果之間並無相當因果關係,因此無需進行審究。

高等法院認為無相當因果關係的理由在於:

  • 消費者遭受財產損失是由於遭到詐騙集團施以詐術所致。
  • 業者侵害消費者隱私權、個資自主權的行為與消費者遭受財物損失之侵害結果之間,難謂有相當因果關係。

高等法院認為,消費者隱私權、個資自主權受到侵害,是由於墨攻科技未盡採取適當安全措施,以及麗禧酒店未對墨攻科技進行適當監督所致。因此,業者是否未以適當方式通知消費者、未盡事後通報之責,與消費者受有財物損失之侵害結果無關。

小結

由高等法院判決可以觀察到,有關於損害賠償的部份,其條件係:

  • 違反個資法第27條第1項採行適當之安全措施
  • 資料主體受有損害
  • 損害與侵權行為之間存在相當因果關係

同時,根據高等法院判決可以整理出以下幾個重點:

A.        舉證責任

雖然舉證責任仍然在消費者端,但因個資全部存放於業者端,消費者無從自行使用、管理,因此減輕消費者的舉證責任

B.        採取適當安全措施

單純的片段截圖或抽象之管理規範文件無法證明已採取適當的安全措施,必須提出更確實的證明以符合法規要求。

C.        事後改善與否

雖然事後改善措施可以顯示業者對於個資保護的重視,但並不能否定業者事先的疏失導致個資外洩的事實。

D.       行政調查程序與訴訟事件程序

政調查程序與訴訟事件程序,在程序、目的等方面均有所不同。因此,行政調查程序的認定並不具有約束法院的效力。

E.        財產上損失與非財產上損失

個資外洩並不必然導致消費者受詐騙且受有財物損失的侵害結果,故無相當因果關係,但可能造成消費者身心受創之非財產上損失。

F.         通知消費者與否

雖然通知消費者對於消費者權益的保護具有一定程度的幫助,但並不能防止個資外洩的事實發生。因此,通知消費者與否與個資外洩與否並無相當因果關係。

結尾

高等法院判決表彰了業者對於個資外洩所造成的損害是必須負責的,此部份是值得讚許,但也仍有部份判斷存在爭議。

  • 加強消費者權益保護的部份在於,高等法院明確認為,雖然舉證責任仍然在消費者端,但因個資全存放於業者端,消費者無從自行使用、管理,因此減輕消費者之舉證責任。就本案來看,消費者只要能夠證明到詐騙集團的聯絡時間晚於使用網站時間,且已清楚掌握透過系統訂購商品所需輸入個資,再輔以業者系統有遭攻擊而外洩個資之情形,即可認為消費者已盡舉證之責,且非財產上損失部份則因消費者身心受創,因此基本上消費者如有請求即有成立可能性。
  • 至於對消費者較為不利的部份則在於,財產上損失會容易因為「必然性」而喪失,也就是說,如果在相同情況下,僅有少數人會遭詐騙時,則業者之過失行為與消費者之財物損失結果間,難謂有相當因果關係。但事實上,高等法院的判決結果過於限縮,忽略了個資外洩對於消費者財產上損失的潛在影響,如果業者有盡到個資保護的義務,就不會導致消費者個資外洩,詐騙集團便無法取得消費者個資,進而施以詐術,因此,是否不該當相當因果關係或有討論空間。
  • 另外,高等法院未審究關於個資外洩查明後以適當方式通知消費者、未盡事後通報之責等疏失的部份,其主要理由在於墨攻科技未盡採取適當安全措施之責,而麗禧公司未為適當監督之行為所致,與事後通知當事人無涉。其實回歸該條文之立法精神,目的在於降低外洩當事人受詐騙的可能性,如業者能於個資外洩後,立即通知當事人個資已外洩之事實,使當事人知悉該等狀況,而非僅僅以「防詐騙提醒」處理,則當事人知悉該等狀況,即可採取必要措施,例如變更密碼、提高警覺等,或可降低損害發生之可能性,因此,是否可驟認二者間無相當因果關係仍有爭議。

其實如果要使業者能夠了解到個資保護的重要性,以現行民事判決來看,對業者的嚇阻力仍稍嫌不足,因為以實際的狀況,會被詐騙的人就比例上來看仍是低的,而財產上損害也會因此下降其賠償可能性,因此,倒不如要求行政部門加強監督稽查的強度,並加重罰則並公佈名單,可能會更有效地推動業者加強個資保護,降低個資外洩的風險,如此一來不僅可以提高業者的警覺性,也有助於建立更積極的個資保護文化。

 

 

 

 

 

 

標籤:
位置: 台灣臺北

留言

張貼留言

熱門文章