臺灣新北地方法院民事判決114年度重勞訴字第7號原 告 砌禾數位動畫股份有限公司法定代理人 王俊雄訴訟代理人 林睿群律師被 告 陳蕙卿訴訟代理人 鍾信一律師
吳明蒼律師上列當事人間請求損害賠償事件,本院於民國114年9月9日言詞辯論終結,判決如下:
主 文原告之訴及其假執行之聲請均駁回。
訴訟費用由原告負擔。
事實及理由
一、原告主張:㈠緣原告為動畫特效製作公司,經營業務除遊戲角色及場景製
作外,亦跨足廣告及電影特效領域,與多家日本知名遊戲廠商如SQUARE ENIX(遊戲太空戰士系列)均有合作關係。又被告本為原告法定代理人之配偶,並於民國98年7月1日起受僱於原告,於113年9月13日與被告終止僱傭關係,終止前最後職稱為副總經理,職務內容為契約審閱簽核、人事簽核等重要管理職。嗣109年12月11日,原告竟遭境外不明人士攻擊內部網路並散布勒索軟體LockBit,將原告重要電腦檔案擅自加密並勒索原告,造成原告當時多項進行中之作品無法確實履行交付予客戶,不但受有無法履約之損失,亦有多項作品須重新製作後再交付予客戶,造成原告當時至少花費2個月之時間才將損失降至最低,付出之人力成本及時間成本甚鉅。
㈡其後,原告遂起訴負責之資訊安全公司即訴外人智聯服務股
份有限公司(下稱智聯公司),然經臺灣高等法院(案號:111年度重上字第551號損害賠償事件,下稱另案二審;原審案號:臺灣臺北地方法院110年度重訴字第403號,下稱另案一審)傳喚證人後,原告始知係因當時負責審定合約及簽核之被告,對於智聯公司業務人員安家慶詢問是否購買「系統管理-防毒」、「網路管理-firewall」一事未予簽核所致。
由此可知,原告與智聯公司所簽訂之專業人力駐廠服務合約書(下稱系爭合約)竟未約定智聯公司應建立資安系統及防毒軟體之安裝。被告既為原告之副總經理,職責為各式契約審閱及簽核,其明知原告為動畫製作公司,資訊安全為公司極為重視之部分,竟疏未將資訊安全事項及防毒軟體建設之部分納入系爭合約,造成原告嗣後輕易遭不知名人士以勒索軟體攻擊,因此受有重大損失,且參以智聯公司實為宏碁集團子公司之一,主要負責向宏碁集團購置電腦系統之相關資訊服務,既然原告所購買之防毒軟體及防火牆係向宏碁公司及安碁公司購置,顯然是否有與智聯公司達成防毒軟體之防護及維護即至關重要,然被告竟疏於此部分契約條款未與智聯公司訂定,顯屬違反其應注意之義務,自應對於原告之損失負損害賠償責任。
㈢原告得向被告請求賠償之金額合計為994萬3,025元,其項目及各項金額如下:
⒈「FF14P6」專案報酬損失400萬9,500元:
日本SQUARE ENIX公司委託原告製作「PF14P6」專案,原定原告應於110年2月底交件,惟因本次事件導致原告製作延宕,該公司遂終止合約,並僅願支付原告日幣550萬元,原告因而受有日幣1,485萬元預期利益之損失,約為新臺幣(下同)400萬9,500元(以臺灣銀行110年5月5日日幣之賣出匯率計算,參另案一審卷第111頁)。
⒉「SMOKE_ANI」專案報酬損失300萬1,050元:
日本Polygon Pictures公司委託原告製作「SMOKE_ANI」專案,惟因本次事件導致原告製作延宕,該公司遂取消合約。故原告受有日幣1,111萬5,000元預期利益之損失,約為300萬1,050元(以臺灣銀行110年5月5日日幣之賣出匯率計算,參另案一審卷第117頁)。
⒊「CG7」專案報酬損失34萬5,944元:
中國蘇州疊紙網絡科技股份有限公司委託原告製作「CG7」專案,惟因本次事件導致原告製作延宕,該公司遂取消合約,並僅願支付原告人民幣51萬9,660元,原告因而受有人民幣8萬0,340元預期利益之損失,約為34萬5,944元(以臺灣銀行110年5月5日人民幣之賣出匯率計算,參另案一審卷第121頁)。
⒋「PRA」專案報酬損失16萬2,000元:
日本Polygon Pictures公司委託原告製作「PRA」專案,惟因本次事件導致原告製作延宕,該公司遂取消合約,原告因而受有日幣60萬元預期利益之損失,約為16萬2,000元(以臺灣銀行110年5月5日日幣之賣出匯率計算,參另案一審卷第123頁)。
⒌「JWT」專案重新製作成本141萬8,046元:
因本次事件導致原告多數電腦遭鎖,必須重新製作專案內容,預估需花費141萬8,046元之製作成本使能將之回復至事發前應有之狀態(參另案一審卷第103頁)。
⒍「HUSKY」專案重新製作成本37萬1,157元:
因本次事件導致原告多數電腦遭鎖,必須重新製作專案內容,預估需花費37萬1,157元之製作成本使能將之回復至事發前應有之狀態(參另案一審卷第103頁)。
⒎支付駭客解碼器贖金22萬4,800元:
原告為將受鎖之檔案解開,依駭客之指示不得已支付價值約美金8,000元之比特幣予駭客,致生原告約22萬4,800元之損害(以臺灣銀行110年5月5日美金之賣出匯率計算,參另案一審卷第73頁)。
⒏購買緊急備份用硬碟36萬7,450元:
原告為避免電腦系統再次受到攻擊,於事後隨即購買緊急備份用硬碟,以建立無汙染之電腦系統環境,共計支出36萬7,450元(參另案一審卷第95頁)。
⒐額外支付之加班費4萬3,078元(參另案一審卷第101頁)。
㈣爰依民法第184條第1項前段規定,提起本件訴訟等語。併為
聲明:被告應給付原告994萬3,025元,及自起訴狀繕本送達翌日起至清償日止,按年息百分之5計算之利息。並陳明願供擔保請准宣告假執行。
二、被告則以:㈠本件駭客於109年10月21日即透過中國IP位址61.149.219.18
,利用原告員工帳號「jimao」入侵原告電腦系統,嗣於同年11月26日再以保加利亞IP位址188.119.149.166,使用原告員工帳號「shiro923」發動攻擊,雖攻擊未果,惟於同年間共計進行4次攻擊後,最終於同年12月11日透過帳號「acerast」成功散布勒索軟體,致使原告系統檔案遭加密,進而被駭客勒索。本件駭客係持續透過原告內部多名員工之正確帳號及密碼登入系統而為入侵,並非一般惡意程式或病毒自外部滲透所能比擬。再者,縱使原告已設置資訊安全防護與防毒機制,然駭客係以正確帳號及密碼登入系統,系統自認該等登入為合法使用者操作,即使另增設防護措施,亦難以識別或阻斷此類行為。是以,難謂原告設置資安防護,與駭客是否成功入侵並造成損害間具有因果關係,自無遽認被告有何行為與原告所受電腦損害間有因果關係,至為明確。甚且,另案判決僅能證明,原告所主張之損害賠償事項未能證明與智聯公司所提供之服務具關聯性,且所載內容亦不足以直接論證被告在本件中是否有未盡注意義務,則與被告是否存在過失之認定並無直接關聯。
㈡綜上,原告未能舉證證明其所受損害與被告行為之間存在因
果關係,且縱使原告已設置資安防護措施,駭客仍係以正確帳號及密碼登入原告內部系統,屬於系統認定之合法使用者行為,在此情況下,自難認資安防護措施之設置與否,與駭客入侵及損害之發生具有因果關係,更遑論以此逕行認定被告於本件中有何侵權行為而致被告受有損害。再者,就原告所主張損害,亦無從僅憑其發生,即推論被告存有過失或應負侵權責任。併參以原告所指稱之損害內容,主要係因檔案遭加密所生專案延宕、人力耗損等,均屬企業營運過程中所生之間接損失,其性質實係營業上之經濟損失,並非因權利直接受侵害所致,況駭客係就原告檔案進行加密,無損原告對檔案權利等,自難遽認原告對其動畫內容之權利遭受侵害,是原告所受損害即屬純粹經濟上損失,自無從依民法第184條第1項前段規定請求損害賠償。
㈢又關於原告請求被告賠償994萬3,025元部分,原告迄今未曾
提出任何具體損害項目之實際支出或明確金額作為計算依據,僅片面主張請求被告負擔損害賠償,顯然不足採信。尤有甚者,就「FF14P6」、「SMOKE_ANI」、「CG7」、「PRA」、「JWT」、「HUSKY」等專案,原告既未具體說明各該專案之重新製作成本,亦未明確指出因此所生之報酬損失,致難以確認其是否確實因而受有損害。既然實際損害額無從得知,自難逕以原告主張之數額作為損害賠償之標準或範圍。換言之,原告僅以抽象概述方式聲稱損害,難謂已盡舉證責任,且亦不符損害賠償應以實際損害為限之基本原則。甚且,其中部分專案損害金額係以美元、日圓或人民幣換算為新臺幣後作為請求基礎,惟原告並未說明何以係以110年5月5日之外幣賣出匯率係為計算依據,自應以起訴時之匯率作為計算基礎,始為合理,況原告於另案中就其請求曾有擴張或減縮之聲明,然於本件訴訟中卻仍沿用未變更前之金額作為請求標準,前後主張顯然矛盾。
㈣併為答辯聲明:原告之訴及假執行之聲請均駁回。並陳明如受不利判決,願供擔保請准宣告免為假執行。
三、兩造不爭執之事項:㈠被告自98年7月1日起受僱於原告,於113年9月13日經原告終
止與被告間僱傭關係(兩造間目前經本院114年度勞訴字第7號確認僱傭關係存在訴訟審理中),被告於終止契約前之最後職稱為副總經理。
㈡被告於109年7月20日洽談並代表原告與智聯公司簽署專業人力駐廠服務合約書。
㈢原告之電腦系統於109年12月11日遭外來攻擊者攻擊內部網路,並散布勒索軟體LockBit。
㈣原告於109年12月15日函請安碁資訊股份有限公司做成「砌禾
數位調查事件」報告書,且被告對於報告書之形式上真正並不爭執。
㈤原告與智聯公司間另案第二審民事判決,因原告未上訴於113
年6月21日確定。
四、法院得心證之理由:㈠按依民法第184條第1項前段、後段及第2項規定,侵權行為之
構成有3種類型,即因故意或過失之行為,不法侵害他人權利,或因故意以背於善良風俗之方法加損害於他人,及行為違反保護他人之法律,致生損害於他人,各該獨立侵權行為類型之構成要件有別。又民法第184條第1項前段所保護之客體,原則上為既存法律體系所明認之權利(固有利益),而不及於權利以外之利益,特別是學說上所稱之純粹經濟上損失或純粹財產上損害,以維護民事責任體系上應有之分際,並達成立法上合理分配及限制損害賠償責任,適當填補被害人所受損害之目的。所謂純粹經濟上損失或純粹財產上損害,係指其經濟上之損失為「純粹」的,未與其他有體損害如人身損害或財產損害相結合者而言(最高法院103年度台上字第178號、113年度台上字第1027號判決意旨參照)。復按侵權行為損害賠償責任,須行為人因故意過失不法侵害他人權利,亦即行為人須具備歸責性、違法性,並不法行為與損害之發生間有相當因果關係,始能成立,且主張侵權行為損害賠償請求權之人,對於侵權行為之成立要件應負舉證責任。民事訴訟如係由原告主張權利者,應先由原告負舉證之責,若原告先不能舉證,以證實自己主張之事實為真實,則被告就其抗辯事實即令不能舉證,或其所舉證據尚有疵累,亦應駁回原告之請求(最高法院17年上字第917號判決意旨參照)。
㈡原告主張被告原擔任原告之副總經理,職司各式契約審閱及
簽核,詎疏未注意將資訊安全事項及防毒軟體建設部分,納入與智聯公司簽訂之系爭合約,違反其應注意之義務,致原告之電腦系統於109年12月11日遭外來攻擊者攻擊內部網路,並散布勒索軟體,將原告重要電腦檔案擅自加密並勒索原告,造成原告無法對客戶履約之損失,爰依民法第184條第1項前段規定,請求被告賠償994萬3,025元等語。被告則否認應負侵權行為損害賠償責任,並以前揭情詞置辯。經查,原告請求被告賠償有關「FF14P6」專案報酬損失400萬9,500元、「SMOKE_ANI」專案報酬損失300萬1,050元、「CG7」專案報酬損失34萬5,944元、「PRA」專案報酬損失16萬2,000元、「JWT」專案重新製作成本141萬8,046元、「HUSKY」專案重新製作成本37萬1,157元、支付駭客解碼器贖金22萬4,800元、購買緊急備份用硬碟36萬7,450元及額外支付加班費4萬3,078元等損害,均乃獨立於人身或所有權之外而直接遭受財產上之不利益,非因人身或物權等既存法律體系所明認之權利被侵害而伴隨衍生之損害,屬學說上所稱之純粹經濟上損失或純粹財產上損害,依前揭說明,即與民法第184條第1項前段所定要件不符,原告自不得依上開規定請求被告負侵權行為損害賠償責任。再者,原告雖主張其電腦系統遭外來攻擊者攻擊內部網路並散布勒索軟體,係因負責審定合約及簽核之被告,對於智聯公司業務人員安家慶詢問是否購買「系統管理-防毒」、「網路管理-firewall」一事未予簽核所致云云。然倘經被告簽核購買上開產品,是否即得防免原告之電腦系統遭外來攻擊者攻擊及遭散布勒索軟體,尚非無疑,此觀證人即智聯公司工程師陳宗群在另案二審結證稱:事前預防勒索軟體侵入電腦,要做到不要下載非法軟體,例如破解軟體、來源不明檔案,如果擔心勒索軟體攻擊,可以先備份檔案,要購買防毒軟體或行為偵測的系統。就我所知,砌禾公司有25台可對外連線的電腦有裝防毒軟體,動畫工程師的電腦不能連外網,就沒有防毒軟體。砌禾公司沒有行為偵測系統。有關109年12月勒索軟體入侵砌禾公司電腦的事件,我只知道駭客進來發動勒索軟體,但如何做到,我不清楚。我沒有建議砌禾公司購買行為偵測系統,只有建議過砌禾公司購買備份軟體,因為智聯公司有販賣備份軟體等語即明(見另案第二審卷一第350頁至第352頁),足見原告之電腦系統遭勒索軟體入侵之原因實有多端,自亦難認原告已舉證證明與被告行為之間存有相當因果關係。從而,原告依民法第184條第1項前段規定,請求被告賠償其前揭所受損失994萬3,025元,洵屬無據。
五、綜上所述,原告依據民法第184條第1項前段之規定,請求被告給付994萬3,025元,及自起訴狀繕本送達翌日起至清償日止,按年息百分之5計算之利息,為無理由,應予駁回。又原告之訴既經駁回,其假執行之聲請,亦失其依附,應併予駁回。
六、本件事證已臻明確,兩造其餘主張、攻擊或防禦方法及所提之證據,均核與本案判決所認結果不生影響,爰毋庸逐一論述,附此敘明。
七、訴訟費用負擔之依據:民事訴訟法第78條。中 華 民 國 114 年 11 月 10 日
勞動法庭 法 官 王士珮以上正本係照原本作成。
如對本判決上訴,須於判決送達後20日內向本院提出上訴狀。如委任律師提起上訴者,應一併繳納上訴審裁判費。
中 華 民 國 114 年 11 月 10 日
書記官 李依芳