臺灣臺中地方法院民事判決111年度訴字第2708號原 告 任孝祥被 告 台灣迪卡儂有限公司法定代理人 紀杰夫訴訟代理人 賴哲正上列當事人間請求損害賠償等事件,經臺灣臺北地方法院移送前來,本院於民國112年2月15日言詞辯論終結,判決如下:
主 文
一、被告應給付原告新臺幣伍萬玖仟壹佰伍拾柒元,及自民國一百一十一年七月八日起至清償日止,按週年利率百分之五計算之利息。
二、原告其餘之訴駁回。
三、訴訟費用由被告負擔十分之一,餘由原告負擔。
四、本判決原告勝訴部分得假執行。但被告如以新臺幣伍萬玖仟壹佰伍拾柒元為原告預供擔保,得免為假執行。
五、原告其餘假執行之聲請駁回。事實及理由
壹、原告主張:
一、原告於民國108年3月間使用被告之線上平台購物,因此在該平台上輸入姓名、生日、手機、地址、電郵等個人資料,加入會員。然被告違反個人資料保護法(下稱個資法)第27條第1項及第12條之規定,未採行適當之安全措施妥善保管原告之個人資料,竟將之外洩,復於111年5月2日經第三人就被告將客戶個人資料外洩一事投訴媒體後,被告仍消極否認且未即時查明並通知其他客戶,致原告於111年5月18日接獲詐欺集團來電佯稱被告系統被駭,原告會員資料疑遭竄改,被加入高級會員,會有低消扣款,如欲取消高級會員資格,需依指示操作網路銀行辦理云云。原告因而陷於錯誤,依詐騙集團之指示陸續於附表所示時間匯出款項共計新臺幣(下同)571,573元,而受有財產上損害,並因個人資料外洩受有精神上痛苦。爰依個資法第29條第1項,及同條第2項適用同法第28條第2項規定,請求被告賠償財產上損害571,573元,及非財產上損害20,000元,共計591,573元等語。
二、並聲明(見臺灣臺北地方法院111年度訴字第3699號卷第11頁,下稱北院卷):被告應給付原告591,573元,及自起訴狀繕本送達翌日起至清償日止,按週年利率百分之五計算之利息。願供擔保請准宣告假執行。
貳、被告則以:原告之個人資料非從被告之資料庫洩漏,而是詐騙集團透過其他管道取得。被告有採行適當之安全措施,防止個人資料被竊取、竄改、毀損、滅失或洩漏,並未違反個資法第27條規定。被告早於原告遭到詐騙之前,即於111年4月26日在官網利用彈出視窗、LINE推播訊息及在臉書粉絲頁發佈反詐騙公告,提醒消費者預防詐騙,並於翌(27)日向會員發出反詐騙提醒簡訊及電子郵件,並未違反個資法第12條規定。原告遭受詐騙,係因詐騙份子積極實施詐騙行為所致,與原告個人資料遭到不法蒐集不具相當因果關係。且原告匯款時間前後差異時間達7個小時,不合常理等語置辯。
並聲明:原告之訴及假執行之聲請均駁回。
參、得心證之理由:
一、原告主張其在被告之線上平台購物,因此在該平台上輸入姓名、生日、手機、地址、電郵等個人資料,加入會員等情,業據原告提出其於被告平台購物之訂單紀錄,記載原告歷次購買之物品、配送方式、付款方式、訂單金額及日期等,最後一次購買紀錄為原告於111年3月20日購買長袖水母衣及緊身褲;並有原告留存之姓名、地址、手機電話、電郵帳號等個人資料為證(見北院卷第51-55頁),被告亦不否認原告曾利用其平台購物(見本院卷第85頁)。足見被告之網站平台因原告之購物行為而取得原告之個人資料,並進而將該個人資料記錄、儲存而保有之。
二、原告復主張其於111年5月18日接到自稱被告客服人員之電話,正確說出原告姓名及原告曾向被告購買褲子,並稱被告公司遭駭客入侵,致原告會員資料疑遭竄改,被加入高級會員,會有低消12,000元的扣款,而向原告確認是否要保留該高級會員資格,原告說要取消,對方表示會請銀行跟原告聯繫;其後原告又陸續接獲自稱台新銀行人員之電話,稱受被告急件委託,請原告操作網路銀行輸入驗證碼以取消高級會員,又告知原告因有數個銀行帳戶有互相設定約定轉帳,均要加密驗證碼等語,原告乃依詐騙集團之指示陸續於附表所示時間匯款共計571,573元等情,與原告於111年5月19日至臺北市政府警察局大安分局瑞安街派出所報案時所述情節大致相符,有該所調查筆錄附卷可稽(見本院卷第131-135頁),復據原告提出如附表所示匯款之轉帳資料可證(見本院卷第261-266頁)。而被告就原告因遭詐騙而匯出如附表所示之款項亦不爭執(見本院卷第352頁),堪認原告此節主張為可採。
三、按「非公務機關保有個人資料檔案者,應採行適當之安全措施,防止個人資料被竊取、竄改、毀損、滅失或洩漏。」「非公務機關違反本法規定,致個人資料遭不法蒐集、處理、利用或其他侵害當事人權利者,負損害賠償責任。但能證明其無故意或過失者,不在此限。依前項規定請求賠償者,適用前條第2項至第6項規定。」個資法第27條第1項、第29條第1、2項分別定有明文。又按被害人雖非財產上之損害,亦得請求賠償相當之金額。同法第28條第2項亦有明文。原告主張上開詐騙集團所利用之包含原告向被告購買之物品內容等個人資料,係自被告所保有之個人資料洩漏,且被告並未採行適當之安全措施等情,為被告所否認,並辯稱原告之上開個人資料係詐騙集團透過其他管道取得,被告有採行適當之安全措施等語。經查:
(一)詐騙集團所利用之原告個人資料,係自被告保有之個人資料洩漏:
1、自111年1月1日起至同年9月30日止,因接到詐騙集團冒用被告名義詐騙而向內政部警政署刑事警察局通報之案件數量,自111年1月1日起至同年4月30日止共計45件,自同年5月1日起至9月30日止則暴增至540件等情,有該局111年10月5日刑防字第1117009683號函附卷可稽(見本院卷第23頁)。內政部警政署刑事警察局並自111年4月25日起至同年9月18日止,連續將被告列為「解除分期付款詐騙」類型之高風險賣場等情,亦有該局公告足資佐證(見北院卷第99-104頁、本院卷第71-73頁)。
2、參以被告於111年4月26日於其臉書粉絲團發布訊息以:被告不會以任何名義透過電話、簡訊的方式核對購物資訊、銀行帳戶跟信用卡號等私人資訊,也不會以任何理由(例如:誤設分期付款或連續扣款、誤植訂單、補繳金額、取消或變更付款方式、會員升級服務等)要求您操作ATM或臨櫃、網路銀行匯款,若您接獲類似電話或簡訊,請勿提供任何資訊,並立即掛斷以確保您的權益,若有任何問題,您可以私訊被告粉絲專頁,或來信客服信箱查證,也可以撥打165反詐騙專線諮詢等語,並張貼:「公告:提醒您,迪卡儂不會以電話或簡訊請您提供銀行帳戶、信用卡資料或要求操作ATM付款,若您接獲類似詐騙電話,請勿提供任何資訊,並立即掛斷以確保您的權益,若有疑問請洽迪卡儂客服中心」(下稱系爭反詐騙公告)之後,即陸續有多筆留言,表示「我剛剛也接到,是2月份的購買紀錄」、「剛剛也有接到,跟我說我在4月買過的東西,還真的有講對,很怪,貴公司的個人資料明顯有外洩」、「我剛接到電話,是4月份的購物紀錄,如此不安全的網路購物環境,誰敢再買」、「剛才也接到說4月購買紀錄」、「我今天也接到了,知道我手機及家裡地址和我購買的東西,很明顯個人資料外洩了」、「我也接到電話,還知道我買什麼東西,個人資料都洩露了」、「我也中了,居然連我買的東要都知道」、「但是詐騙的人怎麼會知道我們買了什麼東西跟電話?你們的客戶資料是不是被別人入侵了呀,我今晚才剛接到電話」、「貴公司資安真的該檢討了,詐騙電話知道我的姓名、幾月幾號在你們家網站買了甚麼都一清二楚」、「剛剛接到詐騙電話,對方知道我姓名、買了甚麼、多少錢,用甚麼信用卡,對迪卡儂非常失望,個人資料都外洩」等語,有被告臉書粉絲團所載系爭反詐騙公告及上開留言資料在卷足憑(見本院卷第247-250頁),並為被告所不爭執(見本院卷第255頁)。
3、觀之上開留言內容及系爭反詐騙公告所列舉之詐騙集團手法,與原告遭詐騙之情節(詐騙集團知悉原告姓名及曾購買褲子,並要原告取消會員升級服務等)相符,是被告客戶之個人資料外洩,顯非單一個案。綜合111年1月至9月間冒用被告名義詐騙而通報之案件數高達500餘件,及被告自111年4月25日起至同年9月18日止,連續遭刑事警察局公告為「解除分期付款詐騙」類型之高風險賣場等情,堪認詐騙集團所利用之原告個人資料,係自被告保有之個人資料洩漏。被告空言泛稱係詐騙集團透過其他管道取得云云,要無可取。
(二)被告未採行適當之安全措施,防止原告之個人資料被竊取、竄改、毀損、滅失或洩漏:
1、被告抗辯伊已盡適當之安全維護措施,並提出被告伺服器之安全群組配置頁面截圖及中文註解、內部管理程序清單、被告111年5月24日回覆經濟部函文、被告資訊安全防護措施列表、被告與合作廠商間關於個人資料保護約定條款節本等為證。惟依被告伺服器之安全群組配置頁面截圖及中文註解,顯示其安全群組建立時間為109年3月12日(見本院卷第243頁),嗣被告於最後一次編輯日期為110年8月9日之內部管理程序清單中,關於資訊安全架構項目,仍有「使用者登錄控制管理政策」、「配置政策」、「漏洞及維護政策」、「風險分析政策」、「系統&通信完整性政策」等項目,尚在「擬訂中」(英文版見北院卷第129-130頁,中文版見本院卷第143-147頁),自難謂被告於原告受騙前,關於保有個人資料所採取之安全措施為適當。
2、又被告所提之資訊安全防護措施列表(見北院卷第131-134頁)及111年5月24日回覆經濟部之函文內容(見本院卷第153-189頁),係因經濟部於111年5月9日函請被告將疑有個人資料外洩而違反個資法一事查明,乃由被告事後自行製作,此為被告所自承(見本院卷第80頁),尚難執為被告於事前已盡適當安全維護措施之認定。況且,依被告所提疑似個資外洩事件發生後之後續強化措施清單,亦有「進一步限縮可以訪問訂單管理系統的IP位址」、「訂單管理系統與物流廠商間的資料傳輸,在原本限定傳送來源及目的外,再對傳輸資料進行加密」等措施(見北院卷第155頁),益見被告於原告受騙時所採取之安全措施,尚有應加強之處。至於被告與合作廠商間關於個人資料保護之約定條款節本(見北院卷第135-140頁),僅能證明被告與該廠商之合約內容,無從推認被告已採行適當之安全措施以防止個人資料外洩。
3、另被告於111年5月24日將疑似個人資料外洩違反個資法一案之說明回覆經濟部後,經濟部於111年9月間將上開業務資料移交數位部數位產業署,該署迄111年11月4日固尚未依個資法第48條規定命被告限期改正或對被告裁處罰鍰。
惟數位發展部復於111年11月1日函請被告將疑似個人資料外洩違反個資法一案查明回覆該部,經被告回覆後,該部再於111年12月29日發函被告以仍須觀察至112月2月23日止,再視觀察期間是否再有內政部警政署通報疑似個人資料外洩案件判斷結案與否等語,分別有數位發展部數位產業署111年11月4日產經字第1110000984號函、數位發展部111年11月1日數授產平字第11100009091號函、111年12月29日數授產經字第1110002699號函附卷可證(見本院卷第
137、323-327頁)。是個資法之主管機關就被告疑似個人資料外洩一事既尚未調查完畢,自難推認被告已採行適當之安全措施以防止個人資料外洩。故被告此節所辯,尚不足取;原告主張被告未採行適當之安全措施,防止原告之個人資料被竊取、竄改、毀損、滅失或洩漏,自堪採信。
(三)被告復辯稱原告遭受詐騙,係因詐騙份子積極實施詐騙行為所致,與原告個人資料遭到不法蒐集不具相當因果關係等語。按損害賠償之債,固以有損害之發生及有責任原因之事實,並兩者之間,有相當因果關係為成立要件,惟所謂相當因果關係,係指無此行為,雖必不生此結果,但有此行為,按諸一般情形即足生此結果者而言。須無此行為,必不生此結果,有此行為,按諸一般情形亦不生此結果,始得謂為無相當因果關係(最高法院83年度台上字第2261號判決意旨參照)。本件第三人利用被告未採行適當安全措施之機會,取得被告所保有之會員個人資料(含會員購買紀錄),一般而言即係做為非法用途,而詐欺集團取得上開個人資料後,即假冒被告名義利用該個人資料以詐騙包含原告之被告會員,致原告受騙而受有損害。故被告未採行適當安全措施以防止其保有之包括原告之個人資料洩漏之行為,按諸上開一般情形,即足生原告因遭詐欺集團利用其個人資料而受騙致生損害之結果,兩者間應具有相當因果關係。是被告此節所辯,亦無足取。
(四)被告保有原告之個人資料,卻未依個資法第27條第1項規定採行適當之安全措施,以防止原告資料被竊取、竄改、毀損、滅失或洩漏,致原告個人資料遭詐騙集團不法利用而受騙並匯款與詐騙集團等情,堪以認定。被告既未能證明其無故意或過失,是原告主張被告違反上開規定,依同法第29條第1、2項規定請求被告負損害賠償責任,自屬有據。
四、次按公務機關或非公務機關違反本法規定,致個人資料被竊取、洩漏、竄改或其他侵害者,應查明後以適當方式通知當事人。個資法第12條定有明文。該條文之立法理由為:「按當事人之個人資料遭受違法侵害,往往無法得知,致不能提起救濟或請求損害賠償,爰規定公務機關或非公務機關所蒐集之個人資料被竊取、洩漏、竄改或遭其他方式之侵害時,應立即查明事實,以適當方式(例如:人數不多者,得以電話、信函方式通知;人數眾多者,得以公告請當事人上網或電話查詢等),迅速通知當事人,讓其知曉。」經查:
(一)被告辯稱於其會員個人資料疑遭外洩後,已於111年4月26日於其官網及臉書粉絲團刊登系爭反詐騙公告,並發送系爭反詐騙公告之簡訊,及相關內容之電子郵件(內容有記載會員姓名)給會員等情,業據提出上開官網及臉書粉絲團頁面、簡訊及電子郵件、簡訊發送紀錄等附卷可稽(見北院卷第141-143頁)。
(二)原告固不爭執被告於其官網及臉書有公告上開訊息,但稱未收到簡訊及電子郵件(見北院卷第189頁)。而被告並未舉證證明其曾發送有上開內容之簡訊及電子郵件給原告,固無從認定被告曾以個別方式,將個人資料洩漏一事通知原告。惟因被告為銷售運動用品之知名廠商,會員眾多,依個資法第12條前述立法意旨,被告自非不得以公告方式通知會員。被告既已於其官網及臉書將含有疑似個人資料外洩之內容予以公告,以提醒會員注意,應認被告尚無違反個資法第12條之規定。是原告主張被告違反該條規定,依同法第29條第1、2項規定請求被告負損害賠償責任,尚非有據。
五、原告因被告違反個資法第27條第1項規定,遭詐騙集團以假冒被告人員等名義,騙取如附表所示之571,573元,且原告之隱私權亦遭侵害,精神上自受有痛苦,則原告依同法第29條第1項規定,請求被告就上開財產損失571,573元負損害賠償責任,並依同條第2項適用同法第28條第2項規定,請求被告賠償非財產上之損害,自屬有據。本院審酌原告為碩士畢業,職業律師,月收入約8萬元,名下無不動產及車輛但有多筆投資,110年有薪資、利息、投資收入等;被告為銷售運動用品之知名廠商,資本總額達696,000,000元(見北院卷第39頁),及本件侵害情節等一切情狀,認原告請求被告賠償非財產上損害2萬元,應屬相當。故原告得請求被告賠償之金額,合計為591,573元。
六、再按損害之發生或擴大,被害人與有過失者,法院得減輕賠償金額,或免除之,民法第217條第1項定有明文。原告因被告所保有之個人資料洩漏遭詐騙集團利用而受騙,致受前開損害,固如前述,然衡以現今社會詐騙集團橫行,遭詐騙事件層出不窮,電視新聞、報章媒體多年來均對此類事件多所報導及分析。再者,內政部警政署刑事警察局自111年4月25日起至同年9月18日止,連續將被告公告為高風險賣場,該公告並一併記載:「上述(指被列為高風險之賣場)客服不會來電要求您操作網路銀行或ATM解除錯誤設定。千騙萬騙離不開ATM」等語(見北院卷第99-104頁、本院卷第71-73頁);而原告為碩士畢業,職業為律師,並曾承辦詐騙集團之相關案件(見本院卷第343-347頁),為具有相當智識之成年人,是原告縱未收到被告所發送含有系爭反詐騙公告之簡訊或電子郵件,亦應有相當之警覺性。原告於111年5月18日接到詐欺集團以電話聲稱其會員資料遭竄改而被加入高級會員之時,就此非常態事實,非不得拖延時間上網求證,即可獲悉被告已於111年4月26日在官網或臉書粉絲團所刊登系爭反詐騙公告,卻又在長達約7個小時之內陸續匯款與詐騙集團,應認原告就本件損害之發生及擴大亦有過失。本院斟酌上開事件過程之一切情狀,認原告應負擔90%之過失責任,被告應負擔10%之過失責任,始為公允。依此過失比例減輕被告之賠償金額,則原告所得請求之賠償金額為59,157元(計算式:591,573×10%=59,157,元以下四捨五入),逾此範圍之主張,則屬無據。
肆、綜上所述,原告依個資法第29條第1 項,及同條第2 項適用同法第28條第2 項規定,請求被告給付59,157元,及自起訴狀繕本送達翌日即111年7月8日起(見北院卷第81頁)至清償日止,按年息百分之五計算之法定遲延利息,為有理由,應予准許。逾此範圍之請求,為無理由,應予駁回。
伍、本件原告勝訴部分所命給付金額未逾50萬元,應依職權宣告假執行;另被告陳明願供擔保聲請宣告免為假執行,經核亦無不合,爰酌定相當之擔保金額准許之。至原告敗訴部分,其假執行之聲請已失所依附,應予駁回。
陸、本件事證已臻明確,兩造其餘訴訟資料及攻擊防禦方法,經本院審酌後,認與判決結果尚不生影響,無逐一論述之必要,附此敘明。
柒、據上論結,本件原告之訴為一部有理由,一部無理由,依民事訴訟法第79條、第389 條第1 項第5 款、第392 條第2 項規定,判決如主文。中 華 民 國 112 年 3 月 15 日
民事第三庭 法 官 陳宗賢正本係照原本作成。
如對本判決上訴,須於判決送達後20日內向本院提出上訴狀。如委任律師提起上訴者,應一併繳納上訴審裁判費。
中 華 民 國 112 年 3 月 15 日
書記官 陳建分附表:原告因遭詐騙所匯款項:
1、111年5月18日下午5時及5時10分,自台新銀行帳戶分別匯出49,125元、22,577元。
2、111年5月18日下午6時43分及6時45分,自永豐銀行帳戶分別匯出49,986元、49,987元。
3、111年5月18日下午6時55分及6時59分,自台灣銀行帳戶分別匯出49,986元、49,987元。
4、111年5月19日凌晨0時11分及0時12分,自台新銀行帳戶分別匯出49,987元、49,988元。
5、111年5月19日凌晨0時20分及0時21分,自台灣銀行帳戶分別匯出49,987元、49,988元。
6、111年5月19日凌晨0時23分及0時24分,自永豐銀行帳戶分別匯出49,987元、49,988元。
以上合計571,573元。