臺灣臺中地方法院民事判決113年度訴字第2391號原 告 楊弘毅被 告 薰衣草森林股份有限公司法定代理人 王村煌訴訟代理人 王祈富被 告 緩慢股份有限公司法定代理人 王村煌共 同訴訟代理人 陳建三律師受告知訴訟人 森福德有限公司法定代理人 許瑞賓訴訟代理人 李振瑋上列當事人間請求損害賠償事件,本院於民國114年6月5日言詞辯論終結,判決如下:
主 文
一、被告緩慢股份有限公司應給付原告新臺幣2萬元,及自民國自113年8月29日起至清償日止,按週年利率百分之5計算之利息。
二、原告其餘之訴駁回。
三、訴訟費用由被告緩慢股份有限公司負擔百分之1,其餘部分由原告負擔。
四、本判決第一項得假執行。但被告緩慢股份有限公司如以新臺幣2萬元為原告預供擔保,得免為假執行。
事實及理由
壹、程序部分:按訴狀送達後,原告不得將原訴變更或追加他訴,但請求之基礎事實同一者,不在此限,民事訴訟法第255條第1項但書第2款定有明文。查原告起訴聲明為:薰衣草森林股份有限公司(下稱薰衣草公司)應給付原告新臺幣(下同)175萬4456元,及其中81萬1456元自民國112年9月5日起至清償日止,按週年利率百分之5計算之利息。嗣於113年9月27日(本院於113年9月30日收文)以民事追加被告狀追加緩慢股份有限公司(下稱緩慢公司)為被告,並變更聲明為:薰衣草公司、緩慢公司應連帶給付原告175萬4456元,及其中81萬1456元自112年9月5日起至清償日止,按週年利率百分之5計算之利息(見本院卷一第185頁)。再於114年1月9日言詞辯論庭變更聲明為:薰衣草公司、緩慢公司應連帶給付原告175萬4456元,及自起訴狀繕本送達翌日起至清償日止,按週年利率百分之5計算之利息(見本院卷一第628頁)。末於114年4月13日言詞辯論庭變更聲明為:薰衣草公司、緩慢公司應連帶給付原告175萬4456元,自113年8月29日起至清償日止,按週年利率百分之5計算之利息(見本院卷二第12頁)。經核原告上開變更係本於與其訴之同一基礎事實所為之追加、變更,核與上開規定相符,應予准許。
貳、事實部分:
一、原告主張:原告於112年5月12日透過台灣博房網訂管理諮詢股份有限公司(下稱博房網公司)之訂房網站(網址:https://www.booking.com,臺灣繁體中文網頁)線上預訂緩慢公司經營之「緩慢石梯坪」民宿1晚,於同年6月12日入住,原告入住時並以其所申辦花旗銀行信用卡(卡號詳卷)刷卡支付住宿費5975元。緩慢公司之旅宿E管家系統(下稱訂房系統)係由受告知訴訟人森福德有限公司(下稱森福德公司)提供,並由森福德公司以網路伺服器管理訂房系統後臺,進行訂單、客戶個人資料(下稱個資)之儲存及安全維護,森福德公司應對個資採取適當之安全措施,以防止客戶個資被竊取或洩漏,竟疏於資安維護,導致原告住宿時所提供之姓名、生日、行動電話號碼等個資及以刷卡方式支付住宿費之訊息,遭不詳詐欺集團(下稱詐欺集團)竊取,經森福德公司於112年5月26日通知緩慢公司上情,緩慢公司僅透過森福德公司協助,於翌日即112年5月27日在官網發佈預防詐騙啟事,內容如下:「防詐騙提醒:緩慢民宿提醒您,近日詐騙案件增多,請勿聽從不明來電,提供帳戶、信用卡號等資料,或操作ATM、網路轉帳匯款。如有疑慮請聯絡客服確認或撥打165反詐騙專線查證」(下稱系爭防詐啟事),復於112年6月5日、同年9月1日向所有客戶寄送如附表一所示之防詐簡訊(下稱0605防詐簡訊、0901防詐簡訊,合稱系爭防詐簡訊)。
原告使用之行動電話門號(號碼詳卷)雖有於上開日期收受系爭防詐簡訊並有加以查看內容,但緩慢公司本應依個人資料保護法(下稱個資法)第12條規定,個別通知個資遭竊取之客戶,卻未善盡此法定義務,致原告於112年9月5日16時30分接獲由詐欺集團成員假冒緩慢公司客服人員來電,佯以:會員資料遭駭客入侵,原告遭冒名刷卡訂房,應依指示操作網路銀行,以解除該筆盜刷款項云云,致原告陷於錯誤,聽從詐欺集團成員指示,使用其申辦如附表二所示之銀行帳戶、信用卡,以如附表二備註欄所示金流進出方式,總計交付81萬1456元(下稱系爭款項),原告並就附表二所示其於112年9月5日20時31分55秒匯款2萬9987元至訴外人余子軒所申辦中國信託銀行帳號:000000000000之帳戶內之事實,對余子軒提起詐欺告訴,經臺灣桃園地方檢察署檢察官以113年度偵字第18158號偵辦後提起公訴(下稱前案),緩慢公司知悉個資外洩後未及時採取有效之補救措施通知客戶,未依個資法第12條規定以適當方式通知當事人,導致原告遭受詐欺損失系爭款項,且造成原告善後、應訴之時間浪費及專業形象受損,以原告之月薪18萬8600元計算,其因詐欺發生後所為後續補救措施之時間成本估計為1個月,故受有1個月月薪之時間浪費,且原告為公司財務會計業務之最高負責人,因詐欺導致工作進度遲延影響公司同仁,多年累積形塑之財務專業形象受損,此傷害影響甚大,僅以2個月月薪估算,原告事後並投入大量心力向分別多個主管機關申訴溝通並提起本訴,自112年9月起迄今已逾12個月,仍持續進行中,此部分以象徵性的2個月月薪估算,合計可請求非財產損害94萬3000元【計算式:(1個月+2個月+2個月=5個月)×月薪18萬8600元=94萬3000元】,緩慢公司及其母公司薰衣草公司依個資法第28條第2項、第29條、民法第184條規定,應對原告負連帶損害賠償之責等語。並聲明如壹、程序部分所示。
二、被告抗辯:原告確有於112年5月12日,透過博房網公司之訂房網站線預訂緩慢公司經營之「緩慢石梯坪」民宿1晚,並於同年6月12日入住,以其所申辦花旗銀行信用卡刷卡支付住宿費5975元。緩慢公司之訂房系統係由森福德公司提供,並由森福德公司管理網站後臺進行訂單、客戶個資之管理儲存及安全維護,森福德公司於112年5月26日通知緩慢公司伺服器主機遭不詳駭客侵入竊取客戶資料,緩慢公司透過森福德公司協助,於翌日即112年5月27日在官網發佈系爭防詐啟事,復於112年6月5日、同年9月1日向所有客戶發送系爭防詐簡訊。被告對原告主張其遭詐欺集團詐欺之經過及財產損害並不爭執,惟原告係透過博房網公司訂房網站訂房,該公司之訂房系統亦係委由森福德公司提供,亦同有客戶個資遭竊,原告之個資是否來自博房網公司,亦非無疑,原告應舉證證明。兩造間就原告個資蒐集並無任何法律關係,森福德公司資安遭竊亦與緩慢公司無涉,緩慢公司非個資法第12條規定之通知義務人,縱認係通知義務人,已有刊登系爭防詐啟事及傳送系爭防詐簡訊,堪認已履行通知義務。再觀諸原告遭詐欺經過,詐欺集團之詐術多所破綻,原告如何會陷於錯誤進而交付系爭款項?且前案起訴書記載原告之財產損害僅2萬9987元,與系爭款項金額相差甚遠,而原告主張之非財產損害則以受詐欺後承擔之時間成本乘以月薪計算,亦與法院認定精神慰撫金時係斟酌雙方之身分、地位、資力與加害之程度及其他各種情形之標準相違,依個資法第28條第3項之規定,如認被告應對原告負非財產損害賠償之責,應認定其非財產上損害之損害額為500元以上2萬元以下。近年詐欺集團猖獗,政府透過媒體大肆宣導反詐騙,原告既為其任職公司財務會計業務之最高負責人,應有能力分辨詐欺集團之犯罪手法,卻因自身重大過失受騙,依民法第217條規定,應依原告過失比例減免賠償金額,且原告於前案法院審理時,業與余子軒以3萬元成立調解,亦應自原告對被告求償金額中扣除。至薰衣草公司與緩慢公司雖為關係企業,但各具獨立之法人格,自不得依此認薰衣草公司連帶負損害賠償責任。原告提起本訴,實無理由,爰聲明:原告之訴駁回。
三、本院於114年1月9日言詞辯論庭與兩造整理爭執與不爭執事項,經兩造同意如下:(見本院卷一第628、629頁)㈠不爭執事項:
⒈原告於112年5月12日透過博房網公司之訂房網站線上預訂緩
慢公司經營之「緩慢石梯坪」民宿1晚,並於同年6月12日入住,原告並於該日入住時以花旗銀行信用卡刷卡付款5975元。
⒉被告緩慢公司於112年5月26日接獲受森福德公司通知該公司
有資安遭竊事件,旋即透過森福德公司之協助,於翌日即112年5月27日在官網發佈系爭防詐啟事,復於112年6月5日、9月1日主動向所有客戶寄送系爭防詐簡訊。原告於上開日期所使用之行動電話門號確有收受上開簡訊並有查看內容。
⒊前案起訴書所載犯罪事實:詐欺集團之成員於同年9月5日16
時30分許,假冒「緩慢石梯坪酒店」客服人員致電原告,佯以:會員資料遭駭客入侵,應依指示操作網路銀行,以解除錯誤分期付款設定云云,致原告陷於錯誤,而於同日20時31分匯款2萬9987元至余子軒中國信託銀行帳號:000000000000號帳戶內,詐欺集團之不詳成員再將匯入之款項提領一空。
⒋原告銀行帳戶內遭詐欺集團詐欺之系爭款項金流如附表二所示,帳戶餘額及信用卡遭詐前後相差81萬1456元。
⒌對前案卷證及原告所提出非自行整理製作之文書形式不爭執。
⒍原告勝訴遲延利息自113年8月29日起至清償日止,按週年利率百分之5計算。
㈡爭執事項:
⒈被告是否為個資法第27條第1項「保有個人資料檔案者」?⒉被告是否有個資法第12條「違反本法規定,致原告個資被竊
取、洩露」之情形?⒊被告是否已盡個人資料保護法第12條之通知義務?⒋承⒊,如被告未盡通知義務,與原告受詐欺之結果是否有因果
關係?⒌承⒋,如有因果關係,被告對原告是否應應負個人資料保護法
第29條之損害賠償責任,賠償原告主張之財產損害?⒍承⒌,如有因果關係,被告對原告是否應應負個人資料保護法
第29條之損害賠償責任,賠償原告主張之非財產損害?
參、得心證之理由:
一、按人之權利能力,始於出生,終於死亡,民法第6條定有明文。又法人於法令限制內,有享受權利負擔義務之能力。但專屬於自然人之權利義務,不在此限,民法第26條亦有明定。是以,法人係除自然人外,依法律規定所設立具有權利義務能力資格之主體,乃法律上擬制之人格(最高法院91年度台上字第1129號及100年度台上字第1594號民事裁判意旨參照)。又受公務機關或非公務機關委託蒐集、處理或利用個人資料者,於本法適用範圍內,視同委託機關。委託他人蒐集、處理或利用個人資料時,委託機關應對受託者為適當之監督。前項監督至少應包含下列事項:㈠預定蒐集、處理或利用個人資料之範圍、類別、特定目的及其期間。㈡受託者就第12條第㈡項採取之措施。㈢有複委託者,其約定之受託者。㈣受託者或其受僱人違反本法、其他個人資料保護法律或其法規命令時,應向委託機關通知之事項及採行之補救措施。㈤委託機關如對受託者有保留指示者,其保留指示之事項。㈥委託關係終止或解除時,個人資料載體之返還,及受託者履行委託契約以儲存方式而持有之個人資料之刪除。第㈠項之監督,委託機關應定期確認受託者執行之狀況,並將確認結果記錄之。受託者僅得於委託機關指示之範圍內,蒐集、處理或利用個人資料。受託者認委託機關之指示有違反本法、其他個人資料保護法律或其法規命令者,應立即通知委託機關。個資法第4條及個資法施行細則第8條分別定有明文。查緩慢公司與薰衣草公司雖為關係企業,然兩者產品種類、組織架構及經營事業仍不相同,各自具有獨立法人格,有兩公司股份有限公司變更登記表可查(見本院卷二第177至184頁),而與森福德公司簽訂旅宿前台系統雲端服務契約,係緩慢公司而非薰衣草公司一節,亦有契約在卷可稽(見本院卷一第451至463頁),是雖為森福德公司設立網路伺服器,蒐集、處理原告之個資,既係基於緩慢公司之委託,堪認緩慢公司係個資法第27條第1項「保有個人資料檔案者」,並為緩慢公司所不爭執(見本院卷二第189頁),而與薰衣草公司無涉。原告雖以薰衣草公司曾出席消費爭議調解會議與之協商賠償事件,為被告所不否認,惟薰衣草公司辯稱係因緩慢公司未有獨立之客服及法務部門,故協助緩慢公司處理等語,核與一般關係企業往來常情無違,亦難認有何違法之處,自難僅憑薰衣草公司有代理緩慢公司處理原告申訴、面訪回應及出席消費爭議調解等行為,推論薰衣草公司亦係個資法第27條第1項「保有個人資料檔案者」之事實。
二、次按非公務機關保有個人資料檔案者,應採行適當之安全措施,防止個人資料被竊取、竄改、毀損、滅失或洩漏。非公務機關違反本法規定,致個人資料遭不法蒐集、處理、利用或其他侵害當事人權利者,負損害賠償責任。但能證明其無故意或過失者,不在此限。個資法第27條第1項、第29條第1 項分別定有明文。依上開規定,就被上訴人保有個資而發生個資遭不法蒐集、處理、利用或其他侵害當事人權利者,採過失推定原則,即由被上訴人舉證證明其無故意或過失,始能免責。又當事人主張有利於己之事實者,就其事實有舉證之責任。但法律別有規定,或依其情形顯失公平者,不在此限,民事訴訟法第277條亦有規定(臺灣高等法院112年度上字第656號民事判決意旨參照)。是原告就其遭詐欺集團詐騙所用之個資,係來自緩慢公司委任森福德公司經營管理之訂房系統及網路伺服器乙節,固應先負舉證責任,惟訂房系統及網路伺服器均為森福德公司所保有、建置及管理,原告所輸入之個資亦存放於該系統中,原告無從自行使用、管理,此等證據偏在緩慢公司及森福德公司方面之情形對原告顯失公平,自有民事訴訟法第277條但書規定之適用,應輕減原告之舉證責任。經查,原告於112年5月12日透過博房網公司之訂房網站線上預訂緩慢公司經營之「緩慢石梯坪」民宿1晚,並於同年6月12日入住,原告並於該日入住時以花旗銀行信用卡刷卡付款5975元,為兩造所不爭執(見不爭執事項⒈),且依森福德公司提供訂房系統於伺服器所留存之個人基本資料紀錄顯示,原告於入住時,留有個人姓名、行動電話號碼、生日及以信用卡支付住宿費之付款方式(見本院卷一第697至705頁),足見原告確有將其上開個資留存於森福德公司網路伺服器之事實。而緩慢公司於112年5月26日接獲受告知訴訟人森福德公司通知該公司有資安遭竊事件,旋即透過森福德公司之協助,於翌日即112年5月27日在官網發佈系爭防詐啟事,復於112年6月5日、9月1日主動向所有客戶發送系爭防詐簡訊,嗣詐欺集團之成員果於同年9月5日16時30分許,假冒「緩慢石梯坪酒店」客服人員致電原告,佯以:會員資料遭駭客入侵,應依指示操作網路銀行,以解除錯誤分期付款設定云云,致原告陷於錯誤,而於同日20時31分匯款2萬9987元至余子軒中國信託銀行帳號:000000000000號帳戶內,詐欺集團之不詳成員再將匯入之款項提領一空,為兩造所不爭執(見不爭執事項⒉、⒊),可知該詐欺集團係於原告於112年6月12日最近一次使用訂房系統後,始撥打原告之行動電話聯絡原告,且依其等對話內容(見前案偵卷第99至101頁)已清楚掌握原告有入住及使用信用卡付費等細節,並自述為緩慢公司員工等節,均與原告留存於森福德公司網路伺服器之個資相符,且森福德公司確有遭不詳之人利用資料庫登入介面程式漏洞偽造登入認證及修改限制IP權限,成功登入資料庫後植入不法程式取得最大權限,竊取備份資料內容包含姓名、身分證字號、手機、地址等交易個資,有數位發展部數位產業署(下稱數發部產業署)112年6月16日產服字第1126000377號函在卷可稽(見本院卷一第431頁),堪認原告就其主張遭詐欺集團詐騙所用之個資,為森福德公司之訂房系統及網路伺服器所外洩乙節,已盡舉證之責,洵屬可採。被告辯稱原告之個資亦可能來自博房網公司的客戶資料外洩所致,卻未提出得以證明之反證以實其說,自不足採。
三、又按法務部依個資法第55條規定授權訂定之個資法施行細則,其中第12條規定:「(第1項)本法……第27條第1項所稱適當之安全措施,指公務機關或非公務機關為防止個人資料被竊取、竄改、毀損、滅失或洩漏,採取技術上及組織上之措施。(第2項)前項措施,得包括下列事項,並以與所欲達成之個人資料保護目的間,具有適當比例為原則:㈠配置管理之人員及相當資源。㈡界定個人資料之範圍。㈢個人資料之風險評估及管理機制。㈣事故之預防、通報及應變機制。㈤個人資料蒐集、處理及利用之內部管理程序。㈥資料安全管理及人員管理。㈦認知宣導及教育訓練。㈧設備安全管理。㈨資料安全稽核機制。㈩使用紀錄、軌跡資料及證據保存。個人資料安全維護之整體持續改善。」上開規定明定個資法第27條第1項應採取之技術上及組織上措施,核與母法及其他相關法規無違,可資適用。準此,非公務機關保有個人之個資檔案者,應採取與所欲達成之個人資料保護目的間,具有適當比例為原則,得包含上述事項之技術上及組織上的措施,以防止所保有之個資檔案被竊取、竄改、毀損、滅失或洩漏。經查,緩慢公司固辯稱其係委託森福德公司以該公司訂房系統及網路伺服器保存原告個資,且已有刊登系爭防詐啟事及傳送系爭防詐簡訊予原告,已對個資外洩為相當防護等語,然緩慢公司上開行為,充其量均屬其提醒消費者需小心詐騙之相關作為,與其有無善盡個資法第27條第1項所定「非公務機關保有個人資料檔案者,應採行適當之安全措施,防止個人資料被竊取、竄改、毀損、滅失或洩漏」之義務無涉。況緩慢公司已自承於112年5月26日接獲森福德公司通知該公司有資安遭竊事件,依森福德公司回覆數發部產業署針對112年5月26日發生資安遭竊情事說明之內容,森福德公司自承:森福德公司工程部去年度針對GIT軟體版控做了測試,在備份伺服器留存了git檔案,不詳之人掃描後發現有git檔案,逕行侵入系統下載伺服器git相關檔案並進行資料解析,入侵git檔中特定檔案後,再利用test.html瀏覽server的所有資料夾,並找到登入介面程式檔案,因森福德公司對網路伺服務器之資安管理,係使用ip作登錄控管,不詳之人利用這個介面程式的漏洞偽造登入之認證,直接登入測試資料庫,並由資料庫修改登入碼,將自己ip設定可登入狀態,上傳並執行不法程式後,成功取得資料庫最大權限,進而登入備份的資料庫,竊取測試資料庫所有資料,故森福德公司於事發後,新增偵測機制:每日9時10分自動寄送一天內新增的網站檔案列表,用於確認是否被植入非公司內部程式,每日1時至6時間,每30分鐘偵測1次2小時內新增的檔案,以防半夜被上傳惡意檔案,若偵測到有新檔案以mail方式通知工程師及工程部line群組,並在資安強化部分,在伺服器前加裝硬體防火牆,具備WAF惡意網址過濾及異常流量偵測等功能,可先過濾惡意的URL請求,避免後續可能的程式及資料庫攻擊導致資料外洩。當有異常流量產生時,即時通知管理人員介入處理,每5分鐘偵測前5分鐘平均流量,數值若超過平常平均值,發信給工程師及發LINE工程部錯誤通報群組,並就資安防護措施逐項檢閱,包含作業流程面、軟體/硬體面(資料庫)、技術面,並就外洩事件後之資安逐項加強及調整(見本院卷一第393、409至419、421至427頁),堪認森福德公司於個資外洩前,就客戶個資之資安維護確有疏漏,難認其就防止包含原告在內之客人個資被竊取、竄改、毀損、滅失或洩漏,已採行適當之安全維護措施,且緩慢公司及森福德公司復未提出其他相關事證供本院審酌其就原告個資外洩並無過失之情,自難遽認緩慢公司就其先前取得原告訂房之個人資料已有採行適當之安全措施。基上等情,堪認:緩慢公司委任之森福德公司就原告之個資安全維護有違反個資法第27條第1項規定,不法侵害原告資訊隱私權之事實。緩慢公司上開所辯,核無可取(原告此部分損害賠償未於本件訴訟請求,見本院卷一第144至146、296頁,附此敘明)。
四、再按公務機關或非公務機關違反本法規定,致個人資料被竊取、洩漏、竄改或其他侵害者,應查明後以適當方式通知當事人,個資法第12條定有明文。參諸該條文之立法理由為:
「按當事人之個人資料遭受違法侵害,往往無法得知,致不能提起救濟或請求損害賠償,爰規定公務機關或非公務機關所蒐集之個人資料被竊取、洩漏、竄改或遭其他方式之侵害時,應立即查明事實,以適當方式(例如:人數不多者,得以電話、信函方式通知;人數眾多者,得以公告請當事人上網或電話查詢等),迅速通知當事人,讓其知曉。」,是通知當事人之內容應包括個人資料被侵害之事實及已採取之因應措施。若通知內容僅係防詐騙提醒,並無及個人資料被侵害之事實及已採取之因應措施,難認已踐行法定通知義務。次按因故意或過失,不法侵害他人之權利者,負損害賠償責任;故意以背於善良風俗之方法,加損害於他人者亦同;違反保護他人之法律,致生損害於他人者,負賠償責任,但能證明其行為無過失者,不在此限;民法第184條第1項、第2項定有明文。是個人資料保護法前開規定與民法就侵權行為損害賠償規範之內容雖有所不同,但個人資料保護法可認為係民法之特別規定。經查:緩慢公司委任之森福德公司就原告之個資安全維護,應有過失,已如前述,則緩慢公司依上開規定,自應於查明後以適當方式通知原告,而緩慢公司固於112年5月26日接獲森福德公司通知該公司有資安遭竊事件,旋即透過森福德公司之協助,於翌日即112年5月27日在官網發佈系爭防詐啟事,復於112年6月5日、9月1日主動向所有客戶寄送防詐簡訊。原告於上開日期所使用之行動電話門號確有收受上開簡訊並有查看內容,為兩造所不爭執(見不爭執事項⒉),惟觀諸系爭防詐啟事及系爭防詐簡訊內容,均僅泛稱「近日詐騙案件增多」及通常防詐宣導之內容,完全未提及原告留存之個資已有外洩之情,亦未告知原告遭外洩之個資將進行何種防護或補救措施,參諸上開說明,自難認緩慢公司業已善盡個資法第12條法定通知義務。
五、另按個資法之特殊侵權行為,請求權人對於侵權行為之成立要件應負舉證責任,除前揭歸責採無過失、推定過失外,同樣包括不法侵害、侵害他人權利、相當因果關係及損害。是縱使利用個資的行為,有損個人之可能性,請求權人尚須就行為人之不法行為與其個人受損間具有相當因果關係負舉證責任。又按損害賠償之債,以有損害之發生及有責任原因之事實,並二者之間,有相當因果關係為成立要件。故原告所主張損害賠償之債,如不合於此項成立要件者,即難謂有損害賠償請求權存在。且所謂相當因果關係,係指依經驗法則,綜合行為當時所存在之一切事實,為客觀之事後審查,認為在一般情形下,有此環境、有此行為之同一條件,均可發生同一之結果者,則該條件即為發生結果之相當條件,行為與結果即有相當之困果關係。反之,若在一般情形上,有此同一條件存在,而依客觀之審查,認為不必皆發生此結果者,則該條件與結果並不相當,不過為偶然之事實而已,其行為與結果間即無相當因果關係,不能僅以行為人就其行為有故意過失,即認該行為與損害間有相當因果關係(最高法院98年度台上字第673號判決意旨參照)。經查,原告於112年9月5日16時30分接獲由詐欺集團成員假冒緩慢公司客服人員來電,佯以:會員資料遭駭客入侵,原告遭冒名刷卡訂房,應依指示操作網路銀行,以解除該筆盜刷款項云云,致原告陷於錯誤,聽從詐欺集團成員指示,使用其申辦如附表二所示之銀行帳戶、信用卡,以如附表二備註欄所示之金流進出方式,匯出系爭款項,原告並就附表二所示其於112年9月5日20時31分55秒匯款2萬9987元至訴外人余子軒所申辦中國信託銀行帳號:000000000000之帳戶內之事實,為兩造所不爭執(見不爭執事項⒊、⒋),原告所有系爭款項之財產損失係因詐欺集團成員積極實施詐騙行為所致,緩慢公司違反個資法第12條法定通知義務之行為,在一般情形下,無此行為,雖必不生此損害,然有此行為,並不必然會發生原告受詐騙且受有財物損失之侵害結果。原告所受損害實係因詐欺集團故意詐欺之犯行所致,詐欺之不法行為與損害結果、因果關係均係存在於詐欺集團與原告間,則緩慢公司前開違反法定通知義務行為與原告遭詐欺集團詐取財物之損害結果間,難謂有相當因果關係。是以原告主張依個資法第29條、第28條之規定,請求緩慢公司應賠償原告遭詐騙所受系爭款項之損失云云,洵非可採。
六、復按非公務機關違反本法規定,致個人資料遭不法蒐集、處理、利用或其他侵害當事人權利者,負損害賠償責任。依前項規定請求賠償者,適用前條第2項至第6項規定;又被害人雖非財產上之損害,亦得請求賠償相當之金額。依前二項情形,如被害人不易或不能證明其實際損害額時,得請求法院依侵害情節,以每人每一事件新臺幣500元以上2萬元以下計算。為個資法第29條、第28條第2、3項所規定。準此,緩慢公司過失洩露原告之個資,且未依法為適當之通知,致原告之個資為詐欺集團不法利用,已如前述,原告雖主張其受詐欺集團詐騙後,因此而耗費時間心力處理帳戶、應訴,過程飽受煎熬,受有精神上之痛苦,惟此應係森福德公司洩露原告之個資後原告遭詐欺集團詐騙發生實害結果所致,並非緩慢公司未依個資法第12條為適當之通知造成。依一般情形,非公務機關之個資保管人單純違反個資法第12條之法定通知義務,被害人通常需持續擔心個資遭他人不當使用,而受有精神上之痛苦,惟此部分精神痛苦之損害額,被害人確有不易或不能證明之情形,依個資法第28條第3項規定,自得由本院依侵害情節以每人每件500元以上2萬元以下計算。審酌本件緩慢公司違反通知義務之情節,及原告為碩士畢業、擔任主管職務、112年所得約290萬元,名下有不動產及投資數筆等一切情狀(見本院卷一第466至471頁),認原告請求之精神慰撫金以2萬元為適當,逾此部分之請求應屬無據。至原告於前案法院審理時,固與余子軒以3萬元成立調解,為原告所自認,惟余子軒於前案中係因涉刑法詐欺犯行,致原告受有系爭款項中2萬9987元之損害,與緩慢公司因違反個資法第12條法定通知義務致原告受有非財產之損害無涉,自無從就原告對緩慢公司求償金額中再予以扣除,被告此部分辯詞,實不足採。
七、末按給付無確定期限者,債務人於債權人得請求給付時,經其催告而未為給付,自受催告時起,負遲延責任,其經債權人起訴而送達訴狀者,與催告有同一之效力;遲延之債務,以支付金錢為標的者,債權人得請求依法定利率計算之遲延利息;應付利息之債務,其利率未經約定,亦無法律可據者,週年利率為百分之5,民法第229條第2項、第233條第1項前段及第203條分別定有明文。本件原告對被告之損害賠償請求權,核屬無確定期限之給付,原告請求緩慢公司自起訴狀繕本送達薰衣草公司之翌日(即自113年8月29日,見本院卷一第87頁送達證書)起,至清償日止,按週年利率百分之5計算之利息,為緩慢公司所不爭執(見本院卷二第14頁),與前揭規定核無不合,應予准許。
肆、綜上所述,原告依個資法第28條第2項、第29條規定,請求緩慢公司給付2萬元及自113年8月29日起至清償日以週年利率百分之5計算之利息,為有理由,應予准許。其餘部分為無理由,自應駁回。
伍、本件原告勝訴部分,係所命給付之金額或價額未逾50萬元之判決,該原告勝訴部分應依民事訴訟法第389條第1項第5款規定,依職權宣告假執行。併本於衡平之原則,依民事訴訟法第392條第2項規定,職權宣告緩慢公司得預供擔保而免為假執行。
陸、本件事證已臻明確,兩造其餘之攻擊或防禦方法及所用之證據,經本院斟酌後,認為均不足以影響本判決之結果,爰不逐一論列,附此敘明。
柒、訴訟費用負擔之依據:民事訴訟法第79條。中 華 民 國 114 年 6 月 26 日
民事第一庭 法 官 廖聖民以上正本係照原本作成。
如對本判決上訴,須於判決送達後20日內向本院提出上訴狀。如委任律師提起上訴者,應一併繳納上訴審裁判費。
中 華 民 國 114 年 6 月 27 日
書記官 曾惠雅附表一:緩慢公司發送之防詐簡訊(日期:民國)發送日期/時間 發送內容 收訊日期/時間 發送狀態 112年6月5日 12:24:29 緩慢民宿提醒您:近日詐騙案件增多,來電顯示為「+886」、「+2」開頭通常為詐騙電話,請勿聽信任何內容或提供個人資料、金融帳號、信用卡號等,並不要依電話指示操作,同時與165反詐騙專線確認。 112年6月5日 12:25:09 已成功送達手機 112年9月1日 19:54:15 緩慢民宿提醒您:近日詐騙案件增多,我們不會致電給您告知要退款或要求您立刻匯款,請勿聽信任何內容或提供個人資料、金融帳號、信用卡號等,並不要依電話指示操作,同時與165反詐騙專線確認。 112年9月1日 19:54:36 已成功送達手機附表二:原告遭詐欺之金流明細