臺灣高等法院臺中分院民事判決114年度上字第350號上 訴 人 楊弘毅被 上訴人 薰衣草森林股份有限公司
緩慢股份有限公司共 同法定代理人 王村煌共 同訴訟代理人 陳建三律師上列當事人間請求損害賠償事件,上訴人對於中華民國114年6月26日臺灣臺中地方法院113年度訴字第2391號第一審判決提起上訴,本院於114年12月2日言詞辯論終結,判決如下:
主 文原判決關於駁回上訴人後開第二項之訴部分,並訴訟費用之裁判均廢棄。
緩慢股份有限公司應再給付上訴人新臺幣8萬元,及自民國113年8月29日起至清償日止,按週年利率百分之5計算之利息。
其餘上訴駁回。
第一、二審訴訟費用,由緩慢股份有限公司負擔百分之6,餘由上訴人負擔。
事實及理由
一、上訴人主張:被上訴人薰衣草森林股份有限公司(下稱薰衣草公司)旗下之被上訴人緩慢股份有限公司(下稱緩慢公司,與薰衣草公司合稱被上訴人)經營「緩慢石梯坪」民宿(下稱系爭民宿),並向訴外人○○○有限公司(下稱○○○公司)承租旅宿前台系統雲端服務「旅宿E管家系統」(下稱訂房系統)。伊於民國112年5月12日透過訴外人台灣○○網訂管理諮詢股份有限公司(下稱○○網公司)之Booking.com訂房網站,線上預訂系爭民宿1晚,並於同年6月12日入住時以○○銀行信用卡刷卡支付住宿費新臺幣(下同)5,975元。詎料,○○○公司疏於資安維護,導致包括伊在內多筆訂房資料遭不詳詐欺集團竊取;且經○○○公司於112年5月26日通知發生資安遭竊事件後,被上訴人均未踐行個人資料保護法(下稱個資法)第12條所定以適當方式通知當事人之義務,緩慢公司僅於翌日即112年5月27日在官網發佈預防詐騙啟事(下稱系爭防詐啟事),並於112年6月5日、9月1日寄送如附表一所示之不符上開法定通知要件之防詐簡訊(下稱系爭防詐簡訊),致伊於112年9月5日16時30分接獲詐欺集團成員假冒緩慢公司客服人員來電佯稱:會員資料遭駭客入侵,伊遭冒名刷卡訂房,應依指示操作網路銀行以解除該筆盜刷款項云云時,未能辨識其假冒身分而誤信為真,進而後續於同日16時57分接獲詐欺集團成員假冒星展銀行風控人員來電時,亦陷於錯誤,依指示使用其所申辦如附表二所示之銀行帳戶、信用卡,以如附表二備註欄所示金流進出方式,總計交付81萬1,456元(下稱系爭款項)。被上訴人違反個資法第12條之通知義務,致伊受有同額之財產損害。又以伊月薪為18萬8,600元,及受影響月數共5個月(包括後續補救措施之時間成本1個月、財務專業形象受損2個月、向多個主管機關申訴溝通之時間成本2個月)計算,伊合計受有共94萬3,000元(計算式:18萬8,600元/月×5個月=94萬3,000元)之非財產上損害。
被上訴人違反個資法第12條之通知義務,而個資法屬民法第184條第2項所稱保護他人之法律,伊自得依個資法第29條第
1、2項、第28條第2、3項及民法第184條規定,請求被上訴人連帶賠償175萬4,456元(計算式:811,456+943,000=1,754,456)本息等情。爰依上開規定,求為命被上訴人應連帶給付175萬4,456元,及自113年8月29日起至清償日止,按週年利率百分之5加計利息之判決(原審判決命緩慢公司給付2萬元本息,駁回上訴人其餘之訴,上訴人聲明不服,提起上訴;緩慢公司敗訴部分未據上訴)。上訴聲明:(一)原判決關於駁回上訴人後開第二項之訴部分廢棄。(二)上開廢棄部分,緩慢公司應再給付上訴人173萬4,456元及自113年8月29日起至清償日止,按週年利率百分之5計算之利息;薰衣草公司應與緩慢公司就原審及上開所命給付部分負連帶給付責任。
二、被上訴人則以:上訴人所指發生資安遭竊事件之訂房系統係緩慢公司為經營系爭民宿而委託○○○公司提供,與薰衣草公司無涉。因薰衣草公司旗下品牌公司均無獨立之客服及法務單位,是訴訟前之消費爭議處理均由薰衣草公司代為處理。上訴人向別具獨立法人格之薰衣草公司請求賠償,委無足採。伊等對如附表二所示上訴人遭詐欺之金流明細,固不爭執,惟○○○公司之訂房系統係介接○○網公司訂房網站之資料,上訴人之個資遭竊是否確係因○○○公司資安外洩事件,或係因同一期間發生之○○網公司資安外洩事件、或係因上訴人帳戶銀行等其他事故,不無疑義。又上訴人應就所稱緩慢公司違反義務行為與所稱損害間有何因果關係,負舉證責任。上訴人業已就所主張部分受詐欺事實,對訴外人○○○提起告訴,經臺灣桃園地方檢察署檢察官113年度偵字第18158號提起公訴(下稱刑案),上訴人並於該刑案審理時,與○○○以3萬元達成調解,縱若認被上訴人應負損害賠償責任,該3萬元應予扣除。又上訴人無法證明其非財產上損害之實際損害額,依個資法第28條第3項規定,應以500元以上2萬元以下計算等語,資為抗辯。並答辯聲明:上訴駁回。
三、兩造不爭執事項如下(見本院卷第127至128頁):㈠上訴人於112年5月12日透過○○網公司之訂房網站線上預訂緩
慢公司經營之系爭民宿1晚,並於同年6月12日入住,上訴人並於該日入住時以○○銀行信用卡刷卡付款5,975元。㈡緩慢公司於同年5月26日接獲○○○公司通知該公司有資安遭竊
事件,旋即透過○○○公司之協助,於翌日即同年5月27日在官網發佈系爭防詐啟事,復於同年6月5日、9月1日主動向所有客戶寄送系爭防詐簡訊。上訴人於上開日期所使用之行動電話門號確有收受上開簡訊並有查看內容。
㈢刑案起訴書所載犯罪事實:詐欺集團之成員於同年9月5日16
時30分許,假冒「緩慢石梯坪酒店」客服人員致電上訴人,佯以:會員資料遭駭客入侵,應依指示操作網路銀行,以解除錯誤分期付款設定云云,致上訴人陷於錯誤,而於同日20時31分匯款2萬9987元至○○○○○○○銀行(下稱○○)帳號:000000000000號帳戶(下稱○○帳戶)內,詐欺集團之不詳成員再將匯入之款項提領一空。
㈣上訴人銀行帳戶內遭詐欺集團詐欺之系爭款項金流如附表二所示,帳戶餘額及信用卡遭詐前後相差81萬1,456元。
㈤對刑案卷證及上訴人所提出非自行整理製作之文書形式不爭執。
㈥如上訴人獲勝訴判決部分,其勝訴部分之遲延利息自113年8月29日起至清償日止,按週年利率百分之5計算。
四、本院之判斷:㈠緩慢公司係本件所涉個資法第27條第1項「保有個人資料檔案
者」,上訴人主張薰衣草公司亦係同條項之「保有個人資料檔案者」,尚不可採:
⒈按受公務機關或非公務機關委託蒐集、處理或利用個人資料
者,於本法適用範圍內,視同委託機關。委託他人蒐集、處理或利用個人資料時,委託機關應對受託者為適當之監督。前項監督至少應包含下列事項:㈠預定蒐集、處理或利用個人資料之範圍、類別、特定目的及其期間。㈡受託者就第12條第㈡項採取之措施。㈢有複委託者,其約定之受託者。㈣受託者或其受僱人違反本法、其他個人資料保護法律或其法規命令時,應向委託機關通知之事項及採行之補救措施。㈤委託機關如對受託者有保留指示者,其保留指示之事項。㈥委託關係終止或解除時,個人資料載體之返還,及受託者履行委託契約以儲存方式而持有之個人資料之刪除。第㈠項之監督,委託機關應定期確認受託者執行之狀況,並將確認結果記錄之。受託者僅得於委託機關指示之範圍內,蒐集、處理或利用個人資料。受託者認委託機關之指示有違反本法、其他個人資料保護法律或其法規命令者,應立即通知委託機關。個資法第4條及個資法施行細則第8條分別定有明文。
⒉查緩慢公司與薰衣草公司雖為關係企業,然兩者為不同公司
,各自具有獨立法人格,有兩公司股份有限公司變更登記表可查(見原審卷二第177至184頁),而與○○○公司簽訂旅宿前台系統雲端服務契約,係緩慢公司而非薰衣草公司一節,亦有上開契約在卷可稽(見原審卷一第451至463頁),是○○○公司設立網路伺服器,蒐集、處理上訴人之個資,既係基於緩慢公司之委託,堪認緩慢公司係個資法第27條第1項「保有個人資料檔案者」,並為緩慢公司所不爭執(見原審卷二第189頁),而與薰衣草公司無涉。
⒊上訴人雖以伊透過網路搜尋得知系爭民宿係薰衣草公司旗下
經營品牌之一,便以薰衣草公司為申訴對象,後續相關消費爭議處理過程中,係由薰衣草公司派員出面為據,認被上訴人應連帶負責等語。經查,薰衣草公司曾出席消費爭議調解會議與之協商賠償事件,為被上訴人所不否認,惟薰衣草公司辯稱係因緩慢公司未有獨立之客服及法務部門,故協助緩慢公司處理等語,核與一般關係企業往來常情無違,自難僅憑薰衣草公司有代理緩慢公司處理上訴人申訴、面訪回應及出席消費爭議調解等行為,推論薰衣草公司亦係本件所涉個資法第27條第1項「保有個人資料檔案者」之事實。則上訴人主張薰衣草公司亦係個資法第27條第1項「保有個人資料檔案者」,尚不可採。
㈡上訴人主張其遭詐欺集團詐騙所用之個資,係來自緩慢公司
委任○○○公司經營管理之訂房系統及網路伺服器,應屬可採:
⒈按非公務機關保有個人資料檔案者,應採行適當之安全措施
,防止個人資料被竊取、竄改、毀損、滅失或洩漏。非公務機關違反本法規定,致個人資料遭不法蒐集、處理、利用或其他侵害當事人權利者,負損害賠償責任。但能證明其無故意或過失者,不在此限。個資法第27條第1項、第29條第1項分別定有明文。依上開規定,就緩慢公司保有個資而發生個資遭不法蒐集、處理、利用或其他侵害當事人權利者,採過失推定原則,即由緩慢公司舉證證明其無故意或過失,始能免責。⒉經查,上訴人於000年5月12日透過○○網公司之訂房網站線上
預訂緩慢公司經營之「緩慢石梯坪」民宿1晚,並於同年6月12日入住,上訴人並於該日入住時以○○銀行信用卡刷卡付款5,975元,為兩造所不爭執(見不爭執事項㈠),且依○○○公司提供訂房系統於伺服器所留存之個人基本資料紀錄顯示,上訴人於入住時,留有個人姓名、行動電話號碼、生日及以信用卡支付住宿費之付款方式(見原審卷一第697至705頁),足見上訴人確有將其上開個資留存於○○○公司網路伺服器之事實。而緩慢公司於112年5月26日接獲○○○公司通知該公司有資安遭竊事件,旋即透過○○○公司之協助,於翌日即112年5月27日在官網發佈系爭防詐啟事,復於112年6月5日、9月1日主動向所有客戶發送系爭防詐簡訊,嗣詐欺集團之成員於同年9月5日16時30分許,假冒「緩慢石梯坪酒店」客服人員致電上訴人,佯以:會員資料遭駭客入侵,應依指示操作網路銀行,以解除錯誤分期付款設定云云,致上訴人陷於錯誤,而於同日20時31分匯款2萬9987元至○○○○○帳戶內,詐欺集團之不詳成員再將匯入之款項提領一空,為兩造所不爭執(見不爭執事項㈡、㈢),可知該詐欺集團係於上訴人於112年5月12日使用訂房系統後,始撥打上訴人之行動電話聯絡上訴人,且依其等對話內容(見刑案偵卷第99至101頁)已清楚掌握上訴人有入住系爭民宿及使用信用卡付費等細節,並自述為緩慢公司員工等節,均與上訴人留存於○○○公司網路伺服器之個資相符,且○○○公司確有遭不詳之人利用資料庫登入介面程式漏洞偽造登入認證及修改限制IP權限,成功登入資料庫後植入不法程式取得最大權限,竊取備份資料內容包含姓名、身分證字號、手機、地址等交易個資,有數位發展部數位產業署(下稱數發部產業署)000年6月16日產服字第0000000000號函在卷可稽(見原審卷一第431頁),堪認上訴人主張遭詐欺集團詐騙所用之個資,為○○○公司之訂房系統及網路伺服器所外洩。緩慢公司辯稱上訴人之個資亦可能來自○○網公司的客戶資料外洩所致,卻未提出得以證明之反證以實其說,自不足採。㈢緩慢公司委任之○○○公司就上訴人之個資安全維護有違反個資法第27條第1項規定,不法侵害上訴人資訊隱私權之事實:
⒈按法務部依個資法第55條規定授權訂定之個資法施行細則,
其中第12條規定:「(第1項)本法……第27條第1項所稱適當之安全措施,指公務機關或非公務機關為防止個人資料被竊取、竄改、毀損、滅失或洩漏,採取技術上及組織上之措施。(第2項)前項措施,得包括下列事項,並以與所欲達成之個人資料保護目的間,具有適當比例為原則:㈠配置管理之人員及相當資源。㈡界定個人資料之範圍。㈢個人資料之風險評估及管理機制。㈣事故之預防、通報及應變機制。㈤個人資料蒐集、處理及利用之內部管理程序。㈥資料安全管理及人員管理。㈦認知宣導及教育訓練。㈧設備安全管理。㈨資料安全稽核機制。㈩使用紀錄、軌跡資料及證據保存。(十一)個人資料安全維護之整體持續改善。」上開規定明定個資法第27條第1項應採取之技術上及組織上措施,核與母法及其他相關法規無違,可資適用。準此,非公務機關保有個人之個資檔案者,應採取與所欲達成之個人資料保護目的間,具有適當比例為原則,得包含上述事項之技術上及組織上的措施,以防止所保有之個資檔案被竊取、竄改、毀損、滅失或洩漏。
⒉經查,緩慢公司固辯稱其係委託○○○公司以該公司訂房系統及
網路伺服器保存上訴人個資,並已有刊登系爭防詐啟事及傳送系爭防詐簡訊予上訴人,已對個資外洩為相當防護等語,然緩慢公司上開行為,充其量均屬其提醒消費者需小心詐騙之相關作為,與其有無善盡個資法第27條第1項所定「非公務機關保有個人資料檔案者,應採行適當之安全措施,防止個人資料被竊取、竄改、毀損、滅失或洩漏」之義務無涉。況緩慢公司已自承於112年5月26日接獲○○○公司通知該公司有資安遭竊事件,依○○○公司回覆數發部產業署針對112年5月26日發生資安遭竊情事說明之內容,○○○公司自承:○○○公司工程部去年度針對GIT軟體版控做了測試,在備份伺服器留存了git檔案,不詳之人掃描後發現有git檔案,逕行侵入系統下載伺服器git相關檔案並進行資料解析,入侵git檔中特定檔案後,再利用test.html瀏覽server的所有資料夾,並找到登入介面程式檔案,因○○○公司對網路伺服務器之資安管理,係使用ip作登錄控管,不詳之人利用這個介面程式的漏洞偽造登入之認證,直接登入測試資料庫,並由資料庫修改登入碼,將自己ip設定可登入狀態,上傳並執行不法程式後,成功取得資料庫最大權限,進而登入備份的資料庫,竊取測試資料庫所有資料,故○○○公司於事發後,新增偵測機制:每日9時10分自動寄送一天內新增的網站檔案列表,用於確認是否被植入非公司內部程式,每日1時至6時間,每30分鐘偵測1次2小時內新增的檔案,以防半夜被上傳惡意檔案,若偵測到有新檔案以mail方式通知工程師及工程部line群組,並在資安強化部分,在伺服器前加裝硬體防火牆,具備WAF惡意網址過濾及異常流量偵測等功能,可先過濾惡意的URL請求,避免後續可能的程式及資料庫攻擊導致資料外洩。當有異常流量產生時,即時通知管理人員介入處理,每5分鐘偵測前5分鐘平均流量,數值若超過平常平均值,發信給工程師及發LINE工程部錯誤通報群組,並就資安防護措施逐項檢閱,包含作業流程面、軟體/硬體面(資料庫)、技術面,並就外洩事件後之資安逐項加強及調整(見原審卷一第393、409至419、421至427頁)。堪認○○○公司於個資外洩前,就客戶個資之資安維護確有疏漏,難認其就防止包含上訴人在內之客人個資被竊取或洩漏,已採行適當之安全維護措施,且緩慢公司及○○○公司復未提出其他相關事證供本院審酌其就上訴人個資外洩並無過失之情。綜上,堪認緩慢公司委任之○○○公司就上訴人之個資安全維護有違反個資法第27條第1項規定,不法侵害上訴人資訊隱私權之事實。緩慢公司上開所辯,核無可取。㈣上訴人主張緩慢公司就上訴人個人資料被竊取、洩漏,並未
以適當方式通知上訴人,而有違反個資法第12條規定之情事(見原審卷一第144至146頁),堪以採信:
⒈按公務機關或非公務機關違反本法規定,致個人資料被竊取
、洩漏、竄改或其他侵害者,應查明後以適當方式通知當事人,個資法第12條定有明文。參諸該條文之立法理由為:「按當事人之個人資料遭受違法侵害,往往無法得知,致不能提起救濟或請求損害賠償,爰規定公務機關或非公務機關所蒐集之個人資料被竊取、洩漏、竄改或遭其他方式之侵害時,應立即查明事實,以適當方式(例如:人數不多者,得以電話、信函方式通知;人數眾多者,得以公告請當事人上網或電話查詢等),迅速通知當事人,讓其知曉。」,是通知當事人之內容應包括個人資料被侵害之事實及已採取之因應措施。若通知內容僅係防詐騙提醒,並無及個人資料被侵害之事實及已採取之因應措施,難認已踐行法定通知義務。
⒉查緩慢公司委任之○○○公司就上訴人之個資安全維護,有違反
個資法第27條第1項規定之情事,已如前述,則緩慢公司依上開規定,自應於查明後以適當方式通知上訴人,而緩慢公司雖於112年5月26日接獲○○○公司通知該公司有資安遭竊事件,旋即透過○○○公司之協助,於翌日即同年5月27日在官網發佈系爭防詐啟事,復於同年6月5日、9月1日主動向所有客戶寄送系爭防詐簡訊。上訴人於上開日期所使用之行動電話門號確有收受上開簡訊並有查看內容,為兩造所不爭執(見不爭執事項㈡),惟觀諸系爭防詐啟事及系爭防詐簡訊內容,均僅泛稱「近日詐騙案件增多」及通常防詐宣導之內容,完全未提及上訴人留存之個資已有外洩之情,參諸上開說明,自難認緩慢公司業已善盡個資法第12條法定通知義務。
㈤茲就上訴人主張緩慢公司違反個資法第12條法定通知義務致其所受各項損害,分述如下:
⒈關於上訴人主張受有81萬1,456元之財產上損害部分:
⑴按違反保護他人之法律,致生損害於他人者,負賠償責任
,但能證明其行為無過失者,不在此限;民法第184條第2項定有明文。又非公務機關違反本法規定,致個人資料遭不法蒐集、處理、利用或其他侵害當事人權利者,負損害賠償責任。但能證明其無故意或過失者,不在此限。個資法第29條第1項亦定有明文。又按損害賠償之債,以有損害之發生及有責任原因之事實,並二者之間,有相當因果關係為成立要件。故原告所主張損害賠償之債,如不合於此項成立要件者,即難謂有損害賠償請求權存在。且所謂相當因果關係,係指依經驗法則,綜合行為當時所存在之一切事實,為客觀之事後審查,認為在一般情形下,有此環境、有此行為之同一條件,均可發生同一之結果者,則該條件即為發生結果之相當條件,行為與結果即有相當之困果關係。反之,若在一般情形上,有此同一條件存在,而依客觀之審查,認為不必皆發生此結果者,則該條件與結果並不相當,不過為偶然之事實而已,其行為與結果間即無相當因果關係,不能僅以行為人就其行為有故意過失,即認該行為與損害間有相當因果關係(最高法院98年度台上字第673號判決意旨參照)。⑵緩慢公司就上訴人個資被竊取、洩漏,並未以適當方式通
知上訴人,而有違反個資法第12條規定情事,已如前述,而個資法係屬保護他人之法律,則上訴人主張緩慢公司有民法第184條第2項之違反保護他人法律情事,堪以採信。
⑶查上訴人於112年9月5日16時30分接獲由詐欺集團成員假冒
緩慢公司客服人員來電,佯以:會員資料遭駭客入侵,上訴人遭冒名刷卡訂房,應依指示操作網路銀行,以解除該筆盜刷款項云云,致其陷於錯誤,聽從詐欺集團成員指示,使用其所申辦如附表二所示之○○○○銀行、○○○○、○○○○、○○、○○○○銀行、○○銀行等銀行帳戶、信用卡,以如附表二備註欄所示之金流進出方式,匯出系爭款項;上訴人並就附表二所示其於000年9月5日20時31分55秒匯款2萬9987元至○○○○○帳戶內之事實,均為緩慢公司所不爭執(見不爭執事項㈢、㈣),則上訴人所有系爭款項之財產損失,係因另遭詐欺集團成員積極實施詐騙行為所致,緩慢公司違反個資法第12條法定通知義務之行為,在一般情形下,無此行為,雖必不生此損害,然有此行為,並不必然會發生上訴人受詐騙且受有財物損失之侵害結果。上訴人所受系爭款項之損害實係因詐欺集團故意詐欺之犯行所致,詐欺之不法行為與損害結果、因果關係均係存在於詐欺集團與上訴人間,則緩慢公司前開違反法定通知義務行為與上訴人遭詐欺集團詐取財物之損害結果間,難謂有相當因果關係。是以上訴人主張依個資法第29條、第28條、民法第184條規定,請求緩慢公司賠償其遭詐騙所受系爭款項之損失81萬1,456元云云,洵非可採。
⒉關於上訴人主張受有94萬3,000元之非財產上損害部分:
⑴按規範個人資料之蒐集、處理及利用,以避免人格權受侵
害,並促進個人資料之合理利用,特制定本法。個資法第1條定有明文。則個資法保護之人格權應包含隱私權在內(第1條之立法理由參照)。次按不法侵害他人之身體、健康、名譽、自由、信用、隱私、貞操,或不法侵害其他人格法益而情節重大者,被害人雖非財產上之損害,亦得請求賠償相當之金額,民法第195條第1項前段定有明文。又按非公務機關違反本法規定,致個人資料遭不法蒐集、處理、利用或其他侵害當事人權利者,負損害賠償責任。依前項規定請求賠償者,適用前條第2項至第6項規定;被害人雖非財產上之損害,亦得請求賠償相當之金額。依前二項情形,如被害人不易或不能證明其實際損害額時,得請求法院依侵害情節,以每人每一事件新臺幣500元以上2萬元以下計算。為個資法第29條、第28條第2、3項所規定。再依同法第31條規定,損害賠償,除依本法規定外,公務機關適用國家賠償法之規定,非公務機關適用民法之規定。
如依侵權行為之法律關係,請求賠償隱私權受侵害之損害,則應以相當之金額為限,所謂相當,以實際加害情形與其隱私權影響是否重大,及被害者之身分地位與加害人經濟狀況等關係定之。
⑵上訴人雖主張其受詐欺集團詐騙後,因此而耗費時間心力
處理帳戶、應訴,過程飽受煎熬,且其為公司財務會計業務之最高負責人,本件被詐騙得逞,多年累積形塑之財務專業形象受損,而受有精神上之痛苦,以伊月薪為18萬8,600元,及受影響月數共5個月(包括後續補救措施之時間成本1個月、財務專業形象受損2個月、向多個主管機關申訴溝通之時間成本2個月)計算,伊合計受有共94萬3,000元之非財產上損害,且其已舉證證明受有非財產上損害94萬3,000元,與個資法第29條、第28條第3項所定「如被害人不易或不能證明其實際損害額時」之情形不同等語,並提出其112年9月薪資單(見原審卷一第35頁)及其與銀行間電子郵件、各銀行停卡資料、對話截圖(與員警、銀行人員)、帳戶資料、消費申訴資料、中華電信通話明細表等件為證(見原審卷一第499至539頁)。惟查上訴人所稱之財務專業形象不在民法第195條第1項及個資法所保護之人格權範圍內;且上訴人所主張後續補救措施之時間成本1個月、向多個主管機關申訴溝通之時間成本2個月之損害,實際上應係指因○○○公司保存之上訴人個資遭洩露後,上訴人另因遭到詐欺集團詐騙發生實害後,其因而花費時間應對處理之情形,並非緩慢公司未依個資法第12條為適當之通知所造成之損害,尚不能以上訴人所舉上情,認定緩慢公司違反通知義務致上訴人受有其所稱之上開94萬3000元之非財產上損害。則上訴人主張其已舉證證明其因緩慢公司違反個資法第12條規定而受有非財產上損害94萬3,000元等語,尚非可採。
⑶爰審酌本件緩慢公司就上訴人個資外洩後違反通知義務之
侵害情節,及上訴人於上開個資外洩嗣後遭遇詐欺集團詐騙之隱私權受侵害情形,及其為碩士畢業、擔任主管職務、112年所得約290萬元,名下有不動產及投資數筆等一切情狀(見原審卷一第466至471頁),與緩慢公司之資本總額為2,100萬元,有該公司變更登記表在卷可憑(見原審卷二第177頁),認上訴人依個資法第28條第2項規定、及侵權行為法律關係,得請求之精神慰撫金以10萬元為適當,逾此部分之請求,即非相當,不能准許。又本件既經審酌認定上訴人得請求之非財產上損害賠償為10萬元,即無個資法第29條、第28條第3項「如被害人不易或不能證明其實際損害額時……」規定之適用,併此敘明。
⑷上訴人雖另主張本件如適用個資法第28條第3項規定計算損
害額,則該規定所稱之「每一事件」,應以被害人個資遭「行為人不法蒐集、處理、利用之次數」計算,而「非」以被害人之個資件數計算,可知個資法第28條第3項之「每人每一事件」,係指造成被害人受損害之各別事件。伊已列舉其因本件遭詐欺之專業耗損以1件計,及其遭詐欺之後續處理時間耗費事件共64件,如附表三所示(見原審卷一第345至346頁),共計65件,該65個事件乘以每件2萬元,合計為130萬元,已超過伊請求之94萬3,000元,伊仍以94萬3,000元為本件請求金額等語(見原審卷一第333頁、本院卷第109頁)。然查,上訴人所舉所謂專業耗損1件及如附表三所示64個時間耗費事件之計算方式,均係涉及其遭遇詐欺及其遭遇詐欺後之後續處理,核其內容,尚與個資法第28條第3項規定所稱「每一事件」之不符,上訴人主張得以65個事件,每一事件2萬元之上限計算其非財產之損害,故仍得請求94萬3000元之非財產上損害賠償,即屬無據。
⑸上訴人於刑案即臺灣桃園地方法院113年度審金易字第13號
案件審理時,於113年11月5日與○○○以3萬元成立調解,固為兩造所不爭執(見原審卷二第13至14頁),並有調解筆錄附卷可憑(見原審卷一第637至638頁)。惟○○○於刑案中係因涉刑法詐欺犯行,致上訴人受有系爭款項中2萬9,987元之損害,與緩慢公司因違反個資法第12條法定通知義務致上訴人受有非財產之損害無涉,自無從就上訴人對緩慢公司求償金額中再予以扣除,緩慢公司此部分辯詞,實不足採。
㈥上訴人對緩慢公司之損害賠償請求權,核屬無確定期限之給
付,依民法第229條第2項、第233條第1項前段及第203條規定,上訴人得請求其起訴狀繕本送達翌日起算之法定遲延利息。又緩慢公司已同意以上訴人之起訴狀繕本送達薰衣草公司翌日作為上訴人勝訴部分(含對緩慢公司請求)金額之法定遲延利息起算日(見兩造不爭執事項㈥),則上訴人得請求緩慢公司自起訴狀繕本送達翌日(以送達薰衣草公司之翌日即自113年8月29日為準,見原審卷一第87頁送達證書)起,至清償日止,按週年利率百分之5計算之利息。
㈦綜上,上訴人對緩慢公司得請求賠償10萬元及自113年8月29
日起至清償日止,按週年利率百分之5計算之利息(其中2萬元本息部分,業經原審為上訴人勝訴判決,未經緩慢公司提起上訴)。上訴人對緩慢公司逾上開部分之請求及對薰衣草公司之請求,均無理由,不能准許。
五、從而,除原審判命緩慢公司給付上訴人2萬元本息部分(此部分未經該公司上訴,非本院審理範圍)外,上訴人另依個資法第28條第2、3項、第29條、民法第184條規定,請求緩慢公司應再給付上訴人173萬4,456元及自113年8月29日起至清償日止以週年利率百分之5計算之利息;薰衣草公司應與緩慢公司就原審及上開所命給付部分負連帶給付責任部分,其中關於請求緩慢公司再給付8萬元及自113年8月29日起至清償日止以週年利率百分之5計算之利息部分,為有理由,其餘請求為無理由,不應准許。原審除已准許2萬元本息外,就上開應再准許8萬元本息部分,為上訴人敗訴之判決,尚有未洽,上訴意旨求予廢棄改判,為有理由,爰由本院予以廢棄改判如主文第二項所示。至於上訴人其餘請求不應准許部分,原判決為上訴人敗訴之判決,經核於法並無不合,上訴意旨求予廢棄改判,為無理由,應駁回其上訴。
六、本件事證已臻明確,至於兩造其餘攻擊防禦方法及所提證據,經本院斟酌後,認為均不足以影響本判決之結果,而無逐一論駁之必要,併此敘明。
七、據上論結,本件上訴為一部有理由,一部無理由,爰判決如
主文。中 華 民 國 114 年 12 月 30 日
民事第五庭 審判長法 官 黃綵君
法 官 陳宗賢法 官 張瑞蘭正本係照原本作成。
上訴人得上訴,被上訴人不得上訴。
如不服本判決,須於收受判決送達後20日內向本院提出上訴書狀,其未表明上訴理由者,應於提出上訴後20日內向本院提出上訴理由書狀(均須按他造人數附具繕本)。
上訴時應提出委任律師為訴訟代理人之委任狀。具有民事訴訟法第466條之1第1項但書或第2項之情形為訴訟代理人者,另應附具律師及格證書及釋明委任人與受任人有該條項所定關係之釋明文書影本。如委任律師提起上訴者,應一併繳納上訴審裁判費。
書記官 陳宜屏中 華 民 國 114 年 12 月 30 日附表一:緩慢公司發送之防詐簡訊(日期:民國)發送日期/時間 發送內容 收訊日期/時間 發送狀態 112年6月5日 12:24:29 緩慢民宿提醒您:近日詐騙案件增多,來電顯示為「+886」、「+2」開頭通常為詐騙電話,請勿聽信任何內容或提供個人資料、金融帳號、信用卡號等,並不要依電話指示操作,同時與165反詐騙專線確認。 112年6月5日 12:25:09 已成功送達手機 112年9月1日 19:54:15 緩慢民宿提醒您:近日詐騙案件增多,我們不會致電給您告知要退款或要求您立刻匯款,請勿聽信任何內容或提供個人資料、金融帳號、信用卡號等,並不要依電話指示操作,同時與165反詐騙專線確認。 112年9月1日 19:54:36 已成功送達手機