臺灣高等法院民事判決114年度上易字第497號上 訴 人 博弘雲端科技股份有限公司法定代理人 井琪訴訟代理人 辜得權律師複 代理人 鄧智徽律師
朱昱恆律師訴訟代理人 賴昱豪被 上訴人 雜學股份有限公司法定代理人 蘇仰志訴訟代理人 蘇昱仁律師複 代理人 沈宗英律師上列當事人間給付服務使用費等事件,上訴人對於中華民國113年12月12日臺灣臺北地方法院112年度訴字第2207號判決提起上訴,本院於114年11月11日言詞辯論終結,判決如下:
主 文上訴駁回。
第二審訴訟費用由上訴人負擔。
事實及理由
一、程序方面:按「當事人不得提出新攻擊或防禦方法。但有下列情形之一者,不在此限:三、對於在第一審已提出之攻擊或防禦方法為補充者」,民事訴訟法第447條第1項第3款定有明文。次按「未於準備程序主張之事項,除有下列情形之一者外,於準備程序後行言詞辯論時,不得主張之:二、該事項不甚延滯訴訟者」,民事訴訟法第276條第1項第2款定有明文,並依同法第463條準用於第二審程序。查上訴人於本院準備程序終結後,提出訴外人AWS公司網站截圖、上訴人官方網站截圖、上訴人其他客戶使用雲端代管服務之報價單、上訴人後台有關被上訴人伺服器使用資料之截圖、發票3張與統計資料(見本院卷第169-175、199-205頁);被上訴人則反對上訴人提出新攻擊方法(見本院卷第193頁)。經核,上訴人所提證據係補充原審攻擊方法,且不甚延滯訴訟,依前述說明,應准許其提出上開新證據。
二、上訴人主張:兩造於民國109年9月23日簽訂Amazon Web Services雲端服務契約書(下稱系爭契約)及報價單(下稱系爭報價單),被上訴人向伊租用「Amazon EC2、S3、CloudFront、AWS雲端運算暨帳務服務、技術支援」等產品及服務(下合稱系爭雲端服務),使用費及附加費用(下合稱服務費用)係按系爭報價單計算,被上訴人應於伊發票開立日起30日內付款。111年7月間,被上訴人使用系爭雲端服務,應支付服務費用共計新臺幣(以下未註明貨幣單位者,均為新臺幣)116萬1285元,扣除伊在原審勝訴確定之3567元本息,被上訴人尚積欠115萬7718元(下稱系爭費用,亦即美金34184.81元)本息。爰依系爭契約第2條第2項之約定,訴請:被上訴人應給伊115萬7718元,及自支付命令送達翌日(即112年4月1日)起至清償日止按年息百分之五計算之利息等語。
三、被上訴人則以:兩造簽訂系爭契約與系爭報價單,由伊向上訴人租用系爭雲端服務,依系爭契約第2條第1項及系爭報價單約定,伊按實際使用設備規格及流量支付服務費用。又系爭報價單明定「EC2」服務應以「t3 medium」規格虛擬主機使用。由於上訴人並未提供伊查詢系爭雲端服務服務費用之權限,伊無從得知AWS帳戶發生異常流量;111年7月9日,上訴人員工賴韻如告知伊所租用「EC2」費用遽增,有遭到盜用之虞,經一再查核並配合上訴人防堵駭客措施,始知悉AWS帳戶自111年7月7日至19日,遭到不明人士以「g5.xlarge」、「p3.2xlarge」、「g4ad.xlarge」、「no instance type」虛擬主機盜用系爭雲端服務,致衍生系爭費用美金341
84.81元(上訴人換算為新臺幣115萬7718元)。依上開約定,系爭費用既非經由系爭報價單指定型號虛擬主機所產生,即與系爭契約本旨不符,故上訴人無從請求伊支付系爭費用等語,資為抗辯。
四、原審就上訴人前開請求,為其敗訴之判決。上訴人提起上訴並聲明:㈠原判決駁回上訴人後開第㈡項之訴部分廢棄;㈡被上訴人應給付上訴人115萬7718元,及自支付命令送達翌日(即112年4月1日)起至清償日止按年息百分之五計算之利息。被上訴人答辯聲明:上訴駁回。
五、兩造不爭執事項:(見本院卷第105、88頁筆錄)㈠兩造於109年9月23日簽署系爭契約,被上訴人租用系爭報價
單所載名稱及規格之服務,其中服務名稱為「EC2」、「S3」及「CloudFront」之預估每月總價依序為1,417元、4元及260元,合計1,681元,「EC2」虛擬主機規格則為「t3 medium」(原審卷第39至42頁契約書、第43頁報價單)。
㈡上訴人員工賴韻如於111年7月9日下午1時7分,以電子郵件通
知被上訴人員工于慧玲AWS費用激增,擔心是否是遭盜用等語(見原審卷第219頁電子郵件)。
㈢賴韻如收到于慧玲回信後,於111年7月11日下午2時14分以電
子郵件通知于慧玲被盜用的可能性極高,請被上訴人IT協助信件所載事項等語,該等事項為:「⒈開啟MFA(按:多重要素驗證)並提供截圖;⒉開啟Cloudwatch並提供截圖;⒊開啟Cloudtrail並提供截圖;⒋詳讀以下文件並回覆已知悉相關信息與條款:AWS客戶協議https://aws.amazon.com/cn/agreement/?1=h_1s、AWS與客戶間的責任共擔模式https://aws.amazon.com/cn/compliance/shared-responsibility-model/」(見原審卷第222頁電子郵件)。
㈣承上㈢,同日下午2時32分賴韻如以電子郵件通知于慧玲須完
成上述事項並提供截圖及回覆,並敘述反饋以下問題才能申請盜用金額之免除:⒈遭盜用期間;⒉遭盜用service(如為EC2,請列出遭盜用instance type〈按:虛擬主機規格〉);⒊遭盜用費用;⒋客戶於該區間真正有在使用的機器和費用(見原審卷第223頁電子郵件)。
㈤賴韻如於111年7月19日下午5時50分,以電子郵件通知被上訴
人外包公司IT人員翁凱迪進行「CloudFormation」、「Cloudtrail」及「Cloudwatch」的設定(見原審卷第234頁)㈥翁凱迪於111年7月20日下午3時,以電子郵件回覆賴韻如少給
Cloudwatch的文件;賴韻如於111年7月20日下午4時54分回覆翁凱迪漏掉文件連結等語,補充提供設定文件之參考網站連結(見原審卷第235頁日電子郵件)。
㈦賴韻如於111年7月26日下午4時26分,以電子郵件通知于慧玲
的instance type為「g5.xlarge」、「p3.2xlarge」、「g4
ad.xlarge」及「no instance type」;區間為111年7月7日至同年月19日,金額為美金3萬4184.81元(見原審卷第237頁電子郵件)。
㈧賴韻如於111年7月29日晚間9點34分,以電子郵件通知于慧玲
已於當日新增開通于慧玲的「Billing Portal」供其進行費用查看跟細節確認(見原審卷第239頁電子郵件)。
㈨賴韻如於111年8月8日下午3時46分,以電子郵件通知于慧玲A
WS原廠反應被上訴人帳號尚處於不安全狀態,主要是accesskey未刪除等語(原審卷第243頁電子郵件)。
㈩賴韻如於111年8月9日上午10時30分,以電子郵件通知翁凱迪
設定完成後會再請上訴人公司SA(按:系統分析師)確認Ac
ess Key相關問題;又於111年8月12日上午10時59分以電子郵件通知翁凱迪SA確認結果,進一步指示翁凱迪須完成設定的內容(見原審卷第245頁電子郵件)。
賴韻如於111年8月15日下午2時2分以電子郵件通知翁凱迪需
要刪除的Acess Key;翁凱迪於同日下午2時18回覆賴韻如已刪除該Acess Key並提供截圖(見原審卷第247頁電子郵件)賴韻如於111年8月17日下午6時2分,以電子郵件通知翁凱迪
、于慧玲等人AWS原廠已開始進行本案的相關處理等語(見原審卷第249頁電子郵件)。
賴韻如於111年9月23日晚間7時28分,以電子郵件通知于慧玲
AWS原廠的fraud team維持不給予任何費用扣除的決定(見原審卷第251頁電郵)。
六、本件爭點為:系爭費用是否係被上訴人使用系爭雲端服務所產生?㈡被上訴人是否應支付系爭費用?茲就兩造論點分述如下。
七、關於系爭費用是否係被上訴人使用系爭雲端服務所產生:上訴人主張被上訴人於111年7月7日至19日使用系爭雲端服務,所對應服務費用為系爭費用115萬7718元(見本院卷第155-163頁)。為被上訴人所否認。經查:
㈠系爭契約第2條第1項約定:「關於甲方(指被上訴人)租用
本服務之使用費及其他如技術支援等附加費用之金額,悉按以原廠定價為基礎之附件報價單內容計算之」(見原審卷㈠第39頁),可知被上訴人依系爭報價單使用指定型號虛擬主機時,應支付服務費用。又系爭報價單記載系爭雲端服務為「EC2」、「S3」、「CloudFront」,預估每月總價依序為1,417元、4元及260元,合計1,681元,「EC2」虛擬主機規格則為「t3 medium」(見不爭執事項㈠)。可知系爭契約(含系爭報價單)指定被上訴人使用「t3 medium」規格之虛擬主機,方能取得「EC2」服務。
㈡嗣上訴人員工賴韻如於111年7月9日下午1時7分,以電子郵件
通知被上訴人員工于慧玲AWS費用激增,擔心是否是遭盜用;在收到于慧玲回信後,賴韻如於111年7月11日下午2時14分以電子郵件通知于慧玲被盜用的可能性極高,請被上訴人IT協助信件所載事項(見不爭執事項㈡㈢)。111年7月11日下午2時32分,賴韻如以電子郵件通知于慧玲須完成同日下午2時14分電子郵件所述事項,並敘述反饋以下問題才能申請盜用金額之免除:⒈遭盜用期間;⒉遭盜用service(如為EC2,請列出遭盜用instance type〈按:虛擬主機規格〉);⒊遭盜用費用;⒋客戶於該區間真正有在使用的機器和費用(見不爭執事項㈣)。嗣兩造一再連繫防範盜用之方法,迨111年7月26日下午4時26分,賴韻如以電子郵件通知于慧玲的instance type為「g5.xlarge」、「p3.2xlarge」、「g4ad.xlarge」及「no instance type」;區間為111年7月7日至同年月19日,上述虛擬主機服務費用金額為美金3萬4184.81元(見不爭執事項㈦)。可知上訴人於111年7月9日察覺被上訴人帳號可能遭到盜用,通知被上訴人進行相關防堵,於同年月26日確認被上訴人AWS帳戶遭人盜用,且係以「g5.xlarge」、「p3.2xlarge」、「g4ad.xlarge」、「
no instance type」型式之虛擬主機取得系爭雲端服務,服務費用為美金34184.81元。則上開流量並非使用系爭報價單所指定「t3 medium」型號虛擬主機,自難認前開雲端服務係由被上訴人依系爭報價單所使用、享受。
㈢上訴人固然主張系爭報價單並未限定客戶使用虛擬主機設備
型號,且被上訴人曾經使用「t3 medium」以外虛擬主機;系爭報價單並未包含資安防護或雲端代管,故AWS帳戶資安風險應由被上訴人自行負責。再者,系爭雲端服務之AWS帳號密碼係由被上訴人保管,其僅為該服務之經銷商,事後依被上訴人使用流量計算服務費,但是並無AWS帳戶密碼或使用權限,無從得知被上訴人AWS帳戶是否遭到盜用。關於被上訴人所稱計費流量並非由其使用一事,應負舉證責任云云(見本院卷第155-163頁)。經查:
⑴系爭報價單載明「EC2」服務之虛擬主機規格為「t3 medi
um」(見不爭執事項㈠);可知兩造約定被上訴人應使用「t3 medium」虛擬主機,方能享受系爭雲端服務其中「EC2」功能。參以上訴人技術主管余俊宏於原審112年12月13日庭期結證稱:「(提示被證1,這是兩造的服務契約,報價單的部分,下面服務名稱EC2,後面有一個t3 medium可否說明這代表為何?)t3 medium 是AWS 的EC2 也就是虛擬主機的其中一個型號。這個t3的規格就是代表共享CPU,但它具備兩個v CPU 加上4G的Ram」、「(可否描述這樣規格的機器它的運算能力,比較常見在什麼樣的網路服務,並舉例說明)就這規格的機器通常用於百人以下的網頁服務,或是一些小程式的運算環境」等語(見原審卷第286-287頁筆錄)。可知系爭報價單已限制被上訴人僅能使用運算力較小之「t3 medium」虛擬主機;被上訴人無從逕自使用其他型號虛擬主機以享受「EC2」服務。是以上訴人主張報價單並未限定客戶使用特定型號虛擬主機設備云云(見本院卷第162頁),顯與系爭報價單不符,故為本院所不採。
⑵系爭報價單雖然不包含資安防護或雲端代管等項,然而,
系爭報價單既指定被上訴人僅用「t3 medium」型號虛擬主機,解釋上,被上訴人僅需管制「t3 medium」虛擬主機之使用,至於其他型號虛擬主機(如「g5.xlarge」、「p3.2xlarge」、「g4ad.xlarge」、「no instance type」)既非系爭報價單所約定設備,則上訴人於客戶使用非約定型號虛擬主機時,應認定不符合系爭報價單而拒絕提供服務或向客戶查詢實情。上訴人捨此不為,復主張被上訴人AWS帳戶於111年7月7日至同年月19日,遭前開數種型號虛擬主機(均非系爭報價單所約定型號)盜用,已如前述,益證上開流量並非系爭報價單所約定應由被上訴人使用及付費內容。上訴人以系爭報價單並未包含資安防護或雲端代管,且其並無被上訴人AWS帳戶密碼或使用權限,主張111年7月7日至19日關於系爭雲端服務流量仍屬被上訴人使用範圍云云,即無可採。
⑶至於上訴人主張被上訴人曾使用Elastic Load Balancing
、Global Acceleretorl、DynamoDB、Cloud Watch等服務,占被上訴人流量30%以上。並舉被上訴人伺服器使用資料之截圖為證(見本院卷第162-163、196、175頁)。惟查,被上訴人辯稱前開資料係111年9月1日至114年9月30日之使用紀錄(見本院卷第193頁筆錄),且上訴人自承前述使用紀錄均係111年7月以後資料,先前資料並未留存等語(見同卷第191頁筆錄),是上訴人主張被上訴人在111年7月7日至19日之前,曾經使用「t3 medium」以外型號虛擬主機一節,即無可採。又兩造不爭執於本件爭執發生後,上訴人遂開放被上訴人查看費用變化之權限(見本院卷第60-61、88頁);是以上開111年9月1日至114年9月30日使用紀錄,充其量僅能證明在本件爭端發生後,被上訴人知悉上訴人不再限定其使用「t3 medium」型號虛擬主機,因而增加其他型號虛擬主機為使用工具,但是前述紀錄尚無從證明兩造約定被上訴人在111年7月7日以前得使用「t3 medium」以外虛擬主機型號。
㈣從而,系爭報價單限定被上訴人就「EC2」雲端服務應使用「
t3 medium」型號虛擬主機、支付服務費用。由於111年7月7日至19日,上訴人主張被上訴人AWS帳戶產生美金34184.81元費用,係使用約定型號以外之「g5.xlarge」、「p3.2xlarge」、「g4ad.xlarge」、「no instance type」虛擬主機,顯與系爭報價單不符。是以上開期間流量並非被上訴人所使用。是上訴人主張上開虛擬主機使用系爭雲端服務所生系爭費用(美金34184.81元即新臺幣115萬7718元),屬於上訴人依據系爭報價單使用系爭雲端服務之服務費用,尚非可取。
八、關於被上訴人是否應支付系爭費用方面:上訴人主張,被上訴人就AWS帳戶具有掌控權限,縱使(僅屬假設)被上訴人AWS帳戶遭到第三人不法攻擊或基於可歸責被上訴人事由,以致影響系爭雲端服務;其亦得依據系爭契約第7條第1、2項免責。故被上訴人仍應支付系爭費用云云(見本院卷第 159-160、163-165頁)。經查:
㈠系爭契約第7條第1、2項約定:「如因甲方(指被上訴人)之
電腦或資訊系統遭受第三人不法攻擊致本服務之提供受有影響者,乙方(指上訴人)不負責任」、「如因可歸責於甲方其他廠商(包括但不限於網際網路服務業者、供電業者、房屋出租人等)之事由致本服務之提供受有影響者,乙方不負責任」(見原審卷第40頁);依上開條款,被上訴人電腦或資訊系統遭受第三人不法攻擊或是可歸責於被上訴人事由,並藉由系爭報價單所指定設備(如「t3 medium」)以使用系爭雲端服務時,上訴人均無須就此風險管控負責。
㈡然而,系爭報價單約定被上訴人AWS帳戶就「EC2」項目僅得
使用「t3 medium」虛擬主機,既如前述。是以第三人不法使用被上訴人AWS帳戶,卻使用「t3 medium」以外型號虛擬主機,上訴人本應拒絕提供系爭雲端服務;若是上訴人仍然提供系爭雲端服務,實係上訴人未依系爭報價單履行契約,即與系爭契約7條第1、2項規定無涉。茲111年7月7日至19日,被上訴人AWS帳戶產生美金34184.81元費用,係使用約定型號以外之「g5.xlarge」、「p3.2xlarge」、「g4ad.xlarge」、「no instance type」虛擬主機而取得「EC2」服務,既如前述;可知系爭費用實係上訴人未依系爭報價單拒絕提供服務所造成,則其竟援引系爭契約7條第1、2項,要求被上訴人支付上開期間關於系爭雲端服務之系爭費用;洵無可取。
㈢綜上,上訴人主張被上訴人就AWS帳戶具有掌控權限,縱使(
僅屬假設)被上訴人AWS帳戶遭到第三人盜用,上訴人仍得依系爭契約第7條第1、2項免責,故被上訴人仍應支付系爭費用(美金34184.81元即新臺幣115萬7718元)一節;亦非可採。
九、綜上所述,上訴人依據系爭契約第2條第2項之約定,訴請:「被上訴人應給付上訴人115萬7718元,及自支付命令送達翌日(即112年4月1日)起至清償日止按年息百分之五計算之利息」,為無理由,應予駁回。是則原審依此駁回其訴,經核並無違誤。上訴意旨指摘原判決此部分不當,求予廢棄改判;為無理由,應予駁回。
十、本件事證已臻明確,兩造其餘攻擊、防禦方法及證據,經斟酌後,認均不足以影響本判決結果,自無逐一詳予論述之必要,併予敘明。
十一、據上論結,本件上訴為無理由,依民事訴訟法第449條第1項、第78條,判決如主文。
中 華 民 國 114 年 11 月 25 日
民事第十一庭
審判長法 官 李慈惠
法 官 謝永昌法 官 吳燁山正本係照原本作成。
不得上訴。
中 華 民 國 114 年 11 月 25 日
書記官 王尊