臺灣臺中地方法院臺中簡易庭小額民事判決
112年度中小字第4208號
原告 普彥嘉 住○○市○○區○00○000號信箱
訴訟代理人 普志國
被告柏文健康事業股份有限公司
法定代理人 陳尚義
訴訟代理人 陳恒毅
上列當事人間請求損害賠償事件,經本院於民國112年12月15日言詞辯論終結,判決如下:
主文
原告之訴駁回。
訴訟費用新臺幣1,000元由原告負擔。
事實及理由
一、原告主張:原告為被告營運之「健身工廠」之長期會員,定期在被告所經營之場館運動,所需費用以原告之信用卡支付,而被告於保有原告個資後,本應依個人資料保護法第27條規定,採行適當之安全措施,防止原告個資被洩漏,其竟未善盡上開義務,乃遭詐欺集團不法蒐集。該詐欺集團成員遂於民國112年8月2日打電話予原告,謊稱誤將原告會員帳戶變更為儲值會員,如不取消將至原告註冊之帳戶扣款新臺幣(下同)2萬元,原告信以為真,聽從指示在網路銀行進行所謂取消會員設定,陸續轉帳匯款40,989元、23,123元,共計64,112元至詐欺集團指定之帳戶,事後原告始發覺受騙。被告公司未盡其保護原告個資之責任,致原告受有遭詐欺64,112元之損害,被告自應負損害賠償之責,爰依民法第184條第1項前段、第2項前段、個資法第29條第1項之規定提起本件訴訟等語。並聲明:被告應給付原告64,112元,及自起訴狀繕本送達翌日起至清償日止,按年息百分之5計算之利息。
二、被告則以:
㈠現今科技進步,各項資料多已數位化,電子商務及手機APP之使用,使人留下極多數位足跡,且交易過程參與者亦甚多,包括發卡銀行或信用卡中心等,故詐騙集團取得個人資料之管道眾多,其若取得原告個人資料,極可能是來自原告手機使用郵局APP之管道或是網路銀行;就原告所提之資料至多僅能證明詐騙集團行騙之事實,尚不足以推論被告公司有違反個資法規定之行為,故原告指稱其個人資料自被告公司外洩,尚乏所據。
㈡又被告於112年7月29日接獲營運北一區區經理訊息及電話通知,北區會員接獲詐編電話後,被告隨即採取相關應變措施,停止會員App與核心取得個資連線、整合人為讀取或下載會員個資報表相關軌跡、所有核心會員個資數據庫環境版本升級、第三方與核心系統連線之帳密調整、導入資訊安全端點管控系統等,另寄發反詐騙簡訊提醒全國會員、並於官網及社群網站張貼反詐騙聲明、門市現場放置防詐騙公告網站聲明等多重管道,主動提醒客戶,另委託專業資安防護公司,協助修復遭破壞的漏洞,系統也加密升級,有盡善良管理人注意義務。而原告卻仍疏於注意,一步步於詐騙集團之指示下操作銀行APP轉帳系統,甚至在轉帳金額攔填入40,989元及23,123元等數字,造成財產權之損失。原告所受損害顯係因其個人一連串疏忽行為所致,與被告公司是否未盡對客戶資料保護行為無涉。
㈢並聲明:原告之訴駁回。
三、得心證之理由
㈠原告主張原告為被告營運之「健身工廠」之長期會員,定期在被告所經營之場館運動,所需費用以原告之信用卡支付,而被告於保有原告個資後,本應依個人資料保護法第27條規定,採行適當之安全措施,防止原告個資被洩漏,其竟未善盡上開義務,乃遭詐欺集團不法蒐集。該詐欺集團成員遂於112年8月2日打電話予原告,謊稱誤將原告會員帳戶變更為儲值會員,如不取消將至原告註冊之帳戶扣款2萬元,原告信以為真,聽從指示在網路銀行進行所謂取消會員設定,陸續轉帳匯款40,989元、23,123元,共計64,112元至詐欺集團指定之帳戶,事後原告始發覺受騙。被告公司未盡其保護原告個資之責任,致原告受有遭詐欺64,112元之損害,被告自應負損害賠償之責之事實,業據其提出臺中市政府警察局第六分局西屯派出所受理案件證明單、社群貼文、網路新聞、(見本院卷第29至37頁、第69至75頁、第97至102頁、第123至130頁、第147至170頁)為憑,並有本院依職權向臺中市政府警察局第六分局函調本件詐欺案件資料附卷可佐(見本院卷第273至290頁),然為被告所否認,並以前詞置辯。
㈡按當事人主張有利於己之事實者,就其事實有舉證之責任。但法律別有規定,或依其情形顯失公平者,不在此限。法律上推定之事實無反證者,無庸舉證,民事訴訟法第277條、第281條分別定有明文。故民事訴訟如係由原告主張權利者,除法律別有事實推定之規定等情形外,原則上即應先由原告負舉證之責,若原告先不能舉證,以證實自己主張之事實為真實,則被告就其抗辯事實即令不能舉證,或其所舉證據尚有疵累,亦應駁回原告之請求(最高法院72年度台上字第4225號判決見解可資參照)。又按個人資料保護法旨在保護個人資料上之人格權,並促進個人資料之合理利用。所謂「個人資料」,依據個人資料保護法第2條第1款之規定,係指自然人之姓名、出生年月日、國民身分證統一編號、護照號碼、特徵、指紋、婚姻、家庭、教育、職業、病歷、醫療、基因、性生活、健康檢查、犯罪前科、聯絡方式、財務情況、社會活動及其他得以直接或間接方式識別該個人之資料而言。而按公務機關或非公務機關違反本法規定,致個人資料被竊取、洩漏、竄改或其他侵害者,應查明後以適當方式通知當事人;非公務機關保有個人資料檔案者,應採行適當之安全措施,防止個人資料被竊取、竄改、毀損、滅失或洩漏;非公務機關違反本法規定,致個人資料遭不法蒐集、處理、利用或其他侵害當事人權利者,負損害賠償責任,但能證明其無故意或過失者,不在此限;個人資料保護法第12條、第27條第1項、第29條第1項分別定有明文。依此可知,個人資料保護法就非公務機關之損害賠償責任係採過失推定。次按因故意或過失,不法侵害他人之權利者,負損害賠償責任;故意以背於善良風俗之方法,加損害於他人者亦同;違反保護他人之法律,致生損害於他人者,負賠償責任,但能證明其行為無過失者,不在此限;民法第184條第1項、第2項定有明文。是個人資料保護法前開規定與民法就侵權行為損害賠償規範之內容雖有所不同,但個人資料保護法可認為係民法之特別規定。又按損害賠償之債,以有損害之發生及有責任原因之事實,並二者之間,有相當因果關係為成立要件。故原告所主張損害賠償之債,如不合於此項成立要件者,即難謂有損害賠償請求權存在。是凡違反個人資料保護法規定導致個人資料遭不法蒐集、處理、利用,而侵害其隱私權者,即推定為有故意、過失,且依舉證責任倒置原則,由行為人就其無故意、過失負舉證責任。但被害人仍應就其個人資料遭不法蒐集、處理及利用之事實負舉證之責,合先敘明。
㈢本件原告主張被告未妥善保護原告系爭交易之個人資料,致原告個人資料外洩,遭詐騙集團利用而受有損害等情,依前揭說明,自由原告就此負舉證之責。經查,原告與被告間就原告應支付被告之會員費用係以原告之信用卡支付等情,為兩造所不爭執。而從前開交易流程可知,其中有蒐集、處理原告個資之可能性者,除被告外,尚有發卡銀行等,是原告雖主張詐欺集團成員以電話向原告施用詐術時,明確知悉原告之姓名、消費明細及金額等語,合理認定係被告未妥善保管消費者資訊所致,然依前所述,於系爭交易過程中,除被告外,尚有發卡銀行為交易之實際執行者,依本件原告主張,仍難合理排除原告個資自其他環節遭竊取或洩漏之可能性,原告遭不法蒐集、利用之系爭個資是否確實來自被告,或係被告未採行適當安全措施導致外洩,即尚難證明。至原告主張被告已有多次遭遇駭客侵入致個資外洩情事等語,雖提出網路新聞列印為據(見本院卷第97頁至第99頁),然此部分依原告所提資料,僅能證明曾有新聞報導被告可能曾有會員個資外洩之等情,尚難以此即認原告之個人資料即係因此而遭詐騙集團利用,原告主張,純屬臆測,自難採憑。
㈣基上,本件依原告所提資料,尚不足以證明被告有未採行適當安全措施以保護個人資料檔案,而有違反個資法第27條第1項之情形或其管理上有所疏失,則原告主張依個資法第29條、民法第184條第1項、第2項,請求被告賠償財產上損害64,112元等語,自難認有據。
四、綜上所述,原告依個資法第29條、民法第184條第1項、第2項之規定,請求被告給付64,112元,及自起訴狀繕本送達翌日起至清償日止,按年息百分之5計算之利息,尚屬無據,應予駁回。
五、本件事證已臻明確,兩造其餘攻擊防禦方法及所舉證據,經審酌結果,與本件判決結論均無影響,爰不一一論述,附此敘明。
六、依民事訴訟法第436條之19第1項、第78條規定,本件訴訟費用額確定為1,000元,命由原告負擔。
中 華 民 國 113 年 1 月 19 日
臺灣臺中地方法院臺中簡易庭
法 官 張清洲
以上為正本係照原本作成。
如不服本判決,應於送達後廿日內,以判決違背法令為理由,向本院提出上訴狀並表明上訴理由(上訴理由應表明一、原判決所違背之法令及其具體內容;二、依訴訟資料可認為原判決有違背法令之具體事實),如於本判決宣示後送達前提起上訴者,應於判決送達後廿日內補提上訴理由書(須附繕本)。
中 華 民 國 113 年 1 月 19 日
書記官蕭榮峰