臺灣臺北地方法院小額民事判決 107年度北小字第266號
原 告 潘世佳
被 告 忠欣股份有限公司
法定代理人 邵作俊
訴訟代理人 甯耀南
翁國彥 律師
陳景筠 律師
賴郁樺 律師
上列當事人間請求損害賠償事件,本院於民國107年7月26日言
詞辯論終結,本院判決如下:
主文
被告應給付原告新臺幣貳萬元。
訴訟費用新臺幣壹仟元由被告負擔。
本判決得假執行。但被告如以新臺幣貳萬元為原告預供擔保,得
免為假執行。
事實及理由
一、原告起訴主張:原告於民國105年4月25日使用電腦上網登
入被告公司網站,報名被告於105年6月26日舉辦之多益英
語測驗場次,並依網站規定留下個人資料,詎料原告於105
年7月4日即接獲詐騙集團成員佯稱為被告員工,先與原告
核對姓名、電話、身分證字號、報名場次紀錄及報名費付費
方式均正確無訛後,又由另名自稱第一銀行專員之人誆稱出
現重複扣款情事,因對方清楚說明所有報考訊息,致原告不
疑有他,遂依指示操作ATM陸續匯出新臺幣(下同)143,06
2元,另購買遊戲點數損失10,000元,共計損失金額為153,
062元,事後始驚覺受騙並報警處理。被告持有原告之個資
,依個人資料保護法(下稱個資法)第12條、第27條規定負
有安全維護責任,但卻未盡妥善保管原告之個人資料,亦未
能及時查明後以適當方式通知原告,致原告個資外洩,造成
原告在精神上極大之焦慮、恐懼與不安,爰依個資法第28條
第2項、第3項規定提起本訴,並聲明求為命被告應給付原
告2萬元之判決。
二、被告則以:原告主張於105年7月4日接獲假冒被告員工之
人之來電而遭詐騙,惟未就其曾接獲該通來電、通話內容及
其受有損害之事實負舉證責任。縱認原告有接獲詐騙電話,
亦有可能係由處理多益測驗之金融機構、郵務機關甚或係原
告所使用之電腦端所洩漏,因被告曾於105年5、6月間委
由訴外人數聯資安股份有限公司(下稱數聯資安)檢測電腦
安全性及對電腦存取紀錄進行資訊安全監測,結果均未發現
有任何可疑之惡意程式,或有遭人侵入成功撈取資料之紀錄
,可見本件個資洩漏與被告無關。且被告於105年5月事件
發生前即已採取防火牆、電子加密系統、封包加密處理及員
工個人電腦防毒軟體等安全保護措施,依當時業界之資安防
護效能評價已是極優之系統,亦制訂有電腦使用管理辦法及
舉辦資訊安全教育訓練;自106年5月下旬起,更加強內部
人員資安及網路使用監控、禁止使用USB、檔案全面加密及
導入資安認證並辦理多次教育訓練等,以上所採行之保護措
施已符合當時技術水準可達之資訊保護標準,並無違反個資
法第27條第1項之規定,故原告依同法第28條、第29條請求
被告賠償其損害,顯無理由。退步言,即使是因被告未採行
安全措施造成個資洩漏,亦非全部考生均接獲詐騙電話,況
且即使接獲詐騙電話也不必然會遭受金錢損害,更非必然會
產生精神上之痛苦,因此個資有無洩漏與原告接獲詐騙電話
而受有損害之事實間並無因果關係。原告泛稱其因個資外洩
受有精神上痛苦,但未提出相關之診斷證明,更未就其何以
達法定金額之最高程度即2萬元舉證說明,請求顯屬無據。
至於原告另主張個資法第12條部分,該條本非損害賠償之請
求權基礎,且被告亦已在105年5月27日於官方網站揭示小
心詐騙之公告,另於105年7月9日發送提醒簡訊予原告,
故原告主張該條規定容有誤解等語置辯。並聲明:原告之訴
駁回。
三、按非公務機關保有個人資料檔案者,應採行適當之安全措施
,防止個人資料被竊取、竄改、毀損、滅失或洩漏;非公務
機關違反本法規定,致個人資料遭不法蒐集、處理、利用或
其他侵害當事人權利者,負損害賠償責任。但能證明其無故
意或過失者,不在此限;依前條規定請求賠償者,被害人雖
非財產上之損害,亦得請求賠償相當之金額;如被害人不易
或不能證明其實際損害額時,得請求法院依侵害情節,以每
人每一事件500元以上2萬元以下計算。個資法第27條第1
項、第29條第1項、第29條第2項準用同法第28條第2項、
第3項分別定有明文。本件原告主張被告持有其報名多益測
驗所用之個資,惟未採行適當之安全措施,導致其個資洩漏
,造成其精神上之不安,請求依上開規定請求賠償非財產上
損害2萬元等情,為被告所否認,並以前揭情詞置辯。是本
件之爭點應有:㈠原告報考多益測驗之個資是否洩漏?原因
為何?㈡被告是否已依法採行適當之安全措施,防止原告個
資外洩而無過失?㈢原告是否因此受有非財產上之損害?損
害額若干?茲分述如下:
㈠原告報考多益測驗之個資是否洩漏?原因為何?
1.原告主張其於105年4月25日使用電腦上網登入被告公司網
站,報名被告於105年6月26日舉辦之多益英語測驗場次,
並依網站規定留下個人資料;嗣於105年7月4日即接獲詐
騙集團成員佯稱為被告員工,先與原告核對姓名、電話、身
分證字號、報名場次紀錄及報名費付費方式均正確無訛後,
又由另名自稱第一銀行專員之人誆稱出現重複扣款情事,因
對方清楚說明所有報考訊息,致原告誤信而先後匯出153,06
2元等情,業據提出105年4、5月份信用卡帳單、網路報
名訂單確認信、測驗服務費發票、金融機構自動櫃員機交易
明細表共18紙及購買遊戲點數發票2張等物為證(見本院卷
㈠第134至138頁、第139頁、第150頁、第161頁、卷㈡
第19頁),復核與原告於105年7月5日報案內容一致,此
有臺北市政府警察局刑事警察大隊函覆本院之原告警詢筆錄
1份在卷可稽(見本院卷㈠第190至206頁),衡情原告於
事發翌日隨即報警,又無誣告動機,堪信上述事實並非虛構
。況且165反詐騙專線於105年5月23日至29日間統計受理
假冒被告客服人員核對考生資料後遂行詐騙之案件即高達47
件,亦有原告提出之165反詐騙宣導臉書粉絲專頁列印畫面
、臺北市政府警察局刑事警察大隊網站公告訊息等資料可佐
(見本院卷㈠第5至6頁);被告復自承自105年5月起即
陸續接獲1699名考生反應有冒用被告名義之詐騙事件,並於
105年5月底委由數聯資安公司重新檢視網站安全性等情,
益徵原告主張之上開受騙經過,應可採信,被告猶稱原告未
能舉證證明其有因多益測驗之個資外洩而遭詐騙云云,實無
可採。
2.被告雖又提出數聯資安公司出具之檢測及緊急應變服務報告
書1份,抗辯其於105年5月30日委由數聯資安公司檢測網
站安全性,結果均未發現有任何可疑之惡意程式,或有遭人
侵入成功撈取資料之紀錄,可見本件個資洩漏與被告無關,
合理懷疑為處理多益測驗之金融機構、郵務機關甚或係原告
所使用之電腦端所洩漏之機率較高云云。惟查,依臺北市政
府警察局大安分局詐欺偵查卷宗內所附之全部被害人報案紀
錄所示(見本院卷㈢大安分局偵查卷宗第63至69頁),被害
考生均一致指稱詐騙集團成員係以重複報考多益測驗為由使
其等誤信受騙,其中更有部分考生指出詐騙集團成員除持有
被害人之姓名、身分證字號、電話號碼等基本資料外,亦知
悉正確之報考序號及考試日期等情,而由被告自行提出之銀
行刷卡網頁及原告提出之信用卡帳單上所載之資訊以觀(見
本院卷㈣第10頁、卷㈠第164頁),可知能同時掌握以上所
有資訊之人僅有被告公司,應無可能係由付款銀行端洩漏前
揭各項考試相關資訊,否則亦無法合理解釋為何考生各自使
用不同家金融機構之信用卡,卻巧合地於同一時間均發生個
資外洩之情形。又倘若係因考生個人電腦端個資被盜,則詐
騙集團成員所掌握之訊息應不只考生報名多益繳交報名費ㄧ
項,詐騙集團成員何須費心挑選眾多個資遭竊者中有報名多
益者作為其詐騙對象,此顯不合常情,故被告此ㄧ抗辯亦無
可取。綜觀以上事證,並依經驗法則推斷,應以被告所持有
之個資外洩為最可能之結果。至於數聯資安公司提出之上開
檢測報告雖指出未發現有任何可疑之惡意程式,或有遭人侵
入成功撈取資料之紀錄等語,然依被告自陳其係接獲1000多
名考生反應有詐騙集團成員佯以被告名義來電後,始委由數
聯資安公司為上開檢測,可知若有個資外洩情事,時間應早
於數聯資安公司檢測之前即已發生,則數聯資安公司事後檢
測是否能反映事發時之真實情況、被告當時提供之歷程紀錄
是否未遭修改等,均非無疑,自不能僅憑上開報告遽為有利
於被告之認定,況且資料外洩之途徑亦不只有植入惡意程序
或侵入撈取,更不能排除有人為刻意洩漏之虞,益見被告僅
以上開檢測報告辯稱資料外洩與其無涉云云,實不足採。
3.基上,原告因在被告公司網站報考多益測驗,並於報名時輸
入其姓名、電話、身分證字號等個人資料,被告因而取得上
開個資,惟上開個人資料事後為第三人所竊取或洩漏之事實
,堪可認定。
㈡被告是否已依法採行適當之安全措施,防止原告個資外洩而
無過失?
1.承前,自原告上開個資事後為第三人所竊取或洩漏之事實以
觀,足認被告對原告之個資應未採行適當之安全措施甚明。
依前揭個資法第29條第1項規定,被告推定為有故意、過失
,應就其行為負損害賠償責任;被告如主張免責,即須就其
已善盡注意採行適當安全措施,而無故意或過失一事負舉證
責任。
2.依個資法施行細則第12條規定:「本法第6條第1項但書第
2款及第5款所稱適當安全維護措施、第18條所稱安全維護
事項、第19條第1項第2款及第27條第1項所稱適當之安全
措施,指公務機關或非公務機關為防止個人資料被竊取、竄
改、毀損、滅失或洩漏,採取技術上及組織上之措施。前項
措施,得包括下列事項,並以與所欲達成之個人資料保護目
的間,具有適當比例為原則:一、配置管理之人員及相當資
源。二、界定個人資料之範圍。三、個人資料之風險評估及
管理機制。四、事故之預防、通報及應變機制。五、個人資
料蒐集、處理及利用之內部管理程序。六、資料安全管理及
人員管理。七、認知宣導及教育訓練。八、設備安全管理。
九、資料安全稽核機制。十、使用紀錄、軌跡資料及證據保
存。十一、個人資料安全維護之整體持續改善。」。被告固
辯稱其於105年5月事件發生前即已採取防火牆、電子加密
系統、封包加密處理及員工個人電腦防毒軟體等安全保護措
施,亦制訂有電腦使用管理辦法及舉辦資訊安全教育訓練云
云,然查前述系統安全防護措施均係基本配備,以被告公司
營運規模之大,蒐集處理之個人資料數量之多,實不能僅以
安裝前揭措施即謂符合安全標準。至於被告稱其裝設之主動
入侵防禦系統為當時業界評價極優秀之系統云云,除未舉證
以佐其說外,縱使為真,依前揭規範意旨,資訊系統防護亦
僅為資安防護工作之一環而已,本院曾曉諭被告應提出事件
發生前該公司之完整資安計畫(見本院卷㈠第111頁),然
被告迄未提出相關資料說明該公司就電腦使用紀錄、軌跡資
料係如何保存、有無對資訊系統及電腦設備進行定期安全稽
核、或對經手客戶資訊之員工建置完善之稽查制度等,顯難
認為被告已證明其就所取得之客戶個資善盡防護工作,以避
免遭不法蒐集、處理或利用。從而,被告援引個資法第29條
第1項但書規定主張免責,自屬無據。
㈢原告是否因此受有非財產上之損害?損害額若干?
經查,被告因未善盡安全防護措施,導致原告之個資外洩,
並遭詐騙集團使用等情,業經本院認定如前,堪認原告之隱
私權確實受有侵害。被告雖以並非全部考生均接獲詐騙電話
,且即使接獲詐騙電話也不必然會遭受金錢損害,更非必然
會產生精神上之痛苦等語,否認原告個資洩漏與其接獲詐騙
電話而受有損害之事實間有何因果關係云云,然而隱私權本
身即為一種法益,原告因其個資遭暴露,隨時處於不安之狀
態中,而受有精神上之痛苦,此即原告所受之非財產上損害
,不以原告有無因此受有財產上損害或其他實害為必要,被
告前揭抗辯,明顯有所誤認,洵不足採。是依前揭個資法第
29條第2項準用同法第28條第2項、第3項之規定,原告自
得就其所受非財產上之損害,請求賠償相當之金額;數額如
不易或不能證明時,以每人每一事件500元以上2萬元以下
計算。本院審酌本件原告遭洩漏之個資型態、數量及實際受
害情節,認原告請求賠償2萬元並無過當,核屬有據。
四、從而,原告依個資法第29條第1項規定請求被告賠償其非財
產上損害2萬元,為有理由,應予准許。
五、本件事證基礎已臻明確,兩造其餘攻防方法及所舉證據,經
斟酌後核與判決結果不生影響,無再予一一論述之必要,附
此敘明。
六、本件訴訟費用額,依後附計算書確定如主文所示之金額。
中華民國107年8月31日
臺灣臺北地方法院臺北簡易庭
法官吳若萍
計算書
項目金額(新臺幣)備註
第一審裁判費1,000元
合計1,000元
以上正本證明與原本無異。
如不服本判決,須以違背法令為理由,應於判決送達後20日內向
本庭(臺北市○○○路○段○○○巷○號)提出上訴狀。(須按他
造當事人之人數附繕本)。如委任律師提起上訴者,應一併繳納
上訴審裁判費。
中華民國107年8月31日
書記官賴敏慧
附錄:
一、民事訴訟法第436條之24第2項:
對於小額程序之第一審裁判上訴或抗告,非以其違背法令為
理由,不得為之。
二、民事訴訟法第436條之25:
上訴狀內應記載上訴理由,表明下列各款事項:
(一)原判決所違背之法令及其具體內容。
(二)依訴訟資料可認為原判決有違背法令之具體事實。