https://tinyurl.com/y4m8vke2 台湾台北地方法院小额民事判决　　　　107年度北小字第266号 原　　　告　潘世佳 被　　　告　忠欣股份有限公司 　 法定代理人　邵作俊 诉讼代理人　甯耀南 　　　　　　翁国彦律师 　　　　　　陈景筠律师 　　　　　　赖郁桦律师 上列当事人间请求损害赔偿事件，本院於民国107 年7 月26日言 词辩论终结，本院判决如下： 主 文 被告应给付原告新台币贰万元。 诉讼费用新台币壹仟元由被告负担。 本判决得假执行。但被告如以新台币贰万元为原告预供担保，得 免为假执行。 事实及理由 一、原告起诉主张：原告於民国105 年4 月25日使用电脑上网登 入被告公司网站，报名被告於105 年6 月26日举办之多益英 语测验场次，并依网站规定留下个人资料，讵料原告於105 年7 月4 日即接获诈骗集团成员佯称为被告员工，先与原告 核对姓名、电话、身分证字号、报名场次纪录及报名费付费 方式均正确无讹後，又由另名自称第一银行专员之人诓称出 现重复扣款情事，因对方清楚说明所有报考讯息，致原告不 疑有他，遂依指示操作ATM 陆续汇出新台币（下同）143,06 2 元，另购买游戏点数损失10,000元，共计损失金额为153, 062 元，事後始惊觉受骗并报警处理。被告持有原告之个资 ，依个人资料保护法（下称个资法）第12条、第27条规定负 有安全维护责任，但却未尽妥善保管原告之个人资料，亦未 能及时查明後以适当方式通知原告，致原告个资外泄，造成 原告在精神上极大之焦虑、恐惧与不安，爰依个资法第28条 第2 项、第3 项规定提起本诉，并声明求为命被告应给付原 告2 万元之判决。 二、被告则以：原告主张於105 年7 月4 日接获假冒被告员工之 人之来电而遭诈骗，惟未就其曾接获该通来电、通话内容及 其受有损害之事实负举证责任。纵认原告有接获诈骗电话， 亦有可能系由处理多益测验之金融机构、邮务机关甚或系原 告所使用之电脑端所泄漏，因被告曾於105 年5 、6 月间委 由诉外人数联资安股份有限公司（下称数联资安）检测电脑 安全性及对电脑存取纪录进行资讯安全监测，结果均未发现 有任何可疑之恶意程式，或有遭人侵入成功捞取资料之纪录 ，可见本件个资泄漏与被告无关。且被告於105 年5 月事件 发生前即已采取防火墙、电子加密系统、封包加密处理及员 工个人电脑防毒软体等安全保护措施，依当时业界之资安防 护效能评价已是极优之系统，亦制订有电脑使用管理办法及 举办资讯安全教育训练；自106 年5 月下旬起，更加强内部 人员资安及网路使用监控、禁止使用USB 、档案全面加密及 导入资安认证并办理多次教育训练等，以上所采行之保护措 施已符合当时技术水准可达之资讯保护标准，并无违反个资 法第27条第1 项之规定，故原告依同法第28条、第29条请求 被告赔偿其损害，显无理由。退步言，即使是因被告未采行 安全措施造成个资泄漏，亦非全部考生均接获诈骗电话，况 且即使接获诈骗电话也不必然会遭受金钱损害，更非必然会 产生精神上之痛苦，因此个资有无泄漏与原告接获诈骗电话 而受有损害之事实间并无因果关系。原告泛称其因个资外泄 受有精神上痛苦，但未提出相关之诊断证明，更未就其何以 达法定金额之最高程度即2 万元举证说明，请求显属无据。 至於原告另主张个资法第12条部分，该条本非损害赔偿之请 求权基础，且被告亦已在105 年5 月27日於官方网站揭示小 心诈骗之公告，另於105 年7 月9 日发送提醒简讯予原告， 故原告主张该条规定容有误解等语置辩。并声明：原告之诉 驳回。 三、按非公务机关保有个人资料档案者，应采行适当之安全措施 ，防止个人资料被窃取、窜改、毁损、灭失或泄漏；非公务 机关违反本法规定，致个人资料遭不法蒐集、处理、利用或 其他侵害当事人权利者，负损害赔偿责任。但能证明其无故 意或过失者，不在此限；依前条规定请求赔偿者，被害人虽 非财产上之损害，亦得请求赔偿相当之金额；如被害人不易 或不能证明其实际损害额时，得请求法院依侵害情节，以每 人每一事件500 元以上2 万元以下计算。个资法第27条第1 项、第29条第1 项、第29条第2 项准用同法第28条第2 项、 第3 项分别定有明文。本件原告主张被告持有其报名多益测 验所用之个资，惟未采行适当之安全措施，导致其个资泄漏 ，造成其精神上之不安，请求依上开规定请求赔偿非财产上 损害2 万元等情，为被告所否认，并以前揭情词置辩。是本 件之争点应有：(一)原告报考多益测验之个资是否泄漏？原因 为何？(二)被告是否已依法采行适当之安全措施，防止原告个 资外泄而无过失？(三)原告是否因此受有非财产上之损害？损 害额若干？兹分述如下： (一)原告报考多益测验之个资是否泄漏？原因为何？ 1.原告主张其於105 年4 月25日使用电脑上网登入被告公司网 站，报名被告於105 年6 月26日举办之多益英语测验场次， 并依网站规定留下个人资料；嗣於105 年7 月4 日即接获诈 骗集团成员佯称为被告员工，先与原告核对姓名、电话、身 分证字号、报名场次纪录及报名费付费方式均正确无讹後， 又由另名自称第一银行专员之人诓称出现重复扣款情事，因 对方清楚说明所有报考讯息，致原告误信而先後汇出153,06 2 元等情，业据提出105 年4 、5 月份信用卡帐单、网路报 名订单确认信、测验服务费发票、金融机构自动柜员机交易 明细表共18纸及购买游戏点数发票2 张等物为证（见本院卷 (一)第134 至138 页、第139 页、第150 页、第161 页、卷(二) 第19页），复核与原告於105 年7 月5 日报案内容一致，此 有台北市政府警察局刑事警察大队函覆本院之原告警询笔录 1 份在卷可稽（见本院卷(一)第190 至206 页），衡情原告於 事发翌日随即报警，又无诬告动机，堪信上述事实并非虚构 。况且165 反诈骗专线於105 年5 月23日至29日间统计受理 假冒被告客服人员核对考生资料後遂行诈骗之案件即高达47 件，亦有原告提出之165 反诈骗宣导脸书粉丝专页列印画面 、台北市政府警察局刑事警察大队网站公告讯息等资料可佐 （见本院卷(一)第5 至6 页）；被告复自承自105 年5 月起即 陆续接获1699名考生反应有冒用被告名义之诈骗事件，并於 105 年5 月底委由数联资安公司重新检视网站安全性等情， 益徵原告主张之上开受骗经过，应可采信，被告犹称原告未 能举证证明其有因多益测验之个资外泄而遭诈骗云云，实无 可采。 2.被告虽又提出数联资安公司出具之检测及紧急应变服务报告 书1 份，抗辩其於105 年5 月30日委由数联资安公司检测网 站安全性，结果均未发现有任何可疑之恶意程式，或有遭人 侵入成功捞取资料之纪录，可见本件个资泄漏与被告无关， 合理怀疑为处理多益测验之金融机构、邮务机关甚或系原告 所使用之电脑端所泄漏之机率较高云云。惟查，依台北市政 府警察局大安分局诈欺侦查卷宗内所附之全部被害人报案纪 录所示（见本院卷(三)大安分局侦查卷宗第63至69页），被害 考生均一致指称诈骗集团成员系以重复报考多益测验为由使 其等误信受骗，其中更有部分考生指出诈骗集团成员除持有 被害人之姓名、身分证字号、电话号码等基本资料外，亦知 悉正确之报考序号及考试日期等情，而由被告自行提出之银 行刷卡网页及原告提出之信用卡帐单上所载之资讯以观（见 本院卷(四)第10页、卷(一)第164 页），可知能同时掌握以上所 有资讯之人仅有被告公司，应无可能系由付款银行端泄漏前 揭各项考试相关资讯，否则亦无法合理解释为何考生各自使 用不同家金融机构之信用卡，却巧合地於同一时间均发生个 资外泄之情形。又倘若系因考生个人电脑端个资被盗，则诈 骗集团成员所掌握之讯息应不只考生报名多益缴交报名费ㄧ 项，诈骗集团成员何须费心挑选众多个资遭窃者中有报名多 益者作为其诈骗对象，此显不合常情，故被告此ㄧ抗辩亦无 可取。综观以上事证，并依经验法则推断，应以被告所持有 之个资外泄为最可能之结果。至於数联资安公司提出之上开 检测报告虽指出未发现有任何可疑之恶意程式，或有遭人侵 入成功捞取资料之纪录等语，然依被告自陈其系接获1000多 名考生反应有诈骗集团成员佯以被告名义来电後，始委由数 联资安公司为上开检测，可知若有个资外泄情事，时间应早 於数联资安公司检测之前即已发生，则数联资安公司事後检 测是否能反映事发时之真实情况、被告当时提供之历程纪录 是否未遭修改等，均非无疑，自不能仅凭上开报告遽为有利 於被告之认定，况且资料外泄之途径亦不只有植入恶意程序 或侵入捞取，更不能排除有人为刻意泄漏之虞，益见被告仅 以上开检测报告辩称资料外泄与其无涉云云，实不足采。 3.基上，原告因在被告公司网站报考多益测验，并於报名时输 入其姓名、电话、身分证字号等个人资料，被告因而取得上 开个资，惟上开个人资料事後为第三人所窃取或泄漏之事实 ，堪可认定。 (二)被告是否已依法采行适当之安全措施，防止原告个资外泄而 无过失？ 1.承前，自原告上开个资事後为第三人所窃取或泄漏之事实以 观，足认被告对原告之个资应未采行适当之安全措施甚明。 依前揭个资法第29条第1 项规定，被告推定为有故意、过失 ，应就其行为负损害赔偿责任；被告如主张免责，即须就其 已善尽注意采行适当安全措施，而无故意或过失一事负举证 责任。 2.依个资法施行细则第12条规定：「本法第6 条第1 项但书第 2 款及第5 款所称适当安全维护措施、第18条所称安全维护 事项、第19条第1 项第2 款及第27条第1 项所称适当之安全 措施，指公务机关或非公务机关为防止个人资料被窃取、窜 改、毁损、灭失或泄漏，采取技术上及组织上之措施。前项 措施，得包括下列事项，并以与所欲达成之个人资料保护目 的间，具有适当比例为原则：一、配置管理之人员及相当资 源。二、界定个人资料之范围。三、个人资料之风险评估及 管理机制。四、事故之预防、通报及应变机制。五、个人资 料蒐集、处理及利用之内部管理程序。六、资料安全管理及 人员管理。七、认知宣导及教育训练。八、设备安全管理。 九、资料安全稽核机制。十、使用纪录、轨迹资料及证据保 存。十一、个人资料安全维护之整体持续改善。」。被告固 辩称其於105 年5 月事件发生前即已采取防火墙、电子加密 系统、封包加密处理及员工个人电脑防毒软体等安全保护措 施，亦制订有电脑使用管理办法及举办资讯安全教育训练云 云，然查前述系统安全防护措施均系基本配备，以被告公司 营运规模之大，蒐集处理之个人资料数量之多，实不能仅以 安装前揭措施即谓符合安全标准。至於被告称其装设之主动 入侵防御系统为当时业界评价极优秀之系统云云，除未举证 以佐其说外，纵使为真，依前揭规范意旨，资讯系统防护亦 仅为资安防护工作之一环而已，本院曾晓谕被告应提出事件 发生前该公司之完整资安计画（见本院卷(一)第111 页），然 被告迄未提出相关资料说明该公司就电脑使用纪录、轨迹资 料系如何保存、有无对资讯系统及电脑设备进行定期安全稽 核、或对经手客户资讯之员工建置完善之稽查制度等，显难 认为被告已证明其就所取得之客户个资善尽防护工作，以避 免遭不法蒐集、处理或利用。从而，被告援引个资法第29条 第1 项但书规定主张免责，自属无据。 (三)原告是否因此受有非财产上之损害？损害额若干？ 经查，被告因未善尽安全防护措施，导致原告之个资外泄， 并遭诈骗集团使用等情，业经本院认定如前，堪认原告之隐 私权确实受有侵害。被告虽以并非全部考生均接获诈骗电话 ，且即使接获诈骗电话也不必然会遭受金钱损害，更非必然 会产生精神上之痛苦等语，否认原告个资泄漏与其接获诈骗 电话而受有损害之事实间有何因果关系云云，然而隐私权本 身即为一种法益，原告因其个资遭暴露，随时处於不安之状 态中，而受有精神上之痛苦，此即原告所受之非财产上损害 ，不以原告有无因此受有财产上损害或其他实害为必要，被 告前揭抗辩，明显有所误认，洵不足采。是依前揭个资法第 29条第2 项准用同法第28条第2 项、第3 项之规定，原告自 得就其所受非财产上之损害，请求赔偿相当之金额；数额如 不易或不能证明时，以每人每一事件500 元以上2 万元以下 计算。本院审酌本件原告遭泄漏之个资型态、数量及实际受 害情节，认原告请求赔偿2 万元并无过当，核属有据。 四、从而，原告依个资法第29条第1 项规定请求被告赔偿其非财 产上损害2 万元，为有理由，应予准许。 五、本件事证基础已臻明确，两造其余攻防方法及所举证据，经 斟酌後核与判决结果不生影响，无再予一一论述之必要，附 此叙明。 六、本件诉讼费用额，依後附计算书确定如主文所示之金额。 中 华 民 国 107 年 8 月 31 日 台湾台北地方法院台北简易庭 法 官 吴若萍 计 算 书 项 目 金 额（新台币） 备 注 第一审裁判费 1,000元 合 计 1,000元 以上正本证明与原本无异。 如不服本判决，须以违背法令为理由，应於判决送达後20日内向 本庭（台北市○○○路0 段000 巷0 号）提出上诉状。（须按他 造当事人之人数附缮本）。如委任律师提起上诉者，应一并缴纳 上诉审裁判费。 中 华 民 国 107 年 8 月 31 日 书记官 赖敏慧 附录： 一、民事诉讼法第436条之24第2项： 对於小额程序之第一审裁判上诉或抗告，非以其违背法令为 理由，不得为之。 二、民事诉讼法第436条之25： 上诉状内应记载上诉理由，表明下列各款事项： (一)原判决所违背之法令及其具体内容。 (二)依诉讼资料可认为原判决有违背法令之具体事实。 --

※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 36.225.126.26 (台湾) ※ 文章网址: https://webptt.com/cn.aspx?n=bbs/TOEIC/M.1570459360.A.D0B.html