個資外洩｜案例 23｜2019 TK 官網 v S 電商系統商

20260601 (V03); 20230501 (V02)；

20221011 (V01)｜池泰毅律師

裁判案號

01. 第一審｜台北地院 108 訴 1721（主文：一、S公司應給付TK公司1,021,976元。 二、TK公司其餘之訴駁回。）

02. 第二審｜高等法院 109 上 954（主文：一、原判決關於命S公司給付逾821,976元本息部分廢棄。）

台北地院 108 訴 1721

03. 原告（即 TK 公司）主張：兩造於 107 年 5 月 25 日簽訂電子商務網站租用報價單，由被告承攬製作原告經營電子商務網站之主系統及客製化功能，並約定於同年 8 月 5 日完成客製化功能之驗收並上線。因被告所提供之主系統因不符現行科技水準，存在資訊安全漏洞之重大瑕疵，致原告網站內之消費者個人資料於 107 年 8 月 31 日起，陸續發生個資外洩之情事。

04. 被告（即 S 公司）答辯：被告提供之主系統網站，不存有資訊安全漏洞之重大瑕疵，縱存有該瑕疵，被告於駭客攻擊發現當日，即已填補系統漏洞，加強資安防護，且即時通報司法單位，並向原告說明事件經過，業已善盡修補義務。

法律關係｜承攬契約

05. 原告主張兩造間之契約雖未以承攬契約為名，然觀實質之工作內容，該工作之預期效益係為原告建置經營電子商務所需完整且資訊安全符合現行電子商務需求之官方購物網站，重在一定工作之完成，應屬承攬契約等語。被告抗辯兩造所涉契約眾多，主網站平台為被告提供系統軟體、系統平台網站、網站頻寬、網站流量等服務供原告使用，此部分屬租賃法律關係，客製化服務部分則屬承攬之法律關係等語。

06. 系爭主契約記載：「服務內容：本業務係由 S 電商系統商提供開店軟體服務予客戶，包括資訊服務、商店網址、網站資料保管、使用現代科技有效之防駭技術（包括但不限於動態密碼服務等）與保密的相關責任……」，是在一般情形下，客戶支付年費，被告公司提供客戶權限管道以使用其所設置之主網站，包括系統平台網站、網站頻寬、網站流量等服務，客戶並依其業務之性質與使用需求經營網絡平台，被告於契約關係存續間須確保後續的保密與維修服務。

07. 惟本件原告所取得者並非僅有○○版平台，亦包含網址服務、電子發票服務項目、SSL 加密憑證、SSL 憑證檔嵌入服務、其他系統串接維護費、物流系統串接維護費、系統串接維護費等多項加值服務，是原告所欲取得之標的，係具備上開功能與服務之電子商務網站，而非僅單純地租用網路平台。準此，原告主張系爭主契約及 107 年 5 月報價單為承攬契約，堪以採信。

資安防護義務｜符合現行科技水準

08. 按工作有瑕疵者，定作人得定相當期限，請求承攬人修補之。承攬人不於前條第一項所定期限內修補瑕疵，或依前條第三項之規定拒絕修補或其瑕疵不能修補者，定作人得解除契約或請求減少報酬。因可歸責於承攬人之事由，致工作發生瑕疵者，定作人除依前二條之規定，請求修補或解除契約，或請求減少報酬外，並得請求損害賠償，民法 §493 I、494 I 前段、495 I 定有明文。

09. 被告抗辯其所給付之工作物至少有十數項資安防護措施，並有多重之驗證措施、安全性設定機制，以加強使用者使用系統網站功能之保密性及安全性，並提出系統畫面截圖為據。

10. 然其他使用被告所提供之電子商務平台之業者，於 105 年 6 月至 107 年 7 月間，陸續有遭駭客入侵盜取消費者個人資料之情事，業據原告提出其他業者之公告 5 張，且同樣使用被告所提供之網路平台之 VIVO 公司，其網站之資訊安全保護經 OWASP 標準檢測為最低等級之 F，有資安測試影片之截圖在卷可稽。

11. 是在現行科技水準下，網路世界中雖無法百分之百避免外來之駭客入侵，然網路平台業者仍須善盡其注意義務，維護網絡環境，建置更為良善之資安系統，降低遭駭客惡意侵入之情事發生。

12. 雖被告辯稱其使用至少十數項資安防護措施，且創設數道繁複的手續，然被告所提供之網路平台在 2 年間即發生數次個人資料因駭客攻擊而外洩之事件，若真如被告所言採取國際公司規則之資安防護技術，應不致發生如此多次數駭客入侵之情形，且兩造雖未約定以 OWASP 標準作為網頁安全漏洞之檢測依據，惟被告所提供之網站若符合現行科技水準，依 OWASP 標準檢測之結果，其所獲得之評價亦不應落入最低等級之列，故難謂被告所提供之網站平台符合現行科技水準。

返還承攬報酬

13. 被告所提供予原告之系統平台，不符合現行科技水準，故原告解除兩造間之承攬契約，堪為適法，是原告自得依民法 §259 (1)、(2) 請求業已給付與被告之 983,564 元報酬。

賠償第三人和解金

14. 自 107 年 8 月 31 日起，原告之消費者發生個人資料外洩之情事，為兩造所不爭執。

15. 原告依個資法 §29，對個人資料外洩之消費者應負損害賠償之責，故原告因資料外洩事件與訴外人曾怡潔等 8 人達成和解，並給付和解金共 691,976 元，有和解協議書 8 紙在卷可查，又該和解金與被告提供網路平台之瑕疵間具有相當因果關係，故原告此部分之主張，應屬可採。

賠償商譽損失

16. 原告因網站系統具有資安瑕疵，致消費者多有抱怨，且於公共論壇上討論，業據原告提出 PTT 實業坊 BEAUTYSALON 討論版截圖 1 張在卷可查，原告陳稱此事件必定影響消費者對於原告公司印象，致原告公司之商譽有所減損等情，堪信為真實。

17. 觀原告 106 年 10 月及 107 年 8 月間之營業額分別為 8,514,806 元及 41,727,529 元，依民事訴訟法 §222 II 為判斷，應認原告請求 200,000 元之商譽損失，尚屬可採。

判決結果

高等法院 109 上 954

（20260601 Added）

資安防護義務｜符合現行科技水準

18. 二審維持一審認定，認為S公司未盡資安義務，並補充下列理由。

19. S 公司自承於 TK 公司發現個資外洩前（107 年 8 月 31 日），於 107 年 8 月 26 日即已發現系統漏洞，於清查主機後發覺駭客 IP 係由外部途徑登入（IP 封鎖邏輯出現 PROXY 漏洞）；S 公司雖然在 107 年 8 月 27 日進行修補，但推估資料在 8 月初即已遭竊。

20. 受害範圍包括 Ｓ 公司其他客戶（簡報說明內容記載：接獲來自「○○醫療第一波詐騙回報」），可見 TK 公司個資外洩並非個案。

21. 二審法院委請國立台灣科技大學（台科大）進行鑑定，結果認定 S 公司之程式經 OWASP 2021標準掃描，發現「未經細部檢視後可看到 140 個關鍵風險和 279 個高風險」、「甚至只要掃超高風險以上的弱點，程式就不能夠進行後讀的測試乃至於上線」、「甚至國內，有許多單位是要求所有的程式不可以有被掃描工具掃出高以上潛在弱點的情況」堪認 S 公司提供之網站系統設計不符合現今科技水準而有瑕疵。

22. 據此，二審法院對於 S 公司有關「駭客攻擊不可歸責」之答辯，認為：S 公司未盡事前防禦措施，遭駭係因防護不足所致，非不可歸責，契約免責條款不適用。

賠償商譽損失｜廢棄

23. 一審法院認定：「原告因網站系統具有資安瑕疵，致消費者多有抱怨，且於公共論壇上討論，業據原告提出 PTT 實業坊 BEAUTYSALON 討論版截圖 1 張在卷可查，原告陳稱此事件必定影響消費者對於原告公司印象，致原告公司之商譽有所減損等情，堪信為真實。」

24. 二審法院廢棄一審法院前揭認定。

25. TK 公司主張因 S 公司提供之網站系統有資安瑕疵，致伊之消費者多有抱怨，且於公共論壇上討論，伊之商譽因而有 所減損等情，為 S 公司所否認，TK 公司應就其受有商譽損失及該損失與瑕疵給付間有相當因果關係負舉證之責。

26. 觀諸 TK 公司所提 PTT 實業坊 BEAUTYSALON 討論版截圖有4則記載「疑似個資外洩」等語，惟上開截圖無從證明 TK 公司商譽受有損害，且該損害與 S 公司提供之網站系統之瑕疵有關，TK 公司復未提出其他證據資料 以供證實，是其依民法第 495 條第 1 項、第 227 條第 1 項規定請求 S 公司賠償此部分商譽損失，要非可採。

案例整理，謹供參考，個別案件爭議結果，會因為個案主、客觀因素而有不同，讀者進行各項決策前，務必徵詢專業法律意見，以期週全。