20260603|V01|池泰毅律師
原告主張:(1) 原告於 109 年 7 月 10 日在 S 購物平台(由被告 A 公司上架商品、B 公司提供平台服務)購買嬰兒餐桌椅,金額 2,990 元,以信用卡付款(透過 LS 科技或 GC 科技之金流系統);(2) 同年 10 月 22 日晚間 7 時許,詐騙集團成員假冒被告 A 財務人員致電原告,精確說出原告之姓名、信用卡後四碼、系爭消費明細及金額,謊稱因公司會計人員疏失致系爭交易遭重複扣款,需依指示解除設定,致原告陷於錯誤,至 ATM 匯款共 501,975 元至詐欺集團帳戶;(3) 被告 A 公司曾於 109 年 10 月 13 日發送防詐騙簡訊。
裁判案號
01. 第一審|台北地院 112 訴 762(主文:原告之訴駁回)
原告證據
02. 原告提出下列證據:
- 系爭交易電子發票明細
- 台南地院 110 年度金訴字第 134、184 號刑事判決(確認遭詐騙事實)
- LS 公司曾公告遭受海外 IP 之 DDoS 攻擊之服務公告
- 被告事後在 Facebook 刊載防詐騙訊息之截圖
- 被告 A 公司於 109 年 10 月 13 日所發防詐騙簡訊
台北地院 112 訴 762
I. 非公務機關
03. 本案涉及多個可能保有原告個資之主體。
04. 被告 A 公司:商家,於平台上架商品、接受訂單,保有訂購者基本資料;
05. 參加人 B 公司:S 購物平台業者,提供平台服務及主機,可能蒐集處理訂單資訊;
06. 受告知人 LS 科技:第三方金流業者,處理信用卡代收款項服務;
07. 受告知人 GC 科技:第三方金流業者,提供金流代收代付服務;
08. 發卡銀行:信用卡交易之實際執行者。
以上五方均可能保有原告之個人資料及消費資訊,此多重主體結構成為原告舉證困難之核心背景。
09. 本件是典型的電商委外多層結構,關係人包括商家(被告 A)、平台業者(參加人 B)、金流業者(LS、GC)以及發卡銀行,各層均可能保有消費者個資,形成責任歸屬之高度不確定性。
10. 因此,被告的主要答辯,即:「相關網站平台與金流都是委外,伊並無原告刷卡相關資料」。亦即:商家僅保有訂購人之姓名、地址、聯絡方式及訂單內容,而信用卡資料(含後四碼)係由金流業者或發卡銀行持有。
此時,原告如何選擇對何被告起訴,僅對商家起訴?抑或包括前述平台業者、金流業者、發卡銀行?而在最大範圍「匡列」可能持有消費資料(個人資料)之人,或者在論述中,建構其彼此間應負擔之法律關係、法律責任,是原告在起訴前,必須詳細思考、規劃的策略事項。
II. 個資外洩
|舉證責任
11. 法院援引民事訴訟法第 277 條(有利事實自負舉證責任)及第 281 條(法律推定之事實),並闡釋個資法 §29 但書「推定」之射程範圍:「個資法第 27 條第 1 項、第 29 條第 1 項但書所推定者,僅為故意或過失之主觀歸責事由;至於非公務機關未採行適當安全措施,致所保有個人資料遭不法蒐集、處理、利用之事實及因果關係,仍須由主張受侵害之當事人負舉證之責。」
|原告個資外洩
12. 法院指出,於系爭交易過程中,除被告 A 公司外,尚有參加人 B 公司(平台業者)、LS、GC公司(金流業者)及發卡銀行等多方均為交易之實際執行者,各方均可能蒐集、處理原告個資,難以合理排除個資自其他環節遭竊取或洩漏之可能。
"原告遭不法蒐集、利用之個資是否確實來自被告,或係被告未採行適當安全措施導致外洩,即尚難證明。"
13. 針對原告所提個別證據,法院個別評價。
14. 刑事判決及電子發票:僅能證明原告確有消費及遭詐騙之事實,無從證明個資確係自被告外洩。
15. LS 公司 DDoS 攻擊公告:依原告所提資料,該公告係說明系統即時啟動反制 DDoS 攻擊機制,可能造成部分會員金流服務暫時中斷,尚難以此認原告個資因此遭詐騙集團利用,屬原告臆測。
16. 被告 A 公司事後刊載防詐騙訊息:屬原告主觀臆測,不得因此推認被告有外洩個資或動機可疑。
17. 防詐騙簡訊:簡訊內容僅係單純防詐宣導,難以此遽認被告 A 公司確有洩露個資或已知悉個資遭詐騙集團利用。
III. 違反個資法規定
|安全維護措施有無欠缺
18. 被告 A 公司抗辯稱:(1) 其防詐騙宣導於客戶結帳時即要求客戶閱讀確認後方可繼續結帳,顯示原告於購物時即已了解相關宣導,難認被告違反個資法相關規定。(2) 購物頁面隱私條款中已明確公告「本公司不會主動告知訂單重複扣款、要求操作ATM設定,或詢問信用卡、匯款帳號等個資,如接到自稱係本公司人員,告知因作業疏失導致訂單重複出貨,並能幫忙升級 VIP 者,皆為詐騙集團」。交易當時亦有再次提醒相關防範詐騙資訊。
19. 法院認為:足認被告確已於原告進行交易時提醒詐騙訊息,並有為一定之網路交易安全措施,難認被告有何違反個資法之情。
20. 參加人B公司主張:平台主機符合 ISO/IEC27001 國際資訊安全標準;安裝 OWASP Mod Security Core Rule Set 3.0 之 WAF (網站應用程式防火牆),可比對病毒與惡意程式等網路攻擊並拒絕可疑惡意流量;前後台及第三方金流串接跳轉過程均採 SSL-TLS1.2 以上等級安全憑證傳輸加密,符合 109 年間之嚴格標準。
21. 法院認定:羽達公司確已就相關網站安全提供一定之保護措施。
22. LS 科技:取得 SSL 256 bit 加密機制、PCI-DSS 3.2.1 支付卡產業資料安全標準認證(含定期原始碼檢測、內外部滲透測試、內外部弱點掃描、金鑰管理系統加密儲存卡號資訊)、ISO 27001:2013資訊安全管理系統認證。
23. GC 科技:遵循 ISO 27001 認證之資訊安全管理系統,透過 PDCA 作業持續維護,設有雙因子認證登入、內部網路隔離、IPS 保護機制、原始碼安全檢測、弱點掃描、內部滲透測試(白帽駭客)、登入通知及自動登出機制、機敏資訊加密存放、CDN 雲端防護阻擋DDOS攻擊,並每年通過PCI-DSS 支付卡產業資料安全標準驗證。
24. 法院認定:LS、GC 公司確已就相關網站安全提供一定之保護措施。
個資外洩案件中,原告永遠的難題,在於面對組織完整、規模龐大、資源豐富的被告,如何舉證證明其未盡安全維護措施。
IV. 致受損害——因果關係
V. 損害賠償
案例整理,謹供參考,個別案件爭議結果,會因為個案主、客觀因素而有不同,讀者進行各項決策前,務必徵詢專業法律意見,以期週全。