個資外洩|案例 45|IR 汽機車共享平台個資外洩案
個資外洩|案例 45|IR 汽機車共享平台個資外洩案
20260603|V01|池泰毅律師
本件特殊性,在資料庫存在有外洩風險,但原告未能舉證證明其儲存在資料庫內的個人資料,已經遭到外洩。法院強調:存有「資安風險」,與系爭個資有遭不法蒐集、處理、利用之事實有別,原告仍應就個資已遭外洩之事實,負擔舉證責任。
事實經過
01. 被告以經營汽機車租賃為業,透過「IR」APP 提供共享服務。原告等 43 人為 IR APP 用戶,因使用服務而將個人資料提供予被告,包括:姓名、手機號碼、電子信箱、住址、駕照照片及信用卡資料。
02. 民國 112 年 1 月 31 日時,外國媒體 Tech Crunch 報導:
- 某安全研究員在被告關係企業雲端伺服器發現公開資料庫,包括 IR 客戶之個人資料已遭外洩,由於該資料庫未設密碼保護,任何人只要知道其 IP 位址即可存取。資料庫暴露期間約長達 9 個月。
- Tech Crunch 於 112 年 1 月 28 日通報臺灣數發部,TWCERT/CC(台灣電腦網路危機處理暨協調中心)標記該資料庫。
- 被告於同日晚間獲悉,1 小時內阻斷外部連線,該暴露的 IR 資料庫已無法存取。
- 目前尚不清楚,除了該安全研究員外,是否還有其他人在該資料庫暴露資料的九個月內發現了該資料庫。
03. 112 年 1 月 31 日 Tech Crunch 發布報導,工商時報於 2 月 1 日跟進,引發社會關注。
04. 北市監理所於 112 年 2 月 1 日前往被告營業處進行行政檢查,並於同年 2 月 8 日由交通部以個資法 §48 第 4 款裁處最高罰鍰 20 萬元;經被告提起訴願,交通部重新審查後於 112 年 10 月 5 日自行撤銷前開行政處分(訴願委員會決定不受理)。
05. 被告於 112 年 2 月 1 日(聲明一)、2 月 4 日(聲明二)以電子郵件通知「可能受影響用戶」,並發送「使用期限 112 年 2 月 2 日至同年 5 月 31 日之汽車 3 小時折抵券」(載明「本券係基於 2/1 聲明所贈送」)。
裁判案號
01. 第一審|台北地院 112 訴 3711(主文:原告之訴駁回)
02. 第二審|高等法院 113 上易 471(主文:上訴駁回)
台北地院 112 訴 3711
I. 非公務機關
03. 消費者對平台服務提供者提告。
II. 個資外洩
|舉證責任
04. 一審法院認為:凡違反個人資料保護法規定導致個人資料遭不法蒐集、處理、利用,而侵害其隱私權者,即推定為有故意、過失,且依舉證責任倒置原則,由行為人就其無故意、過失負舉證責任。但被害人仍應就其個人資料遭不法蒐集、處理及利用之事實負舉證之責。
|原告個資外洩
05. 依Tech Crunch報導(112/1/31):系爭系統資料庫固因未加密保護存有安全漏洞,有使系爭個資暴露在可透過網際網路協定位址(IP Address)而存取之安全風險,然報導中既稱目前除了該安全研究員,是否有其他人發見該暴露之資料庫尚屬未明,則該資料庫縱存有上開風險,亦難僅憑該報導或其他國內媒體轉載之報導,逕認儲存於系爭系統資料庫內之系爭個資有遭不法蒐集、處理、利用之事實。
06. 被告聲明稿一(112/2/1)、聲明稿二(112/2/4):均使用假設語氣,如「倘」外部人員使用特定工具「可能」得以進入、「可能受影響會員」、「資料庫可能遭外部人員…進入」、「有遭外部查詢之可能」,並未承認原告個資外洩,原告憑此主張被告已承認系爭個資有遭不法蒐集、處理、利用云云,洵屬有誤。
07. 北市監理所回覆函:「經調查係紀錄應用程式 Log 檔之暫存資料庫發生防護性缺口,外部人員運用特定技術及工具『可能』得以進入資料庫查詢近 3 個月之會員異動資料,故「該公司已於同日檢查資料庫及内、外部連線並進行防堵。」等語,可知系爭系統資料庫因未加密保護存有安全漏洞,使系爭個資暴露在可透過網際網路協定位址存取系爭個資之風險,然存有資安風險究與系爭個資有遭不法蒐集、處理、利用之事實有別,故原告憑此主張上情云云,難謂有據。
「存有『資安風險』究與系爭個資有遭不法蒐集、處理、利用之事實有別」
08. 基上,原告未舉證證明系爭系統資料庫內原告之系爭個資,業因系爭資料庫發生系爭缺口而遭不法蒐集處理利用,而造成原告隱私權受侵害。
III. 違反個資法規定
IV. 致受損害——因果關係
V. 損害賠償
高等法院 113 上易 471
I. 非公務機關
II. 個資外洩
|原告個資外洩
09. 交通部稽核報告(112/2/4、3/1):「未記載有發現 IR APP 用戶個資外洩情事」。
10. 部分上訴人表示曾接到可疑電話,並提出信用卡盜刷紀錄:法院認為,無法證明來源係 IR 用戶資料庫。
11. 上訴人提出:被告 110 年 8 月 30 日臉書粉絲頁係發布「反詐騙公告」,而臉友劉○○在留言中稱接獲詐騙電話且對方能說出其地址,顯見彼時個資已遭外洩。
12. 對此,二審法院認為:不同時點、不同人之個資外洩事件,不能相互援用推論系爭特定個資亦遭外洩,個資外洩之舉證,仍須就「各原告之個資」個別加以確認。
13. 承上,上訴人不能舉證證明系爭個資業已洩漏,則其主張被上訴人違反個資法第 27 條第 1 項、第 2 項規定,未採取適當安全措施,防止個資洩漏,致系爭個資洩漏,侵害其等隱私權,依個資法第 29 條第 1 項、民法第 184 條第 1 項前段或第 184 條第 2 項規定,請求被上訴人負損害賠償責任,均無理由。
III. 違反個資法規定
IV. 致受損害——因果關係
V. 損害賠償
案例整理,謹供參考,個別案件爭議結果,會因為個案主、客觀因素而有不同,讀者進行各項決策前,務必徵詢專業法律意見,以期週全。