20260605|V01|池泰毅律師
本件特殊性,在原告雖然接到詐騙集團電話,但詐騙不成功,故原告僅請求被告賠償「非財產上損害」,第一審法院判決原告勝訴。
原告主張:原告於 110 年 1 月 25 日在被告所營運「Mr. MM」網站輸入其姓名、手機號碼及住址等個人資料而註冊為會員,然被告取得原告上開個人資料後,未依個人資料保護法第 27 條規定,採取適當安全措施,防止個人資料被竊取及洩漏,致使不詳詐欺集團於同年 6 月 8 日利用前開個人資料,假冒系爭網站員工致電原告佯稱:因系爭網站遭駭客入侵,將每位會員設定為高級會員,若不取消會員資格,每月將需支付 1 萬 5,000 元,並需原告名下所有銀行帳戶資料,若原告不提供,其等知悉原告住處地址,後果自行負責云云,以此侵害原告之隱私權,致原告受有非財產上損失。
裁判案號
01. 第一審|苗栗地院 112 苗簡 197(主文:一、被告應給付原告 5,000 元。二、原告其餘之訴駁回。)
苗栗地院 112 苗簡 197
I. 非公務機關
II. 個資外洩
|原告個資是否遭被告洩漏
02. 原告於 110 年 1 月 25 日在系爭網站輸入其姓名、手機號碼及住址等個人資料註冊為會員,原告於同年 6 月 8 日接獲詐欺集團來電,假冒為系爭網站員工向其佯稱:因系爭網站遭駭客入侵,將每位會員設定為高級會員,若不取消會員資格,每月將需支付 1 萬 5,000 元,並需原告名下所有銀行帳戶資料,若原告不提供,其等知悉原告住處地址,後果自行負責云云,經原告提出行動電話通話擷圖為證,核諸系爭網站數名註冊會員於同一時期均向被告反應接獲假冒該網站員工之詐欺電話索取金錢,有被告所提通訊軟體 MESSENGER 對話紀錄在卷可稽。
03. 被告不否認該網站所保管之會員個人資料於 110 年 6 月遭不詳人士竊取或洩漏之事實,是原告主張被告所蒐集其在系爭網站之個人資料遭不詳人士不法利用之事實,應堪採信。
III. 違反個資法規定
|委外監督義務
04. 受非公務機關委託蒐集、處理或利用個人資料者,於本法適用範圍內,視同委託機關;委託他人蒐集、處理或利用個人資料時,委託機關應對受託者為適當之監督;第1項之監督,委託機關應定期確認受託者執行之狀況,並將確認結果記錄之,個資法第 4 條、個資法施行細則第 8 條第 1 項、第 3 項均有明定。
05. 查系爭網站係被告向不詳第三方公司承租,並委由該公司負責保管系爭網站所留存個人資料乙節,業經被告於本院審理時陳述明確,然被告自承:其不知悉該第三方公司之名稱,亦不瞭解該公司係如何保管個人資料等語,且迄今未能說明上開第三方公司管理系爭網站個人資料之流程及所採取之安全措施,自難認被告對系爭網站已為適當之管理及監督。
|安全維護措施有無欠缺
06. 被告雖以其已安裝系爭網路交換器為由置辯,然觀該網路交換器之產品說明,該產品主要功能係提供該處所高速網路之傳輸,資訊安全方面僅提及支援 802.1x、ACL's 等身分驗證機制,然被告既未舉證證明其對系爭網站或其所使用網際網路設有相關使用限制或認證機制,以防止資訊外漏,自難僅憑其單純架設網路交換器之舉,即認其已盡適當之安全措施。
07. 況被告於本院審理時自承:系爭網站之使用者帳號及密碼係自動儲存在辦公室電腦等語,顯然任何使用其辦公室電腦者均能自由登入系爭網站蒐集、處理或利用該網站所留存之個人資料,並未設有相關保密措施,自難認被告已盡適當之安全措施,是被告所辯前詞,尚難採信。
|是否履行通知義務
08. 另被告辯稱:其於接獲系爭網站會員反應後,即在該網站刊登「防詐騙提醒」,並寄送電子郵件提醒全體會員;原告對其提出違反個資法第 41 條之刑事告訴,亦經苗栗地檢署不起訴處分,然個資法第 41 條刑事責任僅處罰故意犯,並以行為人有為自己或第三人不法之利益或損害他人利益之意圖為要件,是檢察官於偵查後認無法證明被告主觀上有洩漏原告個人資料之惡意而為上開不起訴處分,核與被告是否應依個資法第 29 條負民事損害賠償責任,要屬二事。
09. 至被告事後雖於系爭網站刊登「防詐騙提醒」,並寄送電子郵件提醒全體會員,然此僅能提醒會員避免事後上當受騙,並無法防止系爭網站所保留之個人資料遭他人竊取或洩漏,亦不足以證明被告對其透過系爭網站所蒐集之個人資料已採取適當之安全措施。
"被告事後雖於系爭網站刊登「防詐騙提醒」,並寄送電子郵件提醒全體會員,然此僅能提醒會員避免事後上當受騙,並無法防止系爭網站所保留之個人資料遭他人竊取或洩漏,亦不足以證明被告對其透過系爭網站所蒐集之個人資料已採取適當之安全措施。"
10. 綜上,被告所舉證據均不足以證明其對於系爭網站所蒐集原告之個人資料已盡適當安全維護措施,是原告依個資法第29條規定,請求被告負損害賠償責任,即屬有據。
IV. 致受損害——因果關係
V. 損害賠償
|非財產上損害
11. 非公務機關違反本法規定,致個人資料遭不法蒐集、處理、利用或其他侵害當事人權利者,被害人雖非財產上之損害,亦得請求賠償相當之金額,個資法第 29 條第 2 項適用同法第 28 條第 2 項定有明文,且個資法第 28 條第 2 項規定係民法第 195 條規定之特別規定(最高法院 91 台上 372 裁),原告請求被告賠償非財產上損害,自應優先適用個資法第 29 條第 2 項、第 28 條第 2 項之規定。
12. 本院審酌被告所經營 Mr. MM 網站為資本額1萬元之獨資商號,其經營網路電商平台本應對消費者所提供之個人資料為適當保護措施,卻疏於管理及監督,致使原告所提供個人資料遭不法利用,實屬不該,然衡酌本件所洩漏之個人資料為原告之姓名、電話及地址,屬一般生活或交易往來過程中容易取得之個人資訊,並未涉及病歷、犯罪前科等特種個資,對隱私權侵害程度尚屬輕微,再兼衡原、被告[社會地位、經濟狀況],本院斟酌上開一切情狀,認原告請求賠償之精神慰撫金以 5,000 元為適當,逾此部分請求為無理由,應予駁回。
案例整理,謹供參考,個別案件爭議結果,會因為個案主、客觀因素而有不同,讀者進行各項決策前,務必徵詢專業法律意見,以期週全。