文 / 楊春吉
本篇新聞報導內容:https://news.ltn.com.tw/news/society/breakingnews/4581020
一、【新聞疑義1105】洩個資,害人命?(請參閱同名文 https://www.lawtw.com/archives/413226;本文刊於2013年5月9日,請注意本文所引用之法令,嗣後有無變更;本案為A案)
【新聞】
中壢警分局前林姓偵查隊員,在黑道角頭陳文庸動私刑逼債時,幫陳查個資,後來債務人疑遭殺害滅口,林等於協助黑道討債和間接害死人,法院判他賠償另一被害人5萬元。 桃園縣警局表示,林姓偵查隊員事發後記一大過,降調行政警察,後調外縣市警局,約一年前離開警界(聯合報102年5月9日報導:警洩個資害命 判賠5萬元)。
【疑義】
按個人資料保護法中,除第41條以下之罰則外,尚有第28條:「(第1項)公務機關違反本法規定,致個人資料遭不法蒐集、處理、利用或其他侵害當事人權利者,負損害賠償責任。但損害因天災、事變或其他不可抗力所致者,不在此限。(第2項)被害人雖非財產上之損害,亦得請求賠償相當之金額;其名譽被侵害者,並得請求為回復名譽之適當處分。(第3項)依前二項情形,如被害人不易或不能證明其實際損害額時,得請求法院依侵害情節,以每人每一事件新臺幣五百元以上二萬元以下計算。(第4項)對於同一原因事實造成多數當事人權利受侵害之事件,經當事人請求損害賠償者,其合計最高總額以新臺幣二億元為限。但因該原因事實所涉利益超過新臺幣二億元者,以該所涉利益為限。(第5項)同一原因事實造成之損害總額逾前項金額時,被害人所受賠償金額,不受第三項所定每人每一事件最低賠償金額新臺幣五百元之限制。(第6項)第二項請求權,不得讓與或繼承。但以金額賠償之請求權已依契約承諾或已起訴者,不在此限。」、第29條:「非公務機關違反本法規定,致個人資料遭不法蒐集、處理、利用或其他侵害當事人權利者,負損害賠償責任。但能證明其無故意或過失者,不在此限。依前項規定請求賠償者,適用前條第二項至第六項規定。」以下之損害賠償相關規定。
是洩個資,非公務機關或公務機關,除可能有刑責外,仍可能面臨被害人請求損害賠償,所以,任何人自應慎重處理他人個資,以免後悔莫及。
但如果因為洩個資害死了人,那可能就要探究其是刑法第271條:「殺人者,處死刑、無期徒刑或十年以上有期徒刑。前項之未遂犯罰之。預備犯第一項之罪者,處二年以下有期徒刑。」、第277條:「傷害人之身體或健康者,處三年以下有期徒刑、拘役或一千元以下罰金。犯前項之罪因而致人於死者,處無期徒刑或七年以上有期徒刑;致重傷者,處三年以上十年以下有期徒刑。」、第278條:「使人受重傷者,處五年以上十二年以下有期徒刑。犯前項之罪因而致人於死者,處無期徒刑或七年以上有期徒刑。第一項之未遂犯罰之。」中的何種罪?以及刑法第31條:「因身分或其他特定關係成立之罪,其共同實行、教唆或幫助者,雖無特定關係,仍以正犯或共犯論。但得減輕其刑。因身分或其他特定關係致刑有重輕或免除者,其無特定關係之人,科以通常之刑。」、第30條:「幫助他人實行犯罪行為者,為幫助犯。雖他人不知幫助之情者,亦同。幫助犯之處罰,得按正犯之刑減輕之。」中的共犯或幫助犯?
還只是刑法第276條:「因過失致人於死者,處二年以下有期徒刑、拘役或二千元以下罰金。從事業務之人,因業務上之過失犯前項之罪者,處五年以下有期徒刑或拘役,得併科三千元以下罰金。」過失致死罪而已?
二、【新聞疑義1246】「炒人」公開個資,判罰?(請參閱同名文 https://www.lawtw.com/archives/416573;本文刊於2013年10月18日,請注重本文所引用之法令,嗣後有無變更;本案為B案)
【新聞】
新竹縣某科技公司鍾姓負責人不滿洪姓女員工表現,去年10月底將她開除,並在店門口貼公告,寫出洪女姓名、身分證字號及開除原因,洪女認為雇主違反個資法提告。雇主因雙方和解金額談不攏,未能和解,依違反個資法判處罰金2萬元。洪女另向民事庭提損害賠償告訴。鍾男與洪姓員工因勞資糾紛,曾在新竹縣政府勞工處開過協調會,但未化解心結,鍾姓負責人去年10月底將洪「炒魷魚」。 去年11月14日傍晚,鍾在店家門口鐵捲門張貼兩張公告,上頭有洪姓名、身分證字號,還寫著「洪…自事發當日起,即刻予以開除」。 被解雇洪女獲悉後氣炸了,認為前雇主作法絕情,意讓她難看,報警提告(聯合報 102年10月18日報導:「炒人」公開個資 雇主判罰2萬) 。
【疑義】
一、被公告之洪姓女員工姓名、身分證字號,屬洪姓女員工的個人資料
依個人資料保護法第2條第1款之規定,個人資料,指自然人之姓名、出生年月日、國民身分證統一編號、護照號碼、特徵、指紋、婚姻、家庭、教育、職業、病歷、醫療、基因、性生活、健康檢查、犯罪前科、聯絡方式、財務情況、社會活動及其他得以直接或間接方式識別該個人之資料。是本案報導如屬實,本案被公告之洪姓女員工姓名、身分證字號,自屬洪姓女員工的個人資料。
二、本案鍾姓負責人在店家門口鐵捲門張貼兩張公告,上頭有洪姓女員工姓名、身分證字號,是利用洪姓女員工的個人資料
依個人資料保護法第2條第3款、第4款、第5款之規定,所謂蒐集,係指以任何方式取得個人資料;所謂處理,係指為建立或利用個人資料檔案所為資料之記錄、輸入、儲存、編輯、更正、複製、檢索、刪除、輸出、連結或內部傳送。至於利用,則係指將蒐集之個人資料為處理以外之使用。
是本案報導如屬實,本案鍾姓負責人在店家門口鐵捲門張貼兩張公告,上頭有洪姓女員工姓名、身分證字號,自是利用洪姓女員工的個人資料。
三、本案科技公司是非公務機關
依個人資料保護法第2條第7款、第8款之規定,所謂公務機關,係指依法行使公權力之中央或地方機關或行政法人;非公務機關,則係指公務機關以外之自然人、法人或其他團體。是本案報導如屬實,本案科技公司是非公務機關。
四、本案鍾姓負責人如不能證明其無故意或過失,應負損害賠償責任
依個人資料保護法第20條第1項、第7條第2項之規定,非公務機關對個人資料之利用,除第六條第一項(第 6條條文施行日期,由行政院定之):「有關醫療、基因、性生活、健康檢查及犯罪前科之個人資料,不得蒐集、處理或利用。但有下列情形之一者,不在此限:一、法律明文規定。二、公務機關執行法定職務或非公務機關履行法定義務所必要,且有適當安全維護措施。三、當事人自行公開或其他已合法公開之個人資料。四、公務機關或學術研究機構基於醫療、衛生或犯罪預防之目的,為統計或學術研究而有必要,且經一定程序所為蒐集、處理或利用之個人資 料。前項第四款個人資料蒐集、處理或利用之範圍、程序及其他應遵行事項之辦法,由中央目的事業主管機關會同法務部定之。」所規定資料外,應於蒐集之特定目的必要範圍內為之。
但有「法律明文規定」或「為增進公共利益」或「為免除當事人之生命、身體、自由或財產上之危險」或「為防止他人權益之重大危害」或「公務機關或學術研究機構基於公共利益為統計或學術研究而有必要,且資料經過提供者處理後或蒐集者依其揭露方式無從識別特定之當事人」或「經當事人書面同意(所稱書面同意,指當事人經蒐集者明確告知特定目的外之其他利用目的、範圍及同意與否對其權益之影響後,單獨所為之書面意思表示)」情形之一者,得為特定目的外之利用。
非公務機關違反前開規定,致個人資料遭不法蒐集、處理、利用或其他侵害當事人權利者者,依個人資料保護法第29條、第28條第2項至第6項之規定,(一)除能證明其無故意或過失外,負損害賠償責任。(二)被害人雖非財產上之損害,亦得依請求賠償相當之金額;其名譽被侵害者,並得請求為回復名譽之適當處分(此請求權,不得讓與或繼承。但以金額賠償之請求權已依契約承諾或已起訴者,不在此限)。(三)如被害人不易或不能證明其實際損害額時,得請求法院依侵害情節,以每人每一事件新臺幣五百元以上二萬元以下計算。(四)對於同一原因事實造成多數當事人權利受侵害之事件,經當事人請求損害賠償者,其合計最高總額以新臺幣二億元為限。但因該原因事實所涉利益超過新臺幣二億元者,以該所涉利益為限。(五)同一原因事實造成之損害總額逾前項金額時,被害人所受賠償金額,不受個人資料保護法第28條第3項之規定【即前(開三)】所定每人每一事件最低賠償金額新臺幣五百元之限制。
從而,本案報導如屬實,本案鍾姓負責人在店家門口鐵捲門張貼兩張公告,上頭有洪姓女員工姓名、身分證字號,即非「法律明文規定」或「為增進公共利益」或「為免除當事人之生命、身體、自由或財產上之危險」或「為防止他人權益之重大危害」或「公務機關或學術研究機構基於公共利益為統計或學術研究而有必要,且資料經過提供者處理後或蒐集者依其揭露方式無從識別特定之當事人」或「經當事人書面同意(所稱書面同意,指當事人經蒐集者明確告知特定目的外之其他利用目的、範圍及同意與否對其權益之影響後,單獨所為之書面意思表示)」情形之一者,自不能為特定目的外之利用,應於蒐集之特定目的必要範圍內為之。
然本案鍾姓負責人在店家門口鐵捲門張貼兩張公告,上頭有洪姓女員工姓名、身分證字號,還寫著「洪…自事發當日起,即刻予以開除」,顯然與蒐集之特定目的不符,而且也逾必要範圍,本案鍾姓負責人如復又不能證明其無故意或過失,自應負損害賠償責任。
至於題意所稱罰金,乃依個人資料保護法第41條第1項:「違反第六條第一項、第十五條、第十六條、第十九條、第二十條第一項規定,或中央目的事業主管機關依第二十一條限制國際傳輸之命令或處分,足生損害於他人者,處二年以下有期徒刑、拘役或科或併科新臺幣二十萬元以下罰金。」、刑法第57條:「科刑時應以行為人之責任為基礎,並審酌一切情狀,尤應注意下列事項,為科刑輕重之標準:一、犯罪之動機、目的。二、犯罪時所受之刺激。三、犯罪之手段。四、犯罪行為人之生活狀況。五、犯罪行為人之品行。六、犯罪行為人之智識程度。七、犯罪行為人與被害人之關係。八、犯罪行為人違反義務之程度。九、犯罪所生之危險或損害。十、犯罪後之態度。」等相關規定所為,併予敘明。
貳、近來,有關「違反個人資料保護法有關規定,所生損害賠償事件」,實務裁判上之見解
一、甲案(東森新聞報導侵害糾紛)~「上訴至第三審法院之理由」等
就此,最高法院111年度台上字第389號民事裁定 https://judgment.judicial.gov.tw/LAW_Mobile_FJUD/FJUD/data.aspx?ty=JD&id=TPSV%2c111%2c%e5%8f%b0%e4%b8%8a%2c389%2c20230831%2c1&ot=in 謂「……
上列當事人間請求損害賠償等事件,上訴人對於中華民國110年8月10日臺灣高等法院第二審判決(109年度上字第1547號),提起上訴,本院裁定如下:
主 文
上訴駁回。
第三審訴訟費用由上訴人負擔。
理 由
(以下黑框及分段為筆者所加,便於讀者閱讀)
[按上訴第三審法院,非以原判決違背法令為理由,不得為之
。又提起上訴,上訴狀內應記載上訴理由,其以民事訴訟法第469條所定事由提起第三審上訴者,應於上訴狀內表明:原判決所違背之法令及其具體內容、暨依訴訟資料合於該違背法令之具體事實。其依同法第469條之1規定提起上訴者,並應具體敘述為從事法之續造、確保裁判之一致性或其他所涉及之法律見解具有原則上重要性之理由。同法第467條、第470條第2項分別定有明文。
而依同法第468條規定,判決不適用法規或適用不當者,為違背法令;依同法第469條規定,判決有該條所列各款情形之一者,為當然違背法令。
是當事人提起第三審上訴,如合併以同法第469條及第469條之1之事由為上訴理由時,其上訴狀或理由書應表明該判決所違背之法令條項,有關之司法院解釋、憲法法庭裁判,或成文法以外之習慣或法理等及其具體內容,暨係依何訴訟資料合於該違背法令之具體事實,並具體敘述為從事法之續造、確保裁判之一致性或其他所涉及之法律見解具有原則上重要性之理由。如未依上述方法表明,或其所表明者與上開法條規定不合時,即難認為已合法表明上訴理由,其上訴自非合法。]
[本件上訴人對於原判決提起第三審上訴,雖以該判決違背法
令為由,惟核其上訴理由狀所載內容,係就原審取捨證據、認定事實之職權行使所論斷:上訴人因至菲律賓長灘島旅遊,身著微型比基尼而遭當地警方裁處罰鍰2500披索(下稱系爭事件),菲律賓媒體於報導系爭事件時,將上訴人護照資料公開於名為「Aksyon Primetime/October11,2019」之影片(下稱系爭A影片),及「Sobrang nipis na bikini」之影片(下稱系爭B影片,與系爭A影片合稱系爭影片)。
被上訴人郭O寧受僱於被上訴人東森電視事業股份有限公司(與郭O寧合稱郭O寧等2人),擔任東森新聞網路平台之責任編輯,於民國108年10月13日刊登系爭報導:「菲律賓新聞早在事件爆發後,就大喇喇地將女子與男子的護照資料全曝光,連姓名都照得一清二楚,讓網友震驚不已;還有不少網友質疑,國外媒體怎能如此大方公布他人個資」等內容,並在圖片及說明所示「圖/翻攝自News5Everywhere YouTube」中之「News5Everywhere」字樣,設置網路連結而可連結系爭A影片。
被上訴人陳O林於同年10月12日在網路臉書(Facebook)以個人帳號「子迂的蠹酸齋」發布公開貼文:「…原來台灣女孩『林○○』,是個勇於追求人類天然本心的前衛主義者。透過單線型兩件式比基尼,讓全世界的男男女女體會到,『林○○』所表達的訴求,是尚不被社會所允許的…林○○,你是齋主我的英雄!」(下稱系爭甲貼文),並附上網路連結而可連結系爭B影片。系爭影片乃菲律賓媒體發布,郭O寧、陳O林取得系爭影片,係取自於一般可得之來源,且係出於新聞傳播或評論系爭事件之特定目的。
上訴人不能證明郭O寧、陳O林取得及利用系爭影片,有違個人資料保護法第19條第1項第7款、第20條第1項前段之規定。又系爭報導內容,具有公益性,且有高度新聞性。
系爭事件既經新聞媒體普遍報導,屬可受公評之事,陳柏林在系爭甲貼文以附上系爭B影片網址之方式,說明其評論系爭事件之依據,其內容乃係評論系爭事件,為個人意見表達,未逾言論自由所保障之範疇,難認已達貶損上訴人社會評價之程度。
系爭報導記載之內容,與國內外部分新聞網之記載內容相符,郭卉寧等2人刊登系爭報導前,既經向多方媒體查證確認,已善盡合理查證之責。
被上訴人鄭O傑於108年10月13日在網路臉書個人帳號「鄭O傑教授/醫師」發布公開貼文:「我們小時候想要看到女生的屁股、得扒開她的内褲、現在的男生想要看到女生的内褲、得扒開她的屁股、時代的變化實在太大、我們也只能適應它了」(下稱系爭乙貼文),並附上上訴人與男友在菲律賓長灘島之照片2張,表達其個人言論及意見,難認其張貼系爭乙貼文係對上訴人實施違反其意願而與性或性別有關之行為,及逾越一般社會生活所允許之法秩序範圍,而構成對於上訴人性騷擾之言行,亦無不法侵害上訴人之名譽權等情,指摘為不當,並就原審命為辯論及已論斷者,泛言謂為違法;
而非表明該判決所違背之法令及其具體內容,暨依訴訟資料合於該違背法令之具體事實,更未具體敘述為從事法之續造、確保裁判之一致性或其他所涉及之法律見解具有原則上重要性之理由,難認其已合法表明上訴理由。
依首揭說明,應認其上訴為不合法。]
末查法院就調查證據之方法原可衡情取捨,不受當事人聲明所拘束。原審已說明無必要訊問證人紀○○之理由,則其未依上訴人之聲請為調查,並未違背法令,附此敘明。
據上論結,本件上訴為不合法。依民事訴訟法第481條、第444條第1項、第95條、第78條,裁定如主文。 …… 」。
又本案二審民事判決為臺灣高等法院109年度上字第1547號民事判決 https://judgment.judicial.gov.tw/LAW_Mobile_FJUD/FJUD/data.aspx?ty=JD&id=TPHV%2c109%2c%e4%b8%8a%2c1547%2c20210810%2c1。
二、乙案 (管理委員會張貼不起訴處分書侵權案)~「釋字第585號、第603號解釋所揭示之隱私權」等
就此,臺灣高等法院臺中分院112年度上易字第259號民事判決 https://judgment.judicial.gov.tw/LAW_Mobile_FJUD/FJUD/data.aspx?ty=JD&id=TCHV%2c112%2c%e4%b8%8a%e6%98%93%2c259%2c20230927%2c1&ot=in 謂「……
上列當事人間請求損害賠償等事件,上訴人對於民國112年3月9日臺灣臺中地方法院111年度訴字第2264號第一審判決提起上訴,本院於112年9月13日言詞辯論終結,判決如下:
主 文
上訴駁回。
第二審訴訟費用由上訴人負擔。
事實及理由
一、被上訴人主張:
伊與上訴人係臺中市○區○○○街0段之○○○○○社區(下稱系爭社區)管理委員會(下稱系爭管委會)之前、後屆主委,上訴人為競選下屆主委,竟於民國111年6月18日於系爭社區之○○○APP公佈欄(下稱社區APP公佈欄)張貼臺灣臺中地方檢察署111年度偵字第14848號不起訴處分書(下稱系爭處分書),洩漏伊個人資料而侵害伊之隱私權,致伊受有非財產上之損害等情。爰先位依個人資料保護法(下稱個資法)第29條、備位依民法第184條第1項前段、第195條第1項規定,請求上訴人給付上訴人新臺幣(下同)2萬元等語(原審為被上訴人勝訴之判決,上訴人不服原判決提起上訴,其餘未繫屬本院部分,不贅述之)。並答辯聲明:上訴駁回。
二、上訴人則以:
伊張貼系爭處分書,僅係欲以標題證明伊遭被上訴人提告獲得不起訴處分,且伊已於2小時後遮隱被上訴人之個人資料,並無洩漏個人資料侵害隱私權之意圖等語,資為抗辯。並上訴聲明:㈠原判決廢棄。㈡被上訴人於原審之訴駁回。
(以下黑框及分段為筆者所加,便於讀者閱讀)
[三、得心證之理由
㈠被上訴人主張其於108年2月起至110年12月31日止,擔任系爭管委會之主任委員,上訴人則於111年1月1日起至111年12月31日,擔任系爭管委會之主任委員,及上訴人於111年6月18日7時33分,在系爭社區之APP公佈欄張貼標題「停止紛爭」貼文,將臺灣臺中地方檢察署檢察官111年度偵字14848號不起訴處分書(下稱系爭處分書)全文予以張貼,並未將當事人欄予以遮隱,而公開被上訴人之性別、生日、身分證號碼、住居所,當天張貼2小時後上訴人將該處分書貼文之當事人欄予以遮隱等事實,為上訴人所不爭執(見本院卷第199頁不爭執事項⒈⒉),且有系爭社區公告截圖(見原審卷一第309-315頁)附卷可佐,堪信屬實。]
[ ㈡被上訴人主張上訴人所為之惡意刊登其個人資料,已違反個資法而侵害其隱私權,為上訴人所否認,並以前揭情詞置辯。兩造之爭點首應審究者即為上訴人將系爭處分處全文張貼在系爭社區APP公佈欄,是否違反個資法侵害被上訴人之隱私權,而應負損害賠償責任?經查:
⒈按非公務機關違反本法規定,致個人資料遭不法蒐集、處理、利用或其他侵害當事人權利者,負損害賠償責任。但能證明其無故意或過失者,不在此限。依前項規定請求賠償者,適用前條第2項至第6項規定;被害人雖非財產上之損害,亦得請求賠償相當之金額,個資法第29條、第28條第2項前段分別定有明文。
又維護人性尊嚴與尊重人格自由發展,乃自由民主憲政秩序之核心價值,隱私權雖非憲法明文列舉之權利,惟基於人性尊嚴與個人主體性之維護及人格發展之完整,並為保障個人生活私密領域免於他人侵擾及個人資料之自主控制,隱私權乃為不可或缺之基本權利,而受憲法第22條所保障(釋字第585號解釋意旨參照)。
其中就個人自主控制個人資料之資訊隱私權而言,乃保障人民決定是否揭露其個人資料、及在何種範圍內、於何時、以何種方式、向何人揭露之決定權,並保障人民對其個人資料之使用有知悉與控制權及資料記載錯誤之更正權(釋字第603號解釋參照)。
⒉系爭社區APP公佈欄係由訴外人今O智慧科技股份有限公司所提供服務,於111年6月有開啓任一則公告之數量為51位使用者,有該公司112年8月10日函文在卷可稽(見本院卷第275頁)。
上訴人於111年6月18日將系爭處分書全文張貼在系爭社區APP公佈欄,而參酌個資法第2條第1款,所謂個人資料包括自然人之姓名、出生年月日、國民身分證統一編號、聯絡方式及其他得以直接或間接方式識別該個人之資料。堪認上訴人之張貼行為確已造成被上訴人之姓名、出生年月日、國民身分證統一編號、地址等個人資料洩漏與系爭社區之住戶知悉。
⒊又依法院組織法第83條第3項規定,高等檢察署以下各級檢察署及其檢察分署,應於第一審裁判書公開後,公開起訴書,並準用前2項規定,準此,不起訴處分書不在上開規定應公開書類之列。
故除系爭處分書所涉案件之告訴人及被告(即本案兩造)外,系爭社區其餘成員本無從藉由系爭處分書知悉被上訴人上開個人資料。
再者,被上訴人雖曾為系爭社區之主委,但其戶籍地並非位於系爭社區,其餘社區成員亦難知悉其具體資訊,上訴人亦不否認並非社區成員均知悉被上訴人之個人具體資訊(見原審卷二第138頁),則被上訴人對系爭社區成員就其系爭個人資料之隱私確有合理期待而應受保護,而上訴人未經被上訴人同意,即逕將載有被上訴人之性別、生日、身分證號碼、住居所等個人資料之系爭處分書張貼於社區APP公佈欄,違反個資法侵害其隱私權,請求上訴人賠償其損害,即屬有據。]
[⒋至被告雖辯稱張貼系爭處分書之目的係欲以標題證明被上訴人對其提出告訴最終經檢察官不起訴處分,且其於張貼後2小時即重新張貼遮隱個人資料之處分書云云。
惟上訴人張貼時應可預見將未遮隱被上訴人上開個人資料之系爭處分書可能造成被上訴人之個人資料為其他社區住戶所知悉,難謂其行為無過失;
且上訴人張貼系爭處分書之目的固在使社區成員知悉其遭被上訴人提出之告訴獲得不起訴處分,然此一目的仍得以遮隱被上訴人個人資料後張貼該不起訴處分書之方式達成,此觀諸上訴人於張貼後2小時隨即撤下系爭處分書而改張貼經遮隱之處分書足證,上訴人此部分辯解難認可採。
此外,上訴人復未舉證證明其在系爭社區APP公佈欄公開被上訴人前揭個人資料,非出於故意或過失,自應依個資法第29條第1項規定對被上訴人負損害賠償責任。]
⒌本院既認被上訴人依個資法第29條第1項規定請求上訴人賠償為有理由,即無庸再就被上訴人依民法第184條第1項、第195條第1項規定請求上訴人賠償有無理由予以審究,附帶說明之。
[㈢按慰藉金之賠償須以人格權遭遇侵害,使精神上受有痛苦為必要,其核給之標準固與財產上損害之計算不同,然非不可斟酌雙方身分資力與加害程度,及其他各種情形核定相當之數額。
本院審酌兩造自陳之年齡、教育程度、經濟狀況、家庭狀況(見原審卷一第444頁,並經本院依職權調取兩造稅務電子閘門資料查詢表為佐,為維護兩造之隱私,本院不就其個資詳予敘述),復參以被上訴人遭洩漏之個人資料內容,暨上訴人張貼系爭處分書之目的,及張貼後2小時雖已主動撤下系爭處分書而改以遮隱被上訴人上開資料之不起訴處分書取代,但已造成系爭社區多人知悉被上訴人之個人資料之侵害情節等情,認被上訴人請求精神慰撫金2萬元為適當,應予准許。]
㈣綜上所述,被上訴人依個資法第29條規定,請求上訴人賠償2萬元,為有理由,應予准許。原審所為被上訴人勝訴之判決,並依職權為准被上訴人假執行之聲請,及依上訴人之聲請命供擔保免為假執行,於法並無不合。上訴意旨指摘原判決不當,求予廢棄改判,為無理由,應駁回其上訴。
㈤本件事證已臻明確,上訴人請求傳喚3位證人丁O為、陳O庭、余O權僅係為證明有無看到被上訴人之個人資料,核與其前揭公開被上訴人個人資料行為無關,而兩造其餘之攻擊或防禦方法及所用之證據,經本院斟酌後,認為均不足以影響本判決之結果,爰不逐一論列,附此敘明。
四、據上論結,本件上訴為無理由,爰判決如主文。……」。
參、女子買溫泉券,溫泉旅館等洩個資,判賠2萬
而此案 (即C案) https://news.ltn.com.tw/news/society/breakingnews/4581020,從本案臺灣高等法院112年度上字第656號民事判決(本判決僅節錄千字左右,完整內容如下連結 https://judgment.judicial.gov.tw/LAW_Mobile_FJUD/FJUD/data.aspx?ty=JD&id=TPHV%2c112%2c%e4%b8%8a%2c656%2c20240130%2c1&ot=in):「……
上列當事人間請求損害賠償等事件,上訴人對於中華民國112年3月20日臺灣臺北地方法院111年度訴字第5578號第一審判決提起上訴,本院於113年1月16日言詞辯論終結,判決如下:
主 文
原判決關於駁回上訴人後開第二項之訴部分,及除確定部分外訴訟費用之裁判均廢棄。
被上訴人北投麗O溫泉酒店股份有限公司、墨O網路科技股份有限公司應分別給付上訴人新臺幣貳萬元,及均自民國一百一十一年十一月三十日起至清償日止,按年息百分之五計算之利息;如被上訴人任一人為給付時,另一被上訴人於其給付範圍內免給付義務。
其餘上訴駁回。
第一(除確定部分外)、二審訴訟費用,由被上訴人負擔二十五分之一,餘由上訴人負擔。
事實及理由
壹、程序方面:
按不變更訴訟標的,而補充或更正事實上或法律上之陳述者,非為訴之變更或追加,民事訴訟法第256條定有明文。本件上訴人就原審敗訴部分提起上訴,原上訴聲明就請求㈡被上訴人北投麗O溫泉酒店股份有限公司(下稱麗O公司)應刪除並停止利用所有上訴人留存於麗O公司系統中之所有個人資料、㈢墨O網路科技股份有限公司(下稱墨O公司)應刪除並停止利用所有上訴人留存於墨O公司系統中之所有個人資料部分(見本院卷一第21、167、168頁),經本院行使闡明權後,補充、更正上開聲明為:㈡麗O公司應刪除並停止利用所有上訴人留存於麗O禧公司系統中之所有LineID、UUID、姓名、電話、地址、電子信箱、㈢墨O公司應刪除並停止利用所有上訴人留存於墨O公司系統中之LineID、UUID、姓名、電話、地址、電子信箱(見本院卷二第316頁),核屬補充、更正應受判決事項之聲明,依前開規定,應予准許。
貳、實體方面:
一、上訴人主張:麗O公司之官方網站有提供消費者線上訂購溫泉券之購買系統(下稱系爭訂購系統),該系統由墨O公司進行建置、維護與管理。伊於民國109年10月5日、109年10月18日委由同事、於110年11月3日委由家人使用系爭訂購系統,依序購買溫泉券22張共新臺幣(下同)2萬0400元、10張共1萬0400元、5張共6500元,並於訂購時填載伊之姓名、電話、電子郵件、中國信託銀行股份有限公司(下稱中信銀行)刷卡帳號等個人資料(下稱個資)。嗣伊於000年00月00日下午5時50分起接獲詐騙電話,誤信為麗O公司之客服人員而配合操作解除分期付款設定,致遭訛詐轉出受詐騙金額9萬9987元。是被上訴人未依個人資料保護法(下稱個資法)第27條規定,於取得伊個資後採行適當之安全措施、防止伊個資被竊取,竟使他人透過系爭訂購系統竊取伊個資;且墨O公司存放票券之系爭訂購系統確實有於110年8月及11月遭駭客入侵,消費者個資亦遭駭客竊取挪用,墨O公司於110年11月16日或17日已知悉此情;麗O公司於110年11月底透過墨O公司告以有個資外洩情形;被上訴人卻均未依個資法第12條規定查明後以適當方式通知伊,即未盡其事前監督及事後通報之責。麗O公司未於個資外洩前就消費者個資親自採取適當安全措施、未於個資外洩前監督墨O公司平時採取相關資安措施、未於個資外洩後依個資法以適當方式通知伊,均違反個資法第12條、第27條、個資法施行細則第8條、第22條、觀光旅館業個人資料檔案安全維護計畫辦法(於111年4月1日廢止)等規定;墨O公司未盡個資安全維護措施、未依照其制定之資安文件執行個資安全防護措施、未於事前採取適當之安全措施或防護作為,均違反個資法第27條規定、製造業及技術服務業個人資料檔案安全維護管理辦法第8條及其自行訂定之資安文件。又伊遭詐騙金額9萬9987元與被上訴人將伊個資外洩間之因果關係,應類似於公害訴訟、商品製造人責任及醫療糾紛等事件,具有當事人間能力之不平等、證據偏在於蒐集個資方、消費者蒐證之困難、消費者就因果關係證明之困難等特性,應依民事訴訟法第277條但書規定由被上訴人負擔舉證責任,或降低伊之舉證責任;依一般經驗法則,伊所提證據資料已可合理認定伊遭詐騙之損害與被上訴人將伊個資外洩有關,被上訴人將伊個資外洩之過失與伊因個資外洩之損害間具備相當合理關聯,應即推定有一般因果關係存在。再者,被上訴人將伊個資外洩,已侵害伊之隱私權與資訊自主權,伊因該事件耗費時間心力為申訴,過程飽受煎熬,並需持續擔心個資遭他人不當使用,受有精神上之痛苦,伊得請求非財產上損害賠償2萬元。而被上訴人各自違反個資法相關規定、各自成立過失,均為造成伊前開損害之共同原因,依民法第185條第1項前段規定,被上訴人應連帶負損害賠償責任。爰依個資法第29條第1項、第2項、民法第184條第1項前段、第2項、民法第185條規定,求為命被上訴人連帶給付伊受詐騙之財產上損害9萬9987元、精神上痛苦之非財產上損害2萬元,共計11萬9987元,並加計自起訴狀繕本送達翌日即111年11月30日(見原審卷第117、119頁)起算法定遲延利息之判決;另依個資法第3條、第11條第3項、第11條第4項、第20條第2項規定,求為命被上訴人應刪除並停止利用所有伊留存於被上訴人系統中之所有個人資料之判決(原審判命麗O公司應刪除並停止利用所有上訴人留存於麗O公司系統中之聯絡方式,並駁回上訴人其餘之訴,上訴人提起上訴,麗O公司就其敗訴部分未聲明不服,非本院審理範圍,不予贅述)。上訴人於本院就其請求被上訴人應刪除並停止利用所有其留存於被上訴人公司系統中之所有個資內容部分,補充及更正如上訴聲明㈡⒉⒊所示。上訴聲明:㈠原判決不利上訴人部分廢棄。㈡上開廢棄部分:⒈被上訴人應連帶給付上訴人11萬9987元,及自起訴狀繕本送達翌日即111年11月30日起至清償日止,按年息5%計算之利息。⒉麗O公司應刪除並停止利用所有上訴人留存於麗O公司系統中之所有LineID、UUID、姓名、電話、地址、電子信箱。⒊墨O公司應刪除並停止利用所有上訴人留存於墨O公司系統中之LineID、UUID、姓名、電話、地址、電子信箱。
二、被上訴人則以:上訴人自系爭訂購系統購買溫泉券之時間,與其受詐騙之時間已間隔近2個月,上訴人之個資亦非伊等所獨有,上訴人未證明詐騙集團取得其個資之來源為系爭訂購系統或由伊等洩漏。縱上訴人遭詐騙之來源確與系爭訂購系統有關,然麗O公司於110年8月28日在官方網站內公告相關詐騙手法及張貼警示標語,一再提醒消費者慎防詐騙,且上訴人亦多次進入麗O公司官網線上刷卡,應足以查悉各該警示,然上訴人未查證而輕信詐騙集團所致財產上損失,與伊等處理上訴人個資之情形無相當因果關係;墨O公司雖發現有不明IP嘗試登入其公司系統,然該不明IP嘗試登入墨O公司系統與個資外洩間,不具備直接相當因果關係,縱上訴人之個資係因墨O公司系統遭到攻擊而外洩,此非「通常」或「高度可能」產生上訴人遭詐騙而受有損害之結果,即上訴人之個資外洩與其遭詐騙而受有損害間,不具備相當因果關係。墨O公司已為業界最高水準之資訊安全防護機制,平時(包括110年8月及11月間)已有相關資料維護措施,符合製造業及技術服務業個人資料檔案安全維護管理辦法第8條規定以及觀光旅館業個人資料檔案安全維護計畫辦法(於111年4月1日廢止)第15條之規定;事發時已採取因應措施,即立即向檢警單位報案、於110年8月31日及11月16日以電子郵件通知旅宿業者客戶疑似有遭受網路攻擊之情事、與官方網站宣導消費者資訊安全觀念等,麗O公司之官方網站及臉書均有明顯提醒消費者小心網路詐騙,於發現系統阻擋不明IP登入之狀況時,麗O公司立即透過墨O公司傳送「防詐騙提醒」文字簡訊予上訴人;事後採取改善措施,即強制客戶加入電子郵件驗證方式、實施一次性動態密碼(OTP)功能、鎖定IP且強制客戶登入皆須要驗證IP、Fortify全系統弱點偵測掃描、公司電腦全面安裝關貿網路EDR端點防護、110年11月修補後透過精誠資訊進行網頁弱掃測試、111年9月14日透過Nessus進行主機掃描、取得ISO-27001資訊安全管理合格證書等;縱認上訴人之個資外洩係因墨O公司系統遭到攻擊而致,然墨O公司已盡力維護資訊安全而無故意或過失。況麗O公司為飯店經營業者,電子票證非其專業,故委由墨O公司開發電子票證業務並管理客戶資料,麗O公司於選任墨O公司為其資訊服務系統廠商時,曾審核墨O公司具備「個資暨資安防護措施包含取得IS027001」及「BSI0012認證」、「加密個資與加密客戶密碼」、「資料區隔措施防火牆設置」等資格及個資保護措施,已盡其選任及監督義務;並已盡即時通知消費者個資詐騙風險之義務。且系爭訂購系統於上訴人訂購票券之時,無存在滲透之弱點風險,行政院數位發展部(下稱數發部)亦認墨攻公司之平時維護措施尚稱妥適。倘認伊等應負賠償責任,上訴人與有過失,應負擔90%之責任,又上訴人已於臺灣高雄地方法院(下稱高雄地院)112年度金簡字第402號詐欺案件(下稱系爭刑案)中,以高雄地院111年度雄司附民移調字第1765號調解筆錄,與訴外人即詐欺集團成員彭建成以6萬元調解成立,上訴人已不得再向伊等請求賠償。再者,伊等已刪除上訴人個資,而「北投麗OLINE@官方帳號」資料庫非伊等所有,伊等無法刪除「北投麗OLINE@官方帳號」、「我的票夾」中之購票訊息;另上訴人於112年10月25日收到之電子郵件,雖署名為麗o公司,惟實為鯨O科技有限公司(下稱鯨O公司)因處理上訴人退款乙事而系統自動發送之電子折讓單通知,非麗O公司所寄送,上訴人留存於麗O公司所有的個人資料(包括LINE ID、姓名、電話、地址、電子郵件等),麗禧公司皆已刪除,自無再如上訴人所請刪除其個資之必要等語置辯。答辯聲明:上訴駁回。
三、兩造不爭執事項(見本院卷一第367、368頁):
㈠麗O公司之官方網站有提供消費者線上訂購溫泉券之系爭訂購系統,該系統由墨O公司進行建置、維護與管理。
㈡上訴人曾於109年10月5日、109年10月18日委由同事、於110年11月3日委由家人使用系爭訂購系統,依序購買溫泉券22張共2萬0400元、10張共1萬0400元、5張共6500元,並於訂購時填載上訴人之姓名、電話、電子郵件、中信銀行帳號等個資。
㈢上一訴人於000年00月00日下午5時50分起接獲詐騙電話,上訴人信以為真乃配合操作解除分期付款設定,並因而損失受詐騙金額9萬9987元,隨即報警處理並聯繫中信銀行等情,有上訴人提出中華電信股份有限公司用戶授信通信紀錄報表(見原審卷第29頁)、上訴人於110年12月21日以跨行轉出9萬9987元之存摺交易明細內頁(見原審卷第33頁)、臺北市政府警察局松山分局三民派出所(下稱三民派出所)受理案件證明單(見原審卷第35頁)、上訴人於110年12月21日查悉遭詐騙後至中信銀行處理聯繫之通訊對話紀錄與譯文(見原審卷第319至323頁)存卷為憑。
㈣上訴人曾於111年1月4日以存證信函要求麗O公司刪除並不得再使用上訴人個資,該信函經麗O公司於111年1月4日收受,其後曾於111年1月5日、111年1月8日、111年1月12日、111年1月19日、111年2月21日持續接獲麗O公司之防詐騙簡訊等情,有該存證信函(見原審卷第45至51頁)、上述訊息翻拍畫面(見原審卷第53頁)在卷可稽。
四、得心證之理由:
上訴人主張被上訴人透過系爭訂購系統取得上訴人之個資,卻未為適當之保護措施,且於被上訴人查悉系爭訂購系統有個資外洩之情形後,竟未依個資法第12條、個資法施行細則第22條之規定通知上訴人,使上訴人個資遭他人竊取,並進而為詐騙集團使用,致上訴人受有遭詐騙金額9萬9987元之財產上損害,並因該隱私權、個資自主權遭侵害受有精神上痛苦,應賠償其非財產上損害2萬元,爰依個資法第29條第1項、第2項、民法第184條第1項前段、第2項、民法第185條規定,請求被上訴人連帶賠償共計11萬9987元本息;另依個資法第3條、第11條第3項、第11條第4項、第20條第2項規定,請求被上訴人應刪除並停止利用所有上訴人留存於被上訴人系統中之所有如上訴聲明㈡⒉⒊所示之個資等情,為被上訴人所否認,並以前詞置辯。茲就兩造爭執事項,析述如下:
(以下黑框及分段為筆者所加,便於讀者閱讀)
[㈠上訴人遭詐騙集團詐騙所用之個資是否來自系爭訂購系統?
⒈按非公務機關保有個人資料檔案者,應採行適當之安全措施,防止個人資料被竊取、竄改、毀損、滅失或洩漏。非公務機關違反本法規定,致個人資料遭不法蒐集、處理、利用或其他侵害當事人權利者,負損害賠償責任。但能證明其無故意或過失者,不在此限。個資法第27條第1項、第29條第1 項分別定有明文。
依上開規定,就被上訴人保有個資而發生個資遭不法蒐集、處理、利用或其他侵害當事人權利者,採過失推定原則,即由被上訴人舉證證明其無故意或過失,始能免責。
又當事人主張有利於己之事實者,就其事實有舉證之責任。但法律別有規定,或依其情形顯失公平者,不在此限,民事訴訟法第277條亦有規定。
是上訴人就其遭詐騙集團詐騙所用之個資,係來自被上訴人經營管理之系爭訂購系統乙節,固應先負舉證責任,惟系爭訂購系統為被上訴人所保有、建置及管理,上訴人所輸入之個資亦存放於該系統中,上訴人無從自行使用、管理,此等證據偏在被上訴人方面之情形對上訴人顯失公平,自有民事訴訟法第277條但書規定之適用,應輕減上訴人之舉證責任。]
[⒉查麗O公司之官方網站有提供消費者系爭訂購系統,該系統由墨攻公司進行建置、維護與管理;上訴人曾於109年10月5日、109年10月18日委由同事、於110年11月3日委由家人使用系爭訂購系統購買溫泉券,並於訂購時填載上訴人之姓名、電話、電子郵件、中信銀行帳號等個資(下稱系爭個資),業如不爭執事項㈠、㈡所示,並有系爭訂購系統購票頁面在卷可稽(見原審卷第23至27頁);
又被上訴人自認系爭訂購系統之消費者個資係存放於麗O公司(見原審卷第273頁),足見上訴人之系爭個資確曾輸入系爭訂購系統使用,且會保留於該系統中。佐以上訴人於000年00月00日下午5時50分起,陸續接獲詐騙電話,亦如不爭執事項㈢所示,
且依證人即上訴人之子王O杰證稱:當時我是拿我媽媽的手機,當時她也在場,我直接和對方通話;我媽拿著手機按擴音跑到我旁邊找我,對我說你知不知道如何解除分期付款設定,我就問對方是誰、為何要突然解除分期付款設定,對方就說是麗O公司員工,他就跟我解釋說我媽有去購買他們家的溫泉票券,他們系統有出問題,需要我們去協助解除分期付款設定,因為我還是不會解除分期付款定,對方就說他會請中國信託客服跟我們聯絡;對方除了表示是麗O公司員工,也有提到我媽是他們的會員等語(見原審卷第424、425頁),
可知該詐騙集團係於上訴人110年11月3日最末一次使用系爭訂購系統訂購溫泉券後,始撥打上訴人之電話聯繫上訴人,且其對話內容已清楚掌握上訴人為麗O公司會員、上訴人曾購買溫泉券、上訴人係使用中信銀行帳戶等細節,並自述為麗O公司員工等節,均與上訴人透過系爭訂購系統訂購商品所需輸入之系爭個資相符。
⒊而上訴人於遭詐騙後,曾於111年1月4日寄發存證信函給麗o公司(存證信函見原審卷第45至51頁),麗o公司遂於111年1月24日函覆上訴人,並於該函文中提及「…本公司線上訂票系統向來皆是委託…墨O網路科技股份有限公司(下稱墨O公司)建置與維護,客戶如欲線上訂購本公司票券皆需至墨O平台進行操作…本公司110年11月底接獲墨攻公司通報後台偵測到異常IP…」(見原審卷第55頁);
再徵之上訴人因其利用系爭訂購系統遭個資外洩之情形向交通部觀光局陳情(下稱系爭陳情事件),經該局111年12月9日函覆其處理之相關卷證資料,其中監督通報紀錄表記載:「事件發生種類:竊取、個資侵害之總筆數(大約)資料庫外洩約5,423筆…」、「發生原因及事實摘要:…2.該飯店(即麗O公司)於110/11/16日接獲墨O公司通知票券系統資料被駭客入侵,相關購買紀錄恐遭竊取…」、「個資外洩可能結果:…另票券系統經由墨O公司提出電磁資料洩漏紀錄預估5,423筆,恐為不法利用之風險。」(見原審卷第149頁),
足徵墨O公司所建置管理之系爭訂購系統,確有於110年11月16日偵測到異常IP,其資料庫遭駭客侵入竊取而洩漏個資約為5423筆。
又上訴人係於上開個資外洩事件發生後之110年12月21日接獲上開詐騙電話,詐騙集團於電話中之對話內容已清楚掌握上訴人透過系爭訂購系統所輸入之系爭個資,亦如前述,堪認上訴人就其主張遭詐騙集團詐騙所用之個資,為系爭訂購系統所外洩乙節,已盡舉證之責,洵屬可採。]
[⒋被上訴人抗辯由數發部數位產業署(下逕稱數發部)112年1月13日函內容(見原審卷第265至267頁),可知自始至終僅發生「網站攻擊事件」,並非「個資外洩事件」,且該函所提Log紀錄雖顯示墨O公司有受到SQL injection之攻擊,但無法排除另有其他非法攻擊行為取得客戶個資之可能,而上訴人之個資亦非被上訴人獨有,故墨O公司系統遭到攻擊與上訴人之個資外洩並無相當因果關係云云。
惟如前述,上訴人已證明其遭詐騙集團詐騙所用之個資,為系爭訂購系統所外洩,而被上訴人所舉上開函文僅係表示「無法排除另有其他非法攻擊行為取得客戶個資之可能」,並非確認上訴人之個資外洩係由其他非法攻擊行為所致,而非墨o公司之前述網站攻擊事件所致,不足據為反證證明上訴人遭詐騙集團詐騙所用之個資,非系爭訂購系統所外洩。被上訴人上開抗辯,洵屬無稽。]
[㈡被上訴人就上訴人個資外洩而遭詐騙集團不法利用,是否具有故意、過失?
⒈上訴人主張麗O公司未於個資外洩前就消費者個資親自採取適當安全措施、未於個資外洩前監督墨攻公司平時採取相關資安措施;墨攻公司未盡個資安全維護措施、未依照其制定之資安文件執行個資安全防護措施、未於事前採取適當之安全措施或防護作為,違反個資法第27條規定、觀光旅館業個人資料檔案安全維護計畫辦法(於111年4月1日廢止)、製造業及技術服務業個人資料檔案安全維護管理辦法第8條及墨O公司自行訂定之資安文件等情,為被上訴人否認,
惟上訴人遭詐騙集團詐騙所用之個資,為系爭訂購系統所外洩,已如前述,依上說明,自應由被上訴人舉證證明其就上訴人個資外洩乙事,並無違反個資法之故意或過失。
⒉被上訴人抗辯墨O公司平時(包括000年0月間及11月間受到SQL injection之攻擊前及攻擊後)已有相關資料維護措施,且亦符合製造業及技術服務業個人資料檔案安全維護管理辦法第8條、觀光旅館業個人資料檔案安全維護計畫辦法(已於111年4月1日廢止)第15條等規定,即墨O公司已強制廠商IP登入位置綁定、AES256加密機制針對廠商帳號密碼及個人資料、多重伺服器分散資料管理、資料庫與程式分開存放、主機帳密權限控管與RSA私鑰管理、限定防火牆規則僅特定IP及帳號密碼始得進入、Linux主機使用防毒軟體ClamAV、辦公室環境以ESET防毒軟體監控,以及伺服器安裝關貿網路EDR端點防護、訂定個資及資訊安全政策文件等。惟查:
⑴觀諸被上訴人所提被上證7:墨O公司透過測試帳號模擬登入,系統將針對IP來源進行白名單限制,並對非允許IP進行阻擋之截圖、被上證10:AES256加密機制針對廠商帳號密碼及個人資料截圖、被上證11:多重伺服器分散資料、被上證12:主機帳密權限控管與RSA私鑰管理、被上證13:限定防火牆規則僅特定IP及帳號密碼始得進入截圖(見本院卷一第157、333至339頁),均僅有片段截圖,且有資料遭遮隱,無從辨識為系爭訂購系統及被上訴人上開抗辯之資料維護措施;被上證14:ClamAV維基百科介紹(見本院卷一第341頁),僅為網頁就ClamAV應用程式之介紹;被上證15:墨O公司資訊安全管理政策、被上證16:墨O公司個人資料保護管理政策(見本院卷一第343至355頁),均屬抽象之管理規範,非就系爭訂購系統所為之具體維護措施;
被證8:關貿EDR雲服務交貨確認表、被證9:關貿網路EDR端點防護說明、被證10:「精OO盤滲透報告」、「墨O滲透報告書 210.241.131.226Nessus」、「墨O滲透測試報告書」、被上證19:墨O公司就XSS攻擊提出之改善方式(見原審卷第235至257頁,本院卷一第361頁),均屬110年11月16日系爭訂購系統資料庫遭駭客侵入竊取個資後所為,亦未見與墨O公司就個資外洩前之管理維護系爭訂購系統行為,有何關聯性。
是以被上訴人所提上開資料,均無法證明墨O公司就其管理維護之系爭訂購系統所保有之上訴人個資,已盡採取適當安全措施之責,被上訴人上開抗辯,即無足取。上訴人主張墨O公司就其系爭個資外洩而遭詐騙集團不法利用,有違反個資法第27條第1項規定之疏失,洵屬可採。]
⑵至數發部112年1月13日函固認:「本署檢視前揭所復內容暨佐證資料,認為墨O公司之平時維護措施尚稱妥適,亦於110年8月及11月事件發生時之應變措施尚屬合宜,並持續精進其個資安全管理措施,且已依照本署要求補充相關佐證資料,該公司之改善措施亦尚稱合理。」(見本院卷一第266頁),
惟數發部之調查程序與訴訟事件程序不同,且其認定並無拘束本院之效力,被上訴人抗辯應援引數發部上開函文及112年7月28日函檢送之相關資料為有利被上訴人之認定云云,亦非可取。
⒊被上訴人抗辯麗O公司委由墨攻公司開發電子票證業務並管理客戶資料,已盡其選任及監督義務云云。
惟查,系爭訂購系統之消費者個資係存放於麗O公司,上訴人之系爭個資確曾輸入系爭訂購系統使用,且會保留於該系統中,麗O公司就其所保有之上訴人系爭個資,即應採行適當之安全措施,防止其個資被竊取或洩漏,
則麗O公司委由墨O公司管理維護系爭訂購系統,亦應對墨O公司為適當監督,而被上訴人所提被上證17:墨O公司官方網站首頁、被上證18:墨O公司擁有多項專利(見本院卷一第357、359頁),均為墨O公司之單方資料,無法據以證明麗O公司於上訴人系爭個資遭竊外洩前,已就墨O公司管理維護系爭訂購系統,為適當監督之行為,被上訴人上開抗辯,不足採信。
是上訴人主張麗O公司就其系爭個資外洩而遭詐騙集團不法利用,有違反個資法第27條第1項規定之疏失,亦屬可採。
至交通部觀光局111年12月9日回函固認:「…麗O公司於個資外洩前後皆採行相關因應措施及處置,除於事前曾要求墨O公司加強個資防護措施…加強飯店本身各項個資安全防護機制且持續進行改善,尚符個人資料保護法相關規定…」(見原審卷第142頁),並於「主管機關就個資外洩事件判斷是否違反個資法」部分,調查結果表示「否」(見原審卷第151至152頁),惟交通部觀光局之調查程序與訴訟事件程序不同,且其認定並無拘束本院之效力,無從據為有利被上訴人之認定。
[⒋綜前,被上訴人對於系爭訂購系統保存上訴人之系爭個資未盡適當安全維護措施,致系爭個資外洩而遭詐騙集團不法利用,違反個資法第27條第1項規定,係有過失;又系爭個資為上訴人個人基本資料與消費資料,均屬上訴人之隱私及個資自主範疇,故上訴人主張被上訴人不法侵害其隱私權、個資自主權,應為可採。]
[㈢上訴人請求被上訴人賠償受詐騙集團詐騙之財產損失,有無理由?
⒈按損害賠償之債,以有損害之發生及有責任原因之事實,並二者之間,有相當因果關係為成立要件。故原告所主張損害賠償之債,如不合於此項成立要件者,即難謂有損害賠償請求權存在。且所謂相當因果關係,係指依經驗法則,綜合行為當時所存在之一切事實,為客觀之事後審查,認為在一般情形下,有此環境、有此行為之同一條件,均可發生同一之結果者,則該條件即為發生結果之相當條件,行為與結果即有相當之困果關係。……」觀之,本案二審如在認事上無誤的話,本案二審即認「本案一審被告等二人確有違反個人資料保護法第12條、第27條規定之情事,而且本案也有民事訴訟法第227條但書規定之適用,本案一審被告等二人復無法就待證事實為舉證或雖有舉證但為本案二審所不採,加上,系爭損害發生之原因與損害結果間也有相當因果關係」,爰判本案一審被告等二人須負賠償責任,尚不意外。
又本案判決中,較值得注意的是「有關民事訴訟法第277條但書規定之適用;此部分,也得參閱《給付保險金訴訟中,當事人之舉證責任》https://www.lawtw.com/archives/1149835 及【新聞疑義 784】https://www.lawtw.com/archives/406041 等文。
| 作者簡介 |
|
楊春吉 |
