違反保資法之故意或失的舉證責任

sec2100

臺灣臺北地方法院 111 年度訴字第 5578 號民事判決

另公務機關或非公務機關違反本法規定，致個人資料被竊取、洩漏、竄改或其他侵害者，應查明後以適當方式通知當事人，個資法第12條定有明文。另本法第十二條所稱適當方式通知，指即時以言詞、書面、電話、簡訊、電子郵件、傳真、電子文件或其他足以使當事人知悉或可得知悉之方式為之。但需費過鉅者，得斟酌技術之可行性及當事人隱私之保護，以網際網路、新聞媒體或其他適當公開方式為之。依本法第十二條規定通知當事人，其內容應包括個人資料被侵害之事實及已採取之因應措施，個資法施行細則第22條亦規定甚明。上開規定係為確保個資之資訊自主權，自屬民法第184條第2項之「保護他人之法律」。是依上開規定，非公務機關因未採取適當安全措施以防止個人資料遭竊取、洩漏致個資遭他人蒐集而侵害個資權人之權利，或因未依規定為通知致他人權利受損，而應依上開個資法或侵權行為之規定負損害賠償責任者，自以就該情節有故意或過失為前提，綜合前揭舉證責任導致之說明意旨，併依個資法第29條第1項但書明文規定為舉證責任倒置，即認應由該非公務機關負證明無故意或過失之責。是本件自應由被告舉證證明其就原告個資外洩一事無故意或過失，或已即時通知，抑或未及時通知無故意過失等情。

sec2100

又關於非公務機關之用戶個資遭竊取之通報義務，依據前開個資法第12條係以「非公務機關違反本法規定，致個人資料被竊取、洩漏、竄改或其他侵害」為前提，故非公務機關倘並無違反個資法之規定，本即與該通知義務之前提不合，則本件被告既如前開認定，並無因過失違反個資法之情節，自無庸負擔該通報義務；更遑論被告麗禧公司之官方網站首頁，實早於110年8月28日，即於原告最後一次使用系爭訂購系統訂購溫泉票之110年11月3日前，已有「貼心提醒 防範詐騙公告」之公告（見本院卷第205至211頁），且該公告已記載詐騙手法包括「謊稱為飯店系統遭駭客入侵，訂單被改為團體訂單會遭到扣款，並再次謊稱為銀行人員要求解除款項，以及操作銀行轉帳」之內容（見本院卷第207頁），自已透過上開合理方式警示用戶即原告。另兩造均不爭執被告麗禧公司亦曾再於111年1月5日、111年1月8日、111年1月12日、111年1月19日、111年2月21日持續接獲被告麗禧公司之防詐騙簡訊等情，已如前述，自難認被告有何違反個資法第12條、個資法施行細則第22條之違反通報義務之情形。

sec2100

參以交通部觀光局111年12月9日之回函亦以：雖個資外洩事件係因被告墨攻公司之系爭訂購系統遭駭客入侵所致，被告麗禧公司於個資外洩前後皆採行相關因應措施及處置，除於事前曾要求被告墨攻公司加強個資防護措施，事後即通知疑似遭個資外洩之全數消費者相關防詐騙訊息及情事，另加強飯店本身各項個資安全防護機制且持續進行改善，尚符個人資料保護法相關規定等情，有該回函存卷為憑（見本院卷第141至155頁），並就「主管機關就個資外洩事件判斷是否違反個資法」部分，調查結果表示「否」（見本院卷第151至152頁）；另數位發展部數位產業署112年1月13日之回函，亦以：平時被告墨攻公司已有相關資料維護措施：包括已強制廠商登入位置綁定、AES256加密機制針對廠商帳號密料、多重伺服器分散資料管理、資料庫與程式分開存放、主機帳密權限控管與RSA私鑰管理、限定防火牆規則僅特定IP及帳號密碼始得進入、Linux主機使用防毒體ClamAV、辦公室環境以ESET防毒軟體監控，以及伺服器安裝關貿網路EDR端點防護、訂定個資及資安政策文件等；事發時已採取因應措施：包含立即向檢警單位報案、於110年8月31日及11月16日以emai通知遭個資外洩之旅宿業者客戶與官方網站宣導消費者資安觀念等。事後採取改善措施：包含強制客戶加入Email驗證、實施一次性動態密碼(OTP)能、鎖定IP且強制客戶登入皆須要驗證IP、Fortify全系統弱點偵測掃描、公司電腦全面安裝關貿網路EDR端點防護、110年11月修補後透過精誠資訊進行網頁弱掃測試、111年9月14日透過nessus進行主機掃描、取得ISO 27001資訊安全管理證書等情（見本院卷第265至267頁），亦徵被告已於事情、事後均本於防止系爭訂購系統之用戶個資被竊之相關措施，自難認原告個資外洩一事係因被告之過失行為所致。