- 法院見解
- 趙女的個資是否因麗禧酒店與墨攻公司的資料外洩,而遭到詐騙集團使用?
二審法院認為趙女雖然無法直接證明麗禧酒店與墨攻公司外洩的資料為詐騙集團使用,但根據民訴法第277條但書的規定,訂購系統並非由趙女建置或管理,要求趙女舉證顯失公平,因此趙女的舉證責任應該減輕。從而,趙女明確地在網站輸入了個資,而接到詐騙電話時,詐騙集團說出了麗禧酒店與墨攻公司的消費資料,證實趙女的資料是由麗禧酒店或墨攻公司外洩的,二審法院認為趙女已盡到舉證之責。
- 麗禧酒店、墨攻公司是否需賠償趙女損失?
◎一審法院認為:墨攻公司在偵測到異常IP侵入後已經委外其他公司進行檢測並無異常情況,足見墨攻公司建置的訂購系統已盡可能地防堵外部入侵,因此很難認定與此有關。
◎二審法院認為:
◎二審法院認為:
- 墨攻公司提出的系統改善證據,是在資料外洩後才進行的,而非在資料外洩之前。
- 麗禧酒店表示個資是由墨攻公司管理,並聲稱已盡到注意義務。然而,法院認為趙女是在官網訂購,而個資保留於麗禧酒店系統中,因此麗禧酒店仍有監督、保護義務。
- 對於麗禧酒店提供的數發部來函指出墨攻公司僅發生網站攻擊事件,並非個資外洩事件,然法院認為其調查程序與訴訟程序不同,且無法排除其他非法攻擊,或其他方式取得客戶個資,數發部來函不足為據。
- 損害賠償部分,法院認為個資侵害並不一定會導致消費者財產上的損失,因此難以建立因果關係,駁回財產上損害賠償之請求。至於非財產上的損害賠償,因趙女因申訴過程中飽受煎熬並且害怕個資被不當使用,已受到精神上的痛苦,因此判決二者需賠2萬元精神撫慰金,為不真正連帶,麗禧酒店、墨攻公司其中一家為賠償已足。
- 法律救生員評論
個資因企業外洩而遭受詐騙,消費者難以獲得賠償的原因其一是消費者很難提供證據來證明某項個資是由某一個企業外洩所導致,其二是個資外洩未必會造成損害,造成損害主要還是詐騙集團之詐術,與個資保護良善與否並無絕對關係。本案消費者獲勝的原因在於法院一方面減輕了消費者之舉證責任,二方面係因詐騙集團使用了與麗禧酒店溫泉券有關之資訊進行詐騙,因此除非麗禧酒店、墨攻公司反證,否則原則上推論係與麗禧酒店、墨攻公司個資外洩有關。然若詐騙集團採用的是一般非特定資訊,但如姓名、住址、生日等,則恐怕難以鎖定某一企業進行求償。此外,二審法院認為麗禧酒店、墨攻公司僅需賠償趙女之精神上損失,就趙女財產上之損失則以無因果關係駁回,亦即認為此部分損失係與詐騙集團有關,與企業未盡保護個資責任無關,恐為目前實務上判決之通例。
新聞來源
新聞來源