資安不嚴消費者個資外洩遭詐騙 酒店及系統管理業者高院判賠

  •  2024-02-16

資安不嚴消費者個資外洩遭詐騙 酒店及系統管理業者高院判賠 3

CNEWS匯流新聞網記者張孝義/台北報導

消費者如果使用網路購物因而個資外漏遭到詐騙,網路消費平台不再能置身事外,台北市北投區麗禧溫泉酒店與為其管理系統的墨攻網路科技就因消費者個資外洩,造成消費者受到詐騙損失,被台灣高等法院民事庭判決給付消費者非財產上損害賠償2萬元。消費者可上訴,酒店及網路公司不得上訴。

這件個資外洩遭詐騙的損害賠償訴訟,起因於消費者在109年10月及110年11月初委由同事、家人,在北投麗禧溫泉酒店官方網站的消費者線上訂購溫泉券購買系統購買總共37張溫泉券,並填寫其姓名、電話、電子郵件、刷卡銀行帳號等個資,不料同年12月底就接到誆稱麗禧酒店客服人員的詐騙電話,以「解除分期付款設定」的詐騙哏,騙走99987元。

消費者在111年1月4日以存證信函要求被告麗禧公司刪除並不得再使用其個人資,卻持續接獲麗禧公司的簡訊,消費者申訴後才得知麗禧公司的訂購系統是由墨攻公司負責管理維護,且110年11月底就由墨攻公司告知麗禧公司有個資外洩情形,這2家公司卻沒有依個資法規定通知消費者,除造成其財產損害,更因個資外洩事件耗費時間、心力為申訴,過程飽受煎熬,並需持續擔心個資遭他人不當使用,受有精神上之痛苦,起訴主張麗禧、墨攻公司應刪除並停止利用所有消費者留存在其公司系統裡的所有個人資料;並賠償財產損害及非非財產上損害賠償共11萬9987元。

台北地院一審,麗禧、墨攻公司援引交通部觀光局、數位部函文,分別指兩公司相關因應措施「尚符個人資料保護法相關規定」或「尚稱合理」,只判麗禧公司刪除並停止利用所有消費者留存該公司系統中的聯絡方式,其餘主張都被駁回。

消費者不服,繳交一審6000元、二審9000元的訴訟費用,就是要上訴二審爭個公道。

高院合議庭審理後認為,非公務機關保有個人資料檔案者,應採行適當之安全措施,防止個人資料被竊取、竄改、毀損、滅失或洩漏。非公務機關違反本法規定,致個人資料遭不法蒐集、處理、利用或其他侵害當事人權利者,負損害賠償責任。免責條件是證明其無故意或過失,所以麗禧、墨攻公司應舉證證明其無故意或過失,始能免責。

同時,因訂購系統為麗禧、墨攻公司所保有、建置及管理,消費者所輸入之個資亦存放於該系統中,消費者無從自行使用、管理,這些證據偏在麗禧、墨攻公司方面之情形對消費者顯失公平,自有民事訴訟法第277條但書規定之適用,應網路購物輕減上訴人的舉證責任。

合議庭審酌消費者聲請調閱觀光局及數發部110年中,調查墨攻提供各大飯店業者當次大量個資外洩事件之調查蒐證內容,確有於110年11月16日偵測到異常IP,其資料庫遭駭客侵入竊取而洩漏個資約為5423筆。

合議庭認定,墨攻公司提供非允許IP進行阻擋之截圖、針對廠商帳號密碼及個人資料 AES256加密機制截圖、多重伺服器分散資料、主機帳密權限控管與RSA私鑰管理、限定防火牆規則截圖,均僅有片段截圖,且有資料遭遮隱,無從辨識。「墨攻滲透報告書 」等均屬資料庫遭駭客侵入竊取個資後所為,亦未見個資外洩前之管理維護系爭訂購系統行為,均無法證明其管理維護之系爭訂購系統所保有之上訴人個資,已盡採取適當安全措施之責。反個資法第27條第1項規定之疏失。

合議庭因此判決北投麗禧在安全防護及監督責任,以及墨攻在安全防護上確有過失,2公司應負賠償損害責任,分別給付消費者2萬元。不過,消費者受到詐騙的財損99987元,合議庭認為2家公司不法侵害消費者隱私權、個資自主權的行為,在一般情形下,並不必然會發生上訴人受詐騙且受有財物損失之侵害結果,從監督通報紀錄表記載資料庫外洩約5423筆,然發生財損案件僅1筆,無法證明2家公司的過失行為與消費者的財物損失結果間,有相當因果關係,因此這個部分沒有判准。

照片來源:CNEWS匯流新聞網資料照片

《更多CNEWS匯流新聞網報導》

立委SOGO案 勘驗李恆隆筆錄成蘇震清攻防重點

涉大巨蛋等弊案 高院裁定趙藤雄等6人延長境管8個月

【文章轉載請註明出處】