最近又傳出購物網站發生個資外洩,導致民眾受到詐騙,損失金額高達2000多萬元。一般民眾通常遇到個資外洩時,通常會選擇向個資外洩的公司求償,不過除此之外,依具體案件情形,民眾也可以考慮一併向維護該公司網站或系統的廠商(下稱系統商)求償,最近便有藝人於A公司的網站上訂購商品,因此於該網站留存姓名、手機號碼、E-mail、地址等個人資料,之後居然發現於Google搜尋引擎可以搜尋到她的個人資料,經過法院審理後,認為維護網站的系統商(B公司)與負責該專案的專案經理應負連帶賠償責任,以下是該臺灣雲林地方法院108年度六簡字第198號民事判決的簡要整理與分析。
一、被告B公司與負責該專案的專案經理應負連帶賠償責任
1.原告隱私權確實遭到侵害
法院認為,依據原告所提出被告A公司會員專區、GOOGLE搜尋引擎所得資料等網頁截圖,能見原告之姓名、手機號碼、E-mail、住家住址等資料,足以認為不特定多數人於被告A公司網站故障當時,若於GOOGLE搜尋引擎鍵入原告之姓名,即能獲得上開資訊,因此足以證明原告隱私權已遭侵害。
2.被告B公司的專案經理沒有提出網站資安防護工作建置相關資料,無法認定其有採取適當安全措施
本件被告B公司負責的專案經理雖然表示經營五年以來都沒有出事過,事發之後也都有進行補救,然而卻沒有提出事前為A公司建置網站資安防護工作的相關資料,作為個資外洩時有對其所取得客戶資料建置有效防護措施之證據,無法認定其有依個人資料保護法(下稱個資法)第27條採取適當安全措施,因此法院認定原告得依個資法第29條與民法第184條第1項之規定請求該專案經理負損害賠償責任。
3.被告B公司應與專案經理負連帶賠償責任
法院認為專案經理於被告B公司任職時,對被告A公司網站取得的客戶資料沒有建置有效的防護措施,導致侵害原告隱私權,依照民法第188條第1項規定,被告B公司應與專案經理未適當保護個人資料的侵權行為負連帶賠償責任。
二、被告A公司與法定代理人無須負賠償責任
本件法院認為,被告A公司的網站所留存的個人資料是由被告B公司支配掌握,被告A公司及其法定代理人對於個人資料被竊取或外洩風險並沒有控制能力,難認原告受有隱私權的損害與被告A公司及其法定代理人間有相當因果關係存在。
三、結論與評析
本件判決僅認定被告B公司與其專案經理應負擔損害賠償責任,卻認為被告A公司及其法定代理人無須負責,否則即有不當擴大企業責任之虞,然而依照個資法施行細則第8條,委託他人蒐集、處理或利用個人資料時,委託者應對受託者為適當之監督,同時必須定期確認與紀錄受託者執行的狀況。因此,本件被告A公司將其網站委託給被告B公司與其專案經理管理時,如有依法善盡委託者的監督管理責任,是否即能於事前發現被告B公司與專案經理並沒有為網站建置防護措施的情形,則被告A公司及其法定代理人是否毫無責任,似乎仍有討論的空間。
※歡迎來喵喵科技法律隨筆的粉絲團按讚、追蹤還有分享!
※你可能會對這些文章有興趣
1.個資外洩,該怎麼辦?
2.當個資外洩發生時,企業是否可以向系統商求償?
3.投資個資保護的價值?
4.談性向、約炮、多人運動與性隱私的保護
喵喵科技法律隨筆 