個資外洩求償判決與舉證責任轉換之運用

根據媒體報導,去(2020)年民眾通報高風險賣場前5名,分別是Momo購物網、小三美日、讀冊生活、486團購網與Hito本舖,其通報數量均超過200件,其中以Momo購物網383件居冠。

以法學搜尋系統Lawsnote搜尋網路購物相關個資外洩求償判決,2018年至2020年的民事判決件數僅有18件,其中原告勝訴的判決為11件,勝訴率約為60%。然而仔細檢視原告敗訴的案件,其中不乏因為原告(即消費者)無法證明詐騙集團所使用的資料來自被告公司的個資外洩行為,而因此敗訴。

臺灣高雄地方法院109年度雄小字第3154號判決為例,法院即表示「當事人主張有利於己之事實,他造對之有爭執者,有提出證據以證明其事實為真實之責任,主張積極事實者應負舉證之責任,乃為舉證責任分配之原則。依上開規定,本件原告主張被告違反個資法規定,致其權利受損,則原告就其有利於己之事實即主張其遭詐騙時之個資係來自被告公司網站,及被告違反個資法規定之事實,即應先負舉證責任。」

然而,個資存放與安全措施的相關資料與證據均為企業所持有,一般民眾要證明遭詐騙時的個資是來自被告公司何其困難,因此即有法院判決透過舉證責任轉換的運用,降低民眾求償的舉證門檻。

「按當事人主張有利於己之事實者,就其事實有舉證之責任,但法律別有規定,或依其情形顯失公平者,不在此限,民事訴訟法第277條規定甚明。上開但書規定係於89年2月9日該法修正時所增設,肇源於民事舉證責任之分配情形繁雜,僅設原則性之概括規定,未能解決一切舉證責任之分配問題,為因應傳統型及現代型之訴訟型態,尤以公害訴訟、商品製造人責任及醫療糾紛等事件之處理,如嚴守本條所定之原則,難免產生不公平之結果,使被害人無從獲得應有之救濟,有違正義原則。是法院於決定是否適用上開但書所定之公平要求時,應視各該具體事件之訴訟類型特性暨求證事實之性質,斟酌當事人間能力之不平等、證據偏在一方、蒐證之困難、因果關係證明之困難及法律本身之不備等因素,以定其舉證責任或是否減輕其證明度,最高法院103年度台上字第1311號判決參照。」(臺灣臺北地方法院106年度北小字第2161號民事判決參照)

另外也有判決從常態事實與變態事實兩者的舉證責任出發,認為駭客入侵公司電腦竊取大量客戶資料屬於常態事實,侵入個人電腦竊取個人消費資料屬於變態事實,而應由被告公司先舉證證明其已善盡客戶消費資料的保存責任且未遭不法蒐集。

「按事實有常態與變態之分,其主張常態事實者無庸負舉證責任,反之,主張變態事實者,則須就其所主張之事實負舉證責任。查,被告為資本額達億元以上之公司,且經營規模非小,依常情而言其能力自較一般消費大眾來得強大。甚且被告經營網路消費平台,於公司電腦中、或資料庫中又或者於所於營網站上儲存客戶之消費資料(含所留之聯繫資料,例如:手機號碼、住家地址等)更屬常態;反之一般消費者於其電腦或手機中留存其個人聯繫資料,則屬變態。被告雖辯稱系爭消費資訊之所以外洩,或可能出自原告,對於客戶資訊保護責任,不應全由被告承擔云云。究其所辯固非絕無可能,惟依前開說明,駭客入侵營業公司之電腦竊取其大量客戶資訊,要屬常態;反之,侵入個人電腦以竊取個人之消費資料,則屬變態。是應由被告先行舉證證明其確已善盡對於該公司客戶(含本件原告在內)所留消費資料之保存責任,且未遭不法蒐集,而不應推責於原告。」臺灣士林地方法院107年度湖簡字第110號民事判決參照。

本文將相關法院判決與舉證責任轉換運用與否,粗淺地整理如下表。由下方表格可以觀之,18件判決中,法院有適當運用舉證責任轉換的判決均是對原告有利的結果(如表格灰色標記處)。而法院未運用舉證責任轉換共有12件,其中原告敗訴的判決有7件(約佔58%),儘管案件的勝負尚有其他影響因素,但仍然可以看出,法院倘運用舉證責任轉換,對於原告(民眾)是較為有利的。

民事訴訟法第277條也提到「當事人主張有利於己之事實者,就其事實有舉證之責任。但法律別有規定,或依其情形顯失公平者,不在此限。」,因此法院在相關案件適用前述條文時,仍應適當考量原告與被告雙方能力之不平等、證據偏在一方、蒐證之困難、因果關係證明之困難及法律本身之不備等情形,來決定雙方舉證責任或是否減輕證明度。倘若法院一律機械式套用當事人主張有利於己的事實,均對該事實有舉證之責任,則難免無法達到個案正義,同時不免有法律強人所難之嘆。同時,法院判決兼具「傳達訊息」之功能,儘管個資外洩相關判決,因為其所涉及金額較低,往往無法上訴到最高法院,然而隨著隱私權與資料保護的重視,也期待法院為相關判決時,可以多加著墨,引領相關議題的討論。

※歡迎加入喵喵科技法律隨筆,持續接收科技法律的新知!

※你可能會對這些文章有興趣
1.CNIL對遭受憑證填充攻擊的資料控制者與資料處理者處以225,000歐元罰款
2.如何落實GDPR法遵?英國ICO發布問責制框架
3.歐盟法院SCHREMS II案與常見問答
4.個資外洩,該怎麼辦?
5.愛爾蘭資料保護委員會強調處理兒童資料的14個基本原則

發表迴響

在下方填入你的資料或按右方圖示以社群網站登入:

WordPress.com 標誌

您的留言將使用 WordPress.com 帳號。 登出 /  變更 )

Google photo

您的留言將使用 Google 帳號。 登出 /  變更 )

Twitter picture

您的留言將使用 Twitter 帳號。 登出 /  變更 )

Facebook照片

您的留言將使用 Facebook 帳號。 登出 /  變更 )

連結到 %s