除了告他還能告誰,個資外洩與系統商責任

最近又傳出購物網站發生個資外洩,導致民眾受到詐騙,損失金額高達2000多萬元。一般民眾通常遇到個資外洩時,通常會選擇向個資外洩的公司求償,不過除此之外,依具體案件情形,民眾也可以考慮一併向維護該公司網站或系統的廠商(下稱系統商)求償,最近便有藝人於A公司的網站上訂購商品,因此於該網站留存姓名、手機號碼、E-mail、地址等個人資料,之後居然發現於Google搜尋引擎可以搜尋到她的個人資料,經過法院審理後,認為維護網站的系統商(B公司)與負責該專案的專案經理應負連帶賠償責任,以下是該臺灣雲林地方法院108年度六簡字第198號民事判決的簡要整理與分析。

一、被告B公司與負責該專案的專案經理應負連帶賠償責任

1.原告隱私權確實遭到侵害

法院認為,依據原告所提出被告A公司會員專區、GOOGLE搜尋引擎所得資料等網頁截圖,能見原告之姓名、手機號碼、E-mail、住家住址等資料,足以認為不特定多數人於被告A公司網站故障當時,若於GOOGLE搜尋引擎鍵入原告之姓名,即能獲得上開資訊,因此足以證明原告隱私權已遭侵害。

2.被告B公司的專案經理沒有提出網站資安防護工作建置相關資料,無法認定其有採取適當安全措施

本件被告B公司負責的專案經理雖然表示經營五年以來都沒有出事過,事發之後也都有進行補救,然而卻沒有提出事前為A公司建置網站資安防護工作的相關資料,作為個資外洩時有對其所取得客戶資料建置有效防護措施之證據,無法認定其有依個人資料保護法(下稱個資法)第27條採取適當安全措施,因此法院認定原告得依個資法第29條與民法第184條第1項之規定請求該專案經理負損害賠償責任。

3.被告B公司應與專案經理負連帶賠償責任

法院認為專案經理於被告B公司任職時,對被告A公司網站取得的客戶資料沒有建置有效的防護措施,導致侵害原告隱私權,依照民法第188條第1項規定,被告B公司應與專案經理未適當保護個人資料的侵權行為負連帶賠償責任。

二、被告A公司與法定代理人無須負賠償責任

本件法院認為,被告A公司的網站所留存的個人資料是由被告B公司支配掌握,被告A公司及其法定代理人對於個人資料被竊取或外洩風險並沒有控制能力,難認原告受有隱私權的損害與被告A公司及其法定代理人間有相當因果關係存在。

三、結論與評析

本件判決僅認定被告B公司與其專案經理應負擔損害賠償責任,卻認為被告A公司及其法定代理人無須負責,否則即有不當擴大企業責任之虞,然而依照個資法施行細則第8條,委託他人蒐集、處理或利用個人資料時,委託者應對受託者為適當之監督,同時必須定期確認與紀錄受託者執行的狀況。因此,本件被告A公司將其網站委託給被告B公司與其專案經理管理時,如有依法善盡委託者的監督管理責任,是否即能於事前發現被告B公司與專案經理並沒有為網站建置防護措施的情形,則被告A公司及其法定代理人是否毫無責任,似乎仍有討論的空間。

※歡迎來喵喵科技法律隨筆的粉絲團按讚、追蹤還有分享!

※你可能會對這些文章有興趣
1.個資外洩,該怎麼辦?
2.當個資外洩發生時,企業是否可以向系統商求償?
3.投資個資保護的價值?
4.談性向、約炮、多人運動與性隱私的保護

當個資外洩發生時,企業是否可以向系統商求償?

企業與系統商簽訂契約,要求系統商提供電子商務網站平台及相關服務時,當網站平台的資訊安全系統設計不符合現行科技水準,導致企業因個資外洩所造成賠償消費者金錢、商譽損害等損失,系統商是否須負損害賠償責任?國內最近即有一間公司(原告)向提供不符合現行科技水準網站系統的廠商(被告)成功求償102萬1976元(臺灣臺北地方法院108年度訴字第1721號民事判決),以下簡單介紹該判決的內容。

1.雙方的契約性質為承攬契約

法院認為依照雙方契約內容,原告基於契約所取得的並非僅有旗艦版平台,還包含網址服務、電子發票服務項目、SSL加密憑證、SSL憑證檔嵌入服務、其他系統串接維護費、物流系統串接維護費、系統串接維護費等多項加值服務,所以原告所打算取得的標的是具備上開功能與服務之電子商務網站,而非只是單純地租用網路平臺。同時依照契約內容所記載交件、驗貨與報酬給付等細節,可以認為雙方所約定的客製化網路平臺服務,屬於民法第490條所謂的承攬契約。

2.被告應證明損害的發生為不可歸責於被告事由所導致

基於民事訴訟法第277條舉證責任的分配,債務人抗辯損害之發生為不可歸責於己之事由所致,應由其負舉證責任,如不能舉證證明,即不能免責(最高法院107年度台上字第638號民事判決參照)。因此,本件被告主張個資事故是因為駭客攻擊所導致,屬不可歸責於被告之事由而不須要負責時,便應該由被告舉證證明本件損害的發生屬不可歸責於被告之事由所導致。

3.本件被告沒有盡到事前防禦措施,無法證明被告與損害的發生無關

(1)其他使用被告公司提供平台的業者也曾發生多次個資事故

本件判決認為被告雖說明已提供至少有十數項資安防護措施,並有多重之驗證措施、安全性設定機制,以加強使用者使用系統網站功能之保密性及安全性。然而其他使用被告所提供之電子商務平台之業者,也曾陸續發生遭駭客入侵盜取消費者個人資料之情形,甚至同樣使用被告之網路平台之VIVO公司,其網站之資訊安全保護經OWASP標準檢測為最低等級之F。

(2)被告提供的網站平台不符合現行科技水準

被告雖然辯稱他使用至少十數項資安防護措施,且創設數道繁複的手續,然而被告所提供之網路平台在2年間即發生數次個人資料因駭客攻擊而外洩之事件,法院認為如果真像被告所表示採取國際公司規則之資安防護技術,應不致發生如此多次數駭客入侵之情形,且原告與被告雙方雖沒有約定以OWASP標準作為網頁安全漏洞之檢測依據,然而被告所提供之網站如果符合現行科技水準,依OWASP標準檢測之結果,其所獲得之評價也不應該會落入最低等級之程度,因此難以認為被告所提供之網站平台符合現行科技水準。

(3)被告盡到善良管理人注意義務,才有辦法免責

法院更進一步指出,雖然在現行科技水準下,網路世界中雖無法百分之百避免外來之駭客入侵,然網路平台業者仍須善盡其注意義務,維護網絡環境,建置更為良善之資安系統,降低遭駭客惡意侵入之情事發生。被告作為提供網路平台予他人使用之業者,其應負的契約義務除提供權限管道與客戶使用外,還包括維護網站之資訊安全,只有在被告已善盡其善良管理人之注意義務,針對駭客攻擊之事件才有辦法得以免除責任,然而被告並沒有盡到事前防禦措施,因此仍須負起相關責任。

4.原告得向被告請求賠償項目與金額

經過法院認定,原告可以向被告主張的賠償項目與金額有以下三項

(1)解除契約返還報酬

由於原告依民法第494條解除雙方的承攬契約,因此原告可以依照民法第259條第1款、第2款請求先前已給付予被告的承攬報酬。

(2)賠償第三人和解金

由於原告公司因個資外洩事故,導致原告與訴外人達成和解,並給付和解金。同時該和解金與被告提供網路平台的瑕疵間具有相當因果關係,因此原告可以向被告請求此部分損害的賠償。

(3)商譽損失

原告因為網站平台的瑕疵,導致消費者於公共論壇上抱怨與討論,導致原告公司的商譽有所減損,因此法院認定原告可以向被告請求商譽損失。

至於原告主張其他的損失(例如另外與其他網站系統商簽約的支出、網站系統轉換停止營運等損失),則與被告網站平台的瑕疵無關,因此原告不得向被告求償。

由本件判決來看,被告在抗辯的時候除提出抵銷抗辯外,似乎並沒有提出民法第217條過失相抵的抗辯,有點可惜,因此原告公司就個資事故的發生是否有過失,而使被告得以主張賠償金額的減免,在本判決內並無法得知,之後希望可以在上級審的判決中看到更詳細的論述。

※歡迎來喵喵科技法律隨筆的粉絲團按讚、追蹤還有分享!

※你可能會對這些文章有興趣
1.談性向、約炮、多人運動與性隱私的保護
2.個資外洩,該怎麼辦?
3.投資個資保護的價值?