消費者因網購個資外洩遭到詐騙的社會案件層出不窮,日前法院的一紙判決,讓業者不再能置身事外。
北投麗禧溫泉酒店與為其建置管理系統的墨攻網路科技公司(下稱墨攻公司)因個資外洩,導致趙小姐遭詐騙,趙小姐告上法院,台灣高等法院判2公司須各賠償2萬元,不得上訴。
消基會表示,為堅持訴訟的趙小姐感到敬佩,小蝦米力抗大鯨魚,終尋得勝訴的判決決果,且此判決結果,將來更或影響並有利於消費權益的維護,實可讚為典範。
北投麗禧、墨攻公司搬出數發部,但高院不認
知名的北投麗禧溫泉酒店(下稱北投麗禧),董事長為前國民黨立委蕭景田,近期卻因為疑洩漏消費者個資被告上法院。
趙小姐向北投麗禧官網訂購溫泉券,未料因個資外洩遭詐騙,因配合操作解除分期付款設定,而損失9萬9987元,並向消基會申訴,由於北投麗禧及墨攻公司一再堅稱在安全防護措施上無過失,主張不用賠償,申訴無果,並狀告法院。
訴訟中,北投麗禧、墨攻公司搬出數發部,指出數發部認證墨攻公司平時維護措施妥適,且數發部產業署2023年的函,也指出自始至終僅發生「網路攻擊事件」並非「個資外洩事件」,此外,趙小姐的個資非北投麗禧、墨攻公司2家公司獨有,故墨攻公司系統遭到攻擊與趙小姐個資外洩並無相當因果關係。
小蝦米戰勝大鯨魚,消費者獲賠2萬元
趙小姐則主張,北投麗禧、墨攻公司在取得她的個資後,沒有採行適當的安全措施,來防止她的個資被竊取,且墨攻公司確實有在2021年8月及11月遭駭客入侵,卻未通知消費者注意,違反個資法、製造業及技術服務業個人資料檔案安全維護管理辦法等。
同時,趙小姐也認為,她因為該事件耗費心力申訴,過程飽受煎熬,還要持續擔心個資遭他人不當使用,受有精神上痛苦,請求非財產上損害賠償2萬元。
一審法院審理結果,認為消費者的個資外洩,雖來自被告業者的建置及防護系統,並援引交通部觀光署與數位發展部函文所載,兩公司相關因應措施「尚符個人資料保護法相關規定」或「尚稱合理」,判定業者在安全防護措施上無過失,而駁回趙小姐請求。
趙小姐不服,再行上訴,結果逆轉勝,判決要求2公司刪除並停用她個資,也都要賠償她2萬元的精神慰撫金。
高等法院採4個有利消費者的主張
消基會則指出,此高等法院判決有4個有利消費者權益主張的觀點。首先,依個資法業者就保有消費者個資而發生個資遭不法蒐集、處理、利用、或其他侵害當事人權利,應採應採過失推定原則,需由業者舉證證明無故意過失,始可免責。
其次,票券訂購系統為業者所保有、建置及管理,消費者輸入的個資,亦存放於該系統中,消費者無從自行使用、管理,在此證據偏於業者的狀況下,如由消費者負舉證責任顯失公平,得依民事訴訟法第277條但書規定,減輕消費者的舉證責任。
第三,因個資外洩不法侵害消費者隱私權、個資自主權,消費者因申訴過程飽受煎熬,並需持續擔心個資遭他人不當使用,消費者得主張受有精神上之痛苦,而且可依個資法第29條,第28條第2項、3項規定得請求業者賠償非財產上損害。
最後,法院於判決中明示法院的證據調查及事實認定,不拘行政機關調查認定的拘束等。
消基會讚為請求損害賠償者點起一盞明燈
消基會認為,本件的判決理由及法律觀點,為此類的個資外洩事件,欲請求損害賠償的消費大眾,不啻點起一盞明燈,在有前例可循的情況下,相信將讓受害的消費大眾敢鼓起勇氣,力爭消費權益的維護,所以我們對於做成本案判決的合議庭法官,表示最高的敬意。
同時,消基會也呼籲消費者,在遇有類此個資外洩權益受損情形,實可援引本件判決見解,為維護自己消費權益力爭。
北投麗禧則發聲明稿表示,籲請相關主管機關邀求觀光旅遊業者之第三方系統商均須符合規範,共同打擊、降低詐騙行為,北投麗禧溫泉酒店首重顧客資料保護與資安維護,絕不會以任何名義通知貴賓私下操作ATM或網銀。