劉作時律師 0918713101
標題:
違反保資法之故意或失的舉證責任
[打印本頁]
作者:
sec2100
時間:
2024-8-19 19:20
標題:
違反保資法之故意或失的舉證責任
本帖最後由 sec2100 於 2024-8-19 19:28 編輯
臺灣臺北地方法院 111 年度訴字第 5578 號民事判決
另公務機關或非公務機關違反本法規定,致個人資料被竊取、洩漏、竄改或其他侵害者,應查明後以適當方式通知當事人,個資法第12條定有明文。另本法第十二條所稱適當方式通知,指即時以言詞、書面、電話、簡訊、電子郵件、傳真、電子文件或其他足以使當事人知悉或可得知悉之方式為之。但需費過鉅者,得斟酌技術之可行性及當事人隱私之保護,以網際網路、新聞媒體或其他適當公開方式為之。依本法第十二條規定通知當事人,其內容應包括個人資料被侵害之事實及已採取之因應措施,個資法施行細則第22條亦規定甚明。上開規定係為確保個資之資訊自主權,自屬民法第184條第2項之「保護他人之法律」。是依上開規定,非公務機關因未採取適當安全措施以防止個人資料遭竊取、洩漏致個資遭他人蒐集而侵害個資權人之權利,或因未依規定為通知致他人權利受損,而應依上開個資法或侵權行為之規定負損害賠償責任者,自以就該情節有故意或過失為前提,綜合前揭舉證責任導致之說明意旨,併依個資法第29條第1項但書明文規定為舉證責任倒置,即認應由該非公務機關負證明無故意或過失之責。是本件自應由被告舉證證明其就原告個資外洩一事無故意或過失,或已即時通知,抑或未及時通知無故意過失等情。
作者:
sec2100
時間:
2024-8-19 19:21
參以交通部觀光局111年12月9日之回函亦以:雖個資外洩事件係因被告墨攻公司之系爭訂購系統遭駭客入侵所致,被告麗禧公司於個資外洩前後皆採行相關因應措施及處置,除於事前曾要求被告墨攻公司加強個資防護措施,事後即通知疑似遭個資外洩之全數消費者相關防詐騙訊息及情事,另加強飯店本身各項個資安全防護機制且持續進行改善,尚符個人資料保護法相關規定等情,有該回函存卷為憑(見本院卷第141至155頁),並就「主管機關就個資外洩事件判斷是否違反個資法」部分,調查結果表示「否」(見本院卷第151至152頁);另數位發展部數位產業署112年1月13日之回函,亦以:平時被告墨攻公司已有相關資料維護措施:包括已強制廠商登入位置綁定、AES256加密機制針對廠商帳號密料、多重伺服器分散資料管理、資料庫與程式分開存放、主機帳密權限控管與RSA私鑰管理、限定防火牆規則僅特定IP及帳號密碼始得進入、Linux主機使用防毒體ClamAV、辦公室環境以ESET防毒軟體監控,以及伺服器安裝關貿網路EDR端點防護、訂定個資及資安政策文件等;事發時已採取因應措施:包含立即向檢警單位報案、於110年8月31日及11月16日以emai通知遭個資外洩之旅宿業者客戶與官方網站宣導消費者資安觀念等。事後採取改善措施:包含強制客戶加入Email驗證、實施一次性動態密碼(OTP)能、鎖定IP且強制客戶登入皆須要驗證IP、Fortify全系統弱點偵測掃描、公司電腦全面安裝關貿網路EDR端點防護、110年11月修補後透過精誠資訊進行網頁弱掃測試、111年9月14日透過nessus進行主機掃描、取得ISO 27001資訊安全管理證書等情(見本院卷第265至267頁),亦徵被告已於事情、事後均本於防止系爭訂購系統之用戶個資被竊之相關措施,自難認原告個資外洩一事係因被告之過失行為所致。
作者:
sec2100
時間:
2024-8-19 19:23
又關於非公務機關之用戶個資遭竊取之通報義務,依據前開個資法第12條係以「非公務機關違反本法規定,致個人資料被竊取、洩漏、竄改或其他侵害」為前提,故非公務機關倘並無違反個資法之規定,本即與該通知義務之前提不合,則本件被告既如前開認定,並無因過失違反個資法之情節,自無庸負擔該通報義務;更遑論被告麗禧公司之官方網站首頁,實早於110年8月28日,即於原告最後一次使用系爭訂購系統訂購溫泉票之110年11月3日前,已有「貼心提醒 防範詐騙公告」之公告(見本院卷第205至211頁),且該公告已記載詐騙手法包括「謊稱為飯店系統遭駭客入侵,訂單被改為團體訂單會遭到扣款,並再次謊稱為銀行人員要求解除款項,以及操作銀行轉帳」之內容(見本院卷第207頁),自已透過上開合理方式警示用戶即原告。另兩造均不爭執被告麗禧公司亦曾再於111年1月5日、111年1月8日、111年1月12日、111年1月19日、111年2月21日持續接獲被告麗禧公司之防詐騙簡訊等情,已如前述,自難認被告有何違反個資法第12條、個資法施行細則第22條之違反通報義務之情形。
歡迎光臨 劉作時律師 0918713101 (https://lawshare.optionshare.tw/)
Powered by Discuz! X3.2