前言
近年來網路詐騙猖獗,許多企業在遭遇駭客攻擊、發生消費者個人資料外洩事件後,為避免品牌聲譽受損或承擔法律責任,常會迅速在官網發布防詐騙聲明,或發送宣導簡訊提醒消費者留意不明來電。然而,從法律的觀點來看,僅發送一般性的防詐簡訊,是否已充分履行個人資料保護法(下稱個資法)的義務?企業又是否須對消費者遭詐騙的鉅額財產損失負責?臺灣高等法院臺中分院114年度上字第350號民事判決,1對此提供了指引。
案件摘要
本件爭議起源於消費者線上預訂某民宿業者(下稱乙公司)的房間 。乙公司為經營民宿,委託第三方系統商(下稱丙公司)提供訂房系統。然而,丙公司的系統因資安維護疏漏遭到駭客入侵,導致包含該名消費者在內的多筆個資外洩。乙公司得知事件後,於官網發布防詐騙啟事,並透過簡訊提醒消費者「近日詐騙案件增多,請勿聽信任何內容或提供個人資料」等語。
隨後,消費者接獲假冒該民宿客服的詐騙電話,因對方掌握其訂房明細而陷於錯誤,遭詐騙新臺幣81萬餘元。消費者遂依個資法及侵權行為等規定,向乙公司及其母公司(下稱甲公司)請求連帶賠償財產損失及非財產上損害。
法律爭點與法院見解
一、關係企業間的賠償責任認定
本案中,消費者主張甲公司為母品牌,且後續消費爭議多由甲公司派員處理,應與乙公司負連帶責任。然而法院認為,甲、乙兩公司各自具有獨立法人格;與丙公司簽訂系統服務契約者為乙公司,因此乙公司才是個資法上所稱「保有個人資料檔案者」。甲公司協助子公司處理客訴乃關係企業常情,無須負擔連帶賠償責任。
二、僅發送「防詐簡訊」,未踐行個資法第12條之通知義務
個資法第12條明文規定,非公務機關違反規定致個人資料被竊取或洩漏者,應「查明後以適當方式通知當事人」。法院指出,法定的通知內容應包括「個人資料被侵害之事實及已採取之因應措施」。本案乙公司發送的簡訊內容,僅泛稱「近日詐騙案件增多」及一般防詐宣導,完全未提及消費者留存的個資已有外洩之情,因此法院判定乙公司並未善盡法定通知義務 。
三、財產損害(遭詐騙款項):無相當因果關係,業者免賠
消費者主張乙公司違反通知義務,導致其受有81萬餘元的財產損害。然而,民事侵權行為損害賠償須具備「相當因果關係」。法院認為,乙公司雖違反通知義務,但此不作為並不必然導致消費者受騙破財的結果。消費者財產受損的直接原因,係出於詐欺集團故意實施的詐騙行為,故法院駁回消費者對財產損失的賠償請求。
四、非財產損害(精神慰撫金):隱私權受侵害,業者須賠償
儘管不需賠償遭詐騙的鉅款,但法院認定乙公司委任的丙公司對個資安全維護確有疏漏,已不法侵害消費者的「資訊隱私權」。法院審酌乙公司違反通知義務的侵害情節、消費者隱私權受侵害情形,以及雙方的身分地位與經濟狀況後,判決乙公司應賠償消費者10萬元之精神慰撫金。
智端法律事務所評析與建議
本判決清楚劃定了企業在個資外洩事件中的責任界線。企業無法單憑廣發「小心詐騙」的制式簡訊來免除個資法的通知義務;真正的「適當通知」,必須坦誠告知消費者其個資已被侵害的事實與補救措施。同時,企業委外處理資訊系統時,應嚴格落實對受託者的合規監督。
企業營運過程中,隱私保護與資安合規已是不可忽視的重大課題。若不幸發生資安事件,應立即啟動危機處理機制,依法落實明確的損害通知,以免面臨消費者集體求償精神慰撫金及主管機關的行政裁罰。