趙姓婦人購買北投麗禧溫泉酒店溫泉券,事後接到詐騙電話被騙近十萬元。趙婦認為,麗禧與建置訂購系統的墨攻公司未依個資保護法防止資料被竊,提告求償金錢損失與二萬元精神慰撫金。麗禧搬出數位發展部公函為自身背書,但法官未採信,台灣高等法院除判麗禧刪除個資外,兩公司也要賠償趙婦共二萬元。
趙婦在二○二○年十月、二○二一年十一月間,前後訂購了卅七張溫泉券,事後卻接到詐團電話上當失金。她主張麗禧、墨攻公司在取得她的個資後,未採取安全措施防竊,且墨攻公司建置的訂購系統,曾經在二○二一年八月與十一月遭駭客入侵,兩家公司未通知消費者注意,違反個資法、製造業及技術服務業個人資料檔案安全維護管理辦法。趙婦埋怨此事耗費心力,飽受煎熬,還要擔心個資被不當使用,請求賠償精神慰撫金。
麗禧及墨攻公司在訴訟中提出數位部數位產業署去年公函,指出僅發生「網站攻擊事件」非「個資外洩事件」,紀錄顯示墨攻公司曾遭SQL injection攻擊,但無法排除另有其他非法攻擊取得客戶個資,並稱系統遭攻擊與個資外洩無因果關係。交通部觀光局也稱經調查,麗禧未違反個資法。
一審認定,溫泉酒店和系統廠商有防止個資被竊措施,判麗禧、墨攻公司免賠,但麗禧須刪除趙婦的聯絡方式。
全案上訴二審後,高院民庭發現,詐團在趙婦二○二一年十一月三日最後一次使用訂票系統訂購溫泉券後,才開始撥打她的電話,對話內容清楚掌握她為麗禧會員、曾購買溫泉券、使用中信銀行帳戶等細節。高院在判決中指出,數位部與觀光署的調查程序與訴訟程序不同,無法拘束法院,且不足反證被害人遭詐的個資不是由系統外洩。
判決引用個資法規定,非公務機關保有個資而發生遭不法處理、利用,侵害當事人權利者,採過失推定原則,意指企業要負較高舉證責任。法官認定麗禧、墨攻對於消費者個資未盡適當安全維護措施,導致個資外洩遭詐團不法利用,有過失責任。
但高院認為隱私權、個資自主權受侵害不必然會有財物損失,兩家公司不必賠償九萬餘元金錢損失,但須賠二萬元精神慰撫金。本件金額部分雙方都不得上訴,而趙婦要求麗禧、墨攻公司刪除並停止蒐集、處理或利用她的個人資料,因法院只判麗禧刪除並停用,仍可上訴。
【記者林海、羅建怡/台北報導】數位部表示,二○二三年一月配合台北地方法院函詢,提供對墨攻公司個資行政檢查之內容,其中有說明並無法排除有被其他攻擊取得個資的可能,而高院判決中表示「數位部之調查程序與訴訟事件程序不同,且其認定,並無拘束本院之效力」。
數位部表示,換言之,這是指個人資料保護法上之行政檢查程序與一般訴訟調查程序不同,並非指調查程序不符保護消費者規定,對於本案高院判決予以尊重。
麗禧酒店則表示「尊重判決、惟甚表遺憾」,已在官網首頁及相關社群平台發布防範詐騙提醒,並發送簡訊給所有曾購買過票券的消費者。至於飯店合作的系統商「墨攻公司」,各項檢驗結果均認定墨攻公司並無相關危險漏洞問題,且墨攻也已取得系統敏感資料數位簽章認證。