消保官:疑個資外洩 燦坤客遭騙10多萬
2012-01-05聯合報記者楊正海/台北報導
北市法規會近來接獲6名消費者申訴,都是在燦坤賣場購物後接到詐騙電話,其中1人遭騙10多萬元,消保官懷疑是業者洩露個資造成,已經要求業者說明,並提出改善方案;台北市刑大獲悉也已著手偵辦。北市刑大組長張文川表示,遭詐騙的被害人於日前到燦坤3C賣場刷卡購物,約2周後接獲自稱該賣場客服人員的電話,佯稱因作業疏失,誤設為分期付款,導致將按月收取購物全額款項,必須去ATM「刷退」,被害人不疑有詐,按對方指示操作多次,結果存款10多萬被轉領一空。
許多個資法的宣導資訊,都告訴民眾若是企業發生個資外洩事件,導致民眾遭詐騙,可以向該企業依據個資法求償,相信讀者也會直覺的認為只要是被詐騙的金額,應該都可以要求該企業賠償才是。事實上,個人資料保護法第29條也確實規定,「Ⅰ非公務機關違反本法規定,致個人資料遭不法蒐集、處理、利用或其他侵害當事人權利者,負損害賠償責任。但能證明其無故意或過失者,不在此限。Ⅱ依前項規定請求賠償者,適用前條第二項至第六項規定。」然而,若是真的因遭詐騙而請求企業賠償遭詐騙的金額,恐怕在訴訟上還是會遭遇到不少困難。
首先要證明特定企業有違反個資法導致個資外洩,就這一點而言,無論是單一個資外洩的個案,或是眾多個資外洩的團體訴訟,多數都是由遭詐騙的具體情事(即所涉外洩的個資),去判斷是否是由該企業流出,例如:若是所涉外洩的個資包括特定交易的資料,則會先推定是涉及該特定交易的企業所流出,但如果是非常一般性的聯絡資訊,姓名、聯絡電話等,則很難判斷是特定企業,這時候連證明是特定企業流出都很困難,最多只有在特定期間有大批具有同樣歸屬因素時(例如:受害者均為某公司會員或於特定期間在特定商家消費),推導出可能是該企業的個人資料外流。若可以將個資外洩的來源指向特定企業,因個資法對於違反個資法規定採取推定過失的立法例減輕個資當事人的舉證責任,除非該特定企業可以在個資安全維護管理措施方面證明自己沒有過失,否則,對於當事人而言,應該已經算是達到原告方的證明責任。
在解決第一關的困難之後,在因個資外洩而遭詐騙的案件,因為有實際具體的遭詐騙金額可以作為財產上「損害」,接下來要面臨的就是遭詐騙這個「損害」的成立,以及遭詐騙的「金額」這個「損害的多寡」,與該特定企業違反個資法外洩是否存在「因果關係」。一般司法實務上對於「因果關係」,採取「相當因果關係」的理論。所謂「相當因果關係」是指「無此行為,雖必不生此損害;有此行為,通常即足生此種損害,是為有因果關係。無此行為,必不生此種損害;有此行為,通常亦不生此種損害,即無因果關係。」
針對是否因個資外洩而遭到詐騙一事而言,因為無個資外洩,必然不會發生他人據以進行詐騙的情事,而當個資外洩時,被用做詐騙使用,也屬通常狀況,故就個資外洩而致詐騙應可認為具有「相當因果關係」。然而,困難點在於個資外洩雖易致遭詐騙,但是否同樣就遭詐騙所生的轉帳金額的損失,一樣是與個資外洩具有「相當因果關係」,則可能在推論上會產生疑問。最主要的問題來自於即令是同一批個資被外洩的當事人,也都收到詐騙電話,但仍然只有少數人相信詐騙者而進行轉帳或其他損失金錢的行為。也就是說,通常收到詐騙電話或詐騙簡訊的人,因為政府機關的宣傳、ATM機器明顯的警示等,並不會真正依詐騙者的電話指示進行轉帳,即可能被法院認定為不具「相當因果關係」。
然而,參酌個人資料保護法的立法意旨,以及當事人因個資外洩所產生遭詐騙的損害,涉及多數侵權行為人的存在,若完全否定遭詐騙所生轉帳金額屬於個資外洩所生的損害,亦不合理。因此,筆者認為未來發生此類案件時,針對有關損害賠償金額的審酌,法院可以參酌個資法的強化個資保護的立法目的,不應完全否定此類遭詐騙進行轉帳金額的損害與個資外洩行為間之因果關係,然而,對於損害金額的認定,則可考慮朝向當事人自己就遭詐騙乙事,未能就防止詐騙的警示等盡保護自己權益之能事而可認為「與有過失」(畢竟收到詐騙電話沒有被騙是常態),而僅認定部分損害應由該個資外洩之企業負擔,以達損害責任分擔之衡平,或是認定為損害金額難以證明,逕依法定賠償額予以審酌。
同系列文章
黃曉薇律師,個人資料保護法Q&A-書面同意是否一定要以紙本為之?
賴文智律師,個人資料保護法Q&A-敏感性個人資料禁止蒐集的效力?
賴文智律師,個人資料保護法Q&A-網友「人肉搜索」的合法性?
賴文智律師、蕭家捷律師,個人資料保護法Q&A-僱主臉書(Facebook)洩個資,當然不行!
賴文智律師、蕭家捷律師,個人資料保護法Q&A-可否要求網路業者刪除網友張貼之個人資料?
賴文智律師、蕭家捷律師,從南韓控蘋果集體訴訟案看我國個資法團體訴訟制度
賴文智律師,個人資料保護法Q&A-從NFC手機談個人資料的管制
賴文智律師,個人資料保護法Q&A-企業上雲端,個資保護責任誰負?
賴文智律師,個人資料保護法Q&A-依法股東名冊絕不能外流?
賴文智律師,個人資料保護法Q&A-拒絕電話行銷後,仍然不斷收到相同業者的電話?
賴文智律師,個人資料保護法Q&A-與當事人約定永久保留、使用其個人資料,是否有違反法律?
蕭家捷律師,個人資料保護法Q&A-蒐集個資時告知當事人的「目的」,是不是多多益善?
蕭家捷律師,個人資料保護法Q&A-聯名信用卡終止發行與個資利用問題
蕭家捷律師,個人資料保護法Q&A-只要消費者曾進行購物,就可以後續進行其他商品或服務的行銷?
蕭家捷律師、賴文智律師,個人資料保護法Q&A-取得政府機關或第三公證單位的認證,是否就能免於個資賠償責任?
蕭家捷律師,個人資料保護法Q&A-網站或App以線上勾選方式取得個資蒐集、利用之同意是否合法?
蕭家捷律師,個人資料保護法Q&A-機關或企業可否利用公司人事資料提供內部通訊錄給全體同仁?
蕭家捷律師,個人資料保護法Q&A-員工的個人資料可以保留多久呢?
賴文智律師,個人資料保護法Q&A-是否應該要求員工一律簽署個人資料同意書?
蕭家捷律師,個人資料保護法Q&A-學校可以公告成績單、獎懲或榜單等事項嗎?
賴文智律師,個人資料保護法Q&A-使用者因個資外洩遭詐騙,可以向業者把遭詐騙的損失全部要回來嗎?
蕭家捷律師,個人資料保護法Q&A-父母向學校索取學生成績或其他校內表現記錄,學校該怎麼辦呢?