企業發生個資外洩致客戶受詐騙,是否可向企業求償?答案是肯定的。這幾天新聞報導,知名運動用品店迪卡儂有會員個資遭外洩,導致某律師會員接到詐欺集團電話,遭詐騙匯款損失50多萬元,但臺中地院竟判決受害會員要自負9成過失責任,企業只須負一成責任。
本案判決大略是這樣:
「某律師為迪卡儂線上平台購物的會員,因迪卡儂未採行適當安全措施妥善保管客戶個資而外洩,遭詐欺集團偽稱客服來電佯稱系統被駭,會有低消扣款,應取消高級會員資格,乃依指示操作網路銀行辦理而被騙連續匯款。迪卡儂辯稱非其資料庫洩漏,並提出其他被騙與企業無關的理由,不過,判決認為刑事局曾在該期間將迪卡儂列為「解除分期付款詐騙」類型之高風險賣場等情,該律師受騙時間點前,不認為迪卡儂關於保有個人資料所採取之安全措施為適當,綜合全部證據資料,認為個資確有外洩且與受騙損害有因果關係。但話鋒一轉,法院又說審酌被害人為碩士畢業及職業律師,衡以詐騙集團橫行及遭詐騙事件層出不窮,傳媒多所報導,被害人曾承辦詐騙集團相關案件,為具有相當智識之成年人,應有相當警覺性等理由,卻陸續被騙匯款,認為被害人對該損害之發生或擴大與有過失,要負相當責任,最後同意損害範圍為50多萬元,但法院將被害人求償金額打了9折,迪卡儂只要負1成過失責任。雖然本案可上訴,卻讓企業個資外洩而遭詐騙之客戶膽顫心驚。」
要說被害人是碩士及曾辦過詐團案的律師,當今詐騙橫行或傳媒政令多所宣導等理由,而認被害人要負9成責任,實屬無稽;怎麼不乾脆直接說被害人笨呆活該應負9成9責任呢?無法從專業詐騙情境走出來,才會陷在裡面,司法還再倒打一把,情何以堪?試問:以後承辦過詐欺案件的法官被騙,都要自負9成責任,法官們能接受嗎?
人家歐盟早在2018年全面施行一般資料保護規則(General Data Protection Regulation, GDPR),加強對於資料權利主體者的保護及提高對企業行政裁罰上限。我國就個資外洩企業,不僅裁罰過低,對受害者賠償更不用提了。人家歐盟嚴格檢討企業主,加強保護當事人個資;我們卻嚴格檢討被害人,難道是要加強保護企業主嗎?台灣迪卡儂是法商僑外資,對比歐盟個資保護,顯得諷刺。
按照判決邏輯,辦過詐欺案件的律師不應受詐騙,台灣車禍橫行,請問辦過車禍案的法官若發生車禍,是否也要自負9成責任?雖然民法規定損害之發生或擴大,若被害人與有過失者,法院得減輕賠償金額,但並不是「必減」而是「得減」,本件減少到接近「免除」企業責任的程度,不僅無法滿足吾人法感,道理也說不通,被害人就算有責也不致於如此之高。專業詐騙易讓人陷入泥淖,就算頂大學歷,當下可能都無法反應。清醒時知道ATM只能提款與轉帳,不能解除分期付款或退款,一旦處於專業詐騙情境裡,根本昏頭轉向。
企業外洩個資而受詐騙,苛責被害人卻粗忽個資外洩者,輕重顯有失衡。我國又未訂立《企業個資外洩免責條例》,為何要嚴格檢討被害人責任呢?
*作者為陽昇法律事務所所長。
