臺灣臺北地方法院小額民事判決 108年度北小字第2348號
原 告 洪基超
被 告 中華民國人壽保險商業同業公會
法定代理人 黃調貴
訴訟代理人 金憶惠
上列當事人間請求侵權行為損害賠償事件,本院於民國一百零八
年七月三日言詞辯論終結,判決如下︰
主 文
原告之訴駁回。
訴訟費用新臺幣壹仟元由原告負擔。
事 實
甲、原告方面:
一、聲明:被告應給付原告新臺幣(下同)十萬元。二、陳述略稱:
㈠爰被告中華民國人壽保險商業同業公會於民國一百零五年六 月四日透過自行建置之「業務員登錄查詢系統」,將原告個 人資料檔案提供予訴外人萬榮行銷股份有限公司(下稱萬榮 行銷公司)使用。萬榮行銷公司係以保險業務員管理規則第 八條利害關係人之資格身分向被告調閱原告個人資料檔案, 惟萬榮行銷公司並未符合保險業務員管理規則第八條利害關 係人之資格身分,有財政部保險司九十三年五月六日台保司 三字第0930703828號函釋之「利害關係人」可查。保險業務 員管理規則第八條之「利害關係人」應該是保險契約有利害 關係方屬之,而不是債權債務關係。
㈡被告應依保險法及個人資料保護法等相關規定妥善處理所保 管的個人資料之蒐集、處理或利用,萬榮行銷公司未符合保 險業務員管理規則第八條「利害關係人」申請要求及個人資 料保護法第十九特定目的必要範圍內使用與第二十條特定目 的外之利用等相關規定,被告竟將原告個人資料檔案提供給 萬榮行銷公司,造成原告個人資料檔案洩漏。被告顯已違反 個人資料保護法第二十七條規定:「非公務機關保有個人資 料檔案者,應採行適當之安全措施,防止個人資料被竊取、 竄改、毀損、滅失或洩漏。」,應依個人資料保護法第二十 九條第一項前段:「非公務機關違反本法規定,致個人資料 遭不法蒐集、處理、利用或其他侵害當事人權利者,負損害 賠償責任。」之規定,賠償原告十萬元。
㈢就萬榮行銷公司對原告取得臺灣臺南地方法院臺南簡易庭( 下稱臺南簡易庭)九十九年南簡字第三三七號民事判決所示
之執行名義沒有意見,但保險業務員管理規則第八條之「利 害關係人」應該是保險契約有利害關係方屬之,而不是債權 債務關係。萬榮行銷公司沒有相關的法規依據向被告取得原 告之個人資料,被告卻將原告的個人資料提供給萬榮行銷公 司,被告已經侵害原告的權利。
三、證據:提出萬榮行銷公司函影本一件、壽險公會登錄查詢畫 面影本一件、職業團體公示資料影本一件、稅籍登記資料公 示查詢影本一件、財政部保險司解釋函影本一件為證。乙、被告方面:
一、聲明:原告之訴駁回。
二、陳述略稱:
㈠被告就網頁建置有關業務員登錄現況之查詢目的,係為讓投 保大眾確認業務員所屬公司及授權招攬之保險種類,減少保 險招攬引起之各項爭議,達到增進公共利益之必要,投保大 眾(含潛在要保民眾)得利用業務員登錄字號(10碼)於網 頁進行查詢。依保險業務員管理規則第六條第六項規定:「 業務員於招攬保險時,應出示登錄證,並告知授權範圍,… …」,故保險契約於要約時,投保大眾依業務員告知而知悉 其登錄字號,並得於被告網站查詢確認該業務員登錄所屬公 司及授權招攬之保險種類。依保險業務員管理規則第八條第 一項規定:「各有關公會及所屬公司應備置業務員登錄檔案 …。」,及同條第二項規定:「利害關係人於必要時,得向 各有關公會及所屬公司查詢業務員之登錄,各有關公會及所 屬公司不得拒絕。」,另參財政部保險司九十三年五月六日 台保司三字第0930703828號函釋「利害關係人」,係指與保 險契約具有利害關係者屬之,又非公務機關得否應非利害關 係人之請求,提供個別保險業務員登錄情形乙節,事涉個人 資料之保護,仍宜依電腦處理個人資料保護法有關規定,尚 不宜拘泥於請求之人是否屬利害關係人,作為資料提供與否 之唯一依據,被告乃依據前開法令規定及函釋原則提供業務 員登錄現況查詢服務。
㈡另參金管會保險局一百零二年六月十三日保局(綜)字第10 210909580 號函釋有關銀行業及金融控股公司建置「利害關 係人資料庫」及「子公司業務及客戶資料庫」,係依據銀行 法第三十二條、第三十三條、金融控股公司法第四十四條、 第四十五條、財政部八十二年七月十二日台財融字第821165 024 號函及金管會九十九年九月二十八日金管銀法字第0991 0004570 號函等,該非公務機關為執行法律所定之義務,以 管理集團風險並保障客戶權益,建置該系統符合個資法第十 九條第一項第一款及第六款之情形,無須再經得當事人書面
同意。
㈢被告於業務員填寫之「人身保險業務員登錄申請書」底下載 明:「本人同意提供上列資料供中華民國人壽保險商業同業 公會…為辦理『保險業務員管理規則』相關規定作業,依『 個人資料保護法』規定,為蒐集、電腦處理利用之用,…。 (為符『保險業務員管理規則』之登錄相關規定,不同意提 供者,本會無法辦理人身保險業務員登錄相關事宜,尚祈見 諒。)」,故被告係於取得當事人同意後始辦理業務員登錄 ,並依個資法規定辦理保險業務員管理規則規定之相關作業 。故被告提供業務員登錄查詢(僅得查詢目前之登錄狀況) 已符合個資法第十九條規定:「非公務機關對個人資料之蒐 集或處理,除第六條第一項所規定資料外,應有特定目的, 並符合下列情形之一者:一、法律明文規定…五、經當事人 同意。六、為增進公共利益所必要…。」,及同法第三條( 當事人行使權利)、第五條(個資處理行為)、第七條(當 事人書面同意)等規定。
㈣被告建置之業務員登錄查詢系統已採取查詢條件多重限定且 為間接辨識之個人資料,並已採取適當之資訊安全維護措施 ,符合個資法第二十七條第一項規定㈠有關業務員本人或其 他查詢者利用系爭系統進行業務員登錄現況查詢,僅限其事 前業已知悉業務員登錄字號,再以登錄字號進行業務員登錄 查詢,然查詢結果僅揭露現登錄之所屬公司(亦可能揭露未 辦理登錄),未揭露業務員涉及機敏性風險資料(例如:登 錄異動資訊或懲處、業務員姓名區域部分去識別化、輸入查 詢條件之關鍵資料時同步隱藏部分關鍵資料、需正確輸入大 小寫英文字母含數字之驗證碼等),故該查詢結果未逾越個 資蒐集、處理或利用特定目的之必要範圍,系爭系統查詢顯 示資料有限亦無任何竄改、毀損、滅失之可能。被告已盡善 良管理人之注意能力,以防可預見損害結果發生,前開各項 措施亦已符合CNS29100「資訊技術-安全技術-隱私權框架」 國家標準:同意及選擇原則、目的適法性及規定原則、蒐集 限制原則、資料極小化原則、利用、持有及揭露限制原則、 準確性及品質原則、公開、透明及告知原則、個人參與及存 取原則、可歸責性原則、資訊安全原則、隱私遵循原則等。 ㈤另參法務部一百零三年十月二十一日法律字第10303512310 號函釋,判定非公務機關有關個人資料安全維護措施,需視 該機關規模大小、個資數量多寡、資訊涉及機敏性風險程度 、客觀上有必要且有期待可能性才構成監督可能,依前開條 件以具體個案總體評估之;系爭系統設定之查詢者係廣大的 投保大眾(潛在要保人),建置目的係以維護消費者權益而
提供查詢,具有公共利益之性質,且建置技術係以業務員登 錄字號查詢業務員登錄現況及招攬之保險種類,若被告就每 一查詢者先行確認身分,符合後再提供一次性密碼(OTP) ,將使得查詢過程變得更複雜繁瑣,反而降低消費大眾查詢 意願,違反建置系爭系統之目的,且就被告建置系爭系統之 規模,亦難就廣大查詢者為初步身分辨識,依組織及技術上 比例原則之規定,系爭系統目前之建置方式應不具可歸責性 。該系統已採取查詢條件多重限定且為間接辨識之個人資料 ,符合個資法第五條個資利用比例原則,且已採取適當之資 訊安全維護措施,防止個資被竊取、竄改、毀損、滅失或洩 漏,被告提供業務員登錄查詢並無違反個資法第二十七條之 規定。
㈥另原告應就其主張負舉證責任並提出各項損害之依據,且原 告就本案究受何種損害未清楚說明,亦未舉證被告之行為造 成其何種損害?多少損害(訴訟標的金額合理性)?且該損 害與被告建置系爭系統查詢是否具有相當因果關係?萬榮行 銷公司為原告之債權人,其係利用原告之身分證字號及出生 年月日等資料,先行查得登錄字號,再查得現登錄於富邦人 壽。萬榮行銷公司取得據以被告網站資料之身分資訊亦與被 告無關,其所受之損害係由其他債權債務關係所生者,即與 被告網頁查詢功能無相當因果關係,原告之主張即屬無據。 縱非公務機關如涉違反個資法,應由其行政主管機關依職權 調查證據並就個案具體狀況審認,如有違反個資法情事者, 中央目的事業主管機關或直轄市、縣(市)政府依個資法第 二十五條規定可裁處罰鍰,並得禁止蒐集、處理或利用個資 、命令刪除經處理之個資檔案、沒入或命銷燬違法蒐集之個 資及公布非公務機關之違法情形,及其姓名或名稱與負責人 。而原告除於一百零八年二月十八日向訴外人金融監督管理 委員會保險局民意信箱申訴後,業經金融監督管理委員會保 險局以一百零八年二月二十五日保局(壽)字第1080411737 0 號函覆被告無違反個資法之疑慮。對於臺南簡易庭九十九 年南簡字第三三七號民事判決沒有意見。
三、證據:提出財政部保險司九十三年五月六日台保司三字第09 30703828號函影本一件、金管會保險局一百零二年六月十三 日保局(綜)字第10210909580 號函影本一件、法務部一百 零三年十月二十一日法律字第10303512310 號函影本一件、 人身保險業務員登錄申請書影本一件、業務員登錄查詢網頁 一件、業務員登錄查詢結果畫面影本一件、萬榮行銷公司一 百零六年十二月二十七日萬榮函字第10601010號函影本一件 為證。
丙、本院依職權調閱臺南簡易庭九十九年南簡字第三三七號民事 判決。
理 由
一、原告主張意旨略以:被告於一百零五年六月四日透過自行建 置之「業務員登錄查詢系統」將原告個人資料檔案提供予並 無保險契約利害關係之訴外人萬榮行銷公司使用,業已違反 個人資料保護法第二十七條之規定致洩露原告之個人資料造 成損害,應依同法第二十九條第一項前段規定負損害賠償責 任,故請求被告賠償十萬元云云。
二、被告答辯意旨則以:訴外人萬榮行銷公司為原告之債權人, 縱其與原告間無保險契約之利害關係,但非公務機關得否應 非利害關係人之請求,提供個別保險業務員登錄情形,財政 部保險司函釋指出不宜拘泥於請求之人是否屬利害關係人, 作為資料提供與否之唯一依據,被告並無違反個人資料保護 法第二十七條之規定致洩露原告之個人資料造成損害,原告 請求並無理由等語置辯。
三、兩造爭執重點在於:訴外人萬榮行銷公司使用被告建置之「 業務員登錄查詢系統」取得原告之個人資料檔案,被告是否 違反個人資料保護法第二十七條規定,而應依個人資料保護 法第二十九條第一項前段規定對原告負損害賠償責任?若是 ,原告請求賠償十萬元是否適當?爰說明如后。四、按稅捐稽徵法第三十三條第一項第八款規定:「稅捐稽徵人 員對於納稅義務人之財產、所得、營業、納稅等資料,除對 下列人員及機關外,應絕對保守秘密:‧‧‧。八、債權人 已取得民事確定判決或其他執行名義者。」;次按財政部保 險司九十三年五月六日台保司三字第0930703828號函釋稱: 保險業務員管理規則所指「利害關係人」,係指與保險契約 具有利害關係者屬之,又非公務機關得否應非利害關係人之 請求,提供個別保險業務員登錄情形乙節,事涉個人資料之 保護,仍宜依電腦處理個人資料保護法(現為個人資料保護 法)有關規定,尚不宜拘泥於請求之人是否屬利害關係人, 作為資料提供與否之唯一依據;再按個人資料保護法第二十 七條規定:「非公務機關保有個人資料檔案者,應採行適當 之安全措施,防止個人資料被竊取、竄改、毀損、滅失或洩 漏。」;末按個人資料保護法第二十九條第一項前段規定: 「非公務機關違反本法規定,致個人資料遭不法蒐集、處理 、利用或其他侵害當事人權利者,負損害賠償責任。」。五、經查:㈠訴外人萬榮行銷公司對原告已取得臺南簡易庭九十 九年南簡字第三三七號民事判決之執行名義,為原告所自承 (參見本院一百零八年七月三日言詞辯論筆錄第一頁),則
訴外人萬榮行銷公司依前揭稅捐稽徵法第三十三條第一項第 八款規定,得蒐集原告之財產、所得、營業、納稅等資料, 舉重以明輕,其使用被告建置之「業務員登錄查詢系統」取 得原告之個人資料檔案,即欠缺不法性,不構成個人資料保 護法第二十九條第一項前段所稱之「不法」,原告依該條項 規定請求被告賠償,自屬無據;㈡原告雖引用前揭財政部保 險司九十三年五月六日台保司三字第0930703828號函釋說明 第二點主張訴外人萬榮行銷公司欠缺保險業務員管理規則第 八條利害關係人之資格身分云云,然該函釋說明第三點亦明 白指出尚不宜拘泥於請求之人是否屬利害關係人,作為資料 提供與否之唯一依據,故即使採用原告所主張此函釋之見解 ,本院仍認為訴外人萬榮行銷公司既得依法蒐集原告之財產 、所得、營業、納稅等資料,依該函釋說明第三點,仍得合 法使用被告建置之「業務員登錄查詢系統」取得原告之個人 資料檔案,被告並未侵害原告權利,自不負賠償責任。六、綜上所述,原告依個人資料保護法第二十九條第一項前段規 定請求被告給付原告十萬元,其請求為無理由,應予駁回。七、本件訴訟費用額,依後附計算書確定如主文所示金額。八、本件事證已明,兩造其餘攻擊防禦方法,於判決結果無影響 ,故不一一論列,附此敘明。
九、據上論結,原告之訴為無理由,並依民事訴訟法第七十八條 ,判決如主文。
中 華 民 國 108 年 7 月 25 日
臺北簡易庭
法 官 文衍正
以上正本證明與原本無異。
如不服本判決,須以違背法令為理由,應於判決送達後二十日內向本庭(台北市○○○路○段○○○○○巷○號)提出上訴狀。(須按他造當事人之人數附繕本)。如委任律師提起上訴者,應一併繳納上訴審裁判費。
中 華 民 國 108 年 7 月 25 日
書 記 官 高秋芬
訴訟費用計算書:
項 目 金 額(新臺幣) 備 註
第一審裁判費 1,000元
合 計 1,000元
附錄:
一、民事訴訟法第四百三十六條之二十四第二項: 對於小額程序之第一審裁判上訴或抗告,非以其違背法令為
理由,不得為之。
二、民事訴訟法第四百三十六條之二十五:
上訴狀內應記載上訴理由,表明下列各款事項: (一)原判決所違背之法令及其具體內容。
(二)依訴訟資料可認為原判決有違背法令之具體事實。