臺灣臺北地方法院民事判決
110年度重訴字第403號
原 告 砌禾數位動畫股份有限公司
法定代理人 王俊雄
訴訟代理人 田振慶律師
邱瑞元律師
張揚律師
被 告 智聯服務股份有限公司
法定代理人 施宣輝
訴訟代理人 彭成翔律師
蔡宛珊律師
林芸律師
上列當事人間請求損害賠償事件,本院於民國111年4月12日言詞
辯論終結,判決如下:
主 文
被告應給付原告新臺幣35,654元,及自民國110年6月8日起至清償日止,按週年利率百分之五計算之利息。
原告其餘之訴駁回。
訴訟費用由被告負擔百分之1,餘由原告負擔。本判決原告勝訴部分得假執行。但被告如以新臺幣35,654元為原告預供擔保,得免為假執行。
原告其餘假執行之聲請駁回。
事實及理由
一、原告主張略以:
㈠緣兩造曾於109年7月20日,簽署「專業人力駐廠服務合約書 」(下稱系爭契約),約定由被告指派合格具經驗之工程師 進駐於原告服務、處理公司IT(即資訊科技)人員所交辦之 事項。被告服務之內容包括系統以及網路之防毒管理,而為 便於被告提供服務,原告乃特權授與被告持有原告電腦系統 管理之帳號「acerast」,並由被告設定該帳號所屬密碼, 以使被告得以進入原告公司之電腦系統。被告除能前往原告 公司現場輸入管理之帳號密碼以進入電腦系統外,更能透過 VPN遠端連線之方式進入原告電腦系統。為避免他人或攻擊 者利用遠端方式擅自入侵原告電腦系統,被告及其負責執行 此業務之工作人員自有義務以善良管理人之注意程度設定有 效之密碼並妥善保管帳號及密碼,使原告電腦系統免受他人 之攻擊。
㈡惟被告於提供服務的過程中,屢次未經原告同意即更換服務人員,導致帳號密碼處於外洩之高度風險。於109年12月11日,原告公司之電腦系統竟遭外來攻擊者,使用「acerast」之帳號,透過VPN遠端連線進入內部網路,取得IP(即網路協定位址)後,經由AD主機(即網域控制站)散佈勒索軟體,並用之將原告的重要電腦檔案加密並勒索原告,致使原告無法使用前開重要電腦檔案,受損甚鉅。
㈢又被告身為資訊領域專業,且得於本件訴訟進行中提出原告 電腦系統Log紀錄,並加以解讀並答辯,卻於服務期間卻未 曾將此異常情形通知原告,甚至未就該等Log紀錄作例行之 檢查,顯已違反善良管理人之義務。
㈣承上所述,原告爰依民法第227條第2項、民法第184條第1項 前段等規定,請求被告負損害賠償責任,金額為18,178,759 元。
㈤此外,兩造現已終止系爭契約,故被告自應返還原告預付之1 71,554元予原告;又被告之瑕疵給付已屬不能補正,倘認原 告不得依民法第179條之規定進行請求,則原告尚得依民法 第227條第1項之規定,向被告請求171,554元之損害賠償, 爰請本院擇一為有利原告之判決,命被告給付171,554元予 原告。
㈥並聲明:
⒈被告應給付原告18,350,313元暨自起訴狀繕本送達被告之翌 日起至清償日止,按年息百分之5計算之利息。 ⒉願供擔保,請准宣告假執行。
二、被告則以:
㈠被告確有於109年7月20日,與原告簽署系爭契約,惟被告提 供服務之範圍,依系爭契約第2條第7項之約定,應係由被告 提供駐點人員於每週至原告公司一天之駐點服務及人員叫修 到場服務,處理原告IT人員交辦事項,並提供「支援機房維 護服務」、「支援MIS解決PC基本問題(包括安裝造成之問 題)」以及「負責協助使OA配置處於堪用狀態,並做最佳及 最有效之運用」等服務。倘原告公司要求之服務範圍有超出 系爭契約上開約定之項目時,依系爭契約第2條第7項第4款 及第9條第1項之規定,應由雙方另行以書面協議並由被告公 司再額外酌收服務費。
㈡而為能讓被告駐點人員順利履行系爭契約之服務內容,由原 告公司提供其所創設之帳號「acerast」,被告駐點人員再 依照原告要求之密碼設定規則及條件來設定密碼,藉此登入 VPN以進入原告內部網路作業。易言之,被告之契約義務僅 係就原告現有的機房及資訊設備作基本維護,是作為支援原 告IT人員的輔助角色,倘現有之機房及資訊設備發生有影響 原告員工正常使用之問題時,經原告IT人員交辦後,再由駐 點人員根據問題之複雜程度,作簡易的障礙排除或進一步予 以報修,而原告之資安系統或防毒軟體等安裝或提升,並未 在雙方約定之服務範圍。
㈢是以,依系爭契約之文義,或一般商業交易之服務內容及計 價方式解釋,應可明確知悉本案系爭契約之服務內容絕非原告所指稱之「資安服務」。從而,因資安系統、防毒軟體之安裝或維護、電腦系統log紀錄之檢視等項目,均非被告於本案之主給付義務、附隨義務抑或從給付義務之範圍,是被告應無構成不完全給付之情事。 ㈣另原告雖陳稱:因被告更換駐點人員,而有導致帳號密碼外洩之風險等語,惟原告未提出具體事證以證明被告確有洩漏帳號密碼之行為;且從系爭事件發生歷程,亦可見攻擊者入侵原告所利用之帳號不僅限於被告使用者的acerast,尚包含原告員工使用之帳號jimao及shiro923,且一開始並未掌握密碼,足證原告所受損害與被告更換駐點人員間,欠缺相當因果關係。
㈤另被告否認原告指摘被告有債務不履行及侵權行為等一切主 張。倘認被告有相關債務不履行或侵權行為之情事,針對原 告所主張損害賠償範圍之相關單據及數額,被告亦否認其因 果關係與真實性等語,茲為抗辯。
㈥並聲明:
⒈原告之訴及假執行之聲請均駁回。
⒉如受不利益判決,被告願供擔保請准宣告免為假執行。 三、本件不爭執事項如下(見本院卷第216頁): ㈠兩造於民國109年7月20日簽立專業人力駐廠服務合約書,約 定由被告指派合格具經驗之工作人員於原告公司提供服務。 ㈡被告持有原告電腦系統管理之帳號「acerast」及其密碼。前 開帳號是原告所創設,密碼是被告依照原告提供之密碼設定 規則及條件所設定。
㈢於109年12月11日,原告公司之電腦系統遭外來攻擊者使用帳 號「acerast」,以VPN遠端連線進入內部網路,並經由網域 控制站散佈勒索軟體LockBit。
四、本件爭點如下(見本院卷第217頁):
㈠被告之主給付義務是否包含系統及網路之防毒管理? ㈡被告之從給付義務或附隨義務是否包含系統及網路之防毒管 理?
㈢被告是否不完全給付?
㈣被告之不作為是否構成侵權行為?
㈤倘若被告有債務不履行或侵權行為,原告所受損害或所失利 益為何?
㈥倘若被告有債務不履行或侵權行為,原告是否也針對系爭案 件的發生與有過失?
五、得心證之理由:
兩造曾於109年7月20日簽立系爭契約,約定由被告指派合格 具經驗之工作人員於原告提供服務。被告持有原告電腦系統 管理之帳號acerast及其密碼。該帳號是原告所創設,密碼 是被告依照原告提供之密碼設定規則及條件所設定。於109 年12月11日,原告電腦系統遭外來攻擊者使用帳號acerast ,以VPN遠端連線進入內部網路,並經由網域控制站散佈勒 索軟體LockBit等情,為兩造所不爭執(見本院卷第216頁) ,復有系爭契約書附卷可參(見本院卷第41-42頁),堪信 為真實。惟就原告主張被告違反系爭契約,應負債務不履行 及侵權行為損害賠償責任等情,業據被告所否認,並以前詞 置辯。是本件爭點厥為:㈠被告之主給付義務是否包含系統 及網路之防毒管理?㈡被告之從給付義務或附隨義務是否包 含系統及網路之防毒管理?㈢被告是否不完全給付?㈣被告之
不作為是否構成侵權行為?㈤倘若被告有債務不履行或侵權 行為,原告所受損害或所失利益為何?㈥倘若被告有債務不 履行或侵權行為,原告是否也針對系爭案件的發生與有過失 ?茲說明得心證之理由如下:
㈠被告依系爭契約之主給付義務、從給付義務或附隨義務,應 不包含系統、網路之防毒管理及電腦系統log紀錄之檢視, 理由如下:
⒈按解釋契約,固須探求當事人立約時之真意,不能拘泥於契 約之文字,但契約文字業已表示當事人真意,無須別事探求 者,即不得反捨契約文字而更為曲解解,此有最高法院110 年度台上字第2844號判決意旨足資參照。次按依契約嚴守原 則,當事人本於自由意思訂定契約,如已合法成立,即應依 從該契約之內容或本旨而履行,其私法上之權利義務,亦應 受其拘束,非一造於事後所能主張增減,此有最高法院18年 上字第484號判例意旨、最高法院105年度台上字第929號判 決意旨足資參照。再按所謂主給付義務,係指債之關係所固 有、必備,並用以決定債之關係類型之基本義務;所謂從給 付義務,乃為主給付義務之準備、確定、支持及完全履行, 用以確保債權人之利益能獲得完全之滿足,俾當事人締結契 約之目的得以實現;所謂附隨義務,乃為履行給付義務(含 主給付義務及從給付義務)或保護債權人人身或財產上利益 ,於契約發展過程基於誠信原則而生之義務,包括協力及告 知義務以輔助實現債權人之給付利益,此則有最高法院100 年度台上字第2號判決、100年度台上字第171號判決意旨參 照。
⒉查兩造於109年7月20日簽署之系爭契約,第2條第7項明確記 載被告之服務範圍為:「支援機房維護服務」、「支援MIS 解決PC基本問題(包括安裝造成之問題)」、「負責協助使OA 配置處於堪用狀態,並做最佳及最有效之運用」等項目。雙 方並於系爭契約第2條第7項第4款第6點約定:「雙方並於倘 原告公司要求之服務範圍有超出系爭契約上開約定之項目時 ,被告得酌收服務費。」等語,雙方並於系爭契約第9條約 定:「本合約之增、刪或修改,非經甲乙雙方以書面協議之 方式為之,不生效力。」等語。依據前開記載,應可知被告 所應提供服務之範疇,應以系爭契約有明確記載者為限。準 此,被告就系爭契約之給付義務,僅係就原告現有的機房及 資訊設備作基本維護,並作為支援原告IT人員的輔助角色, 而不包含「資安服務」在內;又IT駐點服務與「資安服務」 兩者,依商業習慣而言,服務之內容及服務之價格應有顯著 的差異,而屬不同之服務項目,自無所謂從屬或有相互衍生
之附隨義務關係可言。揆諸前開說明,因系爭契約就被告之 給付義務範圍已有明確之約定,是資安系統或防毒軟體等安 裝或提升或電腦系統log紀錄之檢視等項目,應非屬被告依 系爭契約所應提供之服務,堪予認定。
⒊綜上所述,因系爭契約就被告之給付義務範圍已有明確之約 定,而無未臻明確之處,揆諸上開最高法院之見解,自不得 反捨契約文字而恣意擴張解釋。從而,被告之主給付義務、 從給付義務、附隨義務等,應不包含系統、網路防毒管理及 電腦系統log紀錄之檢視等項目,堪予認定。 ㈡被告並未違反系爭契約而構成不完全給付,理由如下: 承前所述,原告之系統、網路防毒管理及電腦系統log紀錄 之檢視等項目,應非屬被告依系爭契約之主給付義務、附隨 義務抑或從給付義務之範圍,自難認被告有違反系爭契約而 構成不完全給付之情事。從而,原告依民法第227條第2項之 規定,請求被告負損害賠償責任等情,應屬無據,自應予駁 回。
㈢被告並未構成侵權行為,理由如下:
查原告主張被告於提供服務的過程中,有屢次未經原告同意 更換服務人員之情形,導致原告公司之電腦系統遭外來攻擊 者使用「acerast」帳號,透過VPN遠端連線進入內部網路, 散佈勒索軟體,致使原告受損甚鉅等情,經查,依據系爭契 約第2條第1項之規定,被告應有指派合格具經驗之工作人員 提供客戶人員駐廠服務之義務,是以,被告基於服務客戶之 宗旨及工作調度之考量,更換駐點人員之情形,並未違反系 爭契約之約定,而難認有侵害原告權利之情形;又原告公司 之電腦系統雖於於109年12月11日,經外來攻擊者使用「ace rast」帳號,透過VPN遠端連線進入內部網路,並散佈勒索 軟體,惟外來攻擊者入侵原告所利用之帳號不僅限於「acer ast」帳號,尚包含原告員工所使用「jimao」、「shiro923 」,且有輸入密碼錯誤之紀錄;參酌外來攻擊者之IP位置係 在美國,應難認外來攻擊者入侵原告之電腦系統,係被告更 換服務人員所致。準此,因原告公司之電腦系統遭外來攻擊 者散佈勒索軟體一事,與被告公司更換服務人員間,難認有 相當因果關係,是原告依民法第184條第1項前段之規定,請 求被告負損害賠償責任等情,即屬無據,亦應予駁回。 ㈣被告因系爭契約之終止,應返還35,654元予原告,理由如下 :
末查原告主張系爭契約已由兩造於110年1月22日合意終止, 是被告應返還原告預付之171,554元款項等情,經查,依據 原告所陳報之被告核算費用暨扣除原告預付款項計算表格影
本記載(見本院卷第129頁),原告主張預付被告之金額為166 ,154元;原告雖陳稱:被告人員於109年12月11日起至同年 月30日止,所提供之人員叫修到場服務,係為釐清事發原因 所為之補正行為,是原告應毋庸負擔此部分之費用等語,惟 被告應未有債務不履行或侵權行為之情形,詳如上述,是此 部分之費用仍應由原告負擔。從而,參照上開文件內容,被 告因系爭契約之終止,應返還原告之預付款項為35,654元。六、綜上所述,因被告未有債務不履行或不法侵害原告權利之情 形,是原告依民法第227條第2項、第184條1項前段等規定, 請求被告負損害賠償責任等情,為無理由,應予駁回。又原 告主張系爭契約已由兩造於110年1月22日合意終止,是原告 依不當得利之法律關係,請求被告返還原告預付之35,654元 款項等情,為有理由,應予准許;逾此範圍之請求,即屬無 據,為無理由,亦應予駁回。
七、另兩造均陳明願供擔保聲請宣告假執行或免為假執行,經核 原告勝訴部分,所命給付金額未逾500,000元,本院自應依 民事訴訟法第389條第1項第5款之規定,依職權宣告假執行 ;又被告聲請宣告免為假執行,核無不合,爰依同法第392 條第2項規定,酌定相當之擔保金額准許之。至原告敗訴部 分之訴既經駁回,其假執行之聲請即失所附麗,應併予駁回 。
八、本件事證已臻明確,兩造其餘攻防方法及所提證據,經本院 斟酌後,核與判決結果不生影響,爰不予逐一論述,併此敘 明。
九、訴訟費用負擔之依據:民事訴訟法第79條。 中華民國111年5月10日
民事第二庭 法 官 陳雅瑩
以上正本係照原本作成
如對本判決上訴,須於判決送達後20日內向本院提出上訴狀。如委任律師提起上訴者,應一併繳納上訴審裁判費。中華民國111年5月10日
書記官 陳薇晴
, 台灣公司情報網
, 台灣公司情報網