“…พฤติกรรมของโจทก์ (ผู้บริโภค) ดังกล่าว ล้วนแสดงให้เห็นว่า โจทก์ไม่ได้ใช้ความระมัดระวังให้เพียงพอในตรวจสอบข้อมูลและทำธุรกรรมทางการเงินตามที่พึงกระทำ ถือว่าโจทก์มีส่วนประมาทเลินเล่อ และเป็นกรณีที่ความเสียหายได้เกิดขึ้นเพราะความผิดของโจทก์ประกอบด้วย…”
.......................................
เป็นอีกคดีที่น่าสนใจ
เมื่อ ศาลแขวงนนทบุรี (ศาลชั้นต้น) ได้มีคำพิพากษาในคดีหมายเลขดำที่ ผบE 16954/2567 คดีหมายเลขแดงที่ ผบE 14717/2568 ซึ่งเป็นคดีที่ ‘ผู้บริโภค’ รายหนึ่ง ยื่นฟ้อง ‘บริษัทค้าปลีกค้าส่งสินค้าไอที’ แห่งหนึ่ง
กรณีประมาทเลินเล่อไม่ปฏิบัติหน้าที่จัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม เพื่อป้องกันการเข้าถึง ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของผู้บริโภค จนเป็นเหตุให้ ‘มิจฉาชีพ’ นำข้อมูลส่วนบุคคลของผู้บริโภค ไปใช้ในการหลอกลวงผู้บริโภครายนี้ ทำให้ได้รับความเสียหายเป็นเงิน 4,803 บาท
ทั้งนี้ ผู้บริโภครายดังกล่าว ได้ขอให้ศาลฯพิพากษาบังคับให้ ‘บริษัทค้าปลีกค้าส่งสินค้าไอที’ แห่งนี้ ชดใช้สินไหมทดแทนเป็นเงิน 4,803 บาท พร้อมดอกเบี้ยในอัตรา 5% ต่อปี
โดยคดีนี้ ศาลฯพิพากษา ‘ยกฟ้อง’ บริษัทค้าปลีกค้าส่งสินค้าไอทีรายนี้ เนื่องจากศาลฯเห็นว่า แม้ว่าข้อเท็จจริงรับฟังได้ว่า บริษัทฯแห่งนี้ ประมาทเลินเล่อไม่จัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม จนเป็นเหตุให้ข้อมูลส่วนบุคคลของ ‘ผู้บริโภค’ รายนี้ รั่วไหลไปยัง ‘บุคคลอื่น’
แต่เนื่องจากผู้บริโภครายดังกล่าว ไม่ได้ใช้ความระมัดระวังให้เพียงพอในตรวจสอบข้อมูล และทำธุรกรรมทางการเงินตามที่พึงกระทำ ซึ่งเป็นเหตุให้เกิดความเสียหายนั้น จึงถือว่าผู้บริโภคมีส่วนประมาทเลินเล่อด้วย ทั้ง 2 ฝ่าย ต่างมีส่วนทำให้เกิดความเสียหายในคดีนี้ไม่ยิ่งหย่อนกว่ากัน ทั้ง 2 ฝ่าย จึงไม่อาจเรียกร้องค่าเสียหายต่อกันได้
สำนักข่าวอิศรา (www.isranews.org) จึงข้อนำเสนอรายละเอียดคำพิพากษาของศาลแขวงนนทบุรี (ศาลชั้นต้น)ในคดีนี้ (คดีหมายเลขดำที่ ผบE 16954/2567 คดีหมายเลขแดงที่ ผบE 14717/2568) ดังนี้
@ฟ้อง‘บ.ค้าปลีกไอที’ทำข้อมูล‘ผู้บริโภค’รั่วถึงมือ‘มิจฉาชีพ’
คดีมีประเด็นต้องวินิจฉัยว่า จำเลย (บริษัทค้าปลีกค้าส่งสินค้าไอที) ต้องรับผิดต่อโจทก์ (ผู้บริโภค) หรือไม่ เพียงใด
โจทก์ (ผู้บริโภค) มีโจทก์อ้างตนเองเป็นพยานเบิกความประกอบเอกสารหมาย จ.1 ถึง จ.12 สรุปความได้ว่า เมื่อวันที่ 23 มกราคม 2566 โจทก์ลงทะเบียนครั้งแรกในระบบของจำเลย และแจ้งข้อมูลส่วนบุคคลของโจทก์ ผ่านทาง www.XXXXXXX.co.th เพื่อสั่งซื้อสินค้ากับจำเลย
เมื่อวันที่ 22 พฤศจิกายน 2566 โจทก์สั่งซื้ออุปกรณ์เม้าส์ LOGITECH M331D สีดำ ราคา 505 บาท กับจำเลย ผ่านทาง www.XXXXXXX.co.th นอกจากโจทก์ ก็คงมีเพียงจำเลยที่เก็บข้อมูลส่วนบุคคล และการทำธุรกรรมดังกล่าว
ต่อมาเมื่อวันที่ 5 ตุลาคม 2567 เวลา 13.30 นาฬิกา มีผู้แอบอ้างเป็นพนักงานฝ่ายบัญชีของจำเลย ติดต่อมายังโจทก์ผ่านทางโทรศัพท์เคลื่อนที่หมายเลข 08 2741 7106 แจ้งว่า สินค้าเม้าส์ LOGITECH M331D ที่โจทก์สั่งชื้อจากจำเลยมีปัญหาในกระบวนการผลิต และเสนอชดเชยค่าเสียหาย
โจทก์ตรวจสอบแล้ว พบว่ารายละเอียดข้อมูลสินค้าตรงตามที่ผู้แอบอ้างเป็นพนักงานของจำเลยกล่าวอ้าง โจทก์หลงเชื่อและติดต่อกลับผู้แอบอ้างผ่านทางแอปพลิเคชันไลน์ ไอดี it.11990 เพื่อขอรับค่าชดเชยและดำเนินการตามขั้นตอนที่ผู้แอบอ้างแนะนำจนเป็นเหตุให้โจทก์สูญเสียเงินไป 4,803 บาท
โจทก์แจ้งความผ่านระบบรับแจ้งความออนไลน์และลงบันทึกประจำวันไว้เป็นหลักฐาน ต่อมาโจทก์ค้นหาข้อมูลแล้วพบว่า มีบุคคลอื่นถูกหลอกลวงด้วยวิธีการเช่นเดียวกับโจทก์อีกหลายราย
การกระทำของจำเลย เป็นการจงใจหรือประมาทเลินเล่อไม่ปฏิบัติหน้าที่ จัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม เพื่อป้องกันการเข้าถึง ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของโจทก์ โดยปราศจากอำนาจหรือโดยมิชอบ และต้องทบทวนมาตรการดังกล่าว เมื่อมีความจำเป็น หรือเมื่อเทคโนโลยีเปลี่ยนแปลงไป
เพื่อให้มีประสิทธิภาพในการรักษาความมั่นคงปลอดภัยที่เหมาะสม ตามมาตรฐานขั้นต่ำที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลประกาศกำหนด ตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 มาตรา 37 (1) นำมาสู่การเข้าถึง ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของโจทก์ โดยปราศจากอำนาจ หรือโดยมิชอบสู่บุคคลภายนอกอันเป็นการละเมิดสิทธิของโจทก์
เป็นเหตุให้มีผู้แอบอ้างเป็นจำเลยและนำข้อมูลส่วนบุคคลของโจทก์มาหลอกลวงให้โจทก์หลงเชื่อ ทำให้โจทก์ได้รับความเสียหาย สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล มีคำวินิจฉัยเกี่ยวกับเรื่องที่โจทก์ร้องเรียนแล้ว ตามเอกสารหมาย จ.11 และ จ.12
@‘บริษัทฯ’แจงมีมาตรการคุ้มครองข้อมูลส่วนบุคคล‘ลูกค้า’
ส่วนจำเลยมี นาย ว. เป็นพยาน เบิกความประกอบเอกสารหมาย ล.1 ถึง ล.9 สรุปความได้ว่า พยานเป็นเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลของจำเลย และเป็นหนึ่งในคณะทำงานชี้แจงข้อเท็จจริงให้สำนักงานคณะกรรมการข้อมูลส่วนบุคคล หากลูกค้าประสงค์สั่งซื้อสินค้ากับจำเลยผ่านช่องทางออนไลน์ ลูกค้าจะต้องสมัครขอรหัสลูกค้ากับจำเลยก่อน
เมื่อวันที่ 8 มิถุนายน 2563 โจทก์สมัครขอรหัสลูกค้ากับจำเลย และจำเลยกำหนดรหัสลูกค้า XXXXXXXXX ให้แก่โจทก์ มีรายละเอียดหมายเลขโทรศัพท์เคลื่อนที่ของโจทก์ คือ หมายเลข XX XXXX XXXX
ช่วงประมาณปี 2563 ถึงปลายปี 2567 มีมิจฉาชีพหลอกลวงอ้างว่าเป็นผู้ประกอบการ รวมถึงจำเลย ว่า สินค้าที่สั่งซื้อไปจากจำเลยเกิดความบกพร่องและจะคืนเงินค่าสินค้า จำเลยจึงออกประกาศแจ้งเตือนภัยเรื่องดังกล่าวผ่านทางหน้าเว็บไซต์ของจำเลย และจำเลยส่งข้อความเตือนภัยให้แก่โจทก์ผ่านทางหมายเลขโทรศัพท์ XX XXXX XXXX
การที่โจทก์โอนเงินออกไปจากบัญชีธนาคารของโจทก์ 4,803 บาท ไปยังบัญชีอื่น ซึ่งไม่ใช่ชื่อบัญชีธนาคารของจำเลย เป็นความประมาทเลินเล่ออย่างร้ายแรงของโจทก์แต่เพียงผู้เดียว เนื่องจากโจทก์ต้องตรวจสอบข้อมูลให้แน่ชัดก่อนที่จะยืนยันการโอนเงิน และจำเลยไม่ได้มีส่วนรู้เห็นกับเรื่องดังกล่าว
ทั้งในช่วงเวลาดังกล่าว โจทก์ก็ทราบและรับรู้ว่ามีมิจฉาชีพแอบอ้างข้อมูลของผู้ประกอบการหลายราย จำเลยจัดให้มีมาตรการรักษาความปลอดภัยที่เหมาะสม ตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562
นอกจากนี้ เมื่อวันที่ 1 ตุลาคม 2567 จำเลยนำส่งข้อมูลของบริษัทจำเลย เพื่อยืนยันความถูกต้อง เช่น หมายเลขโทรศัพท์ เว็บไซต์ เพจ ให้กับกองบังคับการตำรวจสืบสวนสอบสวนอาชญากรทางเทคโนโลยี 2 เพื่อลงทะเบียนข้อมูลของบริษัทจำเลยในแอปพลิเคชัน “Cyber Check” ซึ่งเป็นแอปพลิเคชันที่ช่วยคัดกรองมิจฉาชีพจากหมายเลขโทรศัพท์ และใช้ตรวจสอบเลขบัญชีธนาคารก่อนจะทำการโอนเงิน
และเมื่อวันที่ 6 ตุลาคม 2567 จำเลยเข้ารับการอบรมความปลอดภัยของข้อมูลสารสนเทศจากสถาบัน Institute of Global Certification (IGC) และได้รับประกาศนียบัตรผ่านการรับรองความปลอดภัย ISO/IEC รับรองความปลอดภัยในข้อมูลสารสนเทศของบริษัทจำเลย ซึ่งเป็นมาตรฐานสากลเกี่ยวกับการรักษาข้อมูลส่วนบุคคล หากหน่วยงานดังกล่าวตรวจสอบแล้วพบว่า ไม่ผ่านมาตรฐานก็จะไม่สามารถออกใบรับรองให้ได้
ก่อนฟ้องคดี โจทก์ยื่นคำร้องเรียนต่อสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล อ้างว่าจำเลยละเมิดข้อมูลส่วนบุคคลของโจทก์ จำเลยชี้แจงข้อเท็จจริง รวมถึงเอกสารที่เกี่ยวข้องในเรื่องดังกล่าวว่า จากการตรวจสอบไม่พบความผิดปกติ รวมทั้งไม่พบการเข้าถึงข้อมูลส่วนบุคคลจากบุคคลอื่น และเหตุผลอื่นประกอบข้อร้องเรียน ตามเอกสารหมาย ล.9
การที่โจทก์ฟ้องจำเลยคดีนี้ โดยอาศัยข้ออ้างที่ได้อาศัยเป็นหลักแห่งข้อหาเดียวกันกับที่โจทก์ร้องเรียนต่อสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เป็นการใช้สิทธิโดยไม่สุจริต
จำเลยเพิ่งทราบคำสั่งของสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ตามเอกสารหมาย จ.12 ในช่วงเดือนสิงหาคม 2568 เนื่องจากมีการพลัดหลงและตกหล่นของการจัดส่งเอกสาร จำเลยมีสิทธิในการยื่นฟ้องเพิกถอนคำสั่งตามเอกสารหมาย จ.12 ภายใน 90 วัน จำเลยมั่นใจว่า บริษัทมีมาตรฐานในการรักษาความปลอดภัยของข้อมูล จำเลยจึงไม่ต้องรับผิดต่อโจทก์
@ชี้‘บ.ค้าปลีกค้าส่งสินค้าไอที’เลินเล่อทำข้อมูล‘ลูกค้า’รั่ว
เห็นว่า แม้จำเลยจะอ้างว่า จำเลยจัดให้มีมาตรการต่างๆ เพื่อรักษาความปลอดภัยของข้อมูลส่วนบุคคลของโจทก์ พร้อมทั้งชี้แจงข้อเท็จจริงอันเกี่ยวกับกรณีพิพาทที่โจทก์ยื่นคำร้องเรียนไปยังสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลตามที่นำสืบมาแล้วก็ตาม
แต่เมื่อพิจารณาคำสั่งตามเอกสารหมาย จ.12 ซึ่งระบุว่า ข้อมูลที่รั่วไหลเกิดจากจำเลยจงใจหรือประมาทเลินเล่ออย่างร้ายแรง โดยไม่มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสมของข้อมูลส่วนบุคคลที่มีตามมาตรฐานขั้นต่ำตามที่กฎหมายกำหนด และมาตรการดังกล่าวไม่มีประสิทธิภาพเพียงพอทำให้เกิดเหตุการละเมิดข้อมูลส่วนบุคคลจำนวนมาก
เมื่อคำสั่งดังกล่าวเป็นการพิจารณาข้อเท็จจริง โดยหน่วยงานที่มีอำนาจพิจารณาเรื่องร้องเรียนและควบคุมกำกับดูแล ตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 โดยตรง ข้อเท็จจริงที่ปรากฎในเอกสารดังกล่าวย่อมมีน้ำหนักให้น่าเชื่อถือ
และแม้ว่าจำเลยจะมีสิทธิในการยื่นฟ้องเพิกถอนคำสั่งตามเอกสารหมาย จ.12 ภายใน 90 วัน แต่เมื่อจำเลยก็ไม่ได้นำสืบให้เห็นว่า จำเลยมีมาตรการรักษาความปลอดภัยอื่นใดเพิ่มเติม นอกเหนือจากที่เคยชี้แจงไปยังสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล
ประกอบกับได้ความว่า โจทก์มิใช่ผู้เสียหายรายแรกที่ถูกหลอกลวงในลักษณะเช่นนี้ และมีอีกหลายรายที่ถูกหลอกลวงในลักษณะเดียวกัน
กรณีจึงน่าเชื่อว่า จำเลยทราบถึงพฤติกรรมการหลอกลวงเช่นเดียวกับคดีนี้มาก่อน แต่ยังกลับปล่อยให้เกิดเหตุเช่นนี้กับลูกค้าเป็นจำนวนมาก พยานหลักฐานที่โจทก์นำสืบมา จึงมีน้ำหนักให้น่าเชื่อถือมากกว่าพยานหลักฐานของจำเลย
ข้อเท็จจริงรับฟังได้ว่า จำเลยประมาทเลินเล่อไม่จัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม จนเป็นเหตุให้ข้อมูลส่วนบุคคลของโจทก์รั่วไหลไปยังบุคคลอื่น อันเป็นการทำละเมิดต่อโจทก์
@ศาลฯยกฟ้อง เหตุ‘ผู้บริโภค’มีส่วนทำให้เกิดความเสียหาย
อย่างไรก็ดี แม้จำเลยจะเป็นส่วนหนึ่งที่ทำให้ข้อมูลส่วนบุคคคลของโจทก์รั่วไหลจนเป็นเหตุพิพาทในคดีนี้
แต่เมื่อพิจารณาจากลักษณะการหลอกลวงของมิจฉาชีพ และขั้นตอนที่มิจฉาชีพแนะนำให้โจทก์ดำเนินการ โจทก์ควรต้องใช้ความระมัดระวังในการทำธุรกรรมทางการเงิน และต้องตรวจสอบถึงรายละเอียดบัญชีธนาคารและข้อมูลของจำเลยให้ชัดเจนเสียก่อนว่า เป็นการติดต่อจากจำเลยจริงหรือไม่
เมื่อหมายเลขโทรศัพท์เคลื่อนที่ ชื่อบัญชีผู้ใช้ (ID) ในแอปพลิเคชันไลน์ และชื่อบัญชีธนาคารที่มีผู้แอบอ้างนำมาใช้หลอกลวงโจทก์นั้น ล้วนแล้วแต่ไม่ใช่ของจำเลย ทั้งตามเอกสารหมาย จ.3 มีข้อความระบุว่า “หมายเหตุ : XXXX (ชื่อบริษัท) ไม่มีนโยบายให้พนักงานติดต่อเรียกคืนสินค้า หากพบโปรดแจ้ง XXXX”
ยิ่งไปกว่านั้น ดังที่โจทก์เบิกความในตอนหนึ่งว่า ในตอนแรกที่โจทก์ได้รับแจ้งว่าจะได้รับค่าชดเชยมากกว่าราคาค่าสินค้านั้น โจทก์สงสัยว่า จะมีการหลอกลวงหรือไม่ แต่เนื่องจากเจ้าหน้าที่คนดังกล่าวแจ้งว่าเป็นค่าชดเชย จึงทำให้มีมูลค่ามากกว่าราคาสินค้า
และโจทก์ค้นหาข้อมูลการถูกมิจฉาชีพหลอกลวง ตามเอกสารหมาย จ.10 แต่ตามเอกสารดังกล่าวกลับปรากฏว่า มีบุคคลมาแสดงความคิดเห็นในกระทู้ดังกล่าวก่อนวันเกิดเหตุคดีนี้ ซึ่งหากโจทก์ตระหนักถึงเรื่องดังกล่าว และใช้ความระมัดระวังตรวจสอบข้อมูลให้ถี่ถ้วนดีเสียก่อนตั้งแต่ในขณะแรก โจทก์ก็น่าจะทราบถึงความผิดปกติและความเสียหายที่จะเกิดแก่โจทก์ย่อมอาจไม่มีขึ้น
พฤติกรรมของโจทก์ (ผู้บริโภค) ดังกล่าว ล้วนแสดงให้เห็นว่า โจทก์ไม่ได้ใช้ความระมัดระวังให้เพียงพอในตรวจสอบข้อมูลและทำธุรกรรมทางการเงินตามที่พึงกระทำ ถือว่าโจทก์มีส่วนประมาทเลินเล่อ และเป็นกรณีที่ความเสียหายได้เกิดขึ้นเพราะความผิดของโจทก์ประกอบด้วย
ทั้งนี้ เมื่อพิเคราะห์พฤติการณ์แห่งคดีประกอบกับพฤติกรรมของโจทก์และจำเลยแล้วเห็นว่า โจทก์และจำเลยต่างฝ่ายต่างมีส่วนทำให้เกิดความเสียหายในคดีนี้ไม่ยิ่งหย่อนกว่ากัน ทั้งสองฝ่ายจึงไม่อาจเรียกร้องค่าเสียหายต่อกันได้ ตามประมวลกฎหมายแพ่งและพาณิชย์ มาตรา 442 ประกอบมาตรา 223
เมื่อจำเลยไม่มีหนี้ละเมิดที่ต้องรับผิดต่อโจทก์ จำเลยจึงไม่ต้องรับผิดชดใช้ค่าสินไหมทดแทนและค่าสินไหมทดแทนเพื่อการลงโทษแก่โจทก์
พิพากษายกฟ้อง
อนึ่ง คดีนี้ผู้บริโภครายนี้ ได้ยื่นอุทธรณ์คดีแล้ว
