เรื่องที่ 177 : การลักขโมย และการเปิดเผยข้อมูลส่วนบุคคลโดยไม่ตั้งใจทางไซเบอร์จะได้รับความคุ้มครอง ภายใต้กรมธรรม์ประกันภัยความรับผิดทั่วไปเชิงพาณิชย์ (Commercial General Liability Insurance Policy (CGL)) ไหม?

 

ผมเคยเขียนบทความเรื่องความรู้เบื้องต้นเกี่ยวกับกรมธรรม์ประกันภัยความรับผิดต่อบุคคลภายนอกแบบครอบคลุม (Commercial General Liability/Comprehensive General Liability Insurance Policy (CGL) ไว้ในเรื่องที่ 6 ของบทความอีกชุดหนึ่ง คือ พบ ป (ร) ะ กัน (ภัย) เป็นเรื่อง เป็นราว เมื่อหลายปีก่อน

 

เนื่องด้วยได้รับทราบว่า กรมธรรม์ประกันภัยความรับผิดชุดนี้ซึ่งมีที่มาจากประเทศสหรัฐอเมริกา ได้ถูกนำเข้าใช้ในบ้านเราเพิ่มมากขึ้นเรื่อย ๆ  โดยจะให้ความคุ้มครองที่กว้างขวางกว่ากรมธรรม์ประกันภัยความรับผิดตามกฎหมายต่อบุคคลภายนอก (Public Liability Insurance Policy) ฉบับมาตรฐานจากฝั่งอังกฤษซึ่งบ้านเราใช้อ้างอิงมานมนานมาก

 

ลองย้อนกลับไปทบทวนดูก็ได้นะครับ

 

แม้ในยุคไซเบอร์ เราจะมีกรมธรรม์ประกันภัยเฉพาะของไซเบอร์ออกมาให้เลือกซื้อความคุ้มครองกันแล้ว แต่บางครา ความที่กรมธรรม์ประกันภัยไซเบอร์ซึ่งถูกร่างขึ้นมาเพื่อตอบสนองความเสี่ยงภัยทางไซเบอร์อาจยังไม่มีความชัดเจน และมาตรฐานที่เพียงพอ จนทำให้เกิดประเด็นปัญหาการทับซ้อนกับกรมธรรม์ประกันภัยรูปแบบปกติทั่วไปได้ ที่ต่างประเทศเรียกว่า “ภัยเงียบ (Silent Risk)” ขึ้นมาได้

 

เหมือนดั่งตัวอย่างคดีศึกษาเหล่านี้

 

การลักขโมย และการเปิดเผยข้อมูลส่วนบุคคลโดยไม่ตั้งใจทางไซเบอร์ สามารถได้รับความคุ้มครอง ภายใต้กรมธรรม์ประกันภัยความรับผิดทั่วไปทางพาณิชย์ (Commercial General Liability Insurance Policy (CGL)) ไหม?

 

โดยเฉพาะกรณีความคุ้มครองทางเลือกเพิ่มเติม (จะเลือกซื้อหรือไม่ก็ได้)

ส่วนความคุ้มครอง ข (Coverage B) – ความรับผิดสำหรับการบาดเจ็บเสียหายส่วนบุคคล (Personal Injury) และความเสียหายจากการโฆษณา (Advertising Injury) ซึ่งระบุข้อตกลงคุ้มครองโดยสรุปว่า      

 

บริษัทประกันภัยตกลงที่จะ

 

(1) ชดใช้ค่าสินไหมทดแทนในนามผู้เอาประกันภัย สำหรับความรับผิดตามกฎหมายของผู้เอาประกันภัยซึ่งก่อให้เกิด “การบาดเจ็บเสียหายส่วนบุคคล และความเสียหายจากการโฆษณา” แก่บุคคลภายนอก โดยมีสาเหตุมาจากความผิดที่เกิดขึ้นจากธุรกิจของผู้เอาประกันภัย (ที่มิใช่ผู้ประกอบธุรกิจโฆษณาโดยตรง) ซึ่งได้กระทำขึ้นมาในอาณาเขตความคุ้มครอง และในระหว่างระยะเวลาประกันภัย และ

 

(2) ทำการต่อสู้คดีในนามของผู้เอาประกันภัย สำหรับการฟ้องร้องคดีใด ๆ เพื่อเรียกร้องค่าเสียหายดังกล่าวซึ่งผู้เอาประกันภัยจำต้องรับผิดตามกฎหมาย

 

คดีนี้ ผู้เอาประกันภัยรายหนึ่งซึ่งประกอบกิจการร้านค้าย่อยหลายสาขาได้ถูกคนร้ายแฮกเข้ามาขโมยข้อมูลส่วนบุคคลจากบัตรเครดิตของลูกค้าของตน นับหลายล้านข้อมูลเป็นระยะเวลาติดต่อกันประมาณปีครึ่ง

 

เมื่อผู้ให้บริการระบบชำระเงินด้วยบัตรเครดิตผู้เสียหายได้มาเรียกร้องให้ผู้เอาประกันภัยรายนี้รับผิดชอบ โทษฐานผิดสัญญาที่ไม่จัดการดูแลป้องกันการรั่วไหลของข้อมูลให้ดีพอ โดยมีความสูญเสียทางการเงินที่เกิดขึ้นจำนวน 20 กว่าล้านดอลล่าร์สหรัฐ

 

โชคดีที่ผู้เอาประกันภัยรายนี้ได้จัดทำกรมธรรม์ประกันภัยความรับผิดทั่วไปทางพาณิชย์ และขยายความคุ้มครองในส่วนความคุ้มครอง ข อยู่ด้วย จึงแจ้งเรื่องไปถึงบริษัทประกันภัยของตนให้เข้ามารับผิดชอบแทน

 

บริษัทประกันภัยนั้นกลับปฏิเสธโดยให้เหตุผลว่า ความเสียหายทางไซเบอร์มิได้ตกอยู่ในส่วนความคุ้มครองดังกล่าวแต่ประการใด เนื่องด้วย “การบาดเจ็บเสียหายส่วนบุคคล และความเสียหายจากการโฆษณา” นั้นมีความหมายถึง “การประกาศด้วยวาจา หรือการจัดพิมพ์ ไม่ว่าในลักษณะใด ของข่าวสารที่ละเมิดสิทธิความเป็นส่วนตัวของบุคคล (oral or written publication, in any manner, of material that violates a person’s right of privacy)”

 

ครั้นคดีได้มาถึงศาล ศาลชั้นต้นเห็นพ้องกับบริษัทประกันภัยจำเลยว่า

 

1) การลักขโมยข้อมูลของลูกค้าเช่นนั้น ไม่ถืออยู่ในลักษณะของการจัดพิมพ์ (publication) ดังที่กำหนดไว้ และ

2) มูลเหตุของการเรียกร้องให้ชดใช้เงินของผู้ให้บริการระบบชำระเงินด้วยบัตรเครดิตผู้เสียหายนั้นมาจากการทำผิดสัญญา มิได้เรื่องการกระทำละเมิดโดยตรงต่อลูกค้าของโจทก์ผู้เอาประกันภัย

 

พิพากษาให้บริษัทประกันภัยจำเลยไม่จำต้องรับผิดตามกรมธรรม์ประกันภัย ฉบับพิพาท

 

โจทก์ผู้เอาประกันภัยอุทธรณ์

 

ศาลอุทธรณ์พิพากษากลับ โดยเห็นว่า

 

1) คำว่า “การจัดพิมพ์ (publication)” นั้น ควรแปลความหมายอย่างกว้าง เพื่อประโยชน์แก่ผู้เอาประกันภัย ซึ่งมิได้มีส่วนร่วมร่างถ้อยคำของกรมธรรม์ประกันภัย ฉบับดังกล่าว ตามความหมายในพจนานุกรมทั่วไป ให้ความหมายถึง การประกาศ (ข้อมูล) ให้ได้รับรู้กัน คล้ายคลึงกับกรรมวิธีในการดูหมิ่นด้วยการประกาศโฆษณา

 

เมื่อข้อมูลของลูกค้าเหล่านั้นได้ถูกจัดพิมพ์โดยผู้ให้บริการระบบชำระเงินด้วยบัตรเครดิตผู้เสียหายนั้น และคนร้ายก็ได้นำข้อมูลนั้นไปจัดพิมพ์ต่อ เพื่อกระทำการซื้อสินค้า หรือบริการโดยฉ้อฉลแล้ว ทั้งหมดนี้ล้วนตกอยู่ในความหมายดังกล่าวทั้งสิ้น

 

2) ส่วนประเด็นเรื่องการละเมิดสิทธิความเป็นส่วนตัวของบุคคลนั้น มิได้จำกัดอยู่เพียงแค่การกระทำละเมิดโดยตรงแก่ตัวลูกค้าแต่ละรายเท่านั้น เพราะควรหมายความรวมไปถึงการบาดเจ็บเสียหายต่าง ๆ (injuries) ทั้งหลายซึ่งเกิดขึ้นเนื่องมาจากการละเมิดสิทธิดังกล่าวด้วย

 

ตัดสินให้บริษัทประกันภัยจำเลยรับผิดตามกรมธรรม์ประกันภัย ฉบับพิพาท

 

หมายเหตุ

 

ดูเหมือนกรมธรรม์ประกันภัยความรับผิดทั่วไปทางพาณิชย์ (Commercial General Liability Insurance Policy (CGL)) ฉบับร่างล่าสุดจะได้ถูกปรับแก้ไขให้ไม่รวมไปถึงความรับผิดทางไซเบอร์แล้วนะครับ ลองตรวจทานดู)

 

(อ้างอิง และเรียบเรียงมาจากคดี Landry’s Inc. v. Insurance Co. of the State of Pennsylvania, No. 19-20430 (July 21, 2021)

 

บริการ

-     รับบรรยายให้ความรู้ด้านประกันวินาศภัย

-     รับแปลเอกสารกรมธรรม์ประกันภัย (อังกฤษเป็นไทย)

สนใจติดต่อ vivatchai.amornkul@gmail.com ต่างกัน

 

อ่านบทความอีกชุดที่น่าสนใจเพิ่มเติมได้ใน พบ-ป(ร)ะ-กัน(ภัย): เป็นเรื่อง เป็นราว ใน Facebook Meet Insurance ที่ https://www.facebook.com/pomamornkul/