台灣手遊與中資威脅（下）：這些嚇死人的「隱私權條款」，政府卻無法可管？

文：經濟民主連合讀書會

• 台灣手遊與中資威脅（上）：中共可輕易取得玩家個人資訊，使國人的資安與言論受到嚴重威脅

前文中所提到，中資手機遊戲造成「資安問題」及「言論審查」之疑慮，都是對於我國消費者自主權之侵犯（無論是隱私上的自主，或者是言論上的自主），對於此類侵犯，我國現行法規是否有足夠的武器因應？我國主管機關對此議題是否有所意識乃至於作出行動？顯有進一步探究的必要。

《個人資料保護法》對跨境傳輸保障不足

從法規面來看，最直觀的對策就是我國《個人資料保護法》（下稱《個資法》）的規範。然而，《個資法》上存有許多「先天」和「後天」的問題。

僅以法規本身來看，《個資法》雖於第8條規定：「公務機關或非公務機關...向當事人蒐集個人資料時，應明確告知當事人下列事項...個人資料利用之期間、地區、對象及方式」，但《個資法》整體架構是否能夠使前揭非公務機關的告知義務獲得落實，並貫徹「告知後同意」之原則，其實多有受到質疑 ^[1]。

在本文脈絡下，更嚴重的問題在於：如果是境外公司蒐集、處理、利用台灣消費者個人資訊，則《個資法》的管轄是否如此神通廣大，及於此「境外公司」？在現行法下也會面臨解釋上之難題 ^[2]。

又從執行層面來看，雖然《個資法》於第21條就非公務機關跨境傳輸個人資料至「對於個人資料之保護未有完善之法規之接受國」有所規範，但何謂「對於個人資料之保護未有完善之法規之接受國」，其實有賴中央目的事業主管機關清楚闡釋。

截至目前為止，我國主管機關似乎忽略了《個資法》第21條規定之存在，使得跨境傳輸之規範猶如無牙老虎，難以執行 ^[3]。因此，這個先天規範不足，後天執行失調的《個資法》，是否可以防止中資手機遊戲侵犯消費者權益，存有很大的疑慮。

定型化契約的潛在危機

另外一個討論的切入點，是以「定型化契約範本」作把關。對此，行政院消費者保護處於2018年公布了《網路連線遊戲服務定型化契約應記載及不得記載事項》，其中適用對象包括「智慧型裝置的連線遊戲服務」，即本文脈絡下之手機遊戲。

然而，該條款之適用情況，主要是針對傳統上可能會遇到的消費爭議如：「遊戲服務應載明之資訊」、「帳號密碼之使用」、「帳號密碼遭非法使用之通知與處理」、「遊戲歷程之保存期限、查詢方式及費用」等事項為規範（請參見應記載事項第6點至第9點）。

至於手機遊戲可能會面臨的個人資料以及電磁紀錄保護之問題，僅簡短規範於應記載事項第10點「關於個人資料之保護，依相關法律規定處理」、第11點「本遊戲之所有電磁紀錄均屬企業經營者所有，企業經營者並應維持消費者相關電磁紀錄之完整。消費者對於前項電磁紀錄有使用支配之權利。但不包括本遊戲服務範圍外之移轉、收益行為」及不得記載事項第2點：「不得約定概括授權企業經營者得就消費者所提供之各項個人資料，為履行契約目的範圍外之利用或洩露」。

Photo Credit: 中央社

從這些條款可以看出，定型化契約範本仍然是將個人資料保護的問題丟給《個資法》處理，雖然有提及「消費者對於電磁紀錄有使用支配之權利」，但所指為何難謂明確，在執行上是否會有爭議仍有待觀察。

本文以2020年第1季臺灣收入前十名之手機遊戲中，有中資背景的8個手機遊戲作定型化契約條款作初步調查，其中：

一、「三國殺名將傳」的服務條款完全照抄《網路連線遊戲服務定型化契約應記載及不得記載事項》，形式上似符合行政院定型化契約範本之規定，但該從服務條款中，我們看不出來消費者下載該遊戲後，遊戲平台到底是適用哪一個國家的個人資料保護法令？

這有可能進一步產生疑義，畢竟該遊戲「隱私政策」第5點規定，遊戲平台「依法」可以將資訊傳送至政府單位，如果該遊戲平台所謂「適用法規」、「相關法律規定」所指的是中國的法律，則「三國殺名將傳」消費者的個人資料，很有可能直接透過遊戲平台開發商「廣州天遊網路科技有限公司」傳送予中國政府。

二、知名手機遊戲「神魔之塔」的隱私權條款，開發商「瘋頭有限公司」要求消費者承認他們是自願將個人資料傳送至香港，而該公司可以在「法律或政府要求」的狀況下，提供個人資料予他人。因此，在港版國安法已經通過的狀況下，依據「神魔之塔」的隱私權條款，玩家的個人資料可能輕易地以「危害國家安全」的理由傳送至香港或中國政府。

三、「叫我官老爺」手機遊戲的隱私權條款也可見類似的狀況，「深圳創酷互動信息技術有限公司」明確指出遊戲的伺服器位於中國 ^[4]，只要基於「國家安全、國防安全」的原因，該公司就可以蒐集個人資料並傳送給中國政府。

由此可見，多款知名手機遊戲的隱私權條款，不僅未能保護消費者的個人資料，甚至籠統地以「國防安全」大旗，要求消費者放棄自身隱私。行政院消費者保護處公布之《網路連線遊戲服務定型化契約應記載及不得記載事項》，可以說是完全受到忽視，未能發揮應有之作用。

Photo Credit: AP / 達志影像

政府單位力有未逮的因應對策

除了客觀地從法規觀察之外，我們進一步檢視政府是否有認知到這個議題？如果有的話，又採取了怎樣的行動？

一、行政院資通安全會報與「兩階段App資安政策」

首先，行政院在2014年的資通安全會報裡，做出了對於應用程式資訊安全的重大決議：

手機與電腦之應用軟體基本資安規範由經濟部主管，惟手機屬電信法第42條規定之電信終端設備，其出廠時已內建之軟體仍併同應硬體由通傳會主管；請前揭二部會依此分工原則積極研議相關管理作為，並規劃制定資安檢測標準及鼓勵廠商自主驗證等業務。

從這段決議可以看出兩個重點：第一是主管機關，第二是政策方向。根據決議，除了手機出廠時內建的應用軟體由NCC主管，其他應用軟體的主管機關為經濟部。根據經濟部2017年的資料，經濟部工業局主管了「共通性及非特定領域應用軟體的基礎安全要求」，其他「特定領域應用軟體安全」，比如網銀App的資訊安全，則由各事業主管機關各自負責。