台灣手遊與中資威脅(下):這些嚇死人的「隱私權條款」,政府卻無法可管?

台灣手遊與中資威脅(下):這些嚇死人的「隱私權條款」,政府卻無法可管?
Photo Credit: 中央社

我們想讓你知道的是

手機遊戲產業在台灣蓬勃發展,但中資手機遊戲的威脅早已潛藏在國人日常生活當中,包括「三國殺名將傳」、「神魔之塔」等幾款知名手機遊戲在內。遺憾的是,我國主管機關對此風險似乎力有未逮:「行動應用App基本資安規範」不具有強制性,資訊安全檢測更只具有鼓勵性質。

文:經濟民主連合讀書會

前文中所提到,中資手機遊戲造成「資安問題」及「言論審查」之疑慮,都是對於我國消費者自主權之侵犯(無論是隱私上的自主,或者是言論上的自主),對於此類侵犯,我國現行法規是否有足夠的武器因應?我國主管機關對此議題是否有所意識乃至於作出行動?顯有進一步探究的必要。

《個人資料保護法》對跨境傳輸保障不足

從法規面來看,最直觀的對策就是我國《個人資料保護法》(下稱《個資法》)的規範。然而,《個資法》上存有許多「先天」和「後天」的問題。

僅以法規本身來看,《個資法》雖於第8條規定:「公務機關或非公務機關...向當事人蒐集個人資料時,應明確告知當事人下列事項...個人資料利用之期間、地區、對象及方式」,但《個資法》整體架構是否能夠使前揭非公務機關的告知義務獲得落實,並貫徹「告知後同意」之原則,其實多有受到質疑 [1]

在本文脈絡下,更嚴重的問題在於:如果是境外公司蒐集、處理、利用台灣消費者個人資訊,則《個資法》的管轄是否如此神通廣大,及於此「境外公司」?在現行法下也會面臨解釋上之難題 [2]

又從執行層面來看,雖然《個資法》於第21條就非公務機關跨境傳輸個人資料至「對於個人資料之保護未有完善之法規之接受國」有所規範,但何謂「對於個人資料之保護未有完善之法規之接受國」,其實有賴中央目的事業主管機關清楚闡釋。

截至目前為止,我國主管機關似乎忽略了《個資法》第21條規定之存在,使得跨境傳輸之規範猶如無牙老虎,難以執行 [3]。因此,這個先天規範不足,後天執行失調的《個資法》,是否可以防止中資手機遊戲侵犯消費者權益,存有很大的疑慮。

定型化契約的潛在危機

另外一個討論的切入點,是以「定型化契約範本」作把關。對此,行政院消費者保護處於2018年公布了《網路連線遊戲服務定型化契約應記載及不得記載事項》,其中適用對象包括「智慧型裝置的連線遊戲服務」,即本文脈絡下之手機遊戲。

然而,該條款之適用情況,主要是針對傳統上可能會遇到的消費爭議如:「遊戲服務應載明之資訊」、「帳號密碼之使用」、「帳號密碼遭非法使用之通知與處理」、「遊戲歷程之保存期限、查詢方式及費用」等事項為規範(請參見應記載事項第6點至第9點)。

至於手機遊戲可能會面臨的個人資料以及電磁紀錄保護之問題,僅簡短規範於應記載事項第10點「關於個人資料之保護,依相關法律規定處理」、第11點「本遊戲之所有電磁紀錄均屬企業經營者所有,企業經營者並應維持消費者相關電磁紀錄之完整。消費者對於前項電磁紀錄有使用支配之權利。但不包括本遊戲服務範圍外之移轉、收益行為」及不得記載事項第2點:「不得約定概括授權企業經營者得就消費者所提供之各項個人資料,為履行契約目的範圍外之利用或洩露」。

微解封  民眾外出不忘戴口罩
Photo Credit: 中央社

從這些條款可以看出,定型化契約範本仍然是將個人資料保護的問題丟給《個資法》處理,雖然有提及「消費者對於電磁紀錄有使用支配之權利」,但所指為何難謂明確,在執行上是否會有爭議仍有待觀察。

本文以2020年第1季臺灣收入前十名之手機遊戲中,有中資背景的8個手機遊戲作定型化契約條款作初步調查,其中:

一、「三國殺名將傳」的服務條款完全照抄《網路連線遊戲服務定型化契約應記載及不得記載事項》,形式上似符合行政院定型化契約範本之規定,但該從服務條款中,我們看不出來消費者下載該遊戲後,遊戲平台到底是適用哪一個國家的個人資料保護法令?

這有可能進一步產生疑義,畢竟該遊戲「隱私政策」第5點規定,遊戲平台「依法」可以將資訊傳送至政府單位,如果該遊戲平台所謂「適用法規」、「相關法律規定」所指的是中國的法律,則「三國殺名將傳」消費者的個人資料,很有可能直接透過遊戲平台開發商「廣州天遊網路科技有限公司」傳送予中國政府。

二、知名手機遊戲「神魔之塔」的隱私權條款,開發商「瘋頭有限公司」要求消費者承認他們是自願將個人資料傳送至香港,而該公司可以在「法律或政府要求」的狀況下,提供個人資料予他人。因此,在港版國安法已經通過的狀況下,依據「神魔之塔」的隱私權條款,玩家的個人資料可能輕易地以「危害國家安全」的理由傳送至香港或中國政府。

三、「叫我官老爺」手機遊戲的隱私權條款也可見類似的狀況,「深圳創酷互動信息技術有限公司」明確指出遊戲的伺服器位於中國 [4],只要基於「國家安全、國防安全」的原因,該公司就可以蒐集個人資料並傳送給中國政府。

由此可見,多款知名手機遊戲的隱私權條款,不僅未能保護消費者的個人資料,甚至籠統地以「國防安全」大旗,要求消費者放棄自身隱私。行政院消費者保護處公布之《網路連線遊戲服務定型化契約應記載及不得記載事項》,可以說是完全受到忽視,未能發揮應有之作用。

AP_19143246838345
Photo Credit: AP / 達志影像

政府單位力有未逮的因應對策

除了客觀地從法規觀察之外,我們進一步檢視政府是否有認知到這個議題?如果有的話,又採取了怎樣的行動?

一、行政院資通安全會報與「兩階段App資安政策」

首先,行政院在2014年的資通安全會報裡,做出了對於應用程式資訊安全的重大決議

手機與電腦之應用軟體基本資安規範由經濟部主管,惟手機屬電信法第42條規定之電信終端設備,其出廠時已內建之軟體仍併同應硬體由通傳會主管;請前揭二部會依此分工原則積極研議相關管理作為,並規劃制定資安檢測標準及鼓勵廠商自主驗證等業務。

從這段決議可以看出兩個重點:第一是主管機關,第二是政策方向。根據決議,除了手機出廠時內建的應用軟體由NCC主管,其他應用軟體的主管機關為經濟部。根據經濟部2017年的資料,經濟部工業局主管了「共通性及非特定領域應用軟體的基礎安全要求」,其他「特定領域應用軟體安全」,比如網銀App的資訊安全,則由各事業主管機關各自負責。


猜你喜歡

Tags: