台灣手遊與中資威脅(下):這些嚇死人的「隱私權條款」,政府卻無法可管?

台灣手遊與中資威脅(下):這些嚇死人的「隱私權條款」,政府卻無法可管?
Photo Credit: 中央社

我們想讓你知道的是

手機遊戲產業在台灣蓬勃發展,但中資手機遊戲的威脅早已潛藏在國人日常生活當中,包括「三國殺名將傳」、「神魔之塔」等幾款知名手機遊戲在內。遺憾的是,我國主管機關對此風險似乎力有未逮:「行動應用App基本資安規範」不具有強制性,資訊安全檢測更只具有鼓勵性質。

文:經濟民主連合讀書會

前文中所提到,中資手機遊戲造成「資安問題」及「言論審查」之疑慮,都是對於我國消費者自主權之侵犯(無論是隱私上的自主,或者是言論上的自主),對於此類侵犯,我國現行法規是否有足夠的武器因應?我國主管機關對此議題是否有所意識乃至於作出行動?顯有進一步探究的必要。

《個人資料保護法》對跨境傳輸保障不足

從法規面來看,最直觀的對策就是我國《個人資料保護法》(下稱《個資法》)的規範。然而,《個資法》上存有許多「先天」和「後天」的問題。

僅以法規本身來看,《個資法》雖於第8條規定:「公務機關或非公務機關...向當事人蒐集個人資料時,應明確告知當事人下列事項...個人資料利用之期間、地區、對象及方式」,但《個資法》整體架構是否能夠使前揭非公務機關的告知義務獲得落實,並貫徹「告知後同意」之原則,其實多有受到質疑 [1]

在本文脈絡下,更嚴重的問題在於:如果是境外公司蒐集、處理、利用台灣消費者個人資訊,則《個資法》的管轄是否如此神通廣大,及於此「境外公司」?在現行法下也會面臨解釋上之難題 [2]

又從執行層面來看,雖然《個資法》於第21條就非公務機關跨境傳輸個人資料至「對於個人資料之保護未有完善之法規之接受國」有所規範,但何謂「對於個人資料之保護未有完善之法規之接受國」,其實有賴中央目的事業主管機關清楚闡釋。

截至目前為止,我國主管機關似乎忽略了《個資法》第21條規定之存在,使得跨境傳輸之規範猶如無牙老虎,難以執行 [3]。因此,這個先天規範不足,後天執行失調的《個資法》,是否可以防止中資手機遊戲侵犯消費者權益,存有很大的疑慮。

定型化契約的潛在危機

另外一個討論的切入點,是以「定型化契約範本」作把關。對此,行政院消費者保護處於2018年公布了《網路連線遊戲服務定型化契約應記載及不得記載事項》,其中適用對象包括「智慧型裝置的連線遊戲服務」,即本文脈絡下之手機遊戲。

然而,該條款之適用情況,主要是針對傳統上可能會遇到的消費爭議如:「遊戲服務應載明之資訊」、「帳號密碼之使用」、「帳號密碼遭非法使用之通知與處理」、「遊戲歷程之保存期限、查詢方式及費用」等事項為規範(請參見應記載事項第6點至第9點)。

至於手機遊戲可能會面臨的個人資料以及電磁紀錄保護之問題,僅簡短規範於應記載事項第10點「關於個人資料之保護,依相關法律規定處理」、第11點「本遊戲之所有電磁紀錄均屬企業經營者所有,企業經營者並應維持消費者相關電磁紀錄之完整。消費者對於前項電磁紀錄有使用支配之權利。但不包括本遊戲服務範圍外之移轉、收益行為」及不得記載事項第2點:「不得約定概括授權企業經營者得就消費者所提供之各項個人資料,為履行契約目的範圍外之利用或洩露」。

微解封  民眾外出不忘戴口罩
Photo Credit: 中央社

從這些條款可以看出,定型化契約範本仍然是將個人資料保護的問題丟給《個資法》處理,雖然有提及「消費者對於電磁紀錄有使用支配之權利」,但所指為何難謂明確,在執行上是否會有爭議仍有待觀察。

本文以2020年第1季臺灣收入前十名之手機遊戲中,有中資背景的8個手機遊戲作定型化契約條款作初步調查,其中:

一、「三國殺名將傳」的服務條款完全照抄《網路連線遊戲服務定型化契約應記載及不得記載事項》,形式上似符合行政院定型化契約範本之規定,但該從服務條款中,我們看不出來消費者下載該遊戲後,遊戲平台到底是適用哪一個國家的個人資料保護法令?

這有可能進一步產生疑義,畢竟該遊戲「隱私政策」第5點規定,遊戲平台「依法」可以將資訊傳送至政府單位,如果該遊戲平台所謂「適用法規」、「相關法律規定」所指的是中國的法律,則「三國殺名將傳」消費者的個人資料,很有可能直接透過遊戲平台開發商「廣州天遊網路科技有限公司」傳送予中國政府。

二、知名手機遊戲「神魔之塔」的隱私權條款,開發商「瘋頭有限公司」要求消費者承認他們是自願將個人資料傳送至香港,而該公司可以在「法律或政府要求」的狀況下,提供個人資料予他人。因此,在港版國安法已經通過的狀況下,依據「神魔之塔」的隱私權條款,玩家的個人資料可能輕易地以「危害國家安全」的理由傳送至香港或中國政府。

三、「叫我官老爺」手機遊戲的隱私權條款也可見類似的狀況,「深圳創酷互動信息技術有限公司」明確指出遊戲的伺服器位於中國 [4],只要基於「國家安全、國防安全」的原因,該公司就可以蒐集個人資料並傳送給中國政府。

由此可見,多款知名手機遊戲的隱私權條款,不僅未能保護消費者的個人資料,甚至籠統地以「國防安全」大旗,要求消費者放棄自身隱私。行政院消費者保護處公布之《網路連線遊戲服務定型化契約應記載及不得記載事項》,可以說是完全受到忽視,未能發揮應有之作用。

AP_19143246838345
Photo Credit: AP / 達志影像

政府單位力有未逮的因應對策

除了客觀地從法規觀察之外,我們進一步檢視政府是否有認知到這個議題?如果有的話,又採取了怎樣的行動?

一、行政院資通安全會報與「兩階段App資安政策」

首先,行政院在2014年的資通安全會報裡,做出了對於應用程式資訊安全的重大決議

手機與電腦之應用軟體基本資安規範由經濟部主管,惟手機屬電信法第42條規定之電信終端設備,其出廠時已內建之軟體仍併同應硬體由通傳會主管;請前揭二部會依此分工原則積極研議相關管理作為,並規劃制定資安檢測標準及鼓勵廠商自主驗證等業務。

從這段決議可以看出兩個重點:第一是主管機關,第二是政策方向。根據決議,除了手機出廠時內建的應用軟體由NCC主管,其他應用軟體的主管機關為經濟部。根據經濟部2017年的資料,經濟部工業局主管了「共通性及非特定領域應用軟體的基礎安全要求」,其他「特定領域應用軟體安全」,比如網銀App的資訊安全,則由各事業主管機關各自負責。

更重要的是,這段決議裡點出了臺灣政府迄今不變的「兩階段App資安政策」。政府第一階段的行動是訂定資安檢測的標準,經濟部工業局確實隨即在隔年公佈委由資策會擬定的「行動應用App基本資安規範」,規範裡明確規定在安全敏感性資料和個人資料保護面向,App應該符合的相關資訊安全技術要求,其規範的面向包括這些資料的蒐集、利用、儲存、傳輸、分享及刪除等。

然而,這個規範裡也明確指出,「本規範係屬非強制性規定」。既然不強制,就代表有規定和沒規定一樣,業者沒有遵守規範及自主驗證的誘因。因而政府建構了第二階段的App資安政策:鼓勵廠商自主驗證。

為了鼓勵手機應用程式業者自主進行資訊安全檢測,經濟部從2018年開始,推動了三年期的「資安產業環境建構及標準檢測認證推動計畫」。根據招標公告,三年期的計畫標案的總金額是一億元整。

而這個在2020年底落幕的計畫結果如何呢?報告顯示,第一年投注三千萬的成果是,已鼓勵126個App進行資安檢測。這126個App裡是否有我們關注的手機遊戲呢?有的,唯一的一個是國立臺灣歷史博物館開發的「AR仙怪歷險記」,至於有中資疑慮的手機遊戲,則付之闕如。

二、經濟部工業局〈健全數位娛樂環境與開發者輔導創新計畫成果報告〉

另外,我們從主管機關經濟部工業局於2020年12月25日所作成之《健全數位娛樂環境與開發者輔導創新計畫成果報告》,也能一窺經濟部工業局主管手機遊戲之成效。

報告說明,經濟部瞭解中國手機遊戲於我國市場之影響力,也擔心中國手機遊戲在台之代理業者,事實上可能只是魁儡或中國公司的橡皮圖章,但該報告所謂三種「中國遊戲來台管理機制」是否能夠應對中國手機遊戲造成的威脅,其實有很大的疑慮。

北市暫停開放公園設施(1)
Photo Credit: 中央社

舉例而言,經濟部雖稱會協助審議中國大陸遊戲伺服器流向檢測報告(第一種機制),但報告中完全看不到任何檢測成果。

另外,所謂「定期至 App 主流平台查察中國大陸遊戲是否有透過第三地跨境營運」(第二種機制),經濟部雖然發現多達159款中國遊戲未經代理授權確認或疑似跨境營運之情形,但經濟部的處理只是「通知業者應依法完成登錄程序並限期改善」,似乎中國遊戲可以先來台跨境營運,如果不幸被經濟部察覺,也只會收到限期改善之通知,不會有任何受到任何不利益。

最後,經濟部雖然有建立檢舉管道(第三種機制),並且稱年度重點案件「冒險聯盟」因受檢舉未完成分級登錄而下架,但事實上,天遊網路科技有限公司嗣後將該款遊戲改名為「冒險物語」重新上市,所謂的檢舉制度和重點案件也顯得像白忙一場,中國公司只要用換湯不換藥的方式就可以輕易規避主管機關的審查。

建言:檢討手機遊戲規範、強化個人資料保護

綜合上述,可以預見手機遊戲產業在台灣蓬勃的發展榮景不變,但大眾容易忽視的是,中資手機遊戲的威脅早已潛藏在國人日常生活當中,包括「三國殺名將傳」、「神魔之塔」等幾款知名手機遊戲。

遺憾的是,我國主管機關對此風險似乎力有未逮:「行動應用App基本資安規範」不具有強制性,資訊安全檢測只具有鼓勵性質,對於中國遊戲未經代理授權確認或疑似跨境營運之情形,主管機關也僅僅是通知「限期改善」而已。在我國寬鬆的管制下,中資手機遊戲恐怕將隨著產業的蓬勃發展與日俱增。

對此,我們提出三點建言,以因應中資手機遊戲的資訊安全威脅:

一、行政院應重新檢討包括「行動應用App基本資安規範」在內的應用程式資訊安全政策,將App應符合的相關資訊安全技術要求改為「強制」且建立「公開」、「定期」的審查機制,進一步地,針對違反之業者訂定罰則。

二、經濟部應加強審議現有之「中國大陸遊戲伺服器流向檢測報告」,嚴加審查中國遊戲未經代理授權及跨境營運之情形,若有違反者,即應依據《個資法》第21條及第47條規定施予行政罰。

三、主管機關應正視《個資法》第21條之規定,清楚闡釋中國屬「對於個人資料之保護未有完善之法規之接受國」,並監督手機遊戲業者蒐集個人資料之境外傳輸。

延伸閱讀

責任編輯:丁肇九
核稿編輯:翁世航


猜你喜歡


【影音】整理數十萬張空拍影像,就像一場馬拉松:看見・齊柏林基金會「數位典藏」計畫

【影音】整理數十萬張空拍影像,就像一場馬拉松:看見・齊柏林基金會「數位典藏」計畫
Photo Credit:TNL Brand Studio

我們想讓你知道的是

「透過影像為環境發聲」是齊柏林畢生在做的事,也是看見・齊柏林基金會要接力做下去的事。打造一座把台灣存起來的影像資料庫,讓齊柏林留下的影像資產得以傳承世代,「數位典藏」計畫需要你我一同支持響應。

2017年,《看見台灣》的導演齊柏林匆匆離開這個世界,留下無數珍貴空拍影像資產;這些跨越1990年代到2017年、長達25年台灣自然與人文地景變遷的真實紀錄,不只保留了台灣之美,更在學術研究、環保倡議和環境教育上有著無可取代的價值。然而,龐大的影像素材需要經過「數位典藏」才能被有效應用,因此「看見・齊柏林基金會」成立的初衷,就是為了承接數位典藏的使命,讓齊導畢生的心血,能夠世代傳承,發揮永續的影響力。經過兩年的摸索,基金會最終研擬出最合適的數位典藏計畫,不只將齊導作品數位化、分類歸檔,更要建置線上影像資料庫,並將繼續記錄台灣的使命傳承下去。

根據看見・齊柏林基金會統計,齊柏林導演在空中拍攝超過2500小時所累積的影像,約為10萬張空拍底片、50萬張數位照片,上千小時的空拍影片;要為如此龐大的影像資料建檔與整理,勢必耗費許多金錢、時間與人力。不過,只要能集結眾人之力,這一場數位典藏人員及專業志工接力的馬拉松,將會是美麗而撼動人心的一段旅程。

「數位典藏」做什麼?

數位典藏(digital archive),意思是將有保存價值的實體或非實體資料,透過數位化(諸如攝影、掃描、影音拍攝、全文輸入等)與加上屬性資料等詮釋資料(Metadata),建立數位檔案的形式,作為永久保管儲存。

而看見・齊柏林基金會的數位典藏計畫可分為三大工作線,分別為:

  • 傳統底片組:挑選底片→掃描成數位檔案→建立屬性資料→歸檔
  • 數位照片組:挑選照片→建立屬性資料→歸檔
  • 空拍影片組:挑選影片→建立屬性資料→歸檔

除了要將齊導留下來的影像作品數位化歸檔,數位典藏計畫還包括改版建置「iTaiwan8影像資料庫」,也就是建設完整的線上影像資料庫系統,讓齊導作品更便於靈活運用,也能讓更多世人看見。

飛行2500小時累積的空拍影像,怎麼整理?

  • 整理底片/數位掃描

數位典藏組專員詹宇雯的工作,是負責整理傳統底片。即便存放在防潮櫃中,傳統底片仍面臨逐漸老化褪色的壓力,需要與時間賽跑進行數位化保存;然而大多未經篩選的10萬張底片,有些因為直升機震動導致些微的畫面模糊,也有因飛行路線連續較重複的地景構圖,而詹宇雯的其中一項任務,就是拿著放大鏡一一檢視精挑,並標註定位和勘誤照片資訊。

「整理底片最常發生的問題就是人工出錯,因為以前留下的資料可能是齊導或其他志工整理出來、用手寫的,貼紙可能貼錯或資料寫錯。」詹宇雯說起某次經驗,當時有一張台北車站的照片被貼了很多年份,為了找出正確年份,她試圖辨識照片裡招牌跑馬燈上的氣溫、股市市值等資料,交叉比對推斷出正確年份。雖然偶有這種偵探辦案一樣的趣事,但大多數時候是耗費專注度與眼力的過程。

完成底片挑選的階段,接著進到底片掃描數位化。然而,這步驟並不容易,除了整體的影像品質控制與檔案管理,齊柏林導演留下的底片最遠距今至少11年,老化褪色的底片容易出現色彩偏誤,須進行色彩還原,再修掉畫面上的髒點、存成解析度高的數位影像才算完成。

image3
Photo Credit:TNL Brand Studio
整理傳統底片的過程,必須拿著放大鏡一一檢視精挑,標註定位和勘誤照片資訊。
  • 建立屬性資料

所謂「建立屬性資料」,其實就是為影像添增各種描述紀錄的資訊,有了這些資訊,龐大的影像資料才能被有效率的搜尋、管理。數位典藏組副組長陳宣穎表示,以齊導拍攝的影像為例,包含:拍攝主題、地點及詮釋地景的關鍵字都屬於此範疇;而其中投入最多時間的便是「定位」和「建立關鍵字」這兩項任務。

「定位」指的是找出拍攝主體所在地點和座標,有時可透過既有的飛行軌跡紀錄來推測,但更多時候是在沒有軌跡紀錄的狀態下,憑藉地理知識及照片上的蛛絲馬跡判讀位置。如果影像拍攝年代久遠,或是地景變化很大,就需要運用更多歷史圖資或佐證資料去搜索、推論。

「我們要一張一張照片判讀,建立屬性資料。像是早期的傳統相機沒有定位功能,常常看到照片中只有一大片山稜線,此時我們就要仔細比對地圖、衛星影像,想辦法查找,盡可能貼近正確。」陳宣穎說。

「建立關鍵字」看起來似乎相對輕鬆,然而事實上,光是決定有哪些關鍵字可以使用,就是一門功夫。第一步必須辨認影像中的景物,例如一塊農田種植的是什麼作物,就必須蒐集其他資料輔助判斷;其次,由於空拍照片尺度不一,在畫面中佔比多大的景物需要設立關鍵字,也需要經過討論訂定規則;最後,還必須從使用者的角度思考,依據一般人的搜尋習慣設立關鍵字。

因此,在建立屬性資料的過程中,看見・齊柏林基金會也特別諮詢多位專家,共同研究規劃出適合台灣空中影像的關鍵字建置邏輯,並以此基礎進行分門別類、校正檢核,確保影像被妥善歸納及運用。

image2
Photo Credit:TNL Brand Studio
建立屬性資料時需要大量對比地圖,並依照訂定好的規則建立屬性資料,使歸納邏輯一致。
  • 影音資料典藏

相較於照片整理,動態影片的典藏工程更為多元複雜。首先,要針對近千小時空拍影片進行盤點,接著進行特殊格式轉檔與備份,再逐步建立邏輯編碼、標示檔案管理方式,以推動後續屬性資料建立。

「影片整理最大的兩個挑戰,其一是影片內容橫跨的範圍很大,導演可能是台中起飛、屏東降落,因此要去判斷每個影片節點的地景定位;其二是飛機上升的垂直範圍很大、晃動又劇烈,有時候會遇到『果凍效應1』致使內容失真。」影音製作組專員鄭宇程說明,由於各時期的影片拍帶檔案格式、影像內容品質、影片時長都不同,大大增加了管理建檔難度。

image4
Photo Credit:TNL Brand Studio
影音資料的典藏,需要讀取大量的檔案,逐格檢視、分段建立屬性資料、調色等。

加入數位典藏的馬拉松,傳承接棒台灣之美

從一步步定義操作流程、統一色彩管理語言、購置影像處理設備等,到培訓志工與實習生、讓人力支援一步到位、避免巨量資料的協作過程中出現錯誤,都是數位典藏計畫的範疇。多元內容創意部副總監王俐文表示,「數位典藏」四個字說來簡單,但過程繁複龐雜,需要所有人一致的專注、耐心、細心、以及熱忱。

「iTaiwan8影像資料庫」作為看見・齊柏林基金會數位典藏計畫的目標之一,改版上線只是第一步,接下來除了完成龐大影像資料的典藏,更大的挑戰是要繼續記錄台灣,讓影像不會只停留在2017年。

「透過影像為環境發聲」是齊導畢生在做的事,也是基金會要接力做下去的事。而數位典藏計畫,就是齊導生命的延續,也是基金會動力的源頭。要打造一座把台灣存起來的影像資料庫並不容易,看見・齊柏林基金會亟需各界的支持,共同建置屬於台灣最美的影像資料庫。讓我們一起守護齊柏林留下的影像資產,讓土地脈動的珍貴影像得以傳承世代,發揮更多價值。

捐款支持看見・齊柏林基金會,透過影像為環境發聲


註1:果凍效應(rolling shutter)是數位相機CMOS感光元件的一種效應,當使用電子快門來拍攝高速移動的物件時,原本垂直的物件拍攝出的畫面卻為傾斜甚至變形。(資料來源:維基百科)


猜你喜歡