台灣手遊與中資威脅(下):這些嚇死人的「隱私權條款」,政府卻無法可管?

文/經濟民主連合讀書會
(原文刊載於關鍵評論:https://www.thenewslens.com/amparticle/157161)

前文中所提到,中資手機遊戲造成「資安問題」及「言論審查」之疑慮,都是對於我國消費者自主權之侵犯(無論是隱私上的自主,或者是言論上的自主),對於此類侵犯,我國現行法規是否有足夠的武器因應?我國主管機關對此議題是否有所意識乃至於作出行動?顯有進一步探究的必要

《個人資料保護法》對跨境傳輸保障不足

從法規面來看,最直觀的對策就是我國《個人資料保護法》(下稱《個資法》)的規範。然而,《個資法》上存有許多「先天」和「後天」的問題。

僅以法規本身來看,《個資法》雖於第8條規定:「公務機關或非公務機關…向當事人蒐集個人資料時,應明確告知當事人下列事項…個人資料利用之期間、地區、對象及方式」,但《個資法》整體架構是否能夠使前揭非公務機關的告知義務獲得落實,並貫徹「告知後同意」之原則,其實多有受到質疑 [1]

在本文脈絡下,更嚴重的問題在於:如果是境外公司蒐集、處理、利用台灣消費者個人資訊,則《個資法》的管轄是否如此神通廣大,及於此「境外公司」?在現行法下也會面臨解釋上之難題 [2]

又從執行層面來看,雖然《個資法》於第21條就非公務機關跨境傳輸個人資料至「對於個人資料之保護未有完善之法規之接受國」有所規範,但何謂「對於個人資料之保護未有完善之法規之接受國」,其實有賴中央目的事業主管機關清楚闡釋。

截至目前為止,我國主管機關似乎忽略了《個資法》第21條規定之存在,使得跨境傳輸之規範猶如無牙老虎,難以執行 [3]。因此,這個先天規範不足,後天執行失調的《個資法》,是否可以防止中資手機遊戲侵犯消費者權益,存有很大的疑慮。

定型化契約的潛在危機

另外一個討論的切入點,是以「定型化契約範本」作把關。對此,行政院消費者保護處於2018年公布了《網路連線遊戲服務定型化契約應記載及不得記載事項》,其中適用對象包括「智慧型裝置的連線遊戲服務」,即本文脈絡下之手機遊戲。

然而,該條款之適用情況,主要是針對傳統上可能會遇到的消費爭議如:「遊戲服務應載明之資訊」、「帳號密碼之使用」、「帳號密碼遭非法使用之通知與處理」、「遊戲歷程之保存期限、查詢方式及費用」等事項為規範(請參見應記載事項第6點至第9點)。

至於手機遊戲可能會面臨的個人資料以及電磁紀錄保護之問題,僅簡短規範於應記載事項第10點「關於個人資料之保護,依相關法律規定處理」、第11點「本遊戲之所有電磁紀錄均屬企業經營者所有,企業經營者並應維持消費者相關電磁紀錄之完整。消費者對於前項電磁紀錄有使用支配之權利。但不包括本遊戲服務範圍外之移轉、收益行為」及不得記載事項第2點:「不得約定概括授權企業經營者得就消費者所提供之各項個人資料,為履行契約目的範圍外之利用或洩露」。

從這些條款可以看出,定型化契約範本仍然是將個人資料保護的問題丟給《個資法》處理,雖然有提及「消費者對於電磁紀錄有使用支配之權利」,但所指為何難謂明確,在執行上是否會有爭議仍有待觀察。

本文以2020年第1季臺灣收入前十名之手機遊戲中,有中資背景的8個手機遊戲作定型化契約條款作初步調查,其中:

一、「三國殺名將傳」的服務條款完全照抄《網路連線遊戲服務定型化契約應記載及不得記載事項》,形式上似符合行政院定型化契約範本之規定,但該從服務條款中,我們看不出來消費者下載該遊戲後,遊戲平台到底是適用哪一個國家的個人資料保護法令?

這有可能進一步產生疑義,畢竟該遊戲「隱私政策」第5點規定,遊戲平台「依法」可以將資訊傳送至政府單位,如果該遊戲平台所謂「適用法規」、「相關法律規定」所指的是中國的法律,則「三國殺名將傳」消費者的個人資料,很有可能直接透過遊戲平台開發商「廣州天遊網路科技有限公司」傳送予中國政府。

二、知名手機遊戲「神魔之塔」的隱私權條款,開發商「瘋頭有限公司」要求消費者承認他們是自願將個人資料傳送至香港,而該公司可以在「法律或政府要求」的狀況下,提供個人資料予他人。因此,在港版國安法已經通過的狀況下,依據「神魔之塔」的隱私權條款,玩家的個人資料可能輕易地以「危害國家安全」的理由傳送至香港或中國政府。

三、「叫我官老爺」手機遊戲的隱私權條款也可見類似的狀況,「深圳創酷互動信息技術有限公司」明確指出遊戲的伺服器位於中國 [4],只要基於「國家安全、國防安全」的原因,該公司就可以蒐集個人資料並傳送給中國政府。

由此可見,多款知名手機遊戲的隱私權條款,不僅未能保護消費者的個人資料,甚至籠統地以「國防安全」大旗,要求消費者放棄自身隱私。行政院消費者保護處公布之《網路連線遊戲服務定型化契約應記載及不得記載事項》,可以說是完全受到忽視,未能發揮應有之作用。

政府單位力有未逮的因應對策

除了客觀地從法規觀察之外,我們進一步檢視政府是否有認知到這個議題?如果有的話,又採取了怎樣的行動?

一、行政院資通安全會報與「兩階段App資安政策」

首先,行政院在2014年的資通安全會報裡,做出了對於應用程式資訊安全的重大決議

手機與電腦之應用軟體基本資安規範由經濟部主管,惟手機屬電信法第42條規定之電信終端設備,其出廠時已內建之軟體仍併同應硬體由通傳會主管;請前揭二部會依此分工原則積極研議相關管理作為,並規劃制定資安檢測標準及鼓勵廠商自主驗證等業務。

從這段決議可以看出兩個重點:第一是主管機關,第二是政策方向。根據決議,除了手機出廠時內建的應用軟體由NCC主管,其他應用軟體的主管機關為經濟部。根據經濟部2017年的資料,經濟部工業局主管了「共通性及非特定領域應用軟體的基礎安全要求」,其他「特定領域應用軟體安全」,比如網銀App的資訊安全,則由各事業主管機關各自負責。

更重要的是,這段決議裡點出了臺灣政府迄今不變的「兩階段App資安政策」。政府第一階段的行動是訂定資安檢測的標準,經濟部工業局確實隨即在隔年公佈委由資策會擬定的「行動應用App基本資安規範」,規範裡明確規定在安全敏感性資料和個人資料保護面向,App應該符合的相關資訊安全技術要求,其規範的面向包括這些資料的蒐集、利用、儲存、傳輸、分享及刪除等。

然而,這個規範裡也明確指出,「本規範係屬非強制性規定」。既然不強制,就代表有規定和沒規定一樣,業者沒有遵守規範及自主驗證的誘因。因而政府建構了第二階段的App資安政策:鼓勵廠商自主驗證。

為了鼓勵手機應用程式業者自主進行資訊安全檢測,經濟部從2018年開始,推動了三年期的「資安產業環境建構及標準檢測認證推動計畫」。根據招標公告,三年期的計畫標案的總金額是一億元整。

而這個在2020年底落幕的計畫結果如何呢?報告顯示,第一年投注三千萬的成果是,已鼓勵126個App進行資安檢測。這126個App裡是否有我們關注的手機遊戲呢?有的,唯一的一個是國立臺灣歷史博物館開發的「AR仙怪歷險記」,至於有中資疑慮的手機遊戲,則付之闕如。

二、經濟部工業局〈健全數位娛樂環境與開發者輔導創新計畫成果報告〉

另外,我們從主管機關經濟部工業局於2020年12月25日所作成之《健全數位娛樂環境與開發者輔導創新計畫成果報告》,也能一窺經濟部工業局主管手機遊戲之成效。

報告說明,經濟部瞭解中國手機遊戲於我國市場之影響力,也擔心中國手機遊戲在台之代理業者,事實上可能只是魁儡或中國公司的橡皮圖章,但該報告所謂三種「中國遊戲來台管理機制」是否能夠應對中國手機遊戲造成的威脅,其實有很大的疑慮。

舉例而言,經濟部雖稱會協助審議中國大陸遊戲伺服器流向檢測報告(第一種機制),但報告中完全看不到任何檢測成果。

另外,所謂「定期至 App 主流平台查察中國大陸遊戲是否有透過第三地跨境營運」(第二種機制),經濟部雖然發現多達159款中國遊戲未經代理授權確認或疑似跨境營運之情形,但經濟部的處理只是「通知業者應依法完成登錄程序並限期改善」,似乎中國遊戲可以先來台跨境營運,如果不幸被經濟部察覺,也只會收到限期改善之通知,不會有任何受到任何不利益。

最後,經濟部雖然有建立檢舉管道(第三種機制),並且稱年度重點案件「冒險聯盟」因受檢舉未完成分級登錄而下架,但事實上,天遊網路科技有限公司嗣後將該款遊戲改名為「冒險物語」重新上市,所謂的檢舉制度和重點案件也顯得像白忙一場,中國公司只要用換湯不換藥的方式就可以輕易規避主管機關的審查。

建言:檢討手機遊戲規範、強化個人資料保護

綜合上述,可以預見手機遊戲產業在台灣蓬勃的發展榮景不變,但大眾容易忽視的是,中資手機遊戲的威脅早已潛藏在國人日常生活當中,包括「三國殺名將傳」、「神魔之塔」等幾款知名手機遊戲。

遺憾的是,我國主管機關對此風險似乎力有未逮:「行動應用App基本資安規範」不具有強制性,資訊安全檢測只具有鼓勵性質,對於中國遊戲未經代理授權確認或疑似跨境營運之情形,主管機關也僅僅是通知「限期改善」而已。在我國寬鬆的管制下,中資手機遊戲恐怕將隨著產業的蓬勃發展與日俱增。

對此,我們提出三點建言,以因應中資手機遊戲的資訊安全威脅:

一、行政院應重新檢討包括「行動應用App基本資安規範」在內的應用程式資訊安全政策,將App應符合的相關資訊安全技術要求改為「強制」且建立「公開」、「定期」的審查機制,進一步地,針對違反之業者訂定罰則。

二、經濟部應加強審議現有之「中國大陸遊戲伺服器流向檢測報告」,嚴加審查中國遊戲未經代理授權及跨境營運之情形,若有違反者,即應依據《個資法》第21條及第47條規定施予行政罰。

三、主管機關應正視《個資法》第21條之規定,清楚闡釋中國屬「對於個人資料之保護未有完善之法規之接受國」,並監督手機遊戲業者蒐集個人資料之境外傳輸。

發佈留言

發佈留言必須填寫的電子郵件地址不會公開。 必填欄位標示為 *