個資法係政府所訂定用以保護個資的遊戲規則,對於業者科處相當重的法律責任。然而聰明的業者也會自訂其遊戲規則,作為雙方在實體世界中關於法律上權利義務關係的準則。事實上,遊戲業者經常在搜集個資,包括玩家的真實身份與角色扮演的資訊,關於個資的搜集、處理及利用,皆應注意個資法的規定。
實務上曾發生一名玩家提起民事訴訟指控線上遊戲「奇蹟」的業者未盡善良管理人之責任,導致其線上虛擬裝備遭受惡意第三人盜取而請求賠償損害的案例,可作為駭客入侵抗辯的參考。法院在該案判決玩家敗訴(士林地院94年湖簡字第299號判決),主要理由為:「本件被告(即業者)在原告(即玩家)聲稱帳號被盜情事之前已盡各項告知及提醒義務,並提供各項防護措施,防範駭客入侵,更積極地以『終極密碼行動』認證原告之基本資料及密碼,使該帳號僅有知悉密碼、帳號之原告方能通過認證而登入遊戲,故應認被告於提供線上遊戲服務時,業已符合當時科技或專業水準可合理期待之安全性。」因此,在面對使用者指控虛擬商品遭竊或個資外洩時,業者雖提出駭客入侵之抗辯,亦應舉證其確已提供符合當時科技水準的資訊安全設施。
面對個資法未來施行 業者應妥善因應
誠如法院在上開案例之判決所闡述:「現今網際網路雖帶給人們更為便利之生活,惟卻伴隨著使用者有被濫發垃圾電子郵件、被病毒入侵或植入木馬程式遭盜取機密等困擾及風險。然而,此等困擾及風險係每位使用者在使用網際網路時即已存在,並非單純地因業者提供電子商務交易所致,因此,在法規範上不可能將使用網際網路的所有風險全交由業者承擔。」同理,個資法亦不應將個資侵害的法律風險全交由業者承擔。
據法務部官員表示,個資法後續將分「小修」與「大修」兩階段修法,涉及「小修」的修正案預計7月送立法院,未涉及修法的部分,則規劃10月1日上路。面對個資法未來施行,業者應妥善因應,可透過約定免責約款與強化資安措施方式,雙管齊下。惟「道高一尺,魔高一丈」,遇到武力強如暗黑破壞神的駭客侵害個資時,並無法完全倚賴業者的金鐘罩,立法政策上應提供商業經營的合理空間。
(本文作者現為執業律師)