個資法係政府所訂定用以保護個資的遊戲規則,對於業者科處相當重的法律責任。然而聰明的業者也會自訂其遊戲規則,作為雙方在實體世界中關於法律上權利義務關係的準則。事實上,遊戲業者經常在搜集個資,包括玩家的真實身份與角色扮演的資訊,關於個資的搜集、處理及利用,皆應注意個資法的規定。
新版個資法發佈迄今已超過2年卻因爭議很多而仍未施行,遭立委批評藐視國會。就法論法,個資法雖立益良善,但佈滿地雷,業者稍一不慎即可能招致侵害個資的法律控訴。因此如何透過契約合理分派風險以及強化個資安全措施以尋求免責的空間,亦是相當重要的課題。
例如Sony的遊戲網路服務PlayStation Network與串流音樂服務Qriocity在2011年4月間遭駭客入侵,導致7,700萬名用戶個資遭竊,類似案件對企業的商譽影響很大,而業者面對侵害個資的控訴,可能以事先訂立的免責約款作為保護傘,或主張其資安措施符合科技水準作為免責抗辯。
從電腦遊戲的遊戲規則談起
《暗黑破壞神III》是美商暴雪娛樂於今年5月15日開賣的動作角色扮演線上遊戲,玩家可從武僧、野蠻人等5個不同冒險者中選擇其一來扮演英雄,以保護聖休亞瑞的人類世界並消滅來自烈焰地獄的惡魔怪物。《暗黑破壞神III》甫一推出即席捲全球,為史上銷售速度最快的PC遊戲,甚至因為大量玩家同時登入造成伺服器不穩定而發生錯誤訊息及登入困難等問題。為此,暴雪還公開道歉表示:「We sincerely regret that your crusade to bring down the Lord of Terror was thwarted not by mobs of demons, but by mortal infrastructure.」(中譯:我們很遺憾您對恐懼之王發動的聖戰受到阻礙,並不是因為惡魔兵團,而是因為致命的基礎建設)。
如果有玩家因不滿遊戲連線失敗而向暴雪主張損害賠償,可能無法如願以償,因為在雙方所訂立的最終用戶許可協議中規定:「暴雪對任何服務中斷不承擔任何責任,包括但不限於ISP中斷、軟體或硬體故障或任何其他可能導致資料滅失或服務中斷的事件。在任何情況下,暴雪對於任何間接、偶然、特殊、懲罰性的或後果性的損害不負任何責任」。事實上,許多電子商務業者與使用者間都有訂立類似的約款,然而業者是否也可以免責約款規避個資侵害的法律責任呢?
個資法的民事歸責原則
個資法第29條規定:「非公務機關違反本法規定,致個人資料遭不法蒐集、處理、利用或其他侵害當事人權利者,負損害賠償責任。但能證明其無故意或過失者,不在此限。」因此就個資侵害的民事責任係採過失賠償主義且採舉證責任倒置的方式,業者須舉證證明其就個資不法侵害事件並無故意或過失,如其未能證明已盡善良管理人之注意義務,須依法負擔損害賠償責任。
另一方面,個資法第28條則降低了個資被害人就損害金額的舉證責任,亦即如被害人不易或不能證明其實際損害額時,得請求法院依侵害情節,以每人每一事件新臺幣五百元以上二萬元以下計算。此外,個資法第34條另訂有集體訴訟機制,以利被害人團結起來主張權利。
免責約款的效力
個資法係政府所訂定用以保護個資的遊戲規則,對於業者科處相當重的法律責任。然而聰明的業者也會自訂其遊戲規則,例如推出《暗黑破壞神III》的暴雪除了在虛擬世界訂立遊戲規則之外,也與玩家訂立最終用戶許可協議,作為雙方在實體世界中關於法律上權利義務關係的準則。
事實上,遊戲業者經常在搜集個資,包括玩家的真實身份與角色扮演的資訊,關於個資的搜集、處理及利用,皆應注意個資法的規定。
所謂「上有政策,下有對策」,為規避個資侵害的法律風險,預期未來將有許多業者在與消費者訂立的契約之中,會就駭客入侵及其他個資外洩事件訂立免責約款,或將賠償責任限制在特定金額,例如以消費者已支付的報酬為賠償上限。
惟須注意,該免責條款未必能完全規避個資法所規定的法律責任,因為依民法規定,故意及重大過失不得預先免除。此外,這類約款性質上係由地位強勢的一方片面訂立的定型化契約條款,如其內容顯失公平,可能被法院依民法及消費者保護法規定判定為無效。
強化個資安全措施
業者面對個資外洩事件,也可能以其係遭駭客入侵實屬暗箭難防作為免責抗辯。然而個資法第27條規定:「非公務機關保有個資檔案者,應採行適當之安全措施,防止個資被竊取、竄改、毀損、滅失或洩漏」。
因此,業者以駭客入侵為抗辯時,應先證明其已建置必要的「個資安全措施」,並積極取得具公信力的認證機構所制發的個資安全標章(如經濟部商業司推動的DP Mark),方有助於業者依個資法第29條規定證明其無故意或過失而免責。