相信許多讀者都有「耳聞」索尼公司(SONY Corporation,下稱SONY公司)所提供之PSN服務,在2011年4月間發生遭駭客攻擊,導致全球7700萬名會員資料外洩,據新聞報導,台灣亦有25.5萬名PSN會員可能受害。新修正的個人資料保護法在面對這種大規模的個人資料外洩的事件,除要求保有個人資料檔案的組織或個人應依第12條規定,於發生此類事件時,應先進行調查處理後,通知可能受害的當事人之外,並可能面臨當事人以企業未盡對個人資料檔案之安全維護義務,自行或透過團體訴訟的方式向該企業請求民事損害賠償(關於我國個資法上團體訴訟之介紹,請參考:從南韓控蘋果集體訴訟案看我國個資法團體訴訟制度)。我們先來看下面這則新聞回憶一下:
文/蘇文彬 (記者) 2011-05-03
Sony PSN以服務PS3、PSP用戶會主,台灣估計約有25.5萬PSN會員連同全球7700萬會員資料一起被駭客竊取。
Sony PlayStation Network(PSN)被駭導致全球7700萬會員資料外洩,台灣也有25.5萬PSN會員受累,Sony呼籲本週PSN服務恢復後,會員應儘速更改密碼,並慎防有心人士詐騙行為。4月中Sony PSN被駭客入侵,為調查事件Sony關閉PSN網路進行調查,估計全球7700萬PSN會員資料,包括姓名、地址、電子郵件等明碼資料被竊,信用卡資料被加密保護,但不排除也被竊取的可能,引起美國、英國、愛爾蘭等政府關切,台北市政府也行文要求Sony說明。
SONY公司在2006年推出家用遊戲主機PlayStation 3(下稱PS3),至今已累積數千萬以上之銷售量,其與前代PlayStation 2最大之差異,除硬體規格之進步外,另提供稱為「PlayStation Network」(下稱PSN)之線上遊戲整合服務,PS3之用戶僅需於線上填寫簡易之申請表,便可享受PSN線上服務。PSN服務內容包括社交平台、下載中心及紀錄玩家遊戲歷程之獎盃(Trophies)系統等,迄今已有數千萬名PS3玩家註冊。我們可以想像這類的擁有大量個資企業的個資外洩事件,通常不會僅有「單一」個人受害,但通常又難以證明實際的損害,如依我國個人資料保護法之規定,在這類無法證損害的案件中,每人求償額度則為新台幣二萬元以下(日本據了解約3萬日元)。此一數額無論與受害者委任律師所須支出之費用,或不委任律師而自行出庭、蒐證完成訴訟所需耗費之時間相較下,顯然並不經濟。因此,受害者較有可能有效行使權利尋求法院裁判彌補損害之途徑,便是藉由團體訴訟的方式為之。
值得注意的是,SONY公司又於今年9月間傳出修改與玩家間的服務條款,新增要求PSN的玩家放棄提起集體訴訟的權利,該條規定要求玩家同意日後無論是訴訟或是仲裁,皆僅得以個人為單位提起(any Dispute Resolution Proceedings, whether in arbitration or court,
will be conducted only on an individual basis and not in a class or
representative action or as a named or unnamed member in a class, consolidated,
representative or private attorney general action),玩家雖然可以選擇退出(opt-out),但必須於同意規約修改後的30日內以書面寫明個人帳號與可接受的紛爭處理方式郵寄通知SONY公司。然而,企業可以為了避免個資或消保爭議,直接透過這類的服務條款要求玩家放棄提起團體訴訟的權利嗎?
文/陳曉莉 (編譯) 2011-09-19
專門爆料的Examiner上周發現Sony更新了Playstation Network(PSN)的服務條款,條款中要求使用者放棄集體訴訟,新條款已於上周四(9/15)施行。
新的PSN服務條款在第15條中新列了放棄集體訴訟的條文,指出不論是透過仲裁或法院等任何有爭議的解決程序,都將只能以個人為基礎,而不能透過集體訴訟來進行,除非經過使用者與Sony明確的書面同意。不過,該條款也強調此一新的規定並不影響使用者在今年8月20日以前對Sony提出的集體訴訟案。
此外,Sony也提供管道讓使用者退出該規定。Sony於條款中註明,使用者有權不接受放棄集體訴訟的條款,在同意該條款的30天內,可以寫信到Sony的法務部,附上自己的姓名、地址、PSN帳號,以及清楚表達不想與Sony透過仲裁方式解決爭議的聲明。
前述新聞中提及服務條款修改,據筆者實際查找相關條款及報導,似乎只針對美國及相鄰地區,台灣PSN繁體中文服務的條款並未同時修改。然而若是SONY公司日後也對台灣的使用者提出相同要求,則此等放棄個資侵害團體訴訟權利的條款,在我國法下之效力如何?
1. SONY公司透過PSN繁體中文網站蒐集、利用玩家個資亦受我國法律規範
據了解,繁體中文PSN網站屬香港SONY公司(SONY公司 Computer Entertainment Hong Kong Limited, SCEH)所有,並非由國內廠商設置或主機位於台灣境內之網站。依個人資料保護法第51條第2項之規定:「公務機關及非公務機關,在中華民國領域外對中華民國人民個人資料蒐集、處理或利用者,亦適用本法。」亦即,香港SONY公司雖非依我國公司法設立之組織,但其係對我國人民個人資料進行蒐集、處理及利用,自屬個人資料保護法所稱之非公務機關,仍受我國個人資料保護法之規範。
2.免費服務仍屬消費關係而適用消保法規定
雖然PSN服務乃是SONY公司免費提供予購買PS3主機玩家使用之平台服務,然而,參諸消保法字第0920001130號函釋:「(一)「消費者:指以消費為目的而為交易:或接受服務者」、「企業經營者:指以設計、生產、…商品或提供服務為營業者」、「消費爭議:指消費者與企經營者間因商品或服務所生之爭議」,消費者保護法(以下簡稱本法)第二條第一款、第二款、第四款訂有明文。本法施行細則第二條亦規定,本法第二條第二款所稱營業,不以營利為目的者為限。又所謂「消費」,係指不再用於生產或銷售情形下之「最終消費」而言。(二)綜上,雖業者提供免費之電子信箱服務,非以營利為目的,仍屬本法所稱之企業經營者。則使用免費電子信箱之消費者與業者所生爭議,自屬本法適用範疇。」顯見業者所提供之免費服務,在PSN的使用者乃是最終端消費者的情形下,亦屬於「消費關係」,業者仍須遵守消費者保護法之規範。
消費者保護法第12條規定:「Ⅰ定型化契約中之條款違反誠信原則,對消費者顯失公平者,無效。Ⅱ定型化契約中之條款有下列情形之一者,推定其顯失公平:一、違反平等互惠原則者。二、條款與其所排除不予適用之任意規定之立法意旨顯相矛盾者。三、契約之主要權利或義務,因受條款之限制,致契約之目的難以達成者。」以SONY公司PSN服務條款為例,台灣的玩家若要主張權利時,若是香港SONY公司主張「準據法」或「管轄法院」條款(即相關服務應適用香港法律並在香港法院進行訴訟)的效力,均可透過本條的規定,以其單方約定或變更之條款「違反平等互惠原則」而主張其無效,而使其適用台灣法律,並使台灣法院有合法管轄權。
3.要求玩家預先放棄團體訴訟權利的條款是否有效?
人民選擇以團體訴訟作為其訴訟程序進行之方法,應為其受憲法保障之訴訟權之一部,此次SONY公司修改條款對於訴訟權保護之意義,乃是對玩家提起訴訟方法之「限制」,而此權利得否於私人間以契約加以限制,則涉及憲法學上基本權的第三人效力理論問題,因「基本權」具有「針對國家」的特性,因此如果限制基本權的一方並非國家而是私人時,以契約限制他方的基本權之是否有效,需個案判斷,故本文不擬於此處討論,而是直接針對現行法律,倘玩家在同意此一條款而使用PSN服務,事後能否在發生個資外洩爭議時,主張本條款無效,仍對香港SONY公司提起團體訴訟?
承前對於消費者保護法應適用於PSN這類跨國公司提供的服務,依據前述消費者保護法第12條規定,違反誠信原則而對消費者顯失公平之定型化契約條款無效(事實上,民法第247-1條亦規定「使他方當事人拋棄權利或限制其行使權利」而顯失公平時,其契約亦為無效,但在「無償服務」的情形,性質上與一般贈與的情形類似,免費服務提供者可能相當程度被免責,除非PSN服務可被當作玩家購買PS3時附隨或用以促進消費之贈品,而對銷售PS3之業者提起民事訴訟,故暫不討論。)是以,倘SONY公司要求PSN玩家同意拋棄「其於訴訟時以集體訴訟方式向SONY公司請求損害賠償之權利」,我國玩家應可依消費者保護法第12條規定,主張SONY公司修訂之條款顯失公平,應屬無效。該條款既屬無效,玩家對於SONY公司日後如發生個資外洩情形,自得依我國個人資料保護法團體訴訟之方法,由符合特定資格之團體為代表,在台灣向香港SONY公司請求損害賠償(當然,如果要向台灣銷售PS3的公司求償時,相對會比較複雜一點,但也還是有其可能性)。
綜前所述,雖然筆者很難想像SONY公司在修改這類同意拋棄「其於訴訟時以集體訴訟方式向SONY公司請求損害賠償之權利」條款背後的決策過程,但若以台灣現行的法律規範而言,透過消費者保護法可以很輕易得到該等條款的修正應屬無效的結果,但若非屬於「消費關係」,則恐怕在無償提供的服務中,確實可能可以透過契約條款來排除部分個人資料保護法上權益的情形。由此案例我們也可以注意到,個人資料保護法並沒有類似的規定可以避免掌握個資的企業或個人可以透過契約條款來排除一些當事人主張權利的強行規定,對於當事人有關個人資料的保護是否有所不足,亦值吾人思考。
同系列文章
黃曉薇律師,個人資料保護法Q&A-書面同意是否一定要以紙本為之?
賴文智律師,個人資料保護法Q&A-敏感性個人資料禁止蒐集的效力?
賴文智律師,個人資料保護法Q&A-網友「人肉搜索」的合法性?
賴文智律師、蕭家捷律師,個人資料保護法Q&A-僱主臉書(Facebook)洩個資,當然不行!
賴文智律師、蕭家捷律師,個人資料保護法Q&A-可否要求網路業者刪除網友張貼之個人資料?
賴文智律師、蕭家捷律師,從南韓控蘋果集體訴訟案看我國個資法團體訴訟制度
賴文智律師,個人資料保護法Q&A-從NFC手機談個人資料的管制
賴文智律師,個人資料保護法Q&A-企業上雲端,個資保護責任誰負?
賴文智律師,個人資料保護法Q&A-依法股東名冊絕不能外流?
賴文智律師,個人資料保護法Q&A-拒絕電話行銷後,仍然不斷收到相同業者的電話?
賴文智律師,個人資料保護法Q&A-與當事人約定永久保留、使用其個人資料,是否有違反法律?
蕭家捷律師,個人資料保護法Q&A-蒐集個資時告知當事人的「目的」,是不是多多益善?
蕭家捷律師,個人資料保護法Q&A-聯名信用卡終止發行與個資利用問題
蕭家捷律師,個人資料保護法Q&A-只要消費者曾進行購物,就可以後續進行其他商品或服務的行銷?
蕭家捷律師、賴文智律師,個人資料保護法Q&A-取得政府機關或第三公證單位的認證,是否就能免於個資賠償責任?
蕭家捷律師,個人資料保護法Q&A-網站或App以線上勾選方式取得個資蒐集、利用之同意是否合法?
蕭家捷律師,個人資料保護法Q&A-機關或企業可否利用公司人事資料提供內部通訊錄給全體同仁?
蕭家捷律師,個人資料保護法Q&A-員工的個人資料可以保留多久呢?
賴文智律師,個人資料保護法Q&A-是否應該要求員工一律簽署個人資料同意書?