2007-11-28
文/資策會科技法律中心 研究員 郭戎晉
一、線上遊戲資安問題之產生
彼得.杜拉克(Peter F. Drucker)曾說:「資訊時代的網路就如同於工業時代的鐵路一般,創造了一個全新的衝擊,飛快地改變了經濟、社會與政治的面貌。」近年來,受惠於網際網路的普及及數位科技快速發展,遊戲產業的生態在今日已有著極大的改變,業者因為早年在單機遊戲(PC Game)市場飽受盜版之苦,其後紛紛轉而投入線上遊戲(Online Game)領域,從產品推出量、市場飽和度與市場成長率等因素觀察,目前線上遊戲在我國已邁入了高度成熟期,並成為國內民眾,特別是青少年族群日常生活上的重心。依據資策會市場情報中心(MIC)的調查,自2002年我國線上遊戲市場規模首度超越了單機遊戲以來,去( 2006)年我國線上遊戲整體產值為87.8億元,相較於2005年,成長了16.6%,預估今年將可達到95.9億元的規模。若以產品型態觀察,目前市場上以「多人角色扮演遊戲」(Massive Multiplayer Online Role Playing Game;MMORPG,如天堂、魔獸世界)為主軸,休閒遊戲(Casual Game)則漸有後起之勢。
線上遊戲塑造了一個又一個的虛擬空間,讓玩家得以在遊戲虛擬世界中,藉由與其他玩家即時互動,透過相互討論、分享遊戲心得,滿足青少年期待被認同的渴望。但隨著線上遊戲成為新興的娛樂型態,在多人線上角色扮演遊戲大受歡迎之下,部分玩家為求能在最短時間內擁有最好的裝備、最強的能力,產生了所謂的「虛擬寶物金錢交易」,使得原本強調單純休閒性質的線上遊戲市場,蒙上了金錢色彩,並因而滋生層出不窮的網路犯罪與資安事件。線上遊戲市場目前最為嚴重的問題,即在於若干惡意玩家或來自於中國地區的駭客,利用木馬(Trojan Horse)或後門(Backdoor)程式等手法,不法取得、冒用他人帳號密碼,再進一步移轉該帳號中所有的虛擬寶物。在資策會市場情報中心「2006年台灣網路娛樂行為分析」研究報告中,國內玩家對於「帳號寶物被盜用」不滿的比例,已由前年的32.1%,大幅成長至56.6%,一舉超越「遊戲公司客服差」、「遊戲連線品質不穩定」及「價格偏高」等其他不滿原因。此一現象在在突顯出資訊安全議題,事實上已成為國內線上遊戲市場未來仍否持續成長的關鍵因素。故本文以下即從國內刑法相關規定及業者因應對策兩大方向,探討此一議題在我國的最新發展。
二、我國刑法上有關寶物竊盜之規定與相關案例
1、2003年刑法修正前
自從網路的概念誕生以來,網路犯罪即伴隨著網路應用模式的發展而不斷出現,而虛擬寶物竊盜正是線上遊戲所衍生之新型態網路犯罪行為。由於網際網路具有不受時間及不受地域限制的特性,故網路犯罪所引發的問題,往往有著與傳統犯罪行為相異的特性。在虛擬寶物竊盜問題開始出現的時候,由於我國刑法上以往並無針對此類犯罪行為加以設計之規定,因此執法者只能運用既有的刑法概念論處行為人之刑責。在2003年刑法進行修正之前,依原刑法第323條規定,「電能、熱能及其他能量或電磁紀錄,以動產論」,可知線上遊戲虛擬寶物等一般民眾肉眼所無法窺見的「電磁紀錄」,在當時是視為所謂的「準動產」。故行為人若有不法入侵他人帳號、移轉帳號中虛擬寶物之行為,早期的刑法規定多論以刑法第320條第1項之「普通竊盜罪」。
以板橋地方法院92年度易字第1122號刑事判決為例,被告某甲與被害人某乙兩人是在知名線上遊戲「天堂」中結識的朋友,甲基於意圖為自己不法所有之犯意,於2001年12月利用網咖之電腦,利用其所知悉某乙的遊戲帳號及密碼,連線至天堂遊戲「天神伺服器」主機,將某乙在「天神伺服器」中所扮演的虛擬人物角色身上及個人倉庫內的裝備道具(價值折合約新台幣4,000元至5,000元),丟棄在遊戲中的虛擬空間後,再以其個人的帳號及密碼登入該伺服器,將丟棄之裝備道具,以個人的虛擬人物角色撿拾後,儲存於自己在天堂遊戲中的「個人倉庫」。其後某乙登入遊戲時,赫然發現個人的虛擬裝備道具全數不翼而飛,遂報警處理。
承審法官認為線上遊戲的帳號角色及虛擬財物資料,均是以電磁紀錄的方式儲存於遊戲伺服器,依據原刑法第323規定,以動產論。就遊戲帳號所有人而言,其對於虛擬角色及財物的電磁紀錄擁有支配權,可任意處分或移轉角色及寶物,加上虛擬角色及財物雖為虛擬物品,然其於現實世界中均有一定的財產價值,玩家可透過網路加以拍賣或交換,與現實世界的財物並無不同,故線上遊戲的角色及虛擬財物應可為視為刑法竊盜罪的保護客體。被告某甲將他人線上遊戲中的虛擬財物丟棄於虛擬空間後,再以個人在遊戲中的角色加以拾取、竊取他人虛擬財物之行為,觸犯刑法第320條第1項之普通竊盜罪,依法判處罰金5,000元。
觀察早期的案例,除以刑法第320條第1項之「普通竊盜罪」外,行為人所據以得知他人的帳號密碼,如非以入侵伺服器或利用側錄軟體、木馬程式等科技方式取得,而是利用詐術手法騙取而來,由於刑法實務上向來肯定線上遊戲虛擬寶物具有一定的財產價值,故實務上亦曾有法院論以刑法第339條第2項之「詐欺取財罪」,但就相關法院判決來說,多數仍論以竊盜罪。
2、2003年刑法修正後
上述將虛擬寶物竊盜行為論以竊盜罪之方式,事實上自虛寶盜取行為出現以來,即存在著諸多的疑義。由於「電磁紀錄」欠缺通常可見的外觀,加以其可大量複製的特性,性質上著實與一般民眾認知的「動產」有所差異;再者,行為人不當輸入其他玩家帳號密碼、移轉他人虛擬寶物之行為,亦與傳統刑法上竊盜行為的概念不盡相同。故當線上遊戲虛擬寶物竊盜案例頻繁出現之後,立法者也開始思考以竊盜罪加以論處是否適當的問題。為有效因應網路及數位科技發展帶來的法律適用難題,立法院在2003年6月完成刑法之修正,增設刑法第358條至第363條之「妨害電腦使用罪章」,期待透過此一全新的規範,以維持網路虛擬空間的秩序與規範。而順應時代變化所生的「妨害電腦使用罪章」,也成為目前我國刑法中面對資安事件最為重要的法律規定。
依據現行刑法第358條規定,「無故輸入他人帳號密碼、破解使用電腦之保護措施或利用電腦系統之漏洞,而入侵他人之電腦或其相關設備者,處三年以下有期徒刑、拘役或科或併科十萬元以下罰金。」可知行為人在未取得當事人同意之下,無論其是透過詐術,或利用植入木馬程式、鍵盤側錄軟體等方式取得他人的帳號密碼,在其輸入該等不當取得的帳號密碼時,即構成刑法第358條之「無故入侵電腦罪」。此外,若行為人於入侵他人帳號密碼後,尚有不當變更或移轉他人電腦伺服器中的電磁紀錄時,此時更將進一步成立刑法第359條之罪。刑法第359條即規定,「無故取得、刪除或變更他人電腦或其相關設備之電磁紀錄,致生損害於公眾或他人者,處五年以下有期徒刑、拘役或科或併科二十萬元以下罰金。」其刑責相較於單純入侵他人電腦,更形嚴重。
以彰化地方法院所作93年度訴字第574號刑事判決為例,被告某甲於彰化市某網咖的數台電腦中植入「鍵盤紀錄程式」,透過該程式的自動紀錄功能,將曾使用各該電腦之不特定玩家的帳號、密碼記憶後,以電子郵件傳送至被告某甲的私人郵件信箱。某甲在取得被害人某乙於線上遊戲「天堂」之帳號及密碼後,即基於妨害電腦使用與意圖為自己不法利益之犯意,連續多次連接至遊戲伺服器主機,輸入其所紀錄的遊戲帳號及密碼,將某乙虛擬角色所有之虛擬道具金錢,移轉至被告某甲個人冒名申請的虛擬角色身上。被告某甲得手後,隨即以賤價出售予其他不知情的玩家牟取利益,前後共計獲利新臺幣24萬元。承審法官認定被告連續無故入侵他人之電腦設備,並取得、刪除及變更他人電腦紀錄,足生損害於被告,其行為已違反刑法第358條入侵他人電腦設備與同法第359條取得刪除變更他人電腦紀錄等罪,最終判處某甲有期徒刑6月。
由於我國從事線上遊戲之族群多為法制觀念較為薄弱的青年學者,因此在2003年刑法修正時,「妨害電腦使用罪章」相較於過去同樣犯罪所引用的竊盜罪,兩者最大的差異,即在於犯罪訴追方式之設計。在早期多論以刑法第320條第1項「普通竊盜罪」時,行為人一旦犯下竊盜罪,由於竊盜罪在訴追上採取公訴模式,並不容許當事人私下和解,對於涉世未深的青少年來說,若直接以國家公權力論處,可能失之於過苛、過重。因此「妨害電腦使用罪章」在增訂時,即已預留予雙方賠償和解的轉圜空間,依據刑法第363條規定,「刑法第358條至362條之罪,須告訴乃論。」故若行為人在檢察官起訴之前即與被害人達成合解者,檢察官將作出所謂的「不起訴處分」;縱使起訴後,當事人仍可再次進行合解而由告訴人撤回告訴,此時法官應依據刑事訴訟法第303條規定,諭知「不受理之判決」。
三、業者因應線上遊戲資安問題之對策
1、資安問題之複雜性
線上遊戲提供了虛擬的空間,供玩家體驗、挑戰與現實迥然不同的情境,但這樣的虛擬娛樂世界,卻也讓心懷不軌的投機者有機可乘,做出損害玩家權益的犯罪行為。國內線上遊戲犯罪事件層出不窮的原因,除惡意駭客破解業者防火牆、入侵遊戲伺服器大量取得玩家帳號密碼外,事實上,多數資安事件之產生,多源自於玩家對於資訊安全觀念的忽視。許多玩家在從事線上遊戲的過程中,往往輕易地將個人帳號密碼透露予遊戲中所認識的朋友,殊不知其他玩家在知悉帳號密碼後,隨即將玩家持有的虛擬寶物洗劫一空。此外,實務上由數個玩家共用同一個帳號密碼進行遊戲,而遭到共用者盜用虛擬寶物的情形也時有所聞。
然而線上遊戲之所生滋生大量的資訊安全事件,最直接的成因,則出自於玩家之間普遍使用的「外掛程式」。玩家使用外掛,除直接損害遊戲本身的公平性外,無形中也助長了大陸駭客的氣焰。對岸不少具有撰寫程式能力的駭客集團,在每一款熱門線上遊戲發行後,即紛紛推出各式各樣的外掛程式吸引玩家下載使用。但急欲快速升級的玩家,卻往往不知號稱可以24小時持續練功的外掛程式中早已內建了木馬程式,玩家辛苦獲得的虛擬寶物,便在不知不覺中遭到駭客洗劫一空。由於竊取玩家寶物的駭客多來自大陸地區,檢警單位接獲玩家報案後,縱使明知對方的身分及IP位址,礙於司法管轄權的限制,對於此類案件往往束手無策。在日趨嚴重的網路犯罪事件下,現有行政體系偵辦相關案件的流程雖然十分完備,但問題存在於政府資源並無法負荷如此龐大的案件數量,加上遊戲公司對於遊戲歷程(log)僅保存特定的期間,連帶地造成檢警在追查玩家遭竊虛擬寶物流向上的困難。國內除了少數業者有足夠的財力自建機房外,多數遊戲業者均將伺服器建置於ISP業者機房內,在經營成本壓力下,似不可能將遊戲歷程保存期間無限期的延長。
2、遊戲業者與玩家雙方欠缺互信機制
線上遊戲犯罪問題另一個隱憂,根源於玩家身份認證上的困難,由於我國並未如韓國般實施所謂的「實名制」,遊戲業者在現階段並沒有一套較佳的方式確認個別玩家的身份;而玩家對於業者的不信任感,如擔心個人資料遭到業者不當使用,也讓玩家在有所顧慮之下選擇登錄假資料。玩家在申請新的遊戲帳號時,可輕易的以虛構的姓名及身分證字號登錄成為遊戲會員,但是消費者留下的不實個人資料及電子信箱,不僅造成業者在聯絡及遊戲服務訊息通知上的困難。當玩家發生帳號、密碼遭到其他玩家盜用的情形時,對遊戲業者來說,也難以確認消費者與遭到盜用帳號之間的關連性。為了維持遊戲的公平性,業者並無法回復登錄不實資料消費者原有的遊戲權益,間接地造成遊戲業者在消費者權益維護上的負面形象。
3、善加利用科技防護措施,是問題解決之最佳方式
面對日益嚴重的帳號、密碼被盜等資安問題,如何創造安全的遊戲環境,已成為線上遊戲業者責任責無旁貸之事。業者除應教育玩家妥善保管個人的帳號管理外,新興科技保護措施如憑證技術(Digital Certificate)的研發與運用,也開啟了資安問題解決的另一扇大門。相較於早期業者只能單純提醒玩家定時變更所使用之密碼外,近來若干業者已開始投入資源建立防護機制,如遊戲橘子推出的「PlaySAFE數位安全卡」帳號密碼防護措施,即採取PKI憑證技術,目前已可有效減少線上遊戲中虛擬寶物盜用案件比例。業者藉助新興科技以確實保障遊戲消費者的權益,顯見業者亦已意識資安問題的嚴重性,這是令人欣見的進展。
業者提升資安防護能力,不僅有助於減少玩家帳號密碼被盜的風險,某程度而言,亦有助於解決業者與玩家之間因虛擬寶物遭竊所生的消費紛爭。以士林地方法院94年湖簡字第299號判決為例,玩家主張收取遊戲點數費用的業者,並未善盡善良管理人的責任,導致玩家寄存於被告公司所管理電磁資料內的線上虛擬裝備,遭到惡意第三人盜取,要求業者應就玩家喪失的虛擬寶物負131,500元之損害賠償責任。但法院認定遊戲公司在玩家聲稱帳號被盜情事之前,其已盡各項告知及提醒義務,並提供各項防護措施,防範駭客入侵。業者以「終極密碼行動」認證原告之基本資料及密碼,使該帳號僅有知悉密碼、帳號之原告方能通過認證而登入遊戲,故應認被告於提供線上遊戲服務時,符合消費者保護法第7條第1項規定之「商品或服務,應符合當時科技或專業水準可合理期待之安全性」,故判決玩家敗訴,業者無須為玩家虛擬寶物被盜負法律責任,資訊安全防護的重要性由此可見一斑。
Source: 台灣安全產業電子報 96年10月