社群帳號綁定遊戲帳號出售後個資保護義務之法律分析

一、問題／事實整理（LawChain 原文）

當事人向甲方購買一組以甲方社群帳號綁定之遊戲帳號，甲方承諾不再登入該帳號。當事人購入後數月將帳號轉售予丙方，丙方利用甲方之社群帳號於社群平台發表不當言論。甲方發現後向當事人索償個資侵害之賠償，當事人欲了解甲方是否有清除個資之義務，以及能否以此作為抗辯事由。

資料來源：法律圈 LawChain

二、爭點

• 帳號出售人對於帳號內之個人資料，是否負有主動清除之義務？
• 帳號買受人將帳號轉售予第三人，是否構成個人資料之「傳輸」或「利用」？
• 當事人得否以甲方未盡個資自我保護義務為由主張與有過失抗辯？
• 甲方對當事人之民事求償是否具備侵權行為之各項構成要件？

三、相關法條

• 個人資料保護法第5條 — 個人資料之蒐集、處理或利用應尊重當事人權益
• 個人資料保護法第20條 — 非公務機關對個人資料之利用限制
• 個人資料保護法第29條 — 違法利用個資之損害賠償
• 民法第184條 — 侵權行為損害賠償
• 民法第217條 — 與有過失之減免賠償
• 民法第148條 — 權利之行使不得違反誠信原則

四、法律分析

本案核心問題在於帳號出售人與買受人各自之個資保護義務。甲方自願出售包含其個人資料之社群帳號，依個人資料保護法第5條之精神，個資當事人本身對其個人資料之安全維護應盡合理注意義務。甲方於出售帳號時，本可自行登入清除個人資料（如姓名、照片、個人簡介等），卻未為之，此一疏失已構成民法第217條與有過失之要件。臺灣高等法院109年度上易字第532號判決曾指出，權利人明知風險卻未採取合理防護措施者，就損害之發生與有過失。

就當事人之責任而言，當事人將帳號轉售予丙方之行為，在法律性質上屬於遊戲帳號買賣契約之標的物交付，而非以甲方個資為交易標的。當事人並非以蒐集或利用甲方個資為目的，難以認定其違反個人資料保護法第20條之利用限制。惟當事人於轉售帳號時，對帳號內包含他人個資一事已有認知，理應於轉售時告知丙方妥善處理或清除帳號內之第三人個資，此部分當事人確有注意義務之疏忽。

然而，即便認定當事人有過失，甲方之損害賠償請求仍須證明當事人之行為與損害間有相當因果關係。丙方之不當發言行為係獨立之侵權行為，介入於當事人轉售帳號之行為與甲方受損害之間，切斷了相當因果關係之鏈結。此外，依民法第148條誠信原則，甲方自身未盡個資保護義務卻向他人求償，亦有權利濫用之疑慮。

五、結論與建議

結論：甲方出售帳號時未清除個資構成與有過失，當事人得據以抗辯。甲方之求償須證明當事人行為與損害間之因果關係，而丙方之獨立侵權行為已介入切斷因果鏈，甲方求償成功之可能性不高。

1. 保留所有與甲方之交易對話紀錄，包括甲方保證不再登入之承諾。
2. 蒐集甲方出售帳號時帳號內仍包含個資之證據（如截圖），以證明甲方未清除個資。
3. 若甲方提起訴訟，主張民法第217條與有過失及因果關係中斷之抗辯。
4. 聯繫丙方取得其獨立發言之書面證明，釐清不當言論係丙方之單獨行為。
5. 嘗試與甲方協商和解，降低訴訟成本與風險。
6. 未來進行帳號交易時，於契約中明確約定雙方個資清除義務及違約責任。
7. 必要時委任律師協助處理，尤其在收到起訴狀或調解通知時應及時回應。