本月 17號,《朝日新聞》獨家報導(1, 2, 3)指出LINE在中國的相關企業至少有 4名中國籍技術人員曾無故入侵日本國內用戶資料庫 32次,造成日本政府與民眾的一陣恐慌,擔心LINE的資安管理出現問題。
根據LINE的官方說法,本次事件並非個資外流事件,而是LINE內部強化公司內部個資保管程序時,所發現的資安漏洞。曾無故進入日本用戶資料庫的中國籍技術人員,為LINE的分公司與接受LINE分公司委託的公司員工,按照當時LINE內部的作業規範,他們確實具有進出日本用戶資料庫的權限。在LINE發現這個漏洞時,早已在今年 2月封鎖中國公司的日本用戶資料庫取得權限。
所以本次事件並非個資外流(外流到其他無關LINE業務的他人手中),而是LINE公司內部經營上的問題。之所以會這麼說,是因為這次之所以會發現漏洞,和LINE公司內部的經營整合與日本近期修改《個資法》有關。
出包地點剛好都在中國・大連
本次事件的問題出在LINE子公司LINE Plus Corporation在中國大連的子公司「上海連世數字技術有限公司大連分公司(Digital Technology (Shanghai) Limited(大連)」,以及接受LINE Fukuoka委託的一間剛好也位在中國大連的中國公司。
上海連世數字技術有限公司大連分公司
上海連世數字技術有限公司大連分公司的業務,主要是負責:①開發LINE公司內部用的小工具、② AI人工智慧、③ LINE應用程式內部的功能。本次因應LINE內部強化資安層級,LINE已取消了上海連世數字技術有限公司大連分公司開發業務取得下述資訊的權限:
- LINE搜查機關相關業務人員用的CMS內容管理系統開發權限(content management system, CMS)
→ 該系統在用戶檢舉訊息後,為了要通報搜查機關,會存放檢舉訊息的用戶姓名、電話號碼、e-mail、LINE帳號及檢舉的訊息內容。關於這部分細節可以參考這裡 - LINE審查業務人員用的CMS內容管理系統開發權限(用戶檢舉訊息等內容後,負責確認這些內容是否違反使用者條款)
- 客服信箱的開發權限(姓名、電話、e-mail)
- LINE虛擬人像功能、LINE應用程式內OCR光學文字辨識功能的開發權限(同意使用LINE虛擬人像功能,即同意LINE公司內部使用用戶上傳的大頭照)
- KEEP功能的開發權限(用戶使用KEEP功能時,存放在LINE雲端硬碟的文字訊息、照片、影片、檔案)
委託中國公司協助業務的LINE Fukuoka(福岡)
至於LINE Fukuoka委託的中國公司(沒有公佈公司名稱,只知同樣位在大連,是日本知名業務代理集團在中國成立的公司),沒有取得日本用戶資料庫的權限,但是可以接觸到檢舉訊息的用戶資料。
LINE Fukuoka的業務主要是負責審查用戶檢舉的訊息內容,LINE Fukuoka委託中國公司的業務,也是協助審查用戶檢舉的訊息內容。根據LINE的說法,如果是日本用戶的加密訊息遭檢舉,是由LINE Fukuoka負責審查;但如果是非加密訊息,或是貼文串等公開內容,則由LINE Fukuoka和LINE Fukuoka委託的這間中國公司共同審查。根據LINE的說法,LINE Fukuoka委託的這間中國公司負責的業務,一天需要處理約 1萬8,000件遭檢舉的貼文串內容、約 7萬4,000件遭檢舉的非加密訊息。
LINE表示,如果是LINE@官方帳號的內容(包含:群發訊息、貼文串和主頁,不含:一對一聊天內容、透過API的對話內容、用戶回應chatbot機器人的回答),一律是由LINE Fukuoka負責監控/審查。
LINE在中國還有NAVER China(北京世聯互動網路有限公司)
LINE也強調,LINE在北京還有NAVER Corporation在中國成立法人的「北京世聯互動網路有限公司(NAVER China)」,NAVER China無法取得日本、台灣、泰國和印尼用戶的資料,NAVER China只負責審查這 4個國家以外的用戶資訊。
時間點撞Yahoo! Japan和LINE經營整合不是意外
Yahoo! Japan和LINE在 2019年11月宣布要整合,並於今年 3月1日完成經營整合,成立日本超大型IT企業Zホールディングス(Z Holding, ZHD)。本次事件爆發,就是在Yahoo! Japan和LINE經營整合的脈絡下,LINE委託資安專家來調查LINE內部的資安狀況,才發現了這個漏洞。
也因此,LINE才會在 17號新聞爆出時,就表示這件事情早已在 2月(也就是Yahoo! Japan和LINE完成整併之前)就處理完畢,強調自己在 2月底前發現問題時,就已經撤銷中國籍技術人員取得日本用戶資料庫的權限。LINE這番說詞,其實同時也是向合作夥伴Yahoo! Japan喊話,強調自己在雙邊經營整合前,就已經處理好這個問題了。
從LINE的角度來看,本次事件並非個資外流事件,而是LINE修改公司內部的用戶隱私政策,強化可以取得用戶權限的工作人員層級,所以才會刪除原本可以取得日本用戶個資的中國籍技術人員權限。這件事情可以只是LINE公司內部的規範,本無須特別向用戶說明。但正因為《朝日新聞》的獨家報導,將此事公諸於世,再加上LINE在日本的普及率之廣,不只民眾、就連日本政府單位也很常和LINE合作推出線上便民服務,才會讓日本全國一夕間繃緊神經,擔心LINE出現資安漏洞。
將於明年上路的日本新版個資法衝擊到LINE
此外,日本將於明年 4月上路的新版《個人情報保護法》 規定,企業如果要將用戶的個人資料存放在他國,必須要明確地告知用戶伺服器所在國。LINE作為亞洲的大型電子跨國企業,除了用戶遍佈東亞各國,LINE在日本、韓國、台灣、泰國、中國、印尼與越南都有據點,負責存放用戶資料。
日本用戶的資料存放地
以LINE日本用戶的資料庫為例,日本用戶的個人資料主要存放在LINE在日本和韓國的伺服器。兩邊資料庫所存放的內容如下:
- LINE的日本伺服器:
對話紀錄、LINE帳號、電話號碼、電子郵件、LINE好友關係、好友名單、位置資訊、通訊錄、LINE Profile+(LINE的個人頁面,含姓名、住址等資料)、語音通話紀錄(不含通話內容)、LINE應用程式內部的交易紀錄(例如:購買貼圖) - LINE的韓國伺服器:
照片、影片、KEEP(LINE的雲端硬碟)、相簿、貼文串、LINE Pay的交易資訊(姓名和住所等需要認證的資料則存放於日本的伺服器)
事件爆發後,順勢將資料庫移轉回日本國內
在本次事件爆發之前,LINE在用戶條款中只有寫到「用戶資料有可能會存放於他國伺服器」,並沒有和用戶明確講出哪些資訊會放在哪裡。上述這些資訊,都是LINE在新聞爆出之後,才在官網上公佈出來的。
在這次事件爆發之後,LINE宣布將會逐步將存放在韓國伺服器的日本用戶資料(照片、影片、檔案)轉移到日本國內的伺服器,預定將於 2021年6月完工。至於目前存放在韓國伺服器的日本LINE@官方帳號的貼文串內容,也預定將於 2022年6月前全數移轉到日本國內的伺服器,接著才會陸續將存放在韓國伺服器的日本個人用戶貼文串資料,移回日本的資料庫。
同一作法,兩種詮釋
從國族主義的角度來看,LINE選擇將日本用戶的個人資料移回日本國內的伺服器,可以解讀成LINE因為這次的事件,所以決定將日本用戶的資料全部移回日本國內,防止日本用戶的個資遭到他國勢力介入。但實際情況應是,LINE如果沒有在日本新版《個人情報保護法》上路前,將所有日本用戶的資料移回日本國內的伺服器,LINE就必須要在用戶條款中一一列出各項服務的資料是分別存放在哪些國家的伺服器裡。可以說,LINE應該早就有將日本用戶資料移回日本國內的計畫,只是因為這次事件爆發,LINE便決定順勢公布這項計畫,來安撫日本用戶,希望能挽救日本用戶對LINE的信心。
日本政府動起來
然而,LINE的這波止血並沒有成功。原因是,日本政府機關的個人情報保護委員會和總務省雙雙大動作的要求LINE必須要向政府提出相關報告。
個人情報保護委員會:清查是否違反現行《個資法》
個人情報保護委員會基於現行的《個人情報保護法》,要求LINE與母公司Z Holding必須在 23號前提出相關報告與通訊紀錄。根據現行的《個人情報保護法》,企業如果要將用戶的個人資料存放海外,或允許海外存取用戶資料,必須要取得用戶同意。個人情報保護委員會的要求,就是要確認LINE是否有違反現行法令。
不過以LINE現行的使用者條款來看,因為有寫到「個人資料有可能會移轉到沒有個資保護法的第三國」,雖然沒有明確寫出國名,但應該符合現行法律規範(至少到明年 4月《個人情報保護法》修正案上路前)。
總務省:限期一個月內報告
總務省則依據《電気通信事業法》在 19號要求LINE在下個月 19號前必須要提出報告,說明本次事件經過、保護用戶個人資料與通訊安全的措施、伺服器安全措施的現狀、和用戶做了哪些說明等,稱之為「報告徵收」。
LINE已是日本線上服務基礎建設一環
除了中央政府之外,日本有不少地方政府都有和LINE合作推出電子化(e化)線上便民服務。特別是去年COVID-19疫情爆發之後,政府單位更是積極推廣線上作業,希望民眾可以不用再為了申辦業務特別跑一趟市、區公所,降低傳染風險。
報導指出,日本各地就有約 900個大大小小的地方政府推出LINE@官方帳號。LINE在日本境內每月有 8,600萬活躍用戶(佔日本總人口 68%),是多數民眾慣用的通訊軟體,對於想要推出線上便民服務的行政單位來說,選擇和LINE合作可以降低民眾使用門檻(不需要再熟悉新一套軟體或操作方式),可以說LINE現在在日本已經是數位時代的線上服務基礎建設不可或缺的重要平台。
各地方政府作法兩極
面對LINE爆出有可能會「送中」的疑慮,各地方政府的作法不一。像千葉縣市川市就選擇暫停部分可以透過市政府官方LINE@帳號申辦的業務,這些遭到暫停的線上申辦業務,都是需要民眾在聊天視窗上傳駕照等附有照片可以比對本人的文件,供市政府官方LINE@帳號另一端的作業人員確認是否為本人的行政業務。
除了一般行政業務之外,最近因為正好要開始施打疫苗,有不少地方政府就是利用LINE@官方帳號,讓民眾線上預約疫苗施打時間。距離疫苗開放民眾施打還有一小段時間(現階段日本只有開放讓醫療人員施打),像神奈川縣寒川町和和歌山縣和歌山市就決定要急踩煞車,在確認LINE是否有資安問題之前,決定以傳統網頁或電話預約的方式處理。
也有像福岡市或三重縣教育委員會(相當於三重縣教育局)認為,目前府方和LINE合作推出的線上服務並沒有「送中」疑慮,所以會維持現狀繼續使用。
中央政府:涉及個資的服務先喊停
目前總務省已要求所有地方政府必須在 3月26日前向中央政府回報行政部門使用LINE做為線上便民服務的使用情況。
內閣官房長官加藤勝信也在 29號的記者會上表示,如果是會需要使用到民眾個資,或會涉及機密資訊的線上便民服務須立刻暫停實施,待政府內部開會討論並做出公部門使用LINE做線上便民服務的守則後,才會予以開放。如果只是單純使用LINE@官方帳號的群發訊息功能推播政令資訊,則不在此限。
記者會上也提到,目前LINE為各地方政府開發中的COVID-19疫苗預約系統,所有資訊都是存放在日本境內,無法從海外進入資料庫,所以會持續完成系統開發,呼籲地方政府不用擔心。
