遭爆個資可能「送中」，日本LINE如何挽救用戶信心？

3月17日，《朝日新聞》獨家報導指出，LINE在中國的相關企業至少有四名中國籍技術人員，曾無故入侵日本國內用戶資料庫32次，造成日本政府與民眾的一陣恐慌，擔心LINE的資安管理出現問題。

根據LINE的官方說法，本次事件並非個資外流事件，而是LINE強化公司內部個資保管程序時所發現的資安漏洞。曾無故入侵日本用戶資料庫的中國籍技術人員，皆為LINE的分公司與接受LINE分公司委託的公司員工。此外，按照當時LINE內部的作業規範，這四名中國籍技術人員確實具有出入日本用戶資料庫的權限。LINE表示，他們早已在發現這個漏洞時，就已封鎖中國公司的日本用戶資料庫存取權限。

因此，本次事件並非個資外流（外流到其他無關LINE業務的他人手中），而是LINE公司內部經營管理的問題——這次LINE之所以會發現資安漏洞，和LINE公司內部的經營整合與日本近期修改《個資法》有關。

出包地點剛好都在中國・大連

本次事件的問題出在LINE子公司LINE Plus Corporation在中國大連的子公司「上海連世數字技術有限公司大連分公司（Digital Technology 〔Shanghai〕 Limited〔大連〕」，以及接受LINE Fukuoka委託的一間剛好也位在中國大連的中國公司。

（1）上海連世數字技術有限公司大連分公司

上海連世數字技術有限公司大連分公司的業務，主要是負責：①開發LINE公司內部用的小工具、②AI人工智慧、③LINE應用程式內部的功能。本次因應LINE內部強化資安層級，LINE已取消了上海連世數字技術有限公司大連分公司開發業務取得下述資訊的權限：

1. LINE搜查機關相關業務人員用的CMS內容管理系統開發權限（content management system, CMS）。該系統在用戶檢舉訊息後，為了要通報搜查機關，會存放檢舉訊息的用戶姓名、電話號碼、e-mail、LINE帳號及檢舉的訊息內容。關於這部分細節可以參考這裡。
2. LINE審查業務人員用的CMS內容管理系統開發權限（用戶檢舉訊息等內容後，負責確認這些內容是否違反使用者條款）。
3. 客服信箱的開發權限（姓名、電話、e-mail）。
4. LINE虛擬人像功能、LINE應用程式內OCR光學文字辨識功能的開發權限（同意使用LINE虛擬人像功能，即同意LINE公司內部使用用戶上傳的大頭照）。
5. KEEP功能的開發權限（用戶使用KEEP功能時，存放在LINE雲端硬碟的文字訊息、照片、影片、檔案）。

（2）委託中國公司協助業務的LINE Fukuoka（福岡）

至於LINE Fukuoka委託的中國公司（沒有公佈公司名稱，只知同樣位在大連，是日本知名業務代理集團在中國成立的公司），沒有取得日本用戶資料庫的權限，但是可以接觸到檢舉訊息的用戶資料。

LINE Fukuoka的業務主要是負責審查用戶檢舉的訊息內容，LINE Fukuoka委託中國公司的業務，也是協助審查用戶檢舉的訊息內容。根據LINE的說法，如果是日本用戶的加密訊息遭檢舉，是由LINE Fukuoka負責審查；但如果是非加密訊息，或是貼文串等公開內容，則由LINE Fukuoka和LINE Fukuoka委託的這間中國公司共同審查。

根據LINE的說法，LINE Fukuoka委託這間中國公司負責的業務，一天需要處理約1萬8000件遭檢舉的貼文串內容、約7萬4000件遭檢舉的非加密訊息。

LINE表示，如果是LINE@官方帳號的內容（包含：群發訊息、貼文串和主頁，不含：一對一聊天內容、透過API的對話內容、用戶回應chatbot機器人的回答），一律是由LINE Fukuoka負責監控／審查。

（3）LINE在中國還有NAVER China（北京世聯互動網路有限公司）

LINE也強調，LINE在北京還有NAVER Corporation在中國成立法人的「北京世聯互動網路有限公司（NAVER China）」，NAVER China無法取得日本、台灣、泰國和印尼用戶的資料，NAVER China只負責審查這4個國家以外的用戶資訊。

Photo Credit: Reuters / 達志影像

時間點撞Yahoo! Japan和LINE經營整合不是意外

Yahoo! Japan和LINE在2019年11月宣布要整合，並於今（2021）年3月1日完成經營整合，成立日本超大型IT企業Zホールディングス（Z Holding, ZHD）。本次事件爆發，就是在Yahoo! Japan和LINE經營整合的脈絡下，LINE委託資安專家來調查LINE內部的資安狀況，才發現了這個漏洞。

也因此，LINE才會在3月17日新聞爆出時，就表示這件事情早已在2月（也就是Yahoo! Japan和LINE完成整併之前）就處理完畢，強調自己在2月底前發現問題時，就已經撤銷中國籍技術人員取得日本用戶資料庫的權限。LINE這番說詞，其實同時也是向合作夥伴Yahoo! Japan喊話，強調自己在雙邊經營整合前，就已經處理好這個問題了。

從LINE的角度來看，本次事件並非個資外流事件，而是LINE修改公司內部的用戶隱私政策，強化可以取得用戶權限的工作人員層級，所以才會刪除原本可以取得日本用戶個資的中國籍技術人員權限。這件事情可以只是LINE公司內部的規範，本無須特別向用戶說明。

但正因為《朝日新聞》的獨家報導，將此事公諸於世，再加上LINE在日本的普及率之廣，不只民眾、就連日本政府單位也很常和LINE合作推出線上便民服務，才會讓日本全國一夕間繃緊神經，擔心LINE出現資安漏洞。

將於明年上路的日本新版個資法衝擊到LINE

此外，日本將於明（2022）年4月上路的新版《個人情報保護法》規定，企業如果要將用戶的個人資料存放在他國，必須要明確地告知用戶伺服器所在國。LINE作為亞洲的大型電子跨國企業，除了用戶遍佈東亞各國，LINE在日本、韓國、台灣、泰國、中國、印尼與越南都有據點，負責存放用戶資料。

以LINE日本用戶的資料庫為例，日本用戶的個人資料主要存放於LINE在日本和韓國的伺服器。兩邊資料庫所存放的內容如下：

• LINE的日本伺服器：對話紀錄、LINE帳號、電話號碼、電子郵件、LINE好友關係、好友名單、位置資訊、通訊錄、LINE Profile+（LINE的個人頁面，含姓名、住址等資料）、語音通話紀錄（不含通話內容）、LINE應用程式內部的交易紀錄（例如：購買貼圖）
• LINE的韓國伺服器：照片、影片、KEEP（LINE的雲端硬碟）、相簿、貼文串、LINE Pay的交易資訊（姓名和住所等需要認證的資料則存放於日本的伺服器）

事件爆發後，順勢將資料庫移轉回日本國內

在本次事件爆發之前，LINE在用戶條款中只有寫到「用戶資料有可能會存放於他國伺服器」，並沒有和用戶明確講出哪些資訊會放在哪裡。上述這些資訊，都是LINE在新聞爆出之後，才在官網上公佈出來的。