現為國際新聞編譯,寫新聞編譯也寫評論。有一個日本新聞編譯平台叫【石川カオリ的日本時事まとめ翻譯】 🌐網站:https://changyuchieh.com/ 🔍社群帳號請搜尋:石川カオリ的日本時事まとめ翻譯 📨電子報:https://changyuchieh.xyz/
日本LINE遭爆资安漏洞?新闻事件背后那些有说没说的细节懒人包
本月17号, 《朝日新闻》独家报导( 1 , 2 , 3 )指出LINE在中国的相关企业至少有4名中国籍技术人员曾无故入侵日本国内用户资料库32次,造成日本政府与民众的一阵恐慌,担心LINE的资安管理出现问题。
根据LINE的官方说法,本次事件并非个资外流事件,而是LINE内部强化公司内部个资保管程序时,所发现的资安漏洞。曾无故进入日本用户资料库的中国籍技术人员,为LINE的分公司与接受LINE分公司委托的公司员工,按照当时LINE内部的作业规范,他们确实具有进出日本用户资料库的权限。在LINE发现这个漏洞时,早已在今年2月封锁中国公司的日本用户资料库取得权限。
所以本次事件并非个资外流(外流到其他无关LINE业务的他人手中),而是LINE公司内部经营上的问题。之所以会这么说,是因为这次之所以会发现漏洞,和LINE公司内部的经营整合与日本近期修改《个资法》有关。
出包地点刚好都在中国・大连
本次事件的问题出在LINE子公司LINE Plus Corporation在中国大连的子公司「上海连世数字技术有限公司大连分公司( Digital Technology (Shanghai) Limited(大连) 」,以及接受LINE Fukuoka委托的一间刚好也位在中国大连的中国公司。
上海连世数字技术有限公司大连分公司
上海连世数字技术有限公司大连分公司的业务,主要是负责:①开发LINE公司内部用的小工具、② AI人工智慧、③ LINE应用程式内部的功能。本次因应LINE内部强化资安层级,LINE已取消了上海连世数字技术有限公司大连分公司开发业务取得下述资讯的权限:
- LINE搜查机关相关业务人员用的CMS内容管理系统开发权限(content management system, CMS)
→ 该系统在用户检举讯息后,为了要通报搜查机关,会存放检举讯息的用户姓名、电话号码、e-mail、LINE帐号及检举的讯息内容。关于这部分细节可以参考这里 - LINE审查业务人员用的CMS内容管理系统开发权限(用户检举讯息等内容后,负责确认这些内容是否违反使用者条款)
- 客服信箱的开发权限(姓名、电话、e-mail)
- LINE虚拟人像功能、LINE应用程式内OCR光学文字辨识功能的开发权限(同意使用LINE虚拟人像功能,即同意LINE公司内部使用用户上传的大头照)
- KEEP功能的开发权限(用户使用KEEP功能时,存放在LINE云端硬碟的文字讯息、照片、影片、档案)
委托中国公司协助业务的LINE Fukuoka(福冈)
至于LINE Fukuoka委托的中国公司(没有公布公司名称,只知同样位在大连,是日本知名业务代理集团在中国成立的公司),没有取得日本用户资料库的权限,但是可以接触到检举讯息的用户资料。
LINE Fukuoka的业务主要是负责审查用户检举的讯息内容,LINE Fukuoka委托中国公司的业务,也是协助审查用户检举的讯息内容。根据LINE的说法,如果是日本用户的加密讯息遭检举,是由LINE Fukuoka负责审查;但如果是非加密讯息,或是贴文串等公开内容,则由LINE Fukuoka和LINE Fukuoka委托的这间中国公司共同审查。
根据LINE的说法,LINE Fukuoka委托的这间中国公司负责的业务,一天需要处理约1万8,000件遭检举的贴文串内容、约7万4,000件遭检举的非加密讯息。
LINE表示,如果是LINE@官方帐号的内容(包含:群发讯息、贴文串和主页,不含:一对一聊天内容、透过API的对话内容、用户回应chatbot机器人的回答),一律是由LINE Fukuoka负责监控/审查。
LINE在中国还有NAVER China(北京世联互动网路有限公司)
LINE也强调,LINE在北京还有NAVER Corporation在中国成立法人的「北京世联互动网路有限公司( NAVER China ) 」,NAVER China无法取得日本、台湾、泰国和印尼用户的资料,NAVER China只负责审查这4个国家以外的用户资讯。
前往下一页继续阅读:时间点撞Yahoo! Japan和LINE经营整合不是意外
回上一页:出包地点刚好都在中国・大连
时间点撞Yahoo! Japan和LINE经营整合不是意外
Yahoo! Japan和LINE在2019年11月宣布要整合,并于今年3月1日完成经营整合,成立日本超大型IT企业Zホールディングス(Z Holding, ZHD) 。本次事件爆发,就是在Yahoo! Japan和LINE经营整合的脉络下,LINE委托资安专家来调查LINE内部的资安状况,才发现了这个漏洞。
也因此,LINE才会在17号新闻爆出时,就表示这件事情早已在2月(也就是Yahoo! Japan和LINE完成整并之前)就处理完毕,强调自己在2月底前发现问题时,就已经撤销中国籍技术人员取得日本用户资料库的权限。 LINE这番说词,其实同时也是向合作伙伴Yahoo! Japan喊话,强调自己在双边经营整合前,就已经处理好这个问题了。
从LINE的角度来看,本次事件并非个资外流事件,而是LINE修改公司内部的用户隐私政策,强化可以取得用户权限的工作人员层级,所以才会删除原本可以取得日本用户个资的中国籍技术人员权限。这件事情可以只是LINE公司内部的规范,本无须特别向用户说明。但正因为《朝日新闻》的独家报导,将此事公诸于世,再加上LINE在日本的普及率之广,不只民众、就连日本政府单位也很常和LINE合作推出线上便民服务,才会让日本全国一夕间绷紧神经,担心LINE出现资安漏洞。
将于明年上路的日本新版个资法冲击到LINE
此外,日本将于明年4月上路的新版《个人情报保护法》 规定,企业如果要将用户的个人资料存放在他国,必须要明确地告知用户伺服器所在国。 LINE作为亚洲的大型电子跨国企业,除了用户遍布东亚各国,LINE在日本、韩国、台湾、泰国、中国、印尼与越南都有据点,负责存放用户资料。
日本用户的资料存放地
以LINE日本用户的资料库为例,日本用户的个人资料主要存放在LINE在日本和韩国的伺服器。两边资料库所存放的内容如下:
- LINE的日本伺服器:
对话纪录、LINE帐号、电话号码、电子邮件、LINE好友关系、好友名单、位置资讯、通讯录、LINE Profile+(LINE的个人页面,含姓名、住址等资料)、语音通话纪录(不含通话内容)、LINE应用程式内部的交易纪录(例如:购买贴图) - LINE的韩国伺服器:
照片、影片、KEEP(LINE的云端硬碟)、相簿、贴文串、LINE Pay的交易资讯(姓名和住所等需要认证的资料则存放于日本的伺服器)
事件爆发后,顺势将资料库移转回日本国内
在本次事件爆发之前,LINE在用户条款中只有写到「用户资料有可能会存放于他国伺服器」,并没有和用户明确讲出哪些资讯会放在哪里。上述这些资讯,都是LINE在新闻爆出之后,才在官网上公布出来的。
在这次事件爆发之后,LINE宣布将会逐步将存放在韩国伺服器的日本用户资料(照片、影片、档案)转移到日本国内的伺服器,预定将于2021年6月完工。至于目前存放在韩国伺服器的日本LINE@官方帐号的贴文串内容,也预定将于2022年6月前全数移转到日本国内的伺服器,接着才会陆续将存放在韩国伺服器的日本个人用户贴文串资料,移回日本的资料库。
同一作法,两种诠释
从国族主义的角度来看,LINE选择将日本用户的个人资料移回日本国内的伺服器,可以解读成LINE因为这次的事件,所以决定将日本用户的资料全部移回日本国内,防止日本用户的个资遭到他国势力介入。但实际情况应是,LINE如果没有在日本新版《个人情报保护法》上路前,将所有日本用户的资料移回日本国内的伺服器,LINE就必须要在用户条款中一一列出各项服务的资料是分别存放在哪些国家的伺服器里。可以说,LINE应该早就有将日本用户资料移回日本国内的计画,只是因为这次事件爆发,LINE便决定顺势公布这项计画,来安抚日本用户,希望能挽救日本用户对LINE的信心。
然而,LINE的这波止血并没有成功。原因是,日本政府机关的个人情报保护委员会和总务省双双大动作的要求LINE必须要向政府提出相关报告。
前往下一页继续阅读:日本政府动起来
日本政府动起来
然而,LINE的这波止血并没有成功。原因是,日本政府机关的个人情报保护委员会和总务省双双大动作的要求LINE必须要向政府提出相关报告。
个人情报保护委员会:清查是否违反现行《个资法》
个人情报保护委员会基于现行的《个人情报保护法》,要求LINE与母公司Z Holding必须在23号前提出相关报告与通讯纪录。根据现行的《个人情报保护法》,企业如果要将用户的个人资料存放海外,或允许海外存取用户资料,必须要取得用户同意。个人情报保护委员会的要求,就是要确认LINE是否有违反现行法令。
不过以LINE现行的使用者条款来看,因为有写到「个人资料有可能会移转到没有个资保护法的第三国」,虽然没有明确写出国名,但应该符合现行法律规范(至少到明年4月《个人情报保护法》修正案上路前)。
总务省:限期一个月内报告
总务省则依据《电気通信事业法》在19号要求LINE在下个月19号前必须要提出报告,说明本次事件经过、保护用户个人资料与通讯安全的措施、伺服器安全措施的现状、和用户做了哪些说明等,称之为「报告征收」。
LINE已是日本线上服务基础建设一环
除了中央政府之外,日本有不少地方政府都有和LINE合作推出电子化(e化)线上便民服务。特别是去年COVID-19疫情爆发之后,政府单位更是积极推广线上作业,希望民众可以不用再为了申办业务特别跑一趟市、区公所,降低传染风险。
报导指出,日本各地就有约900个大大小小的地方政府推出LINE@官方帐号。 LINE在日本境内每月有8,600万活跃用户(占日本总人口68%) ,是多数民众惯用的通讯软体,对于想要推出线上便民服务的行政单位来说,选择和LINE合作可以降低民众使用门槛(不需要再熟悉新一套软体或操作方式),可以说LINE现在在日本已经是数位时代的线上服务基础建设不可或缺的重要平台。
各地方政府作法两极
面对LINE爆出有可能会「送中」的疑虑,各地方政府的作法不一。像千叶县市川市就选择暂停部分可以透过市政府官方LINE@帐号申办的业务,这些遭到暂停的线上申办业务,都是需要民众在聊天视窗上传驾照等附有照片可以比对本人的文件,供市政府官方LINE@帐号另一端的作业人员确认是否为本人的行政业务。
除了一般行政业务之外,最近因为正好要开始施打疫苗,有不少地方政府就是利用LINE@官方帐号,让民众线上预约疫苗施打时间。距离疫苗开放民众施打还有一小段时间(现阶段日本只有开放让医疗人员施打),像神奈川县寒川町和和歌山县和歌山市就决定要急踩煞车,在确认LINE是否有资安问题之前,决定以传统网页或电话预约的方式处理。
也有像福冈市或三重县教育委员会(相当于三重县教育局)认为,目前府方和LINE合作推出的线上服务并没有「送中」疑虑,所以会维持现状继续使用。
中央政府:涉及个资的服务先喊停
目前总务省已要求所有地方政府必须在3月26日前向中央政府回报行政部门使用LINE做为线上便民服务的使用情况。
内阁官房长官加藤胜信也在29号的记者会上表示,如果是会需要使用到民众个资,或会涉及机密资讯的线上便民服务须立刻暂停实施,待政府内部开会讨论并做出公部门使用LINE做线上便民服务的守则后,才会予以开放。如果只是单纯使用LINE@官方帐号的群发讯息功能推播政令资讯,则不在此限。
记者会上也提到,目前LINE为各地方政府开发中的COVID-19疫苗预约系统,所有资讯都是存放在日本境内,无法从海外进入资料库,所以会持续完成系统开发,呼吁地方政府不用担心。
前往下一页继续阅读:行政规范跟不上时代变化的权衡
回上一页:日本政府动起来
行政规范跟不上时代变化的权衡
承前述,日本各地方政府会积极使用LINE作为线上便民服务的平台,正是因为去年COVID-19疫情爆发,必须要减少民众在「不要不急(不重要、不紧急) 」的情况下外出,而一口气加速行政业务的线上作业流程。
最著名的例子,就是去年4月东京都涩谷区推出「只要使用LINE就能申办住民票」的服务。这个例子之所以有名,不仅是因为东京都涩谷区是第一个推出「只要使用LINE就能申办住民票」的服务,更重要的原因是这个服务上线后没多久,就被总务省喊卡。
总务省的理由是,东京都涩谷区和Bot Express公司合作推出的「只要使用LINE就能申办住民票」服务,没有使用电子签章技术,而是LINE独自研发的AI人工智慧文字与脸孔辨识技术LINE eKYC ,这不符合现行法规。总务省也在这之后(2020.4.3)按照《地方自治法》第245条之4第1项,向所有地方政府提出如果要提供住民票线上申办服务,一定要使用My Number等电子签章的「技术的建言」。
目前Bot Express和政府就此仍在诉讼当中。
参考资料:
- ユーザーの个人情报に关する一部报道について
- 一体何が?情报流出は『LINE』个人情报が阅覧可能に
- 政府の个人情报保护委员会LINEに法律に基づき报告求める
- LINE、中国に情报漏れうる実态识者「重大事案だ」
- LINE、中国の委托先が个人情报を阅覧できる状态に — 详しい経纬と対策を说明
- LINEでの行政サービス停止総务省
- 个人情报保护委、LINEに法的措置検讨総务省も报告求める―省庁の利用调查急ぐ
- 総务省LINEに报告求める中国の会社のアクセス问题で
- 政府の个人情报保护委员会、LINEにログ提出を请求…「利用者同意」の违反有无を调查
- 自治体、対応追われるLINE个人情报问题受け
- 国内サーバーに32回アクセスLINEの情报保护不备で
- LINE问题で个人情报の漏えい・流出は大丈夫? いまユーザーが気をつけるべきことを専门家に闻いた
- 个人情报保护委员会からの个人情报の取扱い等に系る报告および当社における今后の方针について
- LINEの个人情报问题、本当の“问题”はどこにあったのか
- 机密性要する情报、政府机关のLINE利用いったん停止=官房长官
- 「LINE」を用いた住民票请求サービスの适法性确认请求事件
本站推出月刊电子报【石川悄悄话】,每月15号,它会将「石川カオリ的日本时事まとめ翻译」当月最新内容,或后续新闻追踪报导,直接推送到你的电子信箱里!
>>>按此订阅电子报<<<
现在在下列平台,都可以找到「石川カオリ的日本时事まとめ翻译」喔
脸书粉丝专页/噗浪Plurk /推特Twitter / Medium
Apple Podcasts / Spotify / Google Podcasts / Firstory / SoundOn / KKBOX
原文连结石川カオリ的日本时事まとめ翻译
喜欢我的文章吗?
别忘了给点支持与赞赏,让我知道创作的路上有你陪伴。
发布评论…