日本LINE遭爆資安漏洞?新聞事件背後那些有說沒說的細節懶人包

回上一頁:出包地點剛好都在中國・大連(1/4)

時間點撞Yahoo! Japan和LINE經營整合不是意外

Yahoo! Japan和LINE在 2019年11月宣布要整合,並於今年 3月1日完成經營整合,成立日本超大型IT企業Zホールディングス(Z Holding, ZHD)。本次事件爆發,就是在Yahoo! Japan和LINE經營整合的脈絡下,LINE委託資安專家來調查LINE內部的資安狀況,才發現了這個漏洞。

也因此,LINE才會在 17號新聞爆出時,就表示這件事情早已在 2月(也就是Yahoo! Japan和LINE完成整併之前)就處理完畢,強調自己在 2月底前發現問題時,就已經撤銷中國籍技術人員取得日本用戶資料庫的權限。LINE這番說詞,其實同時也是向合作夥伴Yahoo! Japan喊話,強調自己在雙邊經營整合前,就已經處理好這個問題了。

從LINE的角度來看,本次事件並非個資外流事件,而是LINE修改公司內部的用戶隱私政策,強化可以取得用戶權限的工作人員層級,所以才會刪除原本可以取得日本用戶個資的中國籍技術人員權限。這件事情可以只是LINE公司內部的規範,本無須特別向用戶說明。但正因為《朝日新聞》的獨家報導,將此事公諸於世,再加上LINE在日本的普及率之廣,不只民眾、就連日本政府單位也很常和LINE合作推出線上便民服務,才會讓日本全國一夕間繃緊神經,擔心LINE出現資安漏洞。

將於明年上路的日本新版個資法衝擊到LINE

此外,日本將於明年 4月上路的新版《個人情報保護法》 規定,企業如果要將用戶的個人資料存放在他國,必須要明確地告知用戶伺服器所在國。LINE作為亞洲的大型電子跨國企業,除了用戶遍佈東亞各國,LINE在日本、韓國、台灣、泰國、中國、印尼與越南都有據點,負責存放用戶資料。

日本用戶的資料存放地

以LINE日本用戶的資料庫為例,日本用戶的個人資料主要存放在LINE在日本和韓國的伺服器。兩邊資料庫所存放的內容如下:

  • LINE的日本伺服器:
    對話紀錄、LINE帳號、電話號碼、電子郵件、LINE好友關係、好友名單、位置資訊、通訊錄、LINE Profile+(LINE的個人頁面,含姓名、住址等資料)、語音通話紀錄(不含通話內容)、LINE應用程式內部的交易紀錄(例如:購買貼圖)
    .
  • LINE的韓國伺服器:
    照片、影片、KEEP(LINE的雲端硬碟)、相簿、貼文串、LINE Pay的交易資訊(姓名和住所等需要認證的資料則存放於日本的伺服器)

事件爆發後,順勢將資料庫移轉回日本國內

在本次事件爆發之前,LINE在用戶條款中只有寫到「用戶資料有可能會存放於他國伺服器」,並沒有和用戶明確講出哪些資訊會放在哪裡。上述這些資訊,都是LINE在新聞爆出之後,才在官網上公佈出來的。

在這次事件爆發之後,LINE宣布將會逐步將存放在韓國伺服器的日本用戶資料(照片、影片、檔案)轉移到日本國內的伺服器,預定將於 2021年6月完工。至於目前存放在韓國伺服器的日本LINE@官方帳號的貼文串內容,也預定將於 2022年6月前全數移轉到日本國內的伺服器,接著才會陸續將存放在韓國伺服器的日本個人用戶貼文串資料,移回日本的資料庫。

同一作法,兩種詮釋

從國族主義的角度來看,LINE選擇將日本用戶的個人資料移回日本國內的伺服器,可以解讀成LINE因為這次的事件,所以決定將日本用戶的資料全部移回日本國內,防止日本用戶的個資遭到他國勢力介入。但實際情況應是,LINE如果沒有在日本新版《個人情報保護法》上路前,將所有日本用戶的資料移回日本國內的伺服器,LINE就必須要在用戶條款中一一列出各項服務的資料是分別存放在哪些國家的伺服器裡。可以說,LINE應該早就有將日本用戶資料移回日本國內的計畫,只是因為這次事件爆發,LINE便決定順勢公布這項計畫,來安撫日本用戶,希望能挽救日本用戶對LINE的信心。

然而,LINE的這波止血並沒有成功。原因是,日本政府機關的個人情報保護委員會和總務省雙雙大動作的要求LINE必須要向政府提出相關報告。

前往下一頁繼續閱讀:日本政府動起來(3/4)

發表迴響