超危險! 中國工程師可檢視日本 LINE 使用者個資

中國工程師可檢視日本 LINE 使用者個資(圖/對話框部分修改自Line blog截圖)

免費通訊軟體「LINE」日本公司針對中國當地的工程師可以存取日本使用者的個資。在個人情報保護法當中,委託海外處理個資需要使用者的同意,該公司以對使用者的說明不夠充分道歉。

母公司的 Z 控股公司(ZHD)近期將成立第三方委員會,改善問題。據該公司的說法,LINE 委託中國公司「LINE digital technology 上海」負責開發人工智慧(AI)等。因為業務的關係, 4 名中國工程師有權限可以檢視保存在日本伺服器的對話紀錄、部分使用者的名字、電話號碼以及電子信箱等資訊。

從 2018 年 8 月起,4 人至少訪問過 32 次。受到外部的指摘,2021 年 2 月 24 日後中國工程師已無權限再次進入系統。使用者之間的對話紀錄有被加密,僅只是取得數據並無法看到實際內容,也沒有個資外洩的疑慮。

關於此問題,LINE 也向日本政府的個人情報保護委員會報告。在個人情報保護法當中規定,需要取得使用者同意才可以將個資轉移到國外或是從國外存取。個人情報保護委員會原則上也要求要清楚記載轉移到哪個國家,但在LINE的使用者指南上只有提到「會有將個人資料轉移到第三國的情形」,並沒有記載是哪個國家

熟悉企業法務的 nissay 基礎研究所的理事松沢登研指出「LINE 已成為通訊基盤,對於個資必須比平常來得更敏感。但沒有做到就是認真太天真了,非常遺憾」。他也認為從中國有權限存取是很大的問題「中國沒有像民主國家那樣設限制,而且是國家在蒐集情報,所以從中國可以存取是非常危險的」。

現代人太容易透過網路將自己的個資洩漏出去,因此手機和電腦的資安管理就成為首要重點。
圖/achirathep via Twenty20

日本國內的 LINE 使用者約有 8600 萬人,現在也是各地方自治體傳遞情報處理各種手續的通訊基盤。針對中國工程師可以檢視查閱應該要被嚴格管理的個資的狀況,地方自治體的相關人士也有疑慮。

滋賀縣大津市用 LINE 接受自來水、瓦斯的開通及關閉的申請,用電子支付「LINE Pay」也能繳交地方稅及社會保險費用。奈良縣奈良市利用 LINE 可以進行健保的手續以及孩童的醫療補助申請,手續中會需要提供身分證件的照片和銀行帳戶等。在和歌山縣,一部分的諮詢是交給「聊天機器人」回答,使用者方可能會輸入含有個資的內容。各地方自治體的負責人表示會確認狀況後思考應對。而在災害時使用 LINE 的服務可與市民雙向共享情報的兵庫縣神戶市表示「有必要的話會考慮使用替代工具」。

研究資安的神戶大學教授森井昌克表示「LINE 涉及到自治體的行政服務,但是對個資的意識還是很低」。森井提到處理情報的企業,將業務發包出去是很普遍的,委託給有優秀技術的中國公司的例子也不少。只是這個運作方式會導致「不知道個資實際上是由哪個公司管理,恐怕會在不知情的情況下外洩個資」。

因為在網路社會當中個人資料是「最佳的武器」,所以在歐洲等地都強化了限制。森井表示「這次的問題雖然沒有直接影響到市民,但不能輕視問題,應該當成重新審視處理個資的契機」。

另外,關於台灣使用者,LINE 也有發表 4 點聲明

  1. LINE 的全球(包括台灣)用戶資料只存放於韓國和日本,不存放在中國。LINE 存放資訊的日本伺服器與系統符合 ISO 27001 資訊安全管理系統、SOC2 & SOC3 (SysTrust)等資安管理制度並且持續維護,以保護使用者個人資訊與隱私。韓國伺服器亦有嚴格的存取控制保護機制,僅有少數經授權並列管的內部使用者可以接觸重要資訊。
  2. 包括台灣用戶對話在內,LINE 自 2015 年起採用點對點加密技術 (End-to-End Encryption, E2EE),所有一對一的文字與位置訊息都直接在手機上加密,只有對話雙方可以為彼此的訊息加解密,LINE 內部人員或外部第三方均無法攔截或讀取。
  3. LINE 所有內部員工使用系統與可獲取之資料的情形,LINE 均有嚴格的權限控管機制。在目前的登入紀錄上並無顯示台灣使用者資訊有任何未經授權的取得或瀏覽。
  4. LINE 從未提供任何台灣或其他國家之用戶資料給中國政府。

參考新聞來源:
2021/03/17 毎日 LINEの個人情報、中国からアクセス 識者「非常に危うい」
2021/03/17 産経 LINE8600万人利用 社会インフラの情報流出リスクに懸念の声

Tagged: