作者 丨 威理扬法律团队

编辑 丨 冯懿佳

主编 丨 林    娜

 

LINE又出事了?信息泄露再扩大,
总数增至约51万9000条

 

LINE是由韩国NHN集团旗下日本子公司NHN Japan开发的即时通讯应用程序,推出于2011年,拥有数以亿计的用户,也是日本使用人数最多的国民级社交软件,可谓日本版“微信”。

 

 

2019年11月18日,Yahoo日本母公司Z Holdings(简称ZHD)和日本社交软件巨头LINE正式宣布两家公司将合并,并于2021年3月完成合并。2023年10月1日,LINE和 Yahoo! Japan正式成立新公司LINE Yahoo(LY Corporation),打造出了日本史上最大的互联网平台。

 

 

2024年2月最新数据显示,LINE在日本本土和全世界分别拥有9500万和1亿9900万MAU(月活跃用户人数)。如此庞大的用户群体也使得其在个人信息和数据保护方面的动向备受关注。近日,LINE Yahoo于官网上公布了新的信息泄露情况,引发广泛关注。

 

1. 信息泄露情况:数据保护不足引发的负面舆情可能损害商业利益
 

2月14日,LINE和LINE Yahoo宣布,他们在调查过程中发现了信息疑似泄露的新情况。在LINE于2023年11月27日公布的非法访问事件中,约有44万条信息被怀疑泄露,此次新增疑似泄露的信息数量最高达7.9万件左右,总数增至约51万9000件。据悉,此次泄露的信息主要是员工信息,尚未发现用户和交易方信息泄露。但基于LINE拥有9500万月活用户的庞大体量,依然引发了日本国内对其安全性的担忧。
 

 

根据LINE Yahoo官网公告,新增的7.9万件泄露信息涉及两条泄露途径:

 

(1)部分信息泄露途径与2023年11月27日公布的非法访问事件一致,系在调查该事件影响范围的过程中进一步查明,涉及7.8万件信息(员工姓名、照片、邮箱地址等),主要是经由公司内部通讯邮件和Slack等服务系统外泄;

 

(2)部分信息泄露途径与2023年11月27日公布的非法访问事件不同,系基于上述事件在加强内部调查与监控的过程中查明,涉及5.7万件信息(员工姓名、部门、邮箱地址、电话号码、工号、照片等),可能是由第三方利用委托业务合作方的账户进行的非法访问所导致。

 

(LINE官网发布的有关2023年11月27日

信息泄露事件的最新数据)

 

基于最新情况,LINE对2023年11月27日信息泄露事件的数据进行了更新,并表示已完成对该事件影响范围的最终调查。最终确认泄露(包含疑似泄露)的信息范围包括用户个人信息302,980件、交易方个人信息86,211件、员工个人信息130,315件。LINE特别说明,涉及的用户个人信息不包括账户信息、信用卡信息和LINE应用程序中的对话内容。

 

 

同时,LINE还发现了另一条可能泄露的途径,涉及57,611件(包含估算值511,224件),与员工等相关的个人数据(涉及员工姓名、部门、邮箱地址、电话号码、工号、照片等),原因是LINE及其子公司的委托方的账户被不正当利用,导致LINE的系统被第三方非法访问。LINE方表示,本途径没有发现关于用户和交易方的信息泄漏,同时截至目前尚未收到因利用员工信息而二次受害的报告。


 

本次新公布的信息泄露情况可以说是LINE基于2023年11月27日公布的泄露信息事件所进行的调查的后续进展。2023年11月27日,LINE Yahoo在其官方网站发布道歉公告,称该公司的服务器受到了第三方的网络攻击,可能导致约44万条个人信息,包括LINE应用程序的用户信息等泄露。


 

具体事由是,由于LINE Yahoo的关联公司Naver Cloud的某一家承包商的一名员工所使用的个人电脑感染了恶意病毒,而该员工在处理 NAVER Cloud 公司和LINE Yahoo公司的员工信息时使用的是同一个信息认证系统,使得网络黑客在10月9日(2023年12月27日,LINE公布非法访问的开始日更新为9月14日)通过NAVER Cloud公司的系统对LINE Yahoo的系统进行了非法访问。


 

当时公布的数据显示,泄露的信息包括用户个人信息302,569件,如用户的年龄、性别、LINE表情包购买历史等;合作伙伴的相关个人信息86,105件,如电子邮箱、合作伙伴的工作人员名字等;LINE Yahoo的工作人员个人信息51,353件,如姓名、邮箱地址、员工编号等。


 

针对该事件,日本总务大臣铃木淳司于2023年11月28日在内阁会议结束后举行的记者招待会上表示,已就“LINE”信息泄露问题要求LINE Yahoo查明原因并采取行动,切实防止同类事态再次发生。虽然行政机关最终没有就该事件对LINE下达行政指导或处罚,但此事件依然对LINE Yahoo产生了巨大的负面影响,LINE Yahoo计划发行的公司债券也被迫中止。

 

 

2月14日同日,LINE Yahoo就2023年11月27日公布的信息泄露事件发布了预防再次发生的措施,认为该事件的原因主要在于“委托托企业的安全管理措施”“NAVER与原LINE株式会社之间的系统和网络设置”“原LINE公司员工系统的安全性”存在问题。LINE方表示将采取以下对策防止再次发生:


 

(1)加强委托方管理

LINE将重新审视委托方的安全风险评估方法,并通过外部第三方的协助,制定更切实可行的监管方式;进一步推动实施委托方进入公司内部网络时的双重认证;此外,将与NAVER Cloud等涉案委托方沟通,确认针对此次事件的改进方案方面的实施情况,并要求其加强管理等措施。


 

(2)系统和网络的风险消除与加强

(包括与NAVER Cloud的认证基础设施分离)

将加强对NAVER Cloud和原LINE公司之间网络访问的管理,如引入防火墙和建立安全列表、分离在原LINE公司员工系统中通用的与NAVER Cloud相关的认证基础设施、分离员工系统和网络等。


 

(3)加强员工系统的安全性:

将采取双重认证标准,加强对员工系统的访问控制和限制;此外,针对重要系统进行额外的安全评估。


 

LINE Yahoo的相关舆情事件启示我国出海日本相关企业,在个人信息保护和数据传输方面需要保持一定的敏感度和关注度,采取合法合规的信息管理手段,并建立有效的应对措施,避免此类个人信息泄露事件频繁发生,产生不良影响。

 

2. 行政监管处罚例:数据合规不当可能面临行政处罚

除社内调查公布的信息外,LINE Yahoo还曾多次因个人信息保护和数据跨境传输等问题受到行政机关的命令。2021年3月,LINE被爆与中国相关公司关联使用户信息可在国外被访问的问题,总务省对其展开调查,个人信息保护委员会下达行政指导。2023年8月,Yahoo在提供检索服务时,未充分告知用户就将位置信息等敏感信息提供给韩国NAVER公司,被总务省下达行政指导。

 

 

事件1:LINE被爆中国子公司可访问日本用户信息,总务省及个保委发布行政指导

 

2021年3月,日媒报道称,LINE在没有通知日本用户的情况下,允许其上海子公司的中国工程师访问日本用户的数据。对此,日本总务省表示将对LINE进行调查。LINE Digital Technology(上海)作为LINE中国子公司,曾授予其4名中国技术工程师访问日本国内用户信息的权限,以满足开发和系统维护所需。中国LINE子公司从2018年开始获准访问日本的服务器,这些服务器上载有用户的姓名、电话号码和电子邮件地址。相关信息原本应当向用户明示,但在LINE的隐私政策上却没有显示具体的国名。

 

 

对此,个人信息保护委员会于2021年4月23日发布公告,表示已于同年3月19日基于个人信息保护法(2022年4月1日生效)第40条第1款规定,要求LINE提交报告,并于3月31日实施了现场检查。

 

个保委认为,LINE公司委托处理的个人数据隐匿性高,数量多,如果处理不当将产生较大影响。因此,基于同法第41条下达了行政政导,内容包括:(1)当将个人数据委托给他人处理时,应进行必要且适当的监督,确保委托方采取与自身相当的安全管理措施;(2)在LINE服务提供中收集个人信息的,应清楚通知收集的个人信息范围,并建立确认通知内容是否正确显示的体系。尽管未执行更严厉的纠正建议,但要求LINE在个人信息获取时向用户清晰通知,并加强对委托方的管理。

 

 

另外,总务省也于同年4月26日发布行政指导,称已于3月19日基于电信事业法的相关规定要求LINE公司提交了有关个人信息保护的报告,确认是否影响了通信秘密的保护,以及是否确保了必要的体制。经审查,总务省得出结论:“未确认侵犯通信秘密或个人信息泄漏等问题”。

 

然而,总务省指出LINE在个人信息处理体制的表示方面存在“对用户的说明不充分”的问题,要求LINE公司采取措施,加强用户对个人信息体制的理解,并要求加强对内部访问的访问管理。由于尚未确认个人信息泄漏,未执行更严厉的“业务改善”命令。

 

 

事件2:Yahoo在未充分告知用户的情况下向韩国IT巨头NAVER提供检索数据,总务省发布行政指导

 

8月30日,日本总务省对Yahoo作出了书面行政指导,并要求他们就检索相关数据告知使用者的情况和安全管理措施的实施进行报告。

 

Yahoo! JAPAN的检索服务一直在使用谷歌的检索引擎和架构。然而,Yahoo在开发和验证Yahoo! JAPAN检索引擎技术的背景下,委托韩国IT公司NAVER执行了部分任务。Yahoo! JAPAN长期以来都在其检索服务的隐私政策中包含了类似“在符合隐私政策的情况下,我们有时会向包括国外公司在内的合作伙伴公司提供用户的个人数据”的内容。

 

根据采访,Yahoo在与NAVER的合作中也采用了类似的隐私政策。合作中,Yahoo进行了检索引擎的试验运行,向NAVER提供了自2023年5月18日至同年7月26日所收集的部分用户的检索相关数据。其中,约756万个独立浏览器的检索查询中,约410万个独立浏览器的位置信息被提供给了NAVER。在此期间,他们未就包括位置信息在内的敏感信息事先充分告知使用者,同时并未采取足够的安全管理措施对这些位置信息进行保护。

 

 

总务省行政指导的内容主要包括:

 

(1)利用者周知事项:

 

①在适当的方式下向用户说明提供的位置信息及其使用目的,以确保用户能充分理解;

②重新审视公司组织中保护用户利益的治理方式:

③考虑到用户可能不同意提供位置信息,因此应考虑提供拒绝同意的手段。

 

(2)安全管理措施:

 

采取使NAVER无法复制位置信息等的物理措施(如引入VDI等);建立在公司内部对NAVER安全管理措施实施情况进行审计的制度。

 

此外,由于LINE Yahoo符合《电信事业法》第2条中对电信事业者的定义,属于该法的规制对象。同时,根据2023年6月16日新生效的《电信事业法》第27条之5以及《电信事业法施行规则》第22条之2之20的规定,总务大臣可以指定对用户利益影响大的,每月免费用户1000万人以上的或每月付费用户超过500万人的电信服务业者采取适当措施处理用户信息。

 

同法第27条之9规定,依据第27条之5的规定被指定的电信业者,应根据总务省令规定的内容,每个经营年度对特定用户信息的处理情况进行评估,并根据前项评估结果在必要时修改信息处理政策。由于LINE Yahoo属于第27条之5被指定的对象,因此总务省还要求LINE Yahoo就根据《电信事业法》第27条之9进行评估的事项进行报告。

 

3. 法律监管框架:构建全方位合规体制以规避潜在风险

在法律层面,日本企业数据合规的相关规定主要集中在日本《个人信息保护法》(APPI)和个人信息保护委员会(PPC)发布的相关指南、条例中。类似LINE的电信服务商也需要遵守日本《电信事业法》的有关规定。违反相关法律很可能会面临总务省或个保委等行政机关下达的行政指导或处罚。

 

主要政策体系及合规要点梳理如下:

 

 

(1)个人信息保护相关

 

① 法律规定:

 

○《个人信息保护法》(APPI):

规定了个人信息保护的基本政策、个人信息处理者、行政机关等处理个人信息的义务等,并设置了个人信息保护委员会进行统一监管。

 

○《个人信息保护基本方针》:

规定了推进个人信息保护政策的基本方向

 

○《个人信息保护法施行令》:

涉及个人信息保护的一般规定、个人信息处理者与行政机关的义务及个人信息保护委员会的相关规定。

 

○《个人信息保护法施行规则》:

细化了对个人信息的范围、向第三方提供个人信息、假名信息的创建方法、匿名信息的创建与公开、删除及加工信息的安全管理措施标准、个人信息保护委员会的职责等内容的规定。

 

② 合规要点:

 

○ 事前注意事项及安全管理措施:

 

● 个人信息处理者不得超出使用目的所必需的范围来处理个人信息(“APPI”第18条第1款)

 

● 不得助长或可能诱发违法或不当行为的方式使用个人信息(同法第19条)

 

● 不得以虚假或其他不正当手段收集个人信息(同法第20条第1款)。

 

●个人信息处理者应当采取必要、适当的措施,以防止其处理的个人数据发生泄露、灭失或者毁损以及其他的对个人数据的安全管理。(同法第23条)

 

○ 委托第三方处理用户信息:

 

● 个人信息处理者委托处理全部或者部分个人数据的,必须对受委托方进行必要和适当的监督、以确保受委托处理的个人数据的安全管理”。(同法第25条)

 

● 原则上个人信息处理者未获得数据主体同意的,不得向第三方提供个人数据。如果已经向第三方提供个人数据的,应数据主体要求,个人信息处理者应停止提供。但作为该原则的例外,如提前通知数据主体,或置于数据主体可容易得知该情况的状态下,并就该情况向个人信息处理者向个人信息保护委员会提出申报的,可将个人信息提供给第三方。(同法第27条)

 

○ 发生信息泄露事件后,企业应履行的义务和可能面临的行政处罚:


 

● 发生可能损害个人权利利益的个人信息泄露事件时,个人信息处理者必须要在事件发生的3-5日内向个人信息保护委员会报告,并且就该事件的状况、概要、个人信息的内容、原因等通知信息泄露的对象。(同法第26条)

 

● 个人信息保护委员会可以进行实地检查,就个人信息等的处理进行质问、或检查账簿文件等其他物品。(同法第146条)

 

● 个人信息保护委员会可以在必要范围内就个人信息等处理事宜向个人信息处理者等提供必要的指导和建议。(同法第147条)

 

● 若企业没有履行向个人信息保护委员会和用户的双通知义务时,个人信息保护委员会可以对该企业发出劝告。(同法第148条第1款)

 

● 若相关企业在受到劝告后,无正当理由而不采取措施的,委员会可以命令其采取必要措施中止该违反行为并纠正其他违反行为。(同法第148条第2款)。

 

● 如委员会认为因存在损害数据主体重大权益的实施而有必要时,也可以直接下达命令。(同法第148条第3款)。

 

○ 违法行政命令可能面临的刑事处罚:

 

● 违反上述第148条第3款个人信息保护委员会命令的个人信息处理者将被处以一年以下有期徒刑或100万日元(折合约5万元人民币)以下的罚款(同法第178条)。

 

● 对制作虚假报告等违法行为人的可以处以50万日元(折合约2.5万元人民币)罚款(同法第182条)

 

● 为谋取自己或第三人不正当利益而提供或盗用个人信息的,处以1年以下有期徒刑或50万日元(折合约2.5万元人民币)以下的罚款(同法第179条);

 

● 法人代表、或者法人或自然人的代理人等,有各款违法行为的,除了处罚行为人外,还对该法人处以各项罚金(同法第184条)。

 

 

(2)数据跨境传输相关


 

① 法律规定:

 

APPI原则上不允许个人信息的跨境传输,除非获得信息主体的同意,或采取其他三种合规路径。现行APPI规定个人信息处理者向国外第三方提供个人信息数据时,除征得本人同意外,还需向本人提供接收国个人信息保护制度,且第三方需要采取与日本个人信息保护措施同等的保护措施。日本PPC具有监督、要求第三方提供报告、实地检查等权力。

 

② 合规要点:

 

○ 判断是否属于个人数据跨境传输情形

 

“国外第三方”中的“第三方”是除提供个人数据的个人信息处理者和可根据个人数据所识别的本人以外的人,包括外国政府。跨国运营的集团公司内部之间的个人数据传输是否属于跨境传输,则需要根据具体情形进行判断。

 

○ 个人数据跨境传输需要遵循的规则

 

● 事先征得本人同意


个人信息处理者取得本人同意时,应事先向本人提供有关外国个人信息保护的制度、第三方采取的保护个人信息的措施以及应供该个人参考的其他信息;个人信息处理者应采取必要措施,确保第三方持续采取相应的措施,并应相关人员要求提供相关信息。

 

● 以下三种情形不必征得本人同意:

 

a.接收方所在国拥有与日本水平相当的个人信息保护制度(目前包括欧盟、英国)。

 

b.第三方建立了符合日本PPC标准的制度,可持续采取同等保护措施。

 

c.适用除外:包括为保护个人的生命财产安全且难以获得本人同意等7种情形。

 

本周日本动向

 

  //  

一、诉讼与维权

 

1.《周刊少年杂志》被提前泄露并翻译成英语非法公开,2名嫌疑人再次被捕

 

2.《你的名字》《铃芽之旅》制片人被捕,新海诚发表声明

 

二、行政动向

 

3.日本个人信息保护委员会宣布与《进击的巨人》合作开展个人信息保护宣传

 

4.日本文化厅举办“ENCOUNTERS”成果展,展示媒体艺术及ACG领域创作成果

 

三、立法与会议动向

 

5.日本新闻协会对文化厅《AI与著作权相关问题的观点》草案提出意见

 

四、行业动向

 

6.日本JASA发布“2024年信息安全十大趋势”,生成式AI风险受关注

 

资讯详情,请见「ACG合规半月刊」

 

「ACG合规半月刊」获取

 

ACG同好们!

想及时了解ACG行业在日本、欧美市场的最新法律动态吗?

 

威理扬法律团队每月为您精心准备了两期「ACG合规半月刊」📚

从立法、行政、司法到行业政策,

里面有所有您需要知道的关于ACG出海的法律资讯和解读,

助您轻松掌握出海的法律要点👋

 

左右滑动查看「ACG合规半月刊」内容

 

想免费订阅?超简单!

 

👇扫描下方二维码添加小编为好友👇

 

 

告诉小编「我要ACG合规半月刊」,

并留下您的邮箱、单位、职位及姓名,

最新资讯马上送达!📧

 

让我们一起走在ACG法律的最前沿吧!🚀

 

 

团队创始人
 


林娜

垦丁北京联合创始人

威理扬法律团队创始人

二次元合规律师

骨灰级二次元迷

 

深耕互联网ACG行业法律实务15年,专注数字经济环境下的知识产权、数据合规、网络法律实务。日本北海道大学法学硕士,师从日本知识产权法第一人田村善之教授。中国人民大学法律硕士实务导师、“威理扬ACG法实务”平台主理人、北京市文化娱乐法学会中日文化与法律工作委员会主任、第二届理事会理事、日本九州经济联合会知识产权研究会会员。

 

曾供职完美世界法务部高级法律顾问、竞技世界法务部手游组负责人、某精品顶级律所日本业务部部长。曾为社交类、内容类、游戏类、工具类等多家互联网产品出具量身定制的全生命周期合规方案,并提供出海欧美、日韩、东南亚、中东等国家的合规方案。

 

曾在日本知识产权权威杂志《AIPPI》62卷3号发表日文论文《实用艺术品的著作权保护制度中日比较》,并在日本九州经济联合会知识产权研究会上以日文多次发表主题演讲。

 


扫码联系林娜,加入ACG合规讨论群

(请注明:实名-单位-来意)

关于威理扬    

 

垦丁律师事务所威理扬法律团队,骨灰级二次元迷汇集地、产品经理型律师团队。专注ACG产业全生命周期法律合规、为互联网企业提供出海合规方案、国内研发及发行各阶段法律风险梳理及评估、数据合规、知识产权及诉讼纠纷等。

团队初心

“二次元”发源日本,面向世界。时代赋予了“二次元”新的含义和生命。

 

悲壮如银河战争中的提督杨威利、孤勇如明治维新的剑客绯村剑心,坚毅如满血热爱穿越千年的棋魂藤原佐为、温暖如十二国残酷斗争中始终给人希望方向的半兽乐俊....

 

新的时代,我们看到了在日本扬帆起航的罗小黑战记、收获了时光代理人带来的惊心动魄、看到刺客伍六七迈向世界的高昂步伐、也惊艳于原神的全球开花......

 

热爱二次元、痴迷日语、精通英语的我们,从漫画到动画,从动画到游戏,从游戏到虚拟世界.....愿以法律合规为器,伴你披荆斩棘,为你保驾护航。

声明
 

本文章所载内容仅供参考之用,并不代表威理扬法律团队及律师的意见。如需更多信息,请联系我们。