LINE 部分監測業務外包中國公司這件事(上)
此事非同小可,但在台灣如風輕雲揚一帶就過。我只能說台灣整體社會在由網路 “big tech” 所帶來的新興複合式威脅缺乏足夠的認知,導致輿論的相關討論一概複印此集團在臺灣分舵的新聞稿,談的不關己事,猶如看著另外一場遠方的大火。
可是不對啊,蔡英文總統曾參訪過 LINE 在台灣辦公室。可見此公司(不是只有一間)在台灣的份量不是一般的網路公司而已。
我在整整三年前的一月份曾寫說三年後台灣若開始沒有了 LINE,當時當然並非說這服務會消失,而是 LINE 本身的資本型態和商業發展方向,必然遇到瓶頸。而這瓶頸若遭致「突破」或是躍上檯面成為投資人想處理的重大議題,其發展結果,最後必然會大幅影響台灣的社會文化、商務溝通和網路市場等公、民、商等之領域。果不其然,今年三月底 LINE 正式和 Yahoo! Japan 合併,LINE 實質已不是本來的 LINE,而在台灣幾間分公司前途也是未卜。就以 “LINE Pay” 這個產品線而言,未來在日本市場勢必會被日方強勢整併(那在台灣?)。其他聰明的業者應該趁著「兵荒馬亂」之際,及早佈局,進攻搶食市場的戰術資源。
不過,我們今天談的是 LINE 部分監測業務外包中國公司,而位於日本的客戶資料庫,發現有中國籍工程師多次訪問讀取的紀錄。沒有經驗的人可能會當下驚呼怎麼會這樣?但也只限於驚呼而已。熟悉日本法制的法務所看的角度會不一樣,熟悉日本大集團內部 IT 分工的工程師也會不一樣。我們都不是網路小朋友,應該要多想一點,動動腦筋,多方查證。
單從商業行為的角度來分析,或許不太能透徹思考這件事對台灣的安全疑慮構面。但沒有商業經驗卻要能理解為什麼東亞這些網路公司在各業務的分包考量是什麼光景,絕對是難上加難。試想,堂堂在日本、台灣和泰國位居網路通訊軟體服務市佔率第一的 LINE,又不是沒有錢沒有人,而且之前還在東證和紐約證交所上市。為什麼要把部分通訊監測業務外包給註冊在大連的中國公司?為什麼存放於日本境內的客戶資料庫,可以允許外包的外包商的工程師有莫大的權限進行訪問?
這件事的細節你問台灣的負責人是問不出來的,第一個他不能講,第二個他使不上力,第三個日本也不一定會讓台灣的負責人和團隊知道這些和台灣業務無關的敏感議題。第四個是,在檯面上,這是 LINE Fukuoka 福岡分公司所出的包。被授權知道這件事全貌的,我猜測也只有在東京的幾個人而以。這些人會是誰,又跟 LINE 被合併之前會是不一樣的。
我們3月17日一大早先從「朝日新聞」(Asahi Shimbun) 知道這件事,然後是日本國內媒體的蜂擁報導,接下來是國際媒體的報導,日本內閣官房長官記者會的詢問答覆,然後是台灣的媒體追擊,最後是同日下班前,LINE 在台灣和日本分別出了不同的新聞稿來說明這件事情的梗概。由於地區分工的關係,單看台灣方面的說法是明顯不足的,LINE 日本方面的說法出的很快,在反應上比過去幾個美商 (Facebook, Google) 快了很多。台灣辦公室方面給的資訊濃度,大概只有日本方面1/10的程度。
- 第一個動作:日本和台灣的官方說法都要看,而且日本媒體的報導要多看。
- 第二個動作:日本政府方面的說法要看,如果有心可以問問在日本律所或是公部門的朋友。
日本內閣官房當日午前第一時間說會啟動正式調查,這所放出的訊息很重要。
我的看法是,LINE 台灣方面的說法是針對過去台灣政府對 LINE 所提出的公開疑慮的答覆,不完全是針對這次事件的說明。台灣政府對於涉及中國的事務自有一套根深蒂固的思考邏輯,但在涉及中國包含「網路」「商業」「技術」事務的思考邏輯,目前仍偏向「膝射反應」。再加上這又有日本政府、韓國集團 (Naver) 的成分在裡面,牽涉層面又廣又深,短期內要拼湊全貌根本不可得。台灣政府要如何 (1) 採用合理途徑構思這整件事所暴露出的社會集體安全弱點,甚至 (2) 在未來針對此新興複雜風險,在合法條件下,發展出因應的政策技術手段來「調整」整體數位社會的「曝險程度」?
在我過去的經驗是,目前台灣政府並沒有一個 “end to end” 的機制,能提出夠水平的內參意見。基本上是哪一個接近安全政策核心決策圈的團隊能快速作出摘要研析簡報,這件事就沒了。這會是立法院嗎?當然不可能。
如果這件事主要考量點是在「安全領域」,喔不,我不是單指「資訊安全」,而是整體數位社會的安全,那麼顯然我們最好要進退有據。這件事在國際安全圈子所看的角度不太一樣,接下來我想針對此事繼續分享觀察。
