成功的初次嘗試:對 LINE 透明報告的評估


前言:成功的初次嘗試

約半個月前,LINE推出了它們首次的透明報告(transparency report),涵括時間從2016年7月至12月。這毋寧是個令人振奮的消息,因為總部在日本的LINE,是繼韓國的入口網站Naver後,第二個推出透明報告的亞洲企業,且該份報告更是全球第六份與台灣直接相關的報告。在台灣,使用LINE服務的人口眾多,因此這份新推出的透明報告相當值得所有人細讀。

我們試著閱讀了完整報告,就首次提出透明報告的企業而言,我們認為LINE初次的嘗試基本上是成功的。成功的意思是,對關注企業在隱私權與言論自由保護的讀者來說,這份報告不僅有著與其他透明報告相仿的架構,且在部分細節也進行了更深入的說明。但除此之外,我們也認為這份報告仍有一些值得改善之處。因此我們也嘗試在閱讀後,寫下一些值得關注或建議改善的項目。以下文章便將就這兩個層面分別進行說明。

值得關注的已揭露項目

● 揭露來自政府的請求類型

LINE表示,在該份報告涵蓋的期間內,僅收到要求提供用戶個人資料的請求,而沒有任何要求進行內容限制的請求。

● 揭露請求所該依據的法律或送出單位

因應請求來源的不同,大致又分以下兩類:

來自「日本」執法機關的請求:LINE會審酌該要求是否有出示相關的法律文件及案情說明,好比搜索票(刑事訴訟法),或是否為所謂的緊急事件(刑法)。

來自「非日本」執法機關的請求:除了依然要求前述的法律文件及案情說明外,LINE也表示這部分的請求會根據國際法律協助的條約或互助框架進行。LINE表示,他們可能從國際刑警組織或日本的外交部收到來自日本以外國家的請求。某種程度上,這也揭露了其他國家向LINE提出要求的方式。

● 揭露內部判斷的程序

這是我們認為整份報告最有趣的項目之一,雖然它在報告中並未單獨成項。

LINE在報告中揭露了從接收請求到形成內部判斷的部分過程,這是其他透明報告較少觸及的。在整份報告中,LINE至少提及了兩次「隱私保護團隊」(privacy protection organization),這個團隊看來是由具法律、資安及政府政策等背景的人員組成,他們會審核所接獲請求的法律文件及內容,以在配合政府及保護用戶之間取得平衡。LINE並未說明該團隊是否為內部正職員工組成。

● 揭露提供資料的類型

一如其它透明報告,LINE也區分了它所提供資料的類型。它們大致包含三類(1)特定用戶的註冊資料(2)特定用戶的通訊資料(不含通訊內容,指訊息發送日期或IP)(3)聊天內容。不過既有趣又可惜的地方是,作為即時通訊軟體,LINE並未就最敏感的「聊天內容」給予直接(例如:我們會/不會提供)的說法。從報告中我們只能 「推論」:在開始實施點對點(end-to-end)加密前,只要收到來自法院的搜索票,LINE確實有可能提供最多七天的文字記錄(不包含電話、影音、檔案、圖片等),但自從2016年7月1日開始對訊息實施點對點加密後,LINE「應」已不再提供有關內容的資訊。

● 揭露相關的案例研究

LINE也試圖提供了一些(可能是設想的)請求與回應的狀況,以說明他們的判斷程序實際運作的狀況。好比即使當執法機關檢附搜索票,希望取得一個可能涉嫌重複竊盜的使用者在半年內的通訊歷史,LINE也會因要求時間過長而回絕該請求。

● 揭露有關台灣的資料

誠如前言所提,這份報告僅僅是全球第六個與台灣直接相關的報告,因此值得關注的項目自然不能漏了這項。報告顯示,台灣政府在2016的後半年,總計向LINE提出了168次請求,涉及了100個帳戶,佔了總請求數的約9.7%,僅次於日本政府。而在這168次請求中,共68次以搜索票提出的請求被Line接受。

可改善的項目

● 未揭露拒絕配合的情形

報告雖提供了案例研究,但並未說明其是實際遭遇的案例,或只是設想的狀況。此外,報告也未揭露不配合政府請求的具體原因及次數,這都會使讀者無法掌握真實存在的風險。

● 未揭露各類資料被索取的情形

儘管報告區分了被索取的資料類型,但卻未揭露各類資料被索取的統計。例如,報告並未揭露通訊資料在半年內被索取的次數。

● 未揭露知會用戶的情形

此外,一如大多數企業的狀況,LINE也未在報告中說明它們收到或配合請求後,是否會知會用戶的情形。

結語

除了上述可改進的項目外,LINE自2016年6月起,已開始提供LINE Today的服務,供第三方放置公開的新聞內容;而在今年三月開始延燒的「假新聞」議題中,LINE也是NCC名單中的重要利害關係人。因此,縱然LINE過往並未收到有關內容限制的請求,但後續情形如何,仍值得台灣的使用者持續關注。

最後,在肯定LINE發佈透明報告的努力的同時,我們也希望其它仍在觀望的企業(無論本土企業或跨境企業)也能開始投入心力,發佈自己的透明報告。身處數位時代,當企業與政府可輕易地進行隱蔽的資料搜集,或者以含糊的內容政策或法令,而侵犯使用者的隱私權與言論自由時,若企業要贏取既有既有或新使用者的信任,最佳方式之一,毋寧就是透過透明報告進行數據及法律程序上的自我揭露。我們鼓勵所有相關的企業開始投注心力發佈類似的報告。