文/黃彥棻|2026-01-16發表

LINE臺灣資深資安長劉威成 (攝影/洪政偉)

走進位於臺北市瑞光路的LINE臺灣辦公室,映入眼簾的是明亮而開放的工作空間,三公尺高的熊大玩偶佇立在門口,氣氛看似輕鬆,卻很難想像,這裡同時也是臺灣最前線的數位戰場。

每天,超過兩千萬名使用者透過LINE傳遞訊息、照片與語音,在這些再日常不過的互動背後,詐騙集團、惡意程式與各式社交工程攻擊,正不斷嘗試鑽入人性的縫隙。

對多數人而言,手機響起只是一則通知,但對LINE臺灣資安長劉威成來說,卻可能是一場詐騙行動的開端,也是能否阻止民眾遭受財務損失、甚至家庭破碎的關鍵時刻。

「資安長這個角色,在LINE其實非常特殊,」劉威成說。除了企業內部防護,他大多數時間都在思考同一個問題:如何讓一個封閉、以隱私為核心的通訊平臺,承擔起社會高度期待的防詐責任。他很清楚,真正的挑戰從來不只是在公司內部,詐騙早已成為臺灣社會共同承受的數位創傷。

一路走來,劉威成歷經開發、營運與顧問等不同角色,逐步形塑出獨特的資安觀點。他始終相信,資安不是阻擋創新的高牆,而是讓組織得以安心前行的基石。真正成功的資安,不在於拒絕了多少需求,而在於如何讓每一個「可以」,都建立在足夠穩固的安全基礎之上。資安的目標從來不是零風險,而是打造一套能快速反應、持續調整的防禦體系。

在法律的支持下,LINE主動承擔打詐任務

詐騙已成為影響全臺灣民眾最深、傷害層面最廣的資安風險。從假投資群組、假親友借錢,到生成式AI偽造聲音與影像,詐騙手法持續進化,而 LINE幾乎無可避免地站在風暴中心。

尤其自2023年起,詐騙模式出現關鍵轉變,詐騙集團不再只仰賴通訊軟體本身,而是先在第三方開放平臺投放廣告,再將受害者一步步引導進LINE的私密聊天與群組中,完成最後的詐騙行為。

在用戶保護上,劉威成指出,LINE始終採取「以人為本」的思維,堅持點對點加密(E2EE)來捍衛使用者隱私,同時也提供裝置綁定、簡訊 OTP 驗證、異常登入偵測與帳號取回機制等工具,強化使用者的自我防護能力。這也意味著,LINE平臺無法、也不能讀取使用者的對話內容。隱私是LINE最重要的底線,卻同時讓詐騙偵測變得更加困難,成為防詐行動中難以迴避的限制。

「在法律上,不能因為『懷疑』就封鎖帳號,」劉威成坦言,必須有足夠證據,才能啟動下架或封鎖機制,但在私密通訊環境中,證據本身就極難取得。這種結構性的矛盾,長期讓通訊平臺陷入兩難:做得太多,容易被質疑侵犯隱私;做得太少,又被指責縱容詐騙。他強調,資安的角色不應是阻止業務,而是協助組織評估風險。當他向日本總部爭取防詐功能時,也必須同時考量使用者理解程度、教育成本與實際使用率。

隨著《打詐專法》的推動,平臺在通知與下架上的責任逐步明確。劉威成表示,LINE在法案研擬期間即主動與主管機關溝通,讓資安團隊在實務操作上有了清楚的法律依據,也讓行動能更快、更有底氣。行動並不代表粗暴執法,他透露,團隊曾在一次行動中封鎖超過7.3萬個假帳號,但在此之前,已反覆進行多次統計特徵分析與模擬,確認不會誤傷正常使用者,特別是合法回收門號。

這樣的決策,不只是技術問題,更是一場關於品牌信任的考驗。一旦誤判,受損的不只是帳號,而是使用者對平臺的信賴。因此,每一次大規模打詐行動背後,都仰賴大量數據分析,以及與總部之間反覆溝通與說服。

即便如此,劉威成仍認為,單一平臺不可能獨力解決詐騙問題。他將資安長的角色定位為橫向防禦體系中的一個節點。

近年來,LINE積極與刑事警察局、數位發展部、NCC及電信業者合作,從網路基礎建設層面提前攔截風險,並導入DNS RPZ機制,在DNS查詢階段即封鎖惡意網域。透過這樣的合作,釣魚網站與惡意程式得以在接觸使用者之前就被阻斷。截至 2025年底,LINE臺灣已主動掃描並通報超過1,200個釣魚網域,試圖在看不見的地方,為這場數位戰役築起第一道防線。

從「一人資安」開始的十年長征

劉威成在大學主修管理學,這樣的背景在多數人眼中,似乎與資訊安全並不直接相關。但他回顧這段求學歷程時坦言,正是管理學的訓練,讓他日後在跨部門溝通與協調上,占了很大的優勢。那是一個網際網路剛起飛的年代,.com熱潮席捲市場,他也順勢進入一家達康公司工作,身兼網管與全端工程師,從伺服器維運、系統架構到程式開發,幾乎一手包辦。

真正改變他人生方向的,是一次嚴重的資安事件。某天,公司伺服器遭到駭客猛烈攻擊,服務幾乎全面癱瘓,他被迫站上第一線,與看不見的攻擊者正面交鋒。他回憶,那不只是單純的技術危機,而是直接衝擊公司營運與客戶信任的關鍵時刻,也讓他第一次深刻體認到,資訊安全從來不只是 IT 問題,而是攸關企業能否存續的核心議題。就在那一刻,他形容自己「一頭栽進資安,回不去了」。

之後,劉威成進入中華電信,在資安相關部門一待就是八年。這段期間,他不只擔任工程師,也歷練過資安產品經理與顧問角色,從防禦架構設計、產品推動、承擔營收壓力,到協助企業導入 ISMS 資訊安全管理系統,幾乎走遍資安產業的不同面向。

這些經驗讓他逐漸看清,資安在不同位置上,面臨的挑戰與責任截然不同,也促使他形成一個清楚的信念:如果資安只被視為成本,它永遠不會被真正重視。

回顧自己在LINE的歷程,劉威成形容,那是一段從「一人部門」走向跨域樞紐的轉變。2016年加入LINE臺灣時,他是公司裡唯一的資安人員,當時既沒有成熟的資安組織,也缺乏完整的流程與制度,所有防禦機制幾乎都是從零開始,一點一滴建立起來。

加入初期,他必須獨自對接日本總部的資安框架,將集團層級的要求落地到臺灣,同時還要深入各個部門,理解實際的業務流程。從帳號安全、詐騙防制,到供應鏈風險與法遵議題,他幾乎一肩扛起所有資安相關任務,角色極其多元。

資安長的核心使命,是支持營運而不是說「不」

十年過去,LINE在臺灣的滲透率已超過九成,成為不可或缺的即時通訊基礎設施;而劉威成,也從LINE臺灣的第一位資安工程師,走到2023年正式接任資安長(CISO),親手打造出一支能與全球總部緊密協作的專業資安團隊。

對他而言,資安長不只是職涯上的一個頭銜,而是一個被賦予清楚期待的角色。他直言,公司設立資安長,不是要多一個「管制單位」,而是希望這個角色能真正支持公司的營運與整體目標。「如果資安無法幫助公司前進,那這個位置就失去了存在的意義。」

這樣的想法,來自他早年在 IT 與網管領域的經驗。他很清楚,不同部門關注的重點並不相同,業務單位追求效率與業績,開發團隊重視速度與彈性。如果資安只是不斷增加限制、否定需求,最終只會被視為阻礙。

他笑說,如果一家公司只有資安部門在做資安,那資安長一定很可憐,平時沒人理你,出了事卻全都要你負責。因此,他為自己設定的角色,更像是合作夥伴,而不是守門員。資安部門的存在,是為了協助其他部門降低風險,而不是製造麻煩。

這種以賦權與協助為核心的思維,也逐漸在LINE內部形成一種雙贏文化。當同事發現疑似風險時,第一時間想到的不是隱瞞或繞過,而是主動討論如何在安全的前提下完成任務。

在劉威成眼中,真正成熟的資安文化,來自信任與透明,而不是恐懼。他始終相信,透明度是建立信任的基石。如果組織氣氛讓員工害怕犯錯,那麼一旦誤點釣魚郵件,最直覺的反應往往就是「蓋牌」,這對整體防禦而言反而是最危險的事。

因此,在LINE內部,只要員工願意主動回報釣魚郵件,不僅會收到資安團隊、甚至資安長本人的感謝,也會獲得後續對攻擊手法的分析說明。

他坦言,這樣的正向回饋機制,讓員工清楚知道,回報不是麻煩,而是有價值的行為;對公司而言,資安防禦也不再是某個部門的孤軍奮戰,而是一種全體動員、共同承擔的企業文化。

攝影/洪政偉

資安事件通報處理的透明美學

走進LINE臺灣的資安世界,如果只用防火牆或漏洞修補來想像,往往會低估這個組織面對風險時的複雜度。

對劉威成而言,真正困難的從來不是駭客本身,而是當事件發生時,資訊能否在最短時間內、以最正確的形式流動,讓整個組織做出一致且有效的回應。

這也是他近年最引以為傲的一項制度轉型:將資安事件應變,從資安部門獨力承擔,轉變為高度透明、分工清楚的團隊作戰。

回顧過去的處理模式,劉威成坦言,那幾乎是一場消耗戰。事件一發生,資安人員除了要修補漏洞、分析攻擊手法,還得同時回應CEO、法務、公關與客服的詢問,資訊分散、壓力集中,反而讓最需要專注技術處理的人疲於奔命。

為了打破這個循環,LINE成立了獨立的風險管理部門(RM)。只要事件被判定為資安事件,指揮權便交由風管部門統籌,立即成立戰情室,將開發、資安、法務與公關等單位納入同一個作戰架構中。

這套制度的核心,在於資訊必須回到同一個中心更新,讓所有人掌握的是同一份事實。資安工程師可以專心處理技術問題,而事件時序、對上回報與橫向溝通,則由風管部門負責。

劉威成指出,這樣的一條龍機制,確保事件能在七十二小時的黃金時間內被有效掌握,法務得以及時評估通報義務,公關也能迅速對外說明,不再出現資訊錯位的混亂。對他而言,這不只是流程優化,而是一種資安治理的「透明美學」。

從失敗中,重塑供應鏈安全防線

真正考驗資安治理深度的,往往不是順利運作,而是面對失敗時的反應。劉威成並不避諱談起2023年那起嚴重的供應鏈事件,當時委外廠商工程師的電腦遭駭,攻擊者甚至繞過VDI驗證機制,成功進入內部環境。這起事件再次提醒他,只要供應鏈存在盲點,再堅固的內部防線仍可能瞬間潰散。

事後,他重新定義供應鏈資安管理方式,將採購、法務與資安整合為任務編組,對供應商進行分級與動態管理。對關鍵供應商,LINE不再只是要求合規,而是直接配發由公司管理的專屬設備與帳號,正式納入零信任架構,同時要求參與資安教育與社交工程演練。劉威成笑說,這等於是把供應商當成「自己人」,連防詐訓練也一起進行。

在AI浪潮中,踩穩煞車與油門

生成式AI帶來效率與創新,也同時放大風險。劉威成沒有選擇以「禁止」回應不確定性,而是嘗試在創新與風險之間建立治理框架。他認為,問題不在於要不要用AI,而在於如何安全地使用。

這樣的思維,促成LINE成立由資料、法務與資安共同主持的「AI管理委員會」,針對不同資料來源與應用情境進行分級審查,確保只有不涉及隱私與版權風險的資料,才能投入AI應用。

對劉威成而言,AI治理的重點不在放慢腳步,而是避免在追求效率時踩過信任與法律的紅線。從戰情室制度、供應鏈零信任,到AI治理架構,他推動的是一種去中心化的資安治理,讓每個角色在正確的時間做正確的事。

資安的終極目標,不是零事故,而是當事故發生時,組織能否冷靜、透明且一致地回應,這正是一位資安長能為企業帶來的最大價值。

 CISO小檔案 

LINE臺灣資安長 劉威成

學經歷:大學念的是管理,畢業後先到.com公司工作擔任網管與全端開發工程師,後在中華電信資安部門工作八年,歷任工程師、資安產品經理與ISMS顧問;2016年成為LINE臺灣第一位也是唯一一位資安工程師,負責對接總部資安事宜;2023年接任資安長一職迄今

 公司檔案 

臺灣連線公司(LINE Taiwan)

●臺灣成立時間:2014年6月19日。

●公司演變:LINE與Yahoo Japan及多家其他公司組織重整,於2023年10月1日起更名LY Corporation,對用戶服務保持不變

●公司地址:臺北市內湖區港墘里瑞光路333號7樓

●董事長兼執行長:陳立人

●用戶數:超過2千萬臺灣人安裝

 資安大事記 

●2015年:LINE資安漏洞回報獎金計畫

●2016年:LINE文字跟位置資訊導入Letter Sealing點對點加密;發布第一版加密白皮書,供外部檢驗產品加密機制安全性

●2017年:開始舉辦年度全民資安訓練;LINE總部成立跨國緊急應變小組(CSIRT);發布LINE透明度報告;推動全民防詐訓練─LINE防詐保密不求人feat盧廣仲

●2018年:LINE成為全球首家取得「FIDO通用伺服器認證」(FIDO Universal Server Certification)的網路服務供應商;推動全民防詐訓練─LINE防詐神探

●2019年:LINE Becks資安社群聚會啟動;全民防詐訓練─LINE真相搜查線;數位當責計畫啟動;LINE訊息查證官網上線

●2020年:LINE iPad版導入FIDO生物識別驗證

●2021年:全球用戶強制開啟Letter Sealing點對點加密;推出LINE CTF資安競賽;攜手iWIN宣布「兒少網安計畫」

●2022年:LINE臺灣取得ISO 27001與ISO 27701資安與個資雙認證;獲頒BSI資訊韌性精銳獎;LINE臺灣官方帳號推出闖關遊戲「投資航海冒險家」

●2023年:主動掃蕩於外部廣告平臺刊登投資廣告的LINE帳號;開啟與刑事警察局防詐通道,合作處置涉及投資詐騙的違法帳號。至2024年10月底為止,總共停權10,451個涉詐帳號

●2024年:與TWNIC和三大電信建立產業聯防機制,主動掃蕩與通報寵物投票等釣魚網站;推出聊天室警語功能,提醒使用者詐騙風險;與數發部合作,推出「防詐動態警報;產官聯防,快速自動化處理詐騙通報機制上線。至2025年底為止,主動掃描與通報超過1,200個釣魚網域

●2025年:與刑事局合作停權7.3萬個高風險門號LINE帳號;推「再次登入」功能,協助用戶取回被盜帳號;推「偵測可疑網站」功能,協助用戶辨識釣魚網站;公布2025 LINE詐欺防制透明度報告;產官聯防,快速自動化處理詐騙通報機制

熱門新聞

Advertisement