[비즈한국] 近期,企業網路安全事故接連發生,引發了社會對企業個人資訊保護的極大關注。對此,韓國網際網路振興院(KISA)透過“資訊保護公示門戶”公開了各企業的相關人力資源及投資現狀。
然而,由於強制進行資訊保護公示的企業門檻過高,制度改進的必要性日益凸顯。為此,政府已開始就完善資訊保護公示制度展開討論。

資訊保護公示門戶的強制標準過高
2025年4月,SKT發生了USIM資訊洩露事故;6月,Yes24053280發生了勒索軟體攻擊事件。此外,僅上半年,奢侈品牌迪奧(Dior)、蒂芙尼(Tiffany)、卡地亞(Cartier),以及奢侈品平臺MustIt、兼職招聘平臺AlbaMon、披薩品牌韓國棒約翰(Papa Johns)等也相繼發生了個人資訊洩露等事故。

隨之而來的是社會對企業管理客戶個人資訊能力的廣泛質疑。各界對於企業如何保護客戶個人資訊、投資規模、人力配置以及高管現狀等資訊的關注度也大幅提升。
雖然上述資訊通常可以在KISA的資訊保護公示門戶上查詢,但被指出的問題是,由於強制公示物件的門檻設定過高,導致被公開的企業數量較少。
根據《資訊保護產業振興法》(以下簡稱《資訊保護產業法》)等規定,KISA要求相關企業公示資訊保護相關資訊。公示內容包括資訊保護投資現狀、人力資源現狀、資訊保護相關認證、評估及檢查活動等,企業須在每年6月30日前提交。
根據規定,以2025年為例,SKT申報的資訊保護領域投資額為652億韓元,專職人員為219.2人;Yes24公示的2025年資訊保護投資額為16億韓元,專職人員為10.1人。
然而,發生過資訊洩露事故的迪奧韓國(Dior Korea)、蒂芙尼韓國(Tiffany Korea)、卡地亞韓國法人歷峰韓國(Richemont Korea)、韓國棒約翰、AlbaMon、MustIt等企業,卻無法在該入口網站上查詢到資訊。原因在於這些企業不屬於資訊保護強制公示的物件。
外國企業韓國法人及中小企業無需公示
查閱法律及相關規定可知,根據現行法令,如果不是施行令所規定的強制公開物件,資訊保護公示與否由企業自主決定。
《資訊保護產業法》第13條規定企業等可以公開資訊保護現狀。同時,為了保護使用者的安全使用,對於考慮業務領域、銷售額、服務使用者數而由施行令規定的企業,則強制其進行現狀公示。
該法施行令第8條第1項具體規定了第13條第2款所述的強制公開物件,包括:通訊運營商、運營Naver或Kakao035720等入口網站的大型資料企業、三級綜合醫院以及雲服務提供商等。
此外,在證券交易所及KOSDAQ上市的企業中,銷售額超過3000億韓元的企業被列為強制公示物件,若該企業服務使用者數超過100萬,也屬於強制公開範疇。
換言之,如果不屬於處理大規模資料的通訊公司、銷售額超過3000億韓元的大型上市企業,或者使用者數超過100萬的企業,則無需履行資訊保護公示義務。
事實上,上述發生個人資訊洩露事件的企業,在KISA於2025年公佈的671家強制公示物件名單中均未見蹤影。
例如,韓國棒約翰2024年的銷售額為717億韓元,但因非上市企業且銷售額未超過3000億韓元,故無需公示。負責迪奧韓國業務的克里斯汀迪奧時裝韓國(Christian Dior Couture Korea)雖然2024年銷售額高達9453億韓元,但因其並非韓國上市法人,也不在公示物件之列。
相當多的個人資訊洩露事故發生在中小企業
現行制度導致公眾難以查證未在韓國上市的外國企業、中小企業以及使用者數不足100萬的線上平臺的資訊保護水平。考慮到相當一部分個人資訊洩露事故集中在民營企業,尤其是中小企業,這也是制度改進必要性被提及的原因。

實際統計資料也支援這一觀點。根據個人資訊保護委員會2025年3月釋出的2024年個人資訊洩露申報趨勢分析,2024年申報的個人資訊洩露事故中,過半數來自中小企業。
分析顯示,在307起申報中,民營企業佔66%,其中中小企業發生的事故佔比高達60%。從行業來看,資訊通訊、軟體及電子商務合計佔比達34%。洩露原因方面,需要加大資訊保護投資與管理的駭客攻擊佔比高達67%。
為此,政府正在推動制度改進。李在明總統在總統競選期間,為應對網路威脅,曾承諾“強化資訊保護公示制度,透明公開資訊保護投資規模及專職人力規模”。
據瞭解,新政府上臺後,科學技術資訊通訊部已向承擔過渡職能的國政企劃委員會報告了改善資訊保護制度的相關議題。改進方案包括將資訊保護公示制度的強制物件從目前的銷售額3000億韓元以上上市企業,擴大至全體上市企業等內容。
不過,針對發生實際洩露事故較集中的非上市中小企業、外國企業,以及使用者數不足100萬的中小型線上平臺是否強制執行公示,鑑於國政企劃委員會正處於制定及細化國政課題草案的階段,後續討論進展仍有待觀察。