주메뉴바로가기본문바로가기
비즈한국 비즈한국

因Coupang與SKT事件引發資訊保護立法潮,“申報要迅速,處罰要嚴厲”

本文由AI自動翻譯。與韓語原文相比可能存在誤差。  Read original in Korean →

[비즈한국] 今年以來,接連發生的大規模資訊洩露事件將監管的有效性推向了風口浪尖,加強資訊保護的立法行動也變得愈發忙碌。自SK電訊017670(SKT)USIM(使用者識別模組)駭客事件後,Yes24053280、KT030200、樂天信用卡等企業相繼發生客戶資訊洩露。在過去的半年裡,旨在修改資訊保護管理體系(ISMS)及調查程式的《資訊通訊網法》修訂案已提出了25項。與此同時,向潛在受害者通報洩露可能性、強制對全體使用者採取保護措施的法案也在推進中。隨著類似事故及遲報現象反覆出現,加強制度的呼聲日益高漲,這些紛至沓來的法案能否填補安全“空白”備受關注。

國會正著手進行相關立法,以防止資訊洩露事件並最大限度地減少損失。Coupang代表樸大俊2日在國會科學技術資訊廣播通訊委員會全體會議上,出席有關Coupang侵權事故的現場質詢,表情凝重。照片=樸恩淑 記者
國會正著手進行相關立法,以防止資訊洩露事件並最大限度地減少損失。Coupang代表樸大俊2日在國會科學技術資訊廣播通訊委員會全體會議上,出席有關Coupang侵權事故的現場質詢,表情凝重。照片=樸恩淑 記者

核心在於防止企業應對拖延及明確義務

今年4月SK電訊USIM駭客事件發生後,國會致力於制定對策。據國會議案資訊系統2日資料顯示,在過去6個月裡,共提出了25項《促進利用資訊通訊網及資訊保護等相關法律部分修訂案(資訊通訊網法修訂案)》。主要內容集中在透過明確申報和通知義務,防止企業延遲或逃避應對,以及將資訊保護預算投入和管理體系運營現狀系統化等。

現行法律雖然規定了使用者保護義務,但對於駭客攻擊等侵權事故發生時的保護措施並無具體規定。不少意見認為,允許在特定例外情況下延遲通知,導致了應對上的“漏洞”。在各項個別修訂案中,提出了包括:△強制履行迅速的損害救濟義務並提高違規罰款(崔民熙議員方案) △針對一定規模以上企業強制進行資訊保護水平評估並公開結果(李海敏議員方案) △授予首席資訊保護官(CISO)人力資源管理及預算編制權(趙仁哲議員方案) △強制公共機構實施資訊保護管理體系認證(金起炫議員方案)等建議。

這些法案源於近期大規模個人資訊洩露事故中暴露出的企業遲報及掩蓋行為、政府應對體系的疏漏,以及公共機構的安全盲區等問題。多數法案旨在將主管機構的許可權和制裁手段明確寫入法律,並要求企業承擔防止損害擴大及救濟的義務。

SK集團會長崔泰源於5月7日上午在首爾中區SK電訊T塔SUPEX廳,就SK電訊的駭客攻擊事件向國民道歉。照片=樸正勳 記者
SK集團會長崔泰源於5月7日上午在首爾中區SK電訊T塔SUPEX廳,就SK電訊的駭客攻擊事件向國民道歉。照片=樸正勳 記者

根據國會科學技術資訊廣播通訊委員會委員、祖國革新黨議員李海敏從韓國網際網路振興院(KISA)處獲取的資料,去年8月以來的1年間,確認的遲報或未報案例共66起。雖然去年8月《資訊通訊網法》修訂後,強制要求在事故發生24小時內進行申報,但仍有部分企業在知曉事故後過了1年才進行申報。目前最高僅3000萬韓元的罰款額度被認為助長了企業的逃避申報心理。

有指出稱,今年以來每月反覆發生的大規模資訊洩露事件,顯示出政府在事前預防和事後應對體系上均存在漏洞。從近期洩露了3370萬名客戶個人資訊的Coupang,到SK電訊、Yes24、樂天信用卡、KT等,均是已獲得國內最高水平安全認證“ISMS-P(資訊保護及個人資訊保護管理體系認證)”的企業。

其中,樂天信用卡在伺服器遭受駭客攻擊的兩天前才剛剛獲得金融安全院頒發的該認證。這意味著它們已被認可具備有效應對網路侵權威脅的能力。除金融領域外,民間發生的保安事故由科學技術資訊通訊部下屬的KISA根據《資訊通訊網法》和《資訊保護產業法》負責處理。政府為保障資訊通訊網安全而引入的這一認證,實際上被指僅是滿足最低標準的“形式主義”制度。

強化企業內部安全體系…推進“保護措施”強制化

同一時期,針對《個人資訊保護法》(18項)和《電氣通訊事業法》(5項)的立法修訂也接連不斷。其大框架相似,即在個人資訊洩露方面,應向資訊主體迅速提供充分的資訊,並加強政府的許可權等。

具體來看,《個人資訊保護法》修訂案涉及保障資訊主體知情權的詳細規定,包括:△在個人資訊處理及收集階段強化權利告知程式,將個人資訊影響評估強制實施物件擴大至民營部門(樸民奎議員方案) △強制對所有存在洩露可能性的潛在受害者進行個別通知(李勳基議員方案) △要求透過電話、簡訊、郵件、書面進行個別通知及公開防範再發生對策的所謂“強制個別通知法”(李海敏議員方案)等。

國會科學技術資訊廣播通訊委員會於上月19日在法案小組委員會上,以委員會提案的形式表決透過了旨在強化企業內部資訊保護決策結構和責任體系的《資訊通訊網法》修訂案。其內容包括要求資訊通訊服務提供者努力確保資訊保護專業人才和充足的預算,賦予首席資訊保護官(CISO)人力資源管理和預算編制權,並將資訊保護現狀向理事會報告等。

政府和國會表現出了加強近期駭客事件相關監管的決心。照片=Pixabay
政府和國會表現出了加強近期駭客事件相關監管的決心。照片=Pixabay

監管當局近期顯露出構建強化強制力監管體系的決心。隨著駭客攻擊事件波及金融領域,金融委員會也暗示將推進《電子金融交易法》修訂,主要內容包括大幅提高制裁力度,如引入罰款和履約代執行金等。根據現行《個人資訊保護法》,可在總銷售額的3%以內徵收罰款。相比之下,《電子金融交易法》修訂案中目前尚缺乏妥當的事後制裁方案。

國會立法調查處也指出,有必要改善企業在事故處理上的消極應對以及政府的不力處置。相關報告提到:“有必要探討在《資訊通訊網法》中明確規定發生侵權事故時應採取的警報物件、內容及方式,並在判斷可能引發廣泛或重大風險時,與行政安全部長官協商,利用災難警報體系迅速引導駭客攻擊事實的告知體系。”將《資訊通訊網法》下的侵權事故歸類為《廣播通訊發展基本法》下的廣播通訊災難的方案也被提及。

近期,針對受害者的實際賠償問題也受到關注。SK電訊案例是集體糾紛調解及集體訴訟制度實施後的首例集體糾紛調解申請案,但公司於本月20日拒絕了個人資訊保護委員會糾紛調解委員會提出的向每名受害者賠償30萬韓元的方案。

國會立法調查處立法調查官樸素英(音譯)指出:“為個人資訊侵害造成的多數小額受害者制定有效的救濟方案顯然非常必要,並需要進行深入探討。但在韓國,要引入與美國等國法律體系不同的集體訴訟制度,需要謹慎的考量和細緻的制度設計。”

本文由AI自動翻譯。與韓語原文相比可能存在誤差。
강은경 기자

기술과 산업을 취재하고 씁니다.

gong@bizhankook.com
저작권자 ⓒ 비즈한국 무단전재 및 재배포 금지