[비즈한국] 近期,企业网络安全事故接连发生,引发了社会对企业个人信息保护的极大关注。对此,韩国互联网振兴院(KISA)通过“信息保护公示门户”公开了各企业的相关人力资源及投资现状。
然而,由于强制进行信息保护公示的企业门槛过高,制度改进的必要性日益凸显。为此,政府已开始就完善信息保护公示制度展开讨论。

信息保护公示门户的强制标准过高
2025年4月,SKT发生了USIM信息泄露事故;6月,Yes24053280发生了勒索软件攻击事件。此外,仅上半年,奢侈品牌迪奥(Dior)、蒂芙尼(Tiffany)、卡地亚(Cartier),以及奢侈品平台MustIt、兼职招聘平台AlbaMon、披萨品牌韩国棒约翰(Papa Johns)等也相继发生了个人信息泄露等事故。

随之而来的是社会对企业管理客户个人信息能力的广泛质疑。各界对于企业如何保护客户个人信息、投资规模、人力配置以及高管现状等信息的关注度也大幅提升。
虽然上述信息通常可以在KISA的信息保护公示门户上查询,但被指出的问题是,由于强制公示对象的门槛设定过高,导致被公开的企业数量较少。
根据《信息保护产业振兴法》(以下简称《信息保护产业法》)等规定,KISA要求相关企业公示信息保护相关信息。公示内容包括信息保护投资现状、人力资源现状、信息保护相关认证、评估及检查活动等,企业须在每年6月30日前提交。
根据规定,以2025年为例,SKT申报的信息保护领域投资额为652亿韩元,专职人员为219.2人;Yes24公示的2025年信息保护投资额为16亿韩元,专职人员为10.1人。
然而,发生过信息泄露事故的迪奥韩国(Dior Korea)、蒂芙尼韩国(Tiffany Korea)、卡地亚韩国法人历峰韩国(Richemont Korea)、韩国棒约翰、AlbaMon、MustIt等企业,却无法在该门户网站上查询到信息。原因在于这些企业不属于信息保护强制公示的对象。
外国企业韩国法人及中小企业无需公示
查阅法律及相关规定可知,根据现行法令,如果不是施行令所规定的强制公开对象,信息保护公示与否由企业自主决定。
《信息保护产业法》第13条规定企业等可以公开信息保护现状。同时,为了保护用户的安全使用,对于考虑业务领域、销售额、服务用户数而由施行令规定的企业,则强制其进行现状公示。
该法施行令第8条第1项具体规定了第13条第2款所述的强制公开对象,包括:通信运营商、运营Naver或Kakao035720等门户网站的大型数据企业、三级综合医院以及云服务提供商等。
此外,在证券交易所及KOSDAQ上市的企业中,销售额超过3000亿韩元的企业被列为强制公示对象,若该企业服务用户数超过100万,也属于强制公开范畴。
换言之,如果不属于处理大规模数据的通信公司、销售额超过3000亿韩元的大型上市企业,或者用户数超过100万的企业,则无需履行信息保护公示义务。
事实上,上述发生个人信息泄露事件的企业,在KISA于2025年公布的671家强制公示对象名单中均未见踪影。
例如,韩国棒约翰2024年的销售额为717亿韩元,但因非上市企业且销售额未超过3000亿韩元,故无需公示。负责迪奥韩国业务的克里斯汀迪奥时装韩国(Christian Dior Couture Korea)虽然2024年销售额高达9453亿韩元,但因其并非韩国上市法人,也不在公示对象之列。
相当多的个人信息泄露事故发生在中小企业
现行制度导致公众难以查证未在韩国上市的外国企业、中小企业以及用户数不足100万的在线平台的信息保护水平。考虑到相当一部分个人信息泄露事故集中在民营企业,尤其是中小企业,这也是制度改进必要性被提及的原因。

实际统计数据也支持这一观点。根据个人信息保护委员会2025年3月发布的2024年个人信息泄露申报趋势分析,2024年申报的个人信息泄露事故中,过半数来自中小企业。
分析显示,在307起申报中,民营企业占66%,其中中小企业发生的事故占比高达60%。从行业来看,信息通信、软件及电子商务合计占比达34%。泄露原因方面,需要加大信息保护投资与管理的黑客攻击占比高达67%。
为此,政府正在推动制度改进。李在明总统在总统竞选期间,为应对网络威胁,曾承诺“强化信息保护公示制度,透明公开信息保护投资规模及专职人力规模”。
据了解,新政府上台后,科学技术信息通信部已向承担过渡职能的国政企划委员会报告了改善信息保护制度的相关议题。改进方案包括将信息保护公示制度的强制对象从目前的销售额3000亿韩元以上上市企业,扩大至全体上市企业等内容。
不过,针对发生实际泄露事故较集中的非上市中小企业、外国企业,以及用户数不足100万的中小型在线平台是否强制执行公示,鉴于国政企划委员会正处于制定及细化国政课题草案的阶段,后续讨论进展仍有待观察。