주메뉴바로가기본문바로가기
비즈한국 비즈한국

因Coupang与SKT事件引发信息保护立法潮,“申报要迅速,处罚要严厉”

本文由AI自动翻译。与韩语原文相比可能存在误差。  Read original in Korean →

[비즈한국] 今年以来,接连发生的大规模信息泄露事件将监管的有效性推向了风口浪尖,加强信息保护的立法行动也变得愈发忙碌。自SK电讯017670(SKT)USIM(用户识别模块)黑客事件后,Yes24053280、KT030200、乐天信用卡等企业相继发生客户信息泄露。在过去的半年里,旨在修改信息保护管理体系(ISMS)及调查程序的《信息通信网法》修订案已提出了25项。与此同时,向潜在受害者通报泄露可能性、强制对全体用户采取保护措施的法案也在推进中。随着类似事故及迟报现象反复出现,加强制度的呼声日益高涨,这些纷至沓来的法案能否填补安全“空白”备受关注。

国会正着手进行相关立法,以防止信息泄露事件并最大限度地减少损失。Coupang代表朴大俊2日在国会科学技术信息广播通信委员会全体会议上,出席有关Coupang侵权事故的现场质询,表情凝重。照片=朴恩淑 记者
国会正着手进行相关立法,以防止信息泄露事件并最大限度地减少损失。Coupang代表朴大俊2日在国会科学技术信息广播通信委员会全体会议上,出席有关Coupang侵权事故的现场质询,表情凝重。照片=朴恩淑 记者

核心在于防止企业应对拖延及明确义务

今年4月SK电讯USIM黑客事件发生后,国会致力于制定对策。据国会议案信息系统2日数据显示,在过去6个月里,共提出了25项《促进利用信息通信网及信息保护等相关法律部分修订案(信息通信网法修订案)》。主要内容集中在通过明确申报和通知义务,防止企业延迟或逃避应对,以及将信息保护预算投入和管理体系运营现状系统化等。

现行法律虽然规定了用户保护义务,但对于黑客攻击等侵权事故发生时的保护措施并无具体规定。不少意见认为,允许在特定例外情况下延迟通知,导致了应对上的“漏洞”。在各项个别修订案中,提出了包括:△强制履行迅速的损害救济义务并提高违规罚款(崔民熙议员方案) △针对一定规模以上企业强制进行信息保护水平评估并公开结果(李海敏议员方案) △授予首席信息保护官(CISO)人力资源管理及预算编制权(赵仁哲议员方案) △强制公共机构实施信息保护管理体系认证(金起炫议员方案)等建议。

这些法案源于近期大规模个人信息泄露事故中暴露出的企业迟报及掩盖行为、政府应对体系的疏漏,以及公共机构的安全盲区等问题。多数法案旨在将主管机构的权限和制裁手段明确写入法律,并要求企业承担防止损害扩大及救济的义务。

SK集团会长崔泰源于5月7日上午在首尔中区SK电讯T塔SUPEX厅,就SK电讯的黑客攻击事件向国民道歉。照片=朴正勋 记者
SK集团会长崔泰源于5月7日上午在首尔中区SK电讯T塔SUPEX厅,就SK电讯的黑客攻击事件向国民道歉。照片=朴正勋 记者

根据国会科学技术信息广播通信委员会委员、祖国革新党议员李海敏从韩国互联网振兴院(KISA)处获取的资料,去年8月以来的1年间,确认的迟报或未报案例共66起。虽然去年8月《信息通信网法》修订后,强制要求在事故发生24小时内进行申报,但仍有部分企业在知晓事故后过了1年才进行申报。目前最高仅3000万韩元的罚款额度被认为助长了企业的逃避申报心理。

有指出称,今年以来每月反复发生的大规模信息泄露事件,显示出政府在事前预防和事后应对体系上均存在漏洞。从近期泄露了3370万名客户个人信息的Coupang,到SK电讯、Yes24、乐天信用卡、KT等,均是已获得国内最高水平安全认证“ISMS-P(信息保护及个人信息保护管理体系认证)”的企业。

其中,乐天信用卡在服务器遭受黑客攻击的两天前才刚刚获得金融安全院颁发的该认证。这意味着它们已被认可具备有效应对网络侵权威胁的能力。除金融领域外,民间发生的保安事故由科学技术信息通信部下属的KISA根据《信息通信网法》和《信息保护产业法》负责处理。政府为保障信息通信网安全而引入的这一认证,实际上被指仅是满足最低标准的“形式主义”制度。

强化企业内部安全体系…推进“保护措施”强制化

同一时期,针对《个人信息保护法》(18项)和《电气通信事业法》(5项)的立法修订也接连不断。其大框架相似,即在个人信息泄露方面,应向信息主体迅速提供充分的信息,并加强政府的权限等。

具体来看,《个人信息保护法》修订案涉及保障信息主体知情权的详细规定,包括:△在个人信息处理及收集阶段强化权利告知程序,将个人信息影响评估强制实施对象扩大至民营部门(朴民奎议员方案) △强制对所有存在泄露可能性的潜在受害者进行个别通知(李勋基议员方案) △要求通过电话、短信、邮件、书面进行个别通知及公开防范再发生对策的所谓“强制个别通知法”(李海敏议员方案)等。

国会科学技术信息广播通信委员会于上月19日在法案小组委员会上,以委员会提案的形式表决通过了旨在强化企业内部信息保护决策结构和责任体系的《信息通信网法》修订案。其内容包括要求信息通信服务提供者努力确保信息保护专业人才和充足的预算,赋予首席信息保护官(CISO)人力资源管理和预算编制权,并将信息保护现状向理事会报告等。

政府和国会表现出了加强近期黑客事件相关监管的决心。照片=Pixabay
政府和国会表现出了加强近期黑客事件相关监管的决心。照片=Pixabay

监管当局近期显露出构建强化强制力监管体系的决心。随着黑客攻击事件波及金融领域,金融委员会也暗示将推进《电子金融交易法》修订,主要内容包括大幅提高制裁力度,如引入罚款和履约代执行金等。根据现行《个人信息保护法》,可在总销售额的3%以内征收罚款。相比之下,《电子金融交易法》修订案中目前尚缺乏妥当的事后制裁方案。

国会立法调查处也指出,有必要改善企业在事故处理上的消极应对以及政府的不力处置。相关报告提到:“有必要探讨在《信息通信网法》中明确规定发生侵权事故时应采取的警报对象、内容及方式,并在判断可能引发广泛或重大风险时,与行政安全部长官协商,利用灾难警报体系迅速引导黑客攻击事实的告知体系。”将《信息通信网法》下的侵权事故归类为《广播通信发展基本法》下的广播通信灾难的方案也被提及。

近期,针对受害者的实际赔偿问题也受到关注。SK电讯案例是集体纠纷调解及集体诉讼制度实施后的首例集体纠纷调解申请案,但公司于本月20日拒绝了个人信息保护委员会纠纷调解委员会提出的向每名受害者赔偿30万韩元的方案。

国会立法调查处立法调查官朴素英(音译)指出:“为个人信息侵害造成的多数小额受害者制定有效的救济方案显然非常必要,并需要进行深入探讨。但在韩国,要引入与美国等国法律体系不同的集体诉讼制度,需要谨慎的考量和细致的制度设计。”

本文由AI自动翻译。与韩语原文相比可能存在误差。
강은경 기자

기술과 산업을 취재하고 씁니다.

gong@bizhankook.com
저작권자 ⓒ 비즈한국 무단전재 및 재배포 금지