□ 法治日報駐韓國全媒體記者 王剛
近期�,韓國網(wǎng)絡(luò)安全領(lǐng)域警報持續(xù)拉響。Sk電信��、韓國電信����、樂天信用卡等知名企業(yè)及就業(yè)門戶網(wǎng)站Incruit接連遭遇黑客攻擊,導(dǎo)致海量個人信息外泄���、小額支付系統(tǒng)失控等嚴(yán)重事故�,不僅給民眾財產(chǎn)安全和信息權(quán)益造成損害��,也引發(fā)各界對網(wǎng)絡(luò)安全防護(hù)能力的廣泛擔(dān)憂�。面對嚴(yán)峻的網(wǎng)絡(luò)安全形勢,韓國多部門迅速聯(lián)動����,推出跨部門信息保護(hù)綜合對策���,通過強(qiáng)化調(diào)查權(quán)限、加大處罰力度�����、擴(kuò)大企業(yè)公示義務(wù)等多重舉措���,全力遏制網(wǎng)絡(luò)攻擊亂象�����。
出臺綜合對策破解困局
為應(yīng)對黑客攻擊頻發(fā)的“嚴(yán)重危機(jī)狀況”����,韓國政府于10月22日由科學(xué)技術(shù)信息通信部�、企劃財政部、金融委員會等多部門聯(lián)合公布跨部門信息保護(hù)綜合對策(又被稱為“網(wǎng)絡(luò)安全保障對策”)����,明確將啟動以國家安保室為中心的靈活應(yīng)對機(jī)制����,全方位升級網(wǎng)絡(luò)安全管控���。
針對部分企業(yè)因擔(dān)心聲譽(yù)受損而隱瞞網(wǎng)絡(luò)攻擊事件的“行業(yè)慣例”,韓國政府調(diào)整監(jiān)管規(guī)則��,賦予調(diào)查部門更大權(quán)限��。新規(guī)明確��,一旦監(jiān)測到黑客入侵跡象�,即便企業(yè)未主動申報,相關(guān)部門也可直接開展現(xiàn)場調(diào)查�����,打破“民不舉���、官不究”的被動局面���。同時,為壓實企業(yè)主體責(zé)任����,韓國政府大幅強(qiáng)化對違規(guī)行為的處罰力度:對拖延申報網(wǎng)絡(luò)安全事件、未落實整改措施防止事故復(fù)發(fā)、反復(fù)泄露個人及信用信息等違反信息安全保障義務(wù)的行為��,除提高原有罰款金額外����,還將設(shè)立遲延履行金和懲戒性罰款,以經(jīng)濟(jì)杠桿倒逼企業(yè)重視信息保護(hù)���。
在系統(tǒng)防護(hù)層面�����,韓國政府計劃對公共����、金融�����、通信等與國民生活密切相關(guān)領(lǐng)域的1600多個信息技術(shù)(IT)系統(tǒng)展開全面安全檢查����。針對近期因黑客襲擊而損失嚴(yán)重的大型電信運(yùn)營商,將實施模擬黑客攻擊的高強(qiáng)度突擊檢查�,精準(zhǔn)排查安全漏洞��。此外,鑒于微蜂窩基站(Femtocell)在近期攻擊事件中被黑客惡意利用的情況��,政府要求電信業(yè)界為主要IT資產(chǎn)建立識別管理系統(tǒng)�����,并停用無安全保障的相關(guān)設(shè)備��,從硬件層面阻斷安全隱患����。
為切實保護(hù)消費(fèi)者權(quán)益,韓國政府還將制定通信���、金融領(lǐng)域的用戶保護(hù)手冊��,減輕黑客事件發(fā)生后消費(fèi)者的舉證負(fù)擔(dān)�����。針對被批為“一紙空文”的信息安全管理認(rèn)證制度�����,將以現(xiàn)場審核為核心強(qiáng)化事后管理��,并推動將企業(yè)CEO的安全保障責(zé)任原則納入法律���,構(gòu)建“自上而下”的責(zé)任落實體系����。
倒逼企業(yè)加大安全投入
今年以來���,Sk電信���、韓國電信、Yes24購物平臺�、樂天信用卡等眾多韓國知名企業(yè)接連成為黑客攻擊目標(biāo),暴露出企業(yè)信息安全防護(hù)的短板��,也促使韓國政府下定決心擴(kuò)大監(jiān)管覆蓋面����,倒逼企業(yè)加大安全投入。
根據(jù)新公布的綜合對策����,從明年上半年起�,韓國所有上市公司都需公開信息保護(hù)相關(guān)情況����,包括對保安部門的投資額���、專業(yè)人力配置等核心信息��。此前��,信息保護(hù)公示義務(wù)僅適用于年銷售額超過3000億韓元(1韓元約合人民幣0.005元)的企業(yè)或日使用者超過100萬人的IT服務(wù)企業(yè)���,共計666家;新規(guī)實施后�����,公示義務(wù)對象將增至2700余家���,幾乎覆蓋韓國主要企業(yè)群體�。韓國政府表示����,通過強(qiáng)制公開信息保護(hù)現(xiàn)狀���,既能提升企業(yè)信息安全工作的透明度,也能形成行業(yè)內(nèi)的良性競爭����,推動企業(yè)主動加大在網(wǎng)絡(luò)安全領(lǐng)域的資源投入。
針對現(xiàn)行法律中泄露個人信息罰款上限(企業(yè)營業(yè)額的3%)被外界詬病“懲戒力度不足”的問題��,韓國政府計劃借鑒英國等國經(jīng)驗�,引入懲罰性罰款制度并提高處罰上限——英國目前將泄露個人信息罰款上限定為企業(yè)營業(yè)額的10%,韓國將參照這一標(biāo)準(zhǔn)優(yōu)化處罰規(guī)則�����,讓違法成本顯著高于違法收益��。
在強(qiáng)化企業(yè)責(zé)任的同時�,韓國政府也正視自身在公共信息保護(hù)中的職責(zé),計劃從明年第一季度開始加大對公共信息的保護(hù)力度�,包括增加財政投入、雇傭更多專業(yè)技術(shù)人員等����。綜合對策公布次日,韓國政府已啟動對通信�、金融�、主要公共服務(wù)等領(lǐng)域1600多個IT系統(tǒng)的針對性檢查�。
對于此次新規(guī),韓國誠信女子大學(xué)融合安全工學(xué)系教授洪俊浩給予部分肯定:“強(qiáng)化企業(yè)負(fù)責(zé)人的個人信息保護(hù)責(zé)任���、擴(kuò)大信息保護(hù)公示范圍����,這些舉措抓住了關(guān)鍵�。但現(xiàn)實挑戰(zhàn)不容忽視——目前公示對象企業(yè)中����,網(wǎng)絡(luò)安全人力不足5人的企業(yè)占比高達(dá)70%,如何引導(dǎo)企業(yè)充實安全專業(yè)人才隊伍���,還需要配套政策支持�?����!?/p>
嚴(yán)懲違規(guī)企業(yè)推動補(bǔ)償
韓國跨部門信息保護(hù)綜合對策公布后�,相關(guān)部門迅速展開執(zhí)法行動,多家違規(guī)企業(yè)被依法處罰���,部分受黑客攻擊影響的企業(yè)也主動推出補(bǔ)償方案�,回應(yīng)民眾關(guān)切。
10月23日���,韓國個人信息保護(hù)委員會宣布��,對今年1月至2月發(fā)生嚴(yán)重個人信息泄露事件的就業(yè)門戶網(wǎng)站Incruit處以4.63億韓元罰款���,并要求其新指定專門的高級別信息保護(hù)負(fù)責(zé)人,建立長效防護(hù)機(jī)制�����,防止類似事故重演��。據(jù)悉��,Incruit此次泄露的會員個人信息多達(dá)728萬條�����,數(shù)據(jù)量達(dá)438GB�����,涵蓋會員的姓名、性別����、手機(jī)號碼、學(xué)歷��、經(jīng)歷�����、照片等18項敏感信息���。黑客通過將惡性代碼植入公司職員的電腦,逐步滲透至內(nèi)部數(shù)據(jù)庫����,耗時一個月完成信息竊取�;而Incruit在事故發(fā)生期間,未及時發(fā)現(xiàn)異常的數(shù)據(jù)庫連接和大容量流量���,直到兩個月后收到黑客威脅郵件才知曉信息泄露事實�����。
此外�,針對小額支付系統(tǒng)受到黑客攻擊的受害者,韓國電信于10月29日公布最新補(bǔ)償方案��。該公司負(fù)責(zé)人金英燮在國會接受國政監(jiān)查時表示��,正推進(jìn)以全體顧客為對象的USIM卡更換工作����,目前已進(jìn)入收尾階段,待11月4日理事會表決通過后將立即實施���。同時�����,韓國電信還推出追加補(bǔ)償計劃���,面向22227名個人信息遭泄露進(jìn)而利益受損的顧客,在5個月內(nèi)提供100GB免費(fèi)移動流量���,此外還將給予相當(dāng)于15萬韓元的通信費(fèi)折扣�����,并為有換機(jī)需求的顧客提供金額不等的購機(jī)優(yōu)惠��。
從強(qiáng)化監(jiān)管執(zhí)法到倒逼企業(yè)加大投入�����,再到嚴(yán)懲違規(guī)行為��、推動受害者補(bǔ)償���,韓國政府此次推出的網(wǎng)絡(luò)安全保障組合拳����,覆蓋了“預(yù)防—監(jiān)管—處罰—善后”全鏈條��。但如何持續(xù)提升企業(yè)防護(hù)能力����、充實專業(yè)人才隊伍�����、應(yīng)對不斷升級的黑客攻擊手段,仍是韓國后續(xù)需要攻克的難題���。
法治號
