□ 法治日報駐韓國全媒體記者 王剛
近期���,韓國網(wǎng)絡安全領域警報持續(xù)拉響。Sk電信��、韓國電信����、樂天信用卡等知名企業(yè)及就業(yè)門戶網(wǎng)站Incruit接連遭遇黑客攻擊����,導致海量個人信息外泄���、小額支付系統(tǒng)失控等嚴重事故���,不僅給民眾財產(chǎn)安全和信息權(quán)益造成損害,也引發(fā)各界對網(wǎng)絡安全防護能力的廣泛擔憂���。面對嚴峻的網(wǎng)絡安全形勢���,韓國多部門迅速聯(lián)動,推出跨部門信息保護綜合對策�����,通過強化調(diào)查權(quán)限�����、加大處罰力度�����、擴大企業(yè)公示義務等多重舉措,全力遏制網(wǎng)絡攻擊亂象�����。
出臺綜合對策破解困局
為應對黑客攻擊頻發(fā)的“嚴重危機狀況”��,韓國政府于10月22日由科學技術信息通信部���、企劃財政部����、金融委員會等多部門聯(lián)合公布跨部門信息保護綜合對策(又被稱為“網(wǎng)絡安全保障對策”)���,明確將啟動以國家安保室為中心的靈活應對機制��,全方位升級網(wǎng)絡安全管控�����。
針對部分企業(yè)因擔心聲譽受損而隱瞞網(wǎng)絡攻擊事件的“行業(yè)慣例”,韓國政府調(diào)整監(jiān)管規(guī)則��,賦予調(diào)查部門更大權(quán)限。新規(guī)明確���,一旦監(jiān)測到黑客入侵跡象�,即便企業(yè)未主動申報����,相關部門也可直接開展現(xiàn)場調(diào)查,打破“民不舉��、官不究”的被動局面����。同時,為壓實企業(yè)主體責任��,韓國政府大幅強化對違規(guī)行為的處罰力度:對拖延申報網(wǎng)絡安全事件���、未落實整改措施防止事故復發(fā)��、反復泄露個人及信用信息等違反信息安全保障義務的行為���,除提高原有罰款金額外,還將設立遲延履行金和懲戒性罰款�����,以經(jīng)濟杠桿倒逼企業(yè)重視信息保護。
在系統(tǒng)防護層面�,韓國政府計劃對公共、金融�、通信等與國民生活密切相關領域的1600多個信息技術(IT)系統(tǒng)展開全面安全檢查。針對近期因黑客襲擊而損失嚴重的大型電信運營商��,將實施模擬黑客攻擊的高強度突擊檢查����,精準排查安全漏洞。此外���,鑒于微蜂窩基站(Femtocell)在近期攻擊事件中被黑客惡意利用的情況�,政府要求電信業(yè)界為主要IT資產(chǎn)建立識別管理系統(tǒng)��,并停用無安全保障的相關設備�����,從硬件層面阻斷安全隱患����。
為切實保護消費者權(quán)益�����,韓國政府還將制定通信、金融領域的用戶保護手冊���,減輕黑客事件發(fā)生后消費者的舉證負擔�����。針對被批為“一紙空文”的信息安全管理認證制度��,將以現(xiàn)場審核為核心強化事后管理���,并推動將企業(yè)CEO的安全保障責任原則納入法律,構(gòu)建“自上而下”的責任落實體系�����。
倒逼企業(yè)加大安全投入
今年以來��,Sk電信��、韓國電信�����、Yes24購物平臺、樂天信用卡等眾多韓國知名企業(yè)接連成為黑客攻擊目標��,暴露出企業(yè)信息安全防護的短板����,也促使韓國政府下定決心擴大監(jiān)管覆蓋面,倒逼企業(yè)加大安全投入���。
根據(jù)新公布的綜合對策��,從明年上半年起��,韓國所有上市公司都需公開信息保護相關情況���,包括對保安部門的投資額、專業(yè)人力配置等核心信息��。此前�,信息保護公示義務僅適用于年銷售額超過3000億韓元(1韓元約合人民幣0.005元)的企業(yè)或日使用者超過100萬人的IT服務企業(yè),共計666家�����;新規(guī)實施后,公示義務對象將增至2700余家����,幾乎覆蓋韓國主要企業(yè)群體。韓國政府表示��,通過強制公開信息保護現(xiàn)狀����,既能提升企業(yè)信息安全工作的透明度����,也能形成行業(yè)內(nèi)的良性競爭,推動企業(yè)主動加大在網(wǎng)絡安全領域的資源投入�����。
針對現(xiàn)行法律中泄露個人信息罰款上限(企業(yè)營業(yè)額的3%)被外界詬病“懲戒力度不足”的問題����,韓國政府計劃借鑒英國等國經(jīng)驗,引入懲罰性罰款制度并提高處罰上限——英國目前將泄露個人信息罰款上限定為企業(yè)營業(yè)額的10%�����,韓國將參照這一標準優(yōu)化處罰規(guī)則,讓違法成本顯著高于違法收益����。
在強化企業(yè)責任的同時,韓國政府也正視自身在公共信息保護中的職責���,計劃從明年第一季度開始加大對公共信息的保護力度����,包括增加財政投入���、雇傭更多專業(yè)技術人員等�。綜合對策公布次日��,韓國政府已啟動對通信�����、金融�����、主要公共服務等領域1600多個IT系統(tǒng)的針對性檢查。
對于此次新規(guī)�,韓國誠信女子大學融合安全工學系教授洪俊浩給予部分肯定:“強化企業(yè)負責人的個人信息保護責任、擴大信息保護公示范圍���,這些舉措抓住了關鍵����。但現(xiàn)實挑戰(zhàn)不容忽視——目前公示對象企業(yè)中��,網(wǎng)絡安全人力不足5人的企業(yè)占比高達70%��,如何引導企業(yè)充實安全專業(yè)人才隊伍���,還需要配套政策支持?�!?/p>
嚴懲違規(guī)企業(yè)推動補償
韓國跨部門信息保護綜合對策公布后�����,相關部門迅速展開執(zhí)法行動����,多家違規(guī)企業(yè)被依法處罰,部分受黑客攻擊影響的企業(yè)也主動推出補償方案����,回應民眾關切����。
10月23日�,韓國個人信息保護委員會宣布,對今年1月至2月發(fā)生嚴重個人信息泄露事件的就業(yè)門戶網(wǎng)站Incruit處以4.63億韓元罰款���,并要求其新指定專門的高級別信息保護負責人�,建立長效防護機制�����,防止類似事故重演�。據(jù)悉,Incruit此次泄露的會員個人信息多達728萬條�����,數(shù)據(jù)量達438GB�����,涵蓋會員的姓名、性別�、手機號碼、學歷��、經(jīng)歷�����、照片等18項敏感信息�。黑客通過將惡性代碼植入公司職員的電腦,逐步滲透至內(nèi)部數(shù)據(jù)庫�,耗時一個月完成信息竊取���;而Incruit在事故發(fā)生期間,未及時發(fā)現(xiàn)異常的數(shù)據(jù)庫連接和大容量流量��,直到兩個月后收到黑客威脅郵件才知曉信息泄露事實����。
此外,針對小額支付系統(tǒng)受到黑客攻擊的受害者�,韓國電信于10月29日公布最新補償方案。該公司負責人金英燮在國會接受國政監(jiān)查時表示�,正推進以全體顧客為對象的USIM卡更換工作,目前已進入收尾階段,待11月4日理事會表決通過后將立即實施�����。同時���,韓國電信還推出追加補償計劃�����,面向22227名個人信息遭泄露進而利益受損的顧客����,在5個月內(nèi)提供100GB免費移動流量���,此外還將給予相當于15萬韓元的通信費折扣���,并為有換機需求的顧客提供金額不等的購機優(yōu)惠。
從強化監(jiān)管執(zhí)法到倒逼企業(yè)加大投入����,再到嚴懲違規(guī)行為、推動受害者補償����,韓國政府此次推出的網(wǎng)絡安全保障組合拳��,覆蓋了“預防—監(jiān)管—處罰—善后”全鏈條�。但如何持續(xù)提升企業(yè)防護能力�����、充實專業(yè)人才隊伍��、應對不斷升級的黑客攻擊手段����,仍是韓國后續(xù)需要攻克的難題。
法治號
