|
环球法治
|
|
□ 本报驻韩国记者 王刚
近期,韩国网络安全领域警报持续拉响。Sk电信、韩国电信、乐天信用卡等知名企业及就业门户网站Incruit接连遭遇黑客攻击,导致海量个人信息外泄、小额支付系统失控等严重事故,不仅给民众财产安全和信息权益造成损害,也引发各界对网络安全防护能力的广泛担忧。面对严峻的网络安全形势,韩国多部门迅速联动,推出跨部门信息保护综合对策,通过强化调查权限、加大处罚力度、扩大企业公示义务等多重举措,全力遏制网络攻击乱象。
出台综合对策破解困局
为应对黑客攻击频发的“严重危机状况”,韩国政府于10月22日由科学技术信息通信部、企划财政部、金融委员会等多部门联合公布跨部门信息保护综合对策(又被称为“网络安全保障对策”),明确将启动以国家安保室为中心的灵活应对机制,全方位升级网络安全管控。
针对部分企业因担心声誉受损而隐瞒网络攻击事件的“行业惯例”,韩国政府调整监管规则,赋予调查部门更大权限。新规明确,一旦监测到黑客入侵迹象,即便企业未主动申报,相关部门也可直接开展现场调查,打破“民不举、官不究”的被动局面。同时,为压实企业主体责任,韩国政府大幅强化对违规行为的处罚力度:对拖延申报网络安全事件、未落实整改措施防止事故复发、反复泄露个人及信用信息等违反信息安全保障义务的行为,除提高原有罚款金额外,还将设立迟延履行金和惩戒性罚款,以经济杠杆倒逼企业重视信息保护。
在系统防护层面,韩国政府计划对公共、金融、通信等与国民生活密切相关领域的1600多个信息技术(IT)系统展开全面安全检查。针对近期因黑客袭击而损失严重的大型电信运营商,将实施模拟黑客攻击的高强度突击检查,精准排查安全漏洞。此外,鉴于微蜂窝基站(Femtocell)在近期攻击事件中被黑客恶意利用的情况,政府要求电信业界为主要IT资产建立识别管理系统,并停用无安全保障的相关设备,从硬件层面阻断安全隐患。
为切实保护消费者权益,韩国政府还将制定通信、金融领域的用户保护手册,减轻黑客事件发生后消费者的举证负担。针对被批为“一纸空文”的信息安全管理认证制度,将以现场审核为核心强化事后管理,并推动将企业CEO的安全保障责任原则纳入法律,构建“自上而下”的责任落实体系。
倒逼企业加大安全投入
今年以来,Sk电信、韩国电信、Yes24购物平台、乐天信用卡等众多韩国知名企业接连成为黑客攻击目标,暴露出企业信息安全防护的短板,也促使韩国政府下定决心扩大监管覆盖面,倒逼企业加大安全投入。
根据新公布的综合对策,从明年上半年起,韩国所有上市公司都需公开信息保护相关情况,包括对保安部门的投资额、专业人力配置等核心信息。此前,信息保护公示义务仅适用于年销售额超过3000亿韩元(1韩元约合人民币0.005元)的企业或日使用者超过100万人的IT服务企业,共计666家;新规实施后,公示义务对象将增至2700余家,几乎覆盖韩国主要企业群体。韩国政府表示,通过强制公开信息保护现状,既能提升企业信息安全工作的透明度,也能形成行业内的良性竞争,推动企业主动加大在网络安全领域的资源投入。
针对现行法律中泄露个人信息罚款上限(企业营业额的3%)被外界诟病“惩戒力度不足”的问题,韩国政府计划借鉴英国等国经验,引入惩罚性罚款制度并提高处罚上限——英国目前将泄露个人信息罚款上限定为企业营业额的10%,韩国将参照这一标准优化处罚规则,让违法成本显著高于违法收益。
在强化企业责任的同时,韩国政府也正视自身在公共信息保护中的职责,计划从明年第一季度开始加大对公共信息的保护力度,包括增加财政投入、雇佣更多专业技术人员等。综合对策公布次日,韩国政府已启动对通信、金融、主要公共服务等领域1600多个IT系统的针对性检查。
对于此次新规,韩国诚信女子大学融合安全工学系教授洪俊浩给予部分肯定:“强化企业负责人的个人信息保护责任、扩大信息保护公示范围,这些举措抓住了关键。但现实挑战不容忽视——目前公示对象企业中,网络安全人力不足5人的企业占比高达70%,如何引导企业充实安全专业人才队伍,还需要配套政策支持。”
严惩违规企业推动补偿
韩国跨部门信息保护综合对策公布后,相关部门迅速展开执法行动,多家违规企业被依法处罚,部分受黑客攻击影响的企业也主动推出补偿方案,回应民众关切。
10月23日,韩国个人信息保护委员会宣布,对今年1月至2月发生严重个人信息泄露事件的就业门户网站Incruit处以4.63亿韩元罚款,并要求其新指定专门的高级别信息保护负责人,建立长效防护机制,防止类似事故重演。据悉,Incruit此次泄露的会员个人信息多达728万条,数据量达438GB,涵盖会员的姓名、性别、手机号码、学历、经历、照片等18项敏感信息。黑客通过将恶性代码植入公司职员的电脑,逐步渗透至内部数据库,耗时一个月完成信息窃取;而Incruit在事故发生期间,未及时发现异常的数据库连接和大容量流量,直到两个月后收到黑客威胁邮件才知晓信息泄露事实。
此外,针对小额支付系统受到黑客攻击的受害者,韩国电信于10月29日公布最新补偿方案。该公司负责人金英燮在国会接受国政监查时表示,正推进以全体顾客为对象的USIM卡更换工作,目前已进入收尾阶段,待11月4日理事会表决通过后将立即实施。同时,韩国电信还推出追加补偿计划,面向22227名个人信息遭泄露进而利益受损的顾客,在5个月内提供100GB免费移动流量,此外还将给予相当于15万韩元的通信费折扣,并为有换机需求的顾客提供金额不等的购机优惠。
从强化监管执法到倒逼企业加大投入,再到严惩违规行为、推动受害者补偿,韩国政府此次推出的网络安全保障组合拳,覆盖了“预防—监管—处罚—善后”全链条。但如何持续提升企业防护能力、充实专业人才队伍、应对不断升级的黑客攻击手段,仍是韩国后续需要攻克的难题。
|
| 知名企业接连遭遇黑客攻击致海量个人信息外泄
|
| 韩政府推出网络安全保障组合拳
|
|
|
|
|
|
| ( 2025-11-03 ) 稿件来源: 法治日报环球法治 |
|
|
 |
| 今年以来,众多韩国知名企业接连成为黑客攻击目标。图为当地时间10月23日,韩国首尔,LG U+龙山总部大楼。LG U+公司近日向韩国网络安全部门举报服务器被黑客攻击。
CFP供图 |
|
□ 本报驻韩国记者 王刚
近期,韩国网络安全领域警报持续拉响。Sk电信、韩国电信、乐天信用卡等知名企业及就业门户网站Incruit接连遭遇黑客攻击,导致海量个人信息外泄、小额支付系统失控等严重事故,不仅给民众财产安全和信息权益造成损害,也引发各界对网络安全防护能力的广泛担忧。面对严峻的网络安全形势,韩国多部门迅速联动,推出跨部门信息保护综合对策,通过强化调查权限、加大处罚力度、扩大企业公示义务等多重举措,全力遏制网络攻击乱象。
出台综合对策破解困局
为应对黑客攻击频发的“严重危机状况”,韩国政府于10月22日由科学技术信息通信部、企划财政部、金融委员会等多部门联合公布跨部门信息保护综合对策(又被称为“网络安全保障对策”),明确将启动以国家安保室为中心的灵活应对机制,全方位升级网络安全管控。
针对部分企业因担心声誉受损而隐瞒网络攻击事件的“行业惯例”,韩国政府调整监管规则,赋予调查部门更大权限。新规明确,一旦监测到黑客入侵迹象,即便企业未主动申报,相关部门也可直接开展现场调查,打破“民不举、官不究”的被动局面。同时,为压实企业主体责任,韩国政府大幅强化对违规行为的处罚力度:对拖延申报网络安全事件、未落实整改措施防止事故复发、反复泄露个人及信用信息等违反信息安全保障义务的行为,除提高原有罚款金额外,还将设立迟延履行金和惩戒性罚款,以经济杠杆倒逼企业重视信息保护。
在系统防护层面,韩国政府计划对公共、金融、通信等与国民生活密切相关领域的1600多个信息技术(IT)系统展开全面安全检查。针对近期因黑客袭击而损失严重的大型电信运营商,将实施模拟黑客攻击的高强度突击检查,精准排查安全漏洞。此外,鉴于微蜂窝基站(Femtocell)在近期攻击事件中被黑客恶意利用的情况,政府要求电信业界为主要IT资产建立识别管理系统,并停用无安全保障的相关设备,从硬件层面阻断安全隐患。
为切实保护消费者权益,韩国政府还将制定通信、金融领域的用户保护手册,减轻黑客事件发生后消费者的举证负担。针对被批为“一纸空文”的信息安全管理认证制度,将以现场审核为核心强化事后管理,并推动将企业CEO的安全保障责任原则纳入法律,构建“自上而下”的责任落实体系。
倒逼企业加大安全投入
今年以来,Sk电信、韩国电信、Yes24购物平台、乐天信用卡等众多韩国知名企业接连成为黑客攻击目标,暴露出企业信息安全防护的短板,也促使韩国政府下定决心扩大监管覆盖面,倒逼企业加大安全投入。
根据新公布的综合对策,从明年上半年起,韩国所有上市公司都需公开信息保护相关情况,包括对保安部门的投资额、专业人力配置等核心信息。此前,信息保护公示义务仅适用于年销售额超过3000亿韩元(1韩元约合人民币0.005元)的企业或日使用者超过100万人的IT服务企业,共计666家;新规实施后,公示义务对象将增至2700余家,几乎覆盖韩国主要企业群体。韩国政府表示,通过强制公开信息保护现状,既能提升企业信息安全工作的透明度,也能形成行业内的良性竞争,推动企业主动加大在网络安全领域的资源投入。
针对现行法律中泄露个人信息罚款上限(企业营业额的3%)被外界诟病“惩戒力度不足”的问题,韩国政府计划借鉴英国等国经验,引入惩罚性罚款制度并提高处罚上限——英国目前将泄露个人信息罚款上限定为企业营业额的10%,韩国将参照这一标准优化处罚规则,让违法成本显著高于违法收益。
在强化企业责任的同时,韩国政府也正视自身在公共信息保护中的职责,计划从明年第一季度开始加大对公共信息的保护力度,包括增加财政投入、雇佣更多专业技术人员等。综合对策公布次日,韩国政府已启动对通信、金融、主要公共服务等领域1600多个IT系统的针对性检查。
对于此次新规,韩国诚信女子大学融合安全工学系教授洪俊浩给予部分肯定:“强化企业负责人的个人信息保护责任、扩大信息保护公示范围,这些举措抓住了关键。但现实挑战不容忽视——目前公示对象企业中,网络安全人力不足5人的企业占比高达70%,如何引导企业充实安全专业人才队伍,还需要配套政策支持。”
严惩违规企业推动补偿
韩国跨部门信息保护综合对策公布后,相关部门迅速展开执法行动,多家违规企业被依法处罚,部分受黑客攻击影响的企业也主动推出补偿方案,回应民众关切。
10月23日,韩国个人信息保护委员会宣布,对今年1月至2月发生严重个人信息泄露事件的就业门户网站Incruit处以4.63亿韩元罚款,并要求其新指定专门的高级别信息保护负责人,建立长效防护机制,防止类似事故重演。据悉,Incruit此次泄露的会员个人信息多达728万条,数据量达438GB,涵盖会员的姓名、性别、手机号码、学历、经历、照片等18项敏感信息。黑客通过将恶性代码植入公司职员的电脑,逐步渗透至内部数据库,耗时一个月完成信息窃取;而Incruit在事故发生期间,未及时发现异常的数据库连接和大容量流量,直到两个月后收到黑客威胁邮件才知晓信息泄露事实。
此外,针对小额支付系统受到黑客攻击的受害者,韩国电信于10月29日公布最新补偿方案。该公司负责人金英燮在国会接受国政监查时表示,正推进以全体顾客为对象的USIM卡更换工作,目前已进入收尾阶段,待11月4日理事会表决通过后将立即实施。同时,韩国电信还推出追加补偿计划,面向22227名个人信息遭泄露进而利益受损的顾客,在5个月内提供100GB免费移动流量,此外还将给予相当于15万韩元的通信费折扣,并为有换机需求的顾客提供金额不等的购机优惠。
从强化监管执法到倒逼企业加大投入,再到严惩违规行为、推动受害者补偿,韩国政府此次推出的网络安全保障组合拳,覆盖了“预防—监管—处罚—善后”全链条。但如何持续提升企业防护能力、充实专业人才队伍、应对不断升级的黑客攻击手段,仍是韩国后续需要攻克的难题。
|
|
|
