기업은 고객 정보를 공개할 때 어떤 책임을 져야 합니까?

수백만 명의 고객 정보가 유출되었습니다.

공안부는 고객 정보를 유출한 기술 기업과 유출된 승객 정보를 이용하여 SMS 메시지를 통해 서비스를 제공한 택시 서비스 중개 업체들을 잇따라 지적했습니다. 공안부는 또한 현재 개인정보 유출 및 판매 상황이 광범위하고 공개적이며 점점 더 복잡해지고 있다고 밝혔습니다. 더 심각한 것은 많은 데이터가 사이버 공간에서 오랫동안 대량으로 공개적으로 판매되고 있다는 것입니다. 이러한 매매는 개인 간 거래뿐 아니라 기업, 단체, 사업체 간의 거래도 포함합니다.

2018년, Thegioididong.com 정보가 유출되어 해커들이 이메일 주소, 거래 내역, 심지어 카드 번호까지 중요한 정보를 훔쳤다는 사실이 기술 포럼을 통해 보도되어 수백만 명의 고객을 불안하게 했습니다. Gioi Di Dong은 즉시 보도자료를 발표하여 이는 가짜 정보이며, 시스템은 여전히 ​​안전하고 정상적으로 작동하며 아무런 영향을 받지 않았다고 확인했습니다. 그 후 모든 것이 점차 잠잠해졌습니다.

2018년 4월, VNG는 1억 6천만 개의 Zing ID 계정이 유출될 위험이 있으며, 자사의 게임 고객 파일 일부에 영향을 미칠 수 있다고 보고했습니다. VNG는 기술적 조치를 통해 사고 처리, 침입 방지 및 피해 사용자 수 제한을 위한 조치를 신속하게 취했다고 밝혔습니다. 그러나 VNG는 일부 사용자의 정보 유출은 인정했지만, "이번 사고로 실제 피해를 입은 사용자 범위는 크지 않고, 게임 고객에 집중되어 있으며 다른 VNG 제품에는 영향을 미치지 않는다"고 밝히며, 고객의 권리와 안전을 항상 보장하고, 고객에게 발생하는 모든 문제를 철저히 해결할 것을 약속했습니다.

아테나 사이버 보안 센터의 Vo Do Thang 씨에 따르면, 공안부가 언급한 것과 같은 특정 사례의 경우, 회사 시스템이 공격을 받았는지 또는 회사 직원이 데이터를 훔쳐 유출했는지 확인하기 위한 조사가 반드시 필요합니다. 하지만 이유가 무엇이든, 데이터가 유출되었다는 것은 회사 시스템에 취약점이 있음을 의미합니다. 여기서 취약점은 기술적이거나 인적일 수 있습니다. 따라서 네트워크 보안 및 안전 확보, 고객 개인정보 보호는 365일, 24시간 상시 모니터링 및 시행되어야 하며, 부주의하지 않아야 합니다. 해커가 언제든 공격할 수 있기 때문에 누구도 자신의 시스템이 항상 안전하다고 장담할 수 없기 때문입니다. 심지어 회사 직원이 고객 데이터를 훔쳐 외부에 판매하는 상황은 말할 것도 없습니다.

세계는 엄중한 처벌을 내리지만, 베트남은 제재가 거의 없습니다.

최근 고객 정보 유출 사건이 잇따라 발생했지만, 처벌이나 제재를 받은 곳은 거의 없었습니다. 한편, 세계 각국은 이러한 행위에 대해 엄중한 처벌을 내리고 있습니다. 예를 들어, 2019년 7월, 미국 연방거래위원회는 페이스북 사용자 8,700만 명의 개인정보가 케임브리지 애널리티카(Cambridge Analytica)에 의해 불법적으로 유출된 후 페이스북에 50억 달러(USD)의 벌금을 부과했습니다. 조사에 따르면 페이스북은 2016년 대선 캠페인과 2016년 영국 브렉시트 국민투표 기간 동안 케임브리지 애널리티카가 미국 사용자 5천만 명의 데이터에 불법적으로 접근하도록 허용했습니다. 이는 사용자 정보 유출 스캔들에 대한 세계 최대 규모의 벌금입니다.

베트남에는 정보 유출 및 공개에 대한 처벌과 관련된 많은 규정이 있습니다. 현재 네트워크 보안 분야 행정 위반에 대한 처벌에 관한 시행령 초안(현재 검토 중이며 정부 발표를 기다리고 있음)은 개인정보 보호 규정을 위반하는 기관에 대한 최대 벌금을 베트남의 이전 회계연도 총 매출의 5%까지로 규정하고 있습니다. 2회 이상 위반 시, 해당 업종의 영업 허가가 취소될 수 있습니다. 1~3개월 동안 개인정보를 수집해야 하는 업종의 경우, 추가 벌금이 부과될 수 있습니다.

VN 사이버 보안 기술 회사의 기술 이사인 부 응옥 손(Vu Ngoc Son) 씨는 현재까지 개인정보 보호에 대한 세부 규정이 부족하여 위반하는 기업 및 단체는 행정 처벌만 받게 된다고 밝혔습니다. 따라서 향후 초안에 제안된 총 매출의 최대 5%에 달하는 최대 벌금은 베트남에 적합하며, 각 기관이 고객 데이터 보호에 대한 책임을 강화하도록 하는 억제 효과가 있습니다. 그러나 손 씨는 이러한 벌금이 아직 전 세계적으로 높은 수준은 아니라고 지적했습니다. 많은 국가에서 대부분의 벌금은 각 위반 사항의 영향 규모를 기준으로 부과되기 때문입니다. 예를 들어, 소규모 기업에서 발생한 위반 사항이지만 많은 사용자에게 심각한 영향을 미치는 경우 벌금은 여전히 ​​매우 높습니다. 부 응옥 손 씨는 "베트남에는 아직 각 개인정보 유출 사례의 영향을 평가할 수 있는 기준이 없기 때문에 매출을 기준으로 벌금을 부과하는 것이 합리적입니다. 이는 개인정보 관리 및 보호 과정에서 새로운 진전이 될 것이라고 생각합니다."라고 말했습니다.

이에 동의하며, Vo Do Thang 씨는 고객 개인정보 보호 행위에 대한 구체적이고 공적인 행정적 처벌에 대한 규정을 더욱 세부화하면 기업들이 네트워크 보안 시스템을 점검해야 할 것이라고 말했습니다. 고객 정보의 기밀 유지를 위해 기술 및 인적 자원에 대한 정기적인 평가 및 모니터링 절차가 마련되어 있습니다. 이는 사무실 건물 및 혼잡한 장소의 화재 안전 확보 규정과 유사합니다. 국가 관리 기관 또한 위반 기업에 대한 검사, 감독 및 엄격한 처벌을 강화해야 합니다. 첫 번째 위반은 대중 매체에 공개될 수 있으며, 두 번째 위반은 상응하는 행정적 처벌을 받은 후, 기업이 네트워크 보안 시스템을 강화할 수 있도록 일정 기간 서비스 제공이 중단될 수 있습니다.