2014-01-
|来源:法制日报|作者:王刚
韩国金融机构个人信息泄露事件于1月8日爆发。截至19日,涉案金融信息超过1亿条,涉案人员多达2000万人。名人、艺人、普通人也未能幸免,成为韩国历史上最严重的信息泄露事件。
由于这次泄露的个人信息极其详细,对短信诈骗等各种金融诈骗的担忧甚至在韩国引起了恐慌,韩国金融监管部门也于19日发布了紧急警告令。有分析认为,韩国金融部门和监管机构安全意识淡薄、处罚较轻是类似事件反复发生的主要原因。有专家指出,韩国现行法律在金融机构个人信息保护方面存在诸多漏洞,亟待修订。
超过1亿条个人信息被泄露。
韩国KB国民卡、乐天卡、NH农协卡等1亿多条个人信息被泄露,三家公司总裁8日在韩国工商会召开新闻发布会,就此事件公开道歉。
负责此案的庆尚南道昌原区检察院8日也表示,个人信用评估公司(KCB)副总朴某、贷款广告代理公司代表赵某涉嫌非法收集或部分泄露从三家信用卡公司获取的1亿多条客户信息,将被拘留起诉。
朴某涉嫌分别于2013年6月和2012年10月至12月非法收集KB国民卡5200万客户和NH农协卡2500万客户的身份信息并交给赵某,收取费用1650万韩元。朴智星还涉嫌在2013年12月收集乐天卡2600万客户的身份信息,并保存在家中。Park是KCB个人信用评估公司FDS系统(防止信用卡被盗、丢失、伪造和篡改)的首席项目开发人员。为了开发这个系统,他被派驻到这三家信用卡公司,期间他收集客户信息。
检方表示,这是韩国国内金融行业迄今最大的个人信息泄露事件。
金融个人信息泄露远超预期,涉及的信息不仅包括外资银行和信用卡公司,还包括储蓄银行、国民银行等商业银行。信息泄露的受害者包括议员、各部委部长、企业高管、知名企业家和艺术家等。甚至连隶属于金融监管部门的韩国金融监管局局长崔守贤和金融委员会主席沈其润的个人信息也被泄露。
这一事件涉及的人数可能高达2000万。考虑到韩国总人口只有5000万,此次信息披露的规模堪称“灾难级”。
国民卡和乐天卡这两家信用卡公司,从17日下午开始,就开始为客户提供个人信息是否安全的确认。因此,许多人报告说,他们所有的个人信息都被泄露了。甚至有人说,十年前就已经销户了,或者根本没用过信用卡,但个人信息还是被泄露了。
根据国家信用卡公司提供的确认系统,泄露的个人信息包括客户姓名、手机号码、公司电话及地址、家庭电话及地址、身份证号码、信用等级等多达19项信息。据资深金融人士透露,由于国家信用卡公司和国家银行共享客户信息,在各大商业银行中,国家银行的客户信息泄露最多。
人们陷入财务欺诈恐慌。
随着大量个人信息的泄露,短信诈骗等非法活动可能会变得更加猖獗。许多韩国媒体在人们陷入恐慌时描述了事件的进展和严重性。
目前,涉密金融机构已发布紧急通知,提醒客户警惕短信诈骗,同时决定更换用户
由于泄露的内容不包括信用卡的密码和卡背面的有效数字,信用卡被伪造的可能性不大。金融监管部门还提醒,如果您因个人信息泄露遭受二次损失,如果无法从金融机构获得赔偿,可以通过金融监管部门的纠纷调解程序获得帮助。
韩国《东亚日报》发文痛批,称这一事件破坏了人们对数字经济的信任。003010称,此次事件的直接原因在于信用卡公司对外部劳务公司员工管理不严。这些员工被允许使用移动存储介质,反复进出,被赋予过度权限,客户的财务个人信息没有提供安全密码。金融监管机构也要为信息泄露事故负责,仓促应对和无伤大雅的问责让金融机构安于现状。今后对造成大规模信息泄露事故的金融机构,要追究责任,采取果断的处罚措施。
消费者正在酝酿集体诉讼。
103010年19日的一份报告显示,韩国个人信息泄露事故频发的根本原因是金融机构和金融监管部门的效率意识高于安全意识。
2011年,现代投资发生大规模个人信息泄露事件后,金融机构和监管部门出台了多项措施,防止类似事件再次发生,但为什么这次上述措施没有奏效?有媒体称,韩国社会这种“效率至上”的典型代表是《东亚日报》,规定金融机构获取的个人信息可以被其他子公司随意使用。但韩国《韩民族新闻》也规定,未经客户同意,收集的个人信息可以用于其他金融产品。韩国《金融机构公司法》还允许金融机构将其客户信息出售给其他金融机构,或将其处理为信息并提供给非金融机构。
这种制度漏洞导致金融机构通过共享客户的个人信息来实现利润最大化,这是典型的。
此外有批评的声音指出,惩戒过轻是导致韩国金融机构个人信息泄露事故反复发生的另外一个重要原因。首先是金融监管部门对金融机构的评价过于疏忽,虽然金融监督院每年都公布各个金融机构的民怨统计等情况,但这基本不会影响金融机构的评级和营业活动。韩国消费者对个人信息泄露也缺乏惩罚意识,多数韩国金融机构在发生个人信息泄露事故后不会发生客户大规模减少的情况。
此外,韩国金融机构因此类事故遭受的经济惩罚太低也是问题。还有分析认为,此次事故中牵扯的金融机构直接付出的金钱代价不会太大,仅仅停留在免费向客户提供交易短信通知的水平。但在美国,如果金融机构泄露个人信息将会遭到巨额罚款。有专家认为,韩国也必须严厉应对此类事故,要让金融机构为此受到足以影响整体收益的“冲击性惩罚”。
韩国SBS电视台19日的报道称,虽然信用卡公司为个人信息泄露的用户提供了无偿交易短信服务和通知以及免费咨询电话的服务,但消费者对此仍不满意,正在准备集体诉讼。特别是在网络上,不少网民吐槽自己的受害事例,赞成集体诉讼的留言正纷纷涌现。
不过也有律师表示,即使打官司,受害消费者能否获得实际赔偿还是未知数。原因在于证明实际受害情况存在难度,同时类似的精神损害赔偿请求在法院又得不到支持。
情况很严重 还会好吗
是什么原因导致个人信息频繁泄露?
中国互联网络信息中心此前发布的《2013年中国网民信息安全状况研究报告》显示,近半年有74.1%的网民遭遇过安全事件,总数为4.38亿。
为什么个人信息经常泄露?原因是此类犯罪成本低,市场需求大,市场细分竞争激烈,因此各类商事主体需要收集公民个人信息。因此,不法分子为了追求非法利益,利用互联网通过窃取、倒卖等方式获取个人信息。此外,由于盈利能力,一些内部人员将在履行职责和提供服务过程中获得的公民个人信息出售并非法提供给非法商人或犯罪团伙牟取暴利。
中国人民大学教育学院教授程说:最近信息泄露的情况很多,很严重,大家的感受也很明显。或者学生信息数字化后,披露的成本和难度相对较低。如今,生活的方方面面都有可能泄露信息。有新闻报道称,孩子在玩游戏时也会泄露个人信息。
快递咨询网首席顾问徐勇指出,信息安全事件频发,不仅是行业混乱、企业重视不够、管理不到位造成的,还与法律制度不完善有关。据了解,2009年,我国刑法将非法交易、获取个人信息列为新型刑事犯罪,并制定了相应的处罚标准。但与个人信息非法交易的严重程度相比,我国大部分地区对此类案件的立案标准并不统一,执法处罚力度也远远不够。
目前,我国关于保护个人信息的规定主要体现在行业规章制度中,或者散见于一些法律法规中。虽然个人信息保护已经进入有标准可循的阶段,但这些文件面临着概念模糊、主体不清、惩罚力度较弱、人才和技能不足等问题。而他们在保护公民个人信息方面的作用始终是徒劳的。
如何填补个人信息披露的空白?
加快立法、加强执法、依法保护个人信息安全符合世界潮流。目前,美国、欧盟、澳大利亚、日本和韩国都建立了较为完备的个人信息保护法律制度。新加坡议会通过《个人信息保护法》,对非法发送垃圾邮件的行为处以最高100万新加坡元(约合人民币514万元)的罚款。新加坡还成立了个人信息保护局,这是保护个人信息的主要机构。
事实上,11月,工信部起草了《通信短信息服务管理规定(征求意见稿)》,提出未经收件人同意或请求,任何组织和个人不得向收件人发送商业短信,并提出违规处罚措施,这是保护个人信息的步骤之一。
湖南联合律师事务所主任秦希燕建议,尽快完善个人信息保护的民事法律规定,明确个人信息保护的责任主体和谁收集、谁保护。谁泄密谁负责。当个人信息被泄露时,主动和被动披露都要承担责任,从而迫使各方加强信息保护的意识和手段。此外,对于多次窃取或泄露他人信息的个人和单位,应制定严格的问责和处罚措施,增加违法成本。
北京邮电大学教授李喻晓告诉记者,一些关于信息安全的法律规定需要完善。例如,如果你收到垃圾邮件,你能在法庭上起诉吗?如何识别受害者?而司法层面也要跟上。根据最高人民法院10月发布的司法解释,信息披露最高处罚为50万元。但是如何认定违法行为呢?目前没有出现案件,也没有人被强制执行。我认为,如果判例法出现,也会促进信息安全。
北京语言大学教授谢小青认为
中国计算机联合会信息安全专业委员会主任严明表示,一旦发生数据库泄露,首先要明确运营商的责任。通过法律法规明确相关企业的责任,使其能够努力追究攻击者的责任,维护网络用户的权利。企业发现数据被泄露后做了什么,第一个时间是否发出警报并采取措施?这是一个非常重要的问题,直接反映了相关公司是否履行了相关责任。警报本身就是对攻击者的一种威慑。
其次,调查恶意攻击者的责任同样重要。一定要打击入侵者,否则竞争对手会雇佣黑客攻击对方的数据库。
第三,这种信息安全事件不适用于不举报的人或不调查的官员。执法部门要主动介入,积极调查,追究责任,而不是等到案件立案。(半月谈综合人民日报光明日报中国日报广州日报等相关报道)
网友评论
当前共有12条评论