4家公共机构及 Misotech 被罚共计5亿韩元级别罚款
“将持续排查公共机构信息化项目中的薄弱环节”
个人信息保护委员会28日表示,包括行政安全部在内的4家违反《个人信息保护法》的公共机构及其受托企业 Misotech 被合计处以超过5亿韩元的罚款。此次明确了在公共机构信息化项目过程中发生的个人信息泄露事故的责任归属,相关处分案例将与各机构共享。
个人信息保护委员会委员长 Song Gyeonghee 27日下午在政府首尔办公大楼举行的“第10次个人信息保护委员会全体会议”上作开场发言。个人信息委员会供图
View original image行政安全部因在综合行政服务门户“政府24”发生个人信息泄露,被处以2.73亿韩元罚款和750万韩元罚金,并被下达整改建议及公示处分。2024年4月,“政府24”因与教育部 NEIS 联动的民愿文件及国税厅纳税证明的源代码开发错误,导致共1233人的个人信息(学生档案、毕业证明、姓名、出生年月日等)被泄露。去年5月,由于认证系统存在漏洞,4条居民身份证签发情况记录(含1名死亡者)被他人查询。此外,发布在共享Nuri官网业务公告栏上的公共停车场负责人信息文件还曾被谷歌搜索检索到。
个人信息保护委员会指出,行政安全部在检查中疏忽大意,例如遗漏对源代码的法人签发测试等。同时,未能发现并处置用于居民身份证签发情况查询服务的本人认证模块漏洞;对于与教育部 NEIS 联动民愿相关的泄露事件,自实际知悉后无正当理由超过72小时才进行通报。委员会还确认,其在个人信息处理方针中遗漏了受托企业 Metabuild。
个人信息保护委员会还对农村振兴厅、国立农学科学院、国立畜产科学院以及 Misotech 合计处以2.736亿韩元罚款和450万韩元罚金。原因是,受农村振兴厅及其下属机构委托负责系统维护管理等业务的 Misotech 的网络存储设备(NAS)遭遇黑客攻击,导致约57.5万条(含重复)个人信息(姓名、地址、工作单位信息、科技人员编号等)在暗网被非法流通。
调查结果显示,Misotech 将受托获得的个人信息擅自保存在自有 NAS 中,并在可由外部 IP 访问的状态下运营。委托方农村振兴厅等机构在服务项目结束时,仅从 Misotech 收取了“不持有资料确认书”,却未核实笔记本电脑、外接硬盘等设备中的个人信息是否已被销毁。同时,未能掌握和管控受托企业的个人信息持有现状及业务处理环境等,在管理监督方面存在疏漏。
据此,个人信息保护委员会对 Misotech 作出8250万韩元罚款及450万韩元罚金的处分,对农村振兴厅和国立农学科学院则分别处以1.68亿韩元和2310万韩元罚款。整改建议和公示命令为共同适用事项。
个人信息保护委员会表示,将持续排查在公共机构信息化项目过程中可能出现的个人信息保护薄弱环节。委员会称:“我们已明确,如果因未能确保个人信息处理系统的安全性而发生泄露,作为最终责任主体的公共机构应对违反法律规定的安全措施义务承担责任。”并表示:“今后也将通过向公共机构共享在委托与受托结构中产生的管理空白相关处分案例,推动强化以现场为中心的管理监督,力争将管理漏洞降至最低。”
版权所有 © 阿视亚经济 (www.asiae.co.kr)。 未经许可不得转载。
