违反《个人信息保护法》，知名金融公司被罚超4400万元

前情回顾·网络安全合规执法

• 金融机构泄露客户敏感数据，被罚超1200万元

• 未履行网络安全保护义务，快手被罚1.191亿元

• 政府泄露数千万公民求职信息被罚超4100万元

• 泄露超2400万用户敏感数据，通信巨头被罚4.4亿元

安全内参3月13日消息，乐天信用卡因45万名用户的居民注册号码泄露，被韩国个人信息保护委员会（PIPC）处以96亿韩元罚款，约合人民币4425.6万元。

周四，韩国个人信息保护委员会（PIPC）表示，委员会决定因违反《个人信息保护法》对乐天信用卡处以96.2亿韩元行政罚款，并追加480万韩元罚金。同时，委员会还发布了整改命令和公开披露命令。该决定是在周三举行的全体委员会会议上最终确定的。

约45万条居民身份证号泄露

此次调查始于去年9月。当时，韩国金融监督院向个人信息保护委员会通报称，乐天信用卡发生了一起个人信用信息泄露事件。

调查发现，一次针对乐天信用卡在线简易支付系统的黑客攻击，导致包含约297万人的个人信用信息的日志文件被暴露。其中还包括约45万条居民注册号码，该号码类似于中国的身份证号。

由于涉及个人信用信息处理的问题主要受韩国《信用信息使用及保护法》管辖，金融监管机构与隐私监管机构对调查进行了分工。

金融监管机构负责调查是否存在违反《信用信息使用及保护法》的行为，例如是否未履行安全保护义务；个人信息保护委员会则重点审查居民注册号码的处理是否违反《个人信息保护法》。

调查显示内部安全措施不足

调查显示，乐天信用卡在在线支付过程中生成的日志文件中，以明文形式记录了一系列个人信息，其中包括居民注册号码，这已超出法律允许的居民注册号码处理范围。

根据现行《个人信息保护法》，只有在法律或总统令明确要求或允许的有限情况下，才可以处理居民注册号码。

调查人员还发现，相关日志文件的加密措施不足。按照规定，日志文件本应只记录必要的最少个人信息，但乐天信用卡在未进行单独审查的情况下存储了包括居民注册号码在内的多种信息。

委员会认为，这一做法是导致此次黑客攻击事件发生的重要原因之一。

除了罚款和罚金之外，委员会还命令乐天信用卡全面审查其个人信息处理方式，并改进个人信息保护体系，包括加强首席隐私官的职责和独立性。

韩国个人信息保护委员会还表示，事件发生后，委员会计划对金融公司处理居民注册号码的情况开展一次预防性检查。

参考资料：bleepingcomputer.com

声明：本文来自安全内参，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。