기업은 고객 정보를 공개할 때 어떤 책임을 져야 합니까?

수백만 명의 고객 정보 유출

공안부는 고객 정보를 유출한 기술 기업과 유출된 승객 정보를 이용하여 SMS 메시지를 통해 서비스를 권유하는 택시 서비스 중개 업체들을 잇따라 지적했습니다. 공안부는 또한 현재 개인정보 유출 및 매매가 빈번하고 공공연하며 점점 더 복잡해지고 있다고 지적했습니다. 더 심각한 것은, 많은 데이터가 사이버 공간에서 오랫동안 대량으로 공개적으로 거래되고 있다는 것입니다. 이러한 매매는 개인 간 거래뿐 아니라 기업, 단체, 사업체 간 거래에서도 이루어지고 있습니다.

2018년, Thegioididong.com 이 유출되어 해커들이 이메일 주소, 거래 내역, 심지어 카드 번호까지 중요한 정보를 훔쳤다는 사실이 기술 포럼을 통해 보도되어 수백만 명의 고객을 불안하게 했습니다. Gioi Di Dong은 즉시 보도자료를 발표하여 이는 가짜 정보이며, 시스템은 여전히 안전하고 정상적으로 작동하며 아무런 영향도 받지 않았다고 확인했습니다. 그 후, 상황은 점차 진정되었습니다.

2018년 4월, VNG는 1억 6천만 개의 Zing ID 계정이 유출될 위험이 있으며, 자사의 게임 고객 파일 일부에 영향을 미칠 수 있다고 보고했습니다. VNG는 기술적 조치를 통해 사고 처리, 침입 방지 및 피해 사용자 수 제한을 위한 조치를 신속하게 취했다고 밝혔습니다. 그러나 VNG는 일부 사용자의 정보 유출은 인정했지만, "이번 사고로 피해를 입은 사용자 수는 크지 않고, 게임 고객에 집중되어 있으며 다른 VNG 제품에는 영향을 미치지 않습니다."라고 밝히며, 고객의 권리와 안전을 항상 보장하고, 고객에게 발생하는 모든 문제를 철저히 해결할 것을 약속했습니다.

아테나 사이버 보안 센터의 보 도 탕(Vo Do Thang) 씨에 따르면, 공안부가 언급한 특정 사례의 경우, 회사 시스템이 공격을 받았는지 또는 회사 직원이 데이터를 훔쳐 유출했는지 여부를 확인하기 위한 조사가 반드시 필요합니다. 하지만 이유와 관계없이 데이터가 유출되면 회사 시스템에 취약점이 있음을 의미합니다. 여기서 취약점은 기술적이거나 인적일 수 있습니다. 따라서 네트워크 보안 및 안전 확보, 고객 개인정보 보호는 365일, 24시간 상시 모니터링 및 시행되어야 하며, 부주의하지 않아야 합니다. 해커는 언제든 공격할 수 있기 때문에 누구도 자신의 시스템이 항상 안전하다고 장담할 수 없기 때문입니다. 심지어 회사 직원이 고객 데이터를 훔쳐 외부에 판매하는 경우도 있습니다.

세계는 엄중한 처벌을 내리지만, 베트남은 제재가 거의 없습니다.

최근 고객 정보 유출 사건이 잇따라 발생했지만, 처벌이나 제재를 받은 곳은 거의 없었습니다. 한편, 세계 각국은 이러한 행위에 대해 매우 엄중한 처벌을 내리고 있습니다. 예를 들어, 2019년 7월, 미국 연방거래위원회는 페이스북 사용자 8,700만 명의 개인정보가 케임브리지 애널리티카(Cambridge Analytica)에 의해 불법적으로 접근 및 사용된 후 페이스북에 50억 달러(USD)의 벌금을 부과했습니다. 조사에 따르면 페이스북은 2016년 대선 캠페인과 2016년 영국 브렉시트 국민투표 기간 동안 케임브리지 애널리티카가 미국 사용자 5,000만 명의 데이터에 불법적으로 접근하도록 허용했습니다. 이는 사용자 데이터 유출 스캔들에 대한 세계 최대 규모의 벌금입니다.

베트남에는 정보 유출 및 공개에 대한 처벌과 관련된 많은 규정이 있습니다. 현재 사이버 보안 분야 행정 위반에 대한 처벌에 관한 시행령 초안(현재 검토 중이며 정부 발표를 기다리고 있습니다)은 개인정보 보호 규정을 위반하는 기관에 대한 최대 벌금을 베트남의 이전 회계연도 총 매출액의 5%까지로 규정하고 있습니다. 2회 이상 위반 시, 베트남의 이전 회계연도 총 매출액의 5%까지 벌금이 부과됩니다. 동시에, 1~3개월 동안 개인정보 수집이 필요한 업종의 경우 사업 허가가 취소되는 추가 벌금이 부과될 수 있습니다.

베트남 사이버 보안 기술 회사의 기술 이사인 부 응옥 손(Vu Ngoc Son) 씨는 현재까지 개인정보 보호에 대한 세부 규정이 부족하여 법을 위반하는 기업과 단체는 행정 처벌만 받게 된다고 말했습니다. 따라서 향후 초안에 제안된 총 매출의 최대 5%에 달하는 최대 벌금은 베트남에 적합하며, 각 기관이 고객 데이터 보호에 더 큰 책임을 지도록 하는 억제책 역할을 할 것입니다. 그러나 손 씨는 이러한 벌금이 아직 전 세계적으로 높은 수준은 아니라고 지적했습니다. 많은 국가에서 대부분의 벌금은 각 위반 행위의 영향 규모를 기준으로 부과되기 때문입니다. 예를 들어, 소규모 기업에서 발생한 위반 행위이지만 많은 사용자에게 심각한 영향을 미치는 경우 벌금은 여전히 매우 높습니다. 부 응옥 손 씨는 "베트남에는 아직 각 개인정보 유출 사례의 영향을 평가할 기준이 없기 때문에 매출을 기준으로 벌금을 부과하는 것이 합리적입니다. 이는 개인정보 관리 및 보호 과정에서 새로운 진전이 될 것이라고 생각합니다."라고 말했습니다.

이에 동의하며, Vo Do Thang 씨는 고객 개인정보 보호 행위에 대한 구체적인 행정 처벌 규정을 더욱 세부적으로 공개함으로써 기업들이 네트워크 보안 시스템을 점검하도록 유도할 것이라고 말했습니다. 고객 정보의 기밀 유지를 위해 기술 및 인적 자원에 대한 정기적인 평가 및 모니터링 절차가 마련되어 있습니다. 이는 사무실 건물 및 혼잡한 장소의 화재 안전 확보 규정과 유사합니다. 국가 관리 기관 또한 위반 기업에 대한 검사, 감독 및 엄격한 처벌을 강화해야 합니다. 첫 번째 위반은 언론에 공개될 수 있으며, 두 번째 위반에는 상응하는 행정 처벌이 부과되고, 이후 일정 기간 서비스 중단을 통해 기업의 네트워크 보안 시스템 강화를 지원할 수 있습니다.