Какую ответственность несет бизнес при раскрытии информации о клиентах?

Утечка информации о миллионах клиентов

Министерство общественной безопасности указало на ряд технологических предприятий, утечек информации о клиентах, а также на брокерские компании, предоставляющие услуги такси, которые использовали утечку информации о пассажирах для предложения услуг через SMS-сообщения... Министерство общественной безопасности также заявило, что текущая ситуация с утечкой и куплей-продажей персональных данных является распространённой, общедоступной и всё более сложной. Что ещё серьёзнее, многие данные уже давно продаются публично, в больших объёмах в киберпространстве. Купля-продажа осуществляется не только между отдельными лицами, но и с участием компаний, организаций и предприятий.

В 2018 году информация об утечке Thegioididong.com и получении хакерами важной информации, такой как адреса электронной почты, история транзакций и даже номера карт, появилась на технологических форумах, что вызвало беспокойство у миллионов клиентов. Компания Gioi Di Dong немедленно опубликовала пресс-релиз, подтверждающий, что это была ложная информация, система по-прежнему безопасна, работает в штатном режиме и никак не пострадала. После этого всё постепенно успокоилось.

В апреле 2018 года компания VNG зафиксировала, что 160 миллионов учётных записей Zing ID находятся под угрозой утечки, что может затронуть часть файлов игровых клиентов компании. Компания заявила, что оперативно приняла меры для устранения инцидента, предотвращения вторжения и ограничения числа пользователей, пострадавших от инцидента, с помощью технических мер. Тем не менее, VNG признала, что данные ряда пользователей были украдены, но «количество пользователей, фактически пострадавших от этого инцидента, невелико, сосредоточено в основном среди игровых клиентов и не затрагивает другие продукты VNG», и взяла на себя обязательство всегда обеспечивать права и безопасность клиентов и будет полностью решать любые возникающие у них проблемы...

По словам г-на Во До Танга из Центра кибербезопасности Athena, в конкретных случаях, упомянутых Министерством общественной безопасности, необходимо провести расследование, чтобы выяснить, была ли система компании атакована или же сотрудники компании похитили данные и опубликовали их. Но независимо от причины, утечка данных означает, что система компании уязвима. Уязвимость может быть технической или антропогенной. Поэтому обеспечение безопасности сети в целом, а также защита персональных данных клиентов должны контролироваться и осуществляться регулярно, круглосуточно, 365 дней в году, без какой-либо халатности. Ведь никто не может утверждать, что его система всегда безопасна, ведь хакеры могут атаковать в любой момент. Не говоря уже о ситуации, когда сотрудники самой компании крадут данные клиентов для продажи...

В мире существуют суровые наказания, но во Вьетнаме санкций мало.

В последнее время был зафиксирован ряд случаев раскрытия информации о клиентах, но практически ни одно подразделение не было наказано или подвергнуто санкциям. Между тем, страны по всему миру ввели очень строгие наказания за подобное поведение. Например, в июле 2019 года Федеральная торговая комиссия США приняла решение оштрафовать Facebook на 5 миллиардов долларов США после того, как компания Cambridge Analytica получила и незаконно использовала персональные данные 87 миллионов пользователей этой социальной сети. Согласно расследованию, Facebook позволила Cambridge Analytica получить незаконный доступ к данным 50 миллионов пользователей США во время президентской избирательной кампании 2016 года, а также референдума о Brexit в Великобритании в том же году... Это самый большой штраф в истории, наложенный за скандал с утечкой данных пользователей.

Во Вьетнаме действует множество нормативных актов, регулирующих санкции за утечку и раскрытие информации. В настоящее время проект Указа о санкциях за административные правонарушения в области кибербезопасности (находящийся на рассмотрении и ожидающий обнародования Правительством) предусматривает, что максимальное наказание для организаций, нарушающих нормативные акты о защите персональных данных, составляет штраф в размере до 5% от общей выручки Вьетнама за предыдущий финансовый год за второе или более нарушений. Кроме того, может быть предусмотрено дополнительное наказание в виде отзыва лицензии на ведение деятельности в сфере, требующей сбора персональных данных, на срок от 1 до 3 месяцев.

Г-н Ву Нгок Сон, технический директор вьетнамской компании Cyber ​​Security Technology Company, отметил, что до сих пор из-за отсутствия детальных правил защиты персональных данных предприятия и организации, нарушающие закон, подвергались только административным взысканиям. Поэтому предлагаемый в готовящемся законопроекте максимальный штраф в размере до 5% от общей выручки подходит для Вьетнама и служит сдерживающим фактором для организаций, которые берут на себя большую ответственность за защиту данных клиентов. Однако, по словам г-на Сона, этот штраф всё ещё не высок по сравнению с мировыми стандартами. Во многих странах большинство штрафов рассчитываются исходя из масштаба последствий каждого нарушения. Например, если нарушение исходит от малого предприятия, но серьёзно затрагивает большое количество пользователей, штраф всё равно будет очень большим. «Во Вьетнаме до сих пор нет шкалы для оценки последствий каждого случая утечки персональных данных, поэтому разумно предлагать штраф, основанный на объёме выручки. Я думаю, что это станет новым шагом вперёд в процессе контроля и защиты персональных данных людей», — сказал г-н Ву Нгок Сон.

Согласившись с этим, г-н Во До Тханг отметил, что наличие более подробных правил о конкретных административных наказаниях, доступных для публичного ознакомления за действия по защите персональных данных клиентов, заставит компании пересмотреть свои системы сетевой безопасности. Для обеспечения конфиденциальности информации клиентов проводится регулярная оценка и мониторинг как технических, так и кадровых ресурсов. Это аналогично правилам обеспечения пожарной безопасности в офисных зданиях и местах массового скопления людей. Органам государственного управления также необходимо усилить контроль, надзор и строгое наказание нарушителей. Первый случай нарушения может быть обнародован в СМИ; второе нарушение повлечет за собой соответствующие административные наказания, а затем предоставление услуг может быть приостановлено на определенный срок, чтобы компания могла укрепить свою систему сетевой безопасности.