引言
鉴于当前世界各国在科技与网络领域的监管呈现复合型趋势,W&W地区观察专题将触及个人信息保护、数据合规、网络安全、人工智能、数字经济等板块,跟踪并解读全球主流出海目标国在上述领域中的立法、监管动向,提示企业合规要点,为企业开展出海业务、部署国内合规工作提供参考。
01、决定的背景
韩国个人信息保护委员会(PIPC)于 2024 年 5 月 23 日公布了其于 2024 年 5 月 22 日作出的决定,在针对媒体报道进行调查后,对 Kakao 违反《个人信息保护法》(PIPA)的行为处以 150 亿韩元(约合 11,076,717 美元)的罚款和 780 万韩元(约合 5,721 美元)的罚金。该决定是 PIPC 开出的金额最高罚款。
2023 年 3 月,在媒体报道 Kakao 用户的个人信息被非法交易后,PIPC 启动了调查。PIPC 称经调查确定,一名黑客利用 Kakao 平台的漏洞,获取了开放聊天室参与者的信息,并根据 "会员序列号" 将这些信息结合起来。PIPC 称已确认包含个人信息的文件被创建和出售,并强调此次调查专门针对 KaKaoTalk。
PIPC 提到,Kakao 的开放式聊天服务使用了用户识别系统,允许通过会员序列号进行识别,参与者在发送和接收消息时使用由聊天室信息和会员序列号组成的临时 ID。PIPC 进一步指出,2020 年 8 月之前创建的某些聊天室未对参与者的临时 ID 进行加密,2020 年 8 月之后创建的某些聊天室对临时 ID 进行了加密,但由于存在漏洞导致加密被解除,临时 ID 以纯文本形式被暴露。
02、PIPC 的调查结果
Kakao违反了 PIPA 第29 条规定的安全措施义务,忽视其聊天功能安全漏洞的审核和改进,导致会员序列号和临时 ID 的链接暴露了个人信息。PIPC 还提到,尽管开发者社区知道可以通过分析 KaKaoTalk 传输方法的开放 API 来提取用户信息,但 Kakao 没有采取足够的改进措施。
PIPC 指出,尽管在媒体报道和 PIPC 调查期间知道个人信息正在被泄露,但 Kakao 仍然未按照 PIPA 第39-4(1) 条的要求履行期泄露报告通知义务。
03、结果
PIPC 指出,除了对违反安全措施的行为处以 151.4 亿韩元(约合 11,076,717 美元)的罚款,以及对违反泄漏报告义务的行为处以 780 万韩元(约合 5,721 美元)的罚款外,还将向 KaKao 下达纠正令,要求其向用户通报泄漏情况,并在 PIPC 网站上公布结果。
04、企业应该怎么做?
该决定是 PIPC 实施以来处以的最大一笔罚款,Kakao在收到对潜在违规行为的担忧后未能预先检查和处理数据泄露问题,甚至在意识到存在安全问题后仍未向 PIPC 报告。此次罚款反映出韩国 PIPC 在数据安全方面的重视,这启示出海企业在应对安全漏洞及安全事件时不应当存在侥幸心理,必须建立完善的数据安全事件响应机制和流程,定期评估潜在的安全风险,并不断检查和减少互联网服务或产品中的安全漏洞,不断检查并努力降低在设计和开发过程中可能发生的个人信息侵权事件的可能性。
韩国PIPC开出史上最大罚单,Kakao因个人信息泄露被重罚逾150亿韩元!
作者:王捷律师团队来源:出海互联网法律观察

引言 鉴于当前世界各国在科技与网络领域的监管呈现复合型趋势,W&W地区观察专题将触及个人信息保护、数据合规、网络安全、人工智能、数字经济等板块,跟踪并解读全球主流出海目标国在上述领域中的立法、监管动向