ما هي المسؤولية التي تتحملها الشركة عند الكشف عن معلومات العملاء؟

[إعلان_1]

تسربت معلومات ملايين العملاء

أشارت وزارة الأمن العام إلى سلسلة من شركات التكنولوجيا التي سربت معلومات العملاء، أو شركات وساطة خدمات سيارات الأجرة التي استخدمت معلومات الركاب المسربة لتقديم خدمات عبر الرسائل النصية القصيرة... كما أشارت الوزارة إلى أن تسريب البيانات الشخصية وبيعها أصبح أمرًا شائعًا ومعلنًا، ويزداد تعقيدًا. والأخطر من ذلك، أن العديد من البيانات تُباع علنًا منذ فترة طويلة، وبكميات كبيرة، عبر الفضاء الإلكتروني. ولا يقتصر البيع والشراء على التعامل الفردي بين الأفراد، بل يشمل أيضًا مشاركة الشركات والمنظمات والمؤسسات.

في عام ٢٠١٨، أفادت منتديات التكنولوجيا بتسريب معلومات حول موقع Thegioididong.com وسرقة قراصنة معلومات مهمة، مثل عناوين البريد الإلكتروني وسجلات المعاملات وحتى أرقام البطاقات، مما أثار قلق ملايين العملاء. وأصدرت شركة Gioi Di Dong بيانًا صحفيًا على الفور تؤكد فيه أن هذه المعلومات كاذبة، وأن النظام لا يزال آمنًا ويعمل بشكل طبيعي ولم يتأثر. بعد ذلك، هدأ الوضع تدريجيًا.

Doanh nghiệp chịu trách nhiệm gì khi để lộ thông tin khách hàng?- Ảnh 1. — يتم تسريب البيانات الشخصية وبيعها علنًا عبر الإنترنت

في أبريل 2018، سجلت شركة VNG أن 160 مليون حساب Zing ID معرضة لخطر التسريب، وقد يؤثر ذلك على جزء من ملفات عملاء الألعاب الخاصة بالشركة. وأكدت الشركة أنها اتخذت على الفور إجراءات للتعامل مع الحادث ومنع اختراقه، والحد من عدد المستخدمين المتأثرين به من خلال إجراءات تقنية. ومع ذلك، أقرت VNG بتسريب معلومات عدد من المستخدمين، لكن "نطاق المستخدمين المتأثرين بهذا الحادث ليس كبيرًا، ويتركز في عملاء الألعاب، ولا يؤثر على منتجات VNG الأخرى"، وتعهدت بضمان حقوق وسلامة عملائها، وحل أي مشاكل قد تنشأ لهم بشكل شامل.

وفقًا للسيد فو دو ثانغ، من مركز أثينا للأمن السيبراني، في حالات محددة كالتي ذكرتها وزارة الأمن العام، يجب إجراء تحقيق لمعرفة ما إذا كان نظام الشركة قد تعرض لهجوم أو ما إذا كان موظفو الشركة قد سرقوا البيانات ونشروها. ولكن مهما كان السبب، فإن تسريب البيانات يعني وجود ثغرة أمنية في نظام الشركة. قد تكون هذه الثغرة تقنية أو بشرية. لذلك، يجب مراقبة أمن وسلامة الشبكة بشكل عام، أو حماية البيانات الشخصية للعملاء، وتطبيقها بانتظام على مدار الساعة طوال أيام السنة دون إهمال. إذ لا يمكن لأحد أن يجرؤ على الادعاء بأن نظامه آمن دائمًا، لأن المتسللين قد يهاجمونه في أي وقت. ناهيك عن قيام موظفي الشركة بسرقة بيانات العملاء وبيعها للخارج...

العالم لديه عقوبات ثقيلة، لكن فيتنام لديها عقوبات قليلة.

في الآونة الأخيرة، سُجِّلت سلسلة من حالات تسريب معلومات العملاء، ولكن لم تُعاقَب أو تُعاقَب أي وحدة تقريبًا. في غضون ذلك، فرضت دول حول العالم عقوباتٍ صارمة على هذا السلوك. على سبيل المثال، في يوليو 2019، قررت لجنة التجارة الفيدرالية الأمريكية تغريم فيسبوك 5 مليارات دولار أمريكي بعد وصول كامبريدج أناليتيكا إلى البيانات الشخصية لـ 87 مليون مستخدم لهذه الشبكة الاجتماعية واستخدامها بشكل غير قانوني. ووفقًا للتحقيق، سمح فيسبوك لكامبريدج أناليتيكا بالوصول بشكل غير قانوني إلى بيانات 50 مليون مستخدم أمريكي خلال حملة الانتخابات الرئاسية لعام 2016، وكذلك خلال استفتاء خروج بريطانيا من الاتحاد الأوروبي في المملكة المتحدة عام 2016... تُعَدُّ هذه أكبر غرامة في العالم على الإطلاق لفضيحة تسريب بيانات المستخدمين.

في فيتنام، توجد العديد من اللوائح المتعلقة بعقوبات تسريب المعلومات والإفصاح عنها. حاليًا، ينص مشروع المرسوم المتعلق بعقوبات المخالفات الإدارية في مجال أمن الشبكات (الذي لا يزال قيد الدراسة وينتظر إصداره من الحكومة) على أن أقصى عقوبة للمنظمات التي تنتهك لوائح حماية البيانات الشخصية هي غرامة تصل إلى 5% من إجمالي إيرادات السنة المالية السابقة في فيتنام، وذلك عن المخالفة الثانية أو أكثر. في الوقت نفسه، قد تُفرض عقوبة إضافية تتمثل في إلغاء ترخيص مزاولة النشاط التجاري للقطاع الذي يتطلب جمع البيانات الشخصية لمدة تتراوح بين شهر وثلاثة أشهر.

في فيتنام، لا يوجد مقياس لتقييم أثر كل حالة تسريب معلومات شخصية، لذا من المنطقي اقتراح فرض غرامة بناءً على الإيرادات. أعتقد أن هذا سيمثل خطوة جديدة نحو مراقبة وحماية البيانات الشخصية للأفراد.

السيد فو نغوك سون، المدير الفني لشركة VN لتكنولوجيا الأمن السيبراني

صرح السيد فو نغوك سون، المدير الفني لشركة VN لتكنولوجيا الأمن السيبراني، بأنه نظرًا لعدم وجود لوائح مفصلة لحماية البيانات الشخصية حتى الآن، ستُطبق عقوبات إدارية فقط على الشركات والمؤسسات المخالفة. لذلك، يُعدّ الحد الأقصى للعقوبة المقترح، والذي يصل إلى 5% من إجمالي الإيرادات في المسودة القادمة، مناسبًا لفيتنام وله تأثير رادع، مما يُعزز مسؤولية الوحدات في حماية بيانات العملاء. ومع ذلك، يرى السيد سون أن هذه الغرامة لا تزال منخفضة مقارنةً بالدول الأخرى، حيث تُقيّم معظم الغرامات بناءً على حجم تأثير كل مخالفة. على سبيل المثال، إذا كانت المخالفة صادرة عن شركة صغيرة ولكنها تؤثر بشكل خطير على عدد كبير من المستخدمين، فستظل الغرامة كبيرة جدًا. وأضاف السيد فو نغوك سون: "في فيتنام، لا يوجد حتى الآن مقياس لتقييم تأثير كل حالة تسريب معلومات شخصية، لذا من المنطقي اقتراح غرامة بناءً على الإيرادات. أعتقد أن هذه ستكون خطوة جديدة نحو مراقبة وحماية البيانات الشخصية للأفراد".

وافق السيد فو دو ثانغ على ذلك، وعلّق قائلاً إن وجود لوائح أكثر تفصيلاً بشأن العقوبات الإدارية المحددة والعامة لأعمال حماية البيانات الشخصية للعملاء سيجبر الشركات على مراجعة أنظمة أمن شبكاتها. هناك عملية تقييم ومراقبة منتظمة للموارد الفنية والبشرية لضمان سرية معلومات العملاء. وهذا مشابه للوائح المتعلقة بضمان السلامة من الحرائق في المباني المكتبية والأماكن المزدحمة. كما يتعين على هيئات إدارة الدولة تعزيز التفتيش والرقابة والعقوبات الصارمة للشركات المخالفة. يمكن الإعلان عن المخالفة الأولى في وسائل الإعلام؛ أما المخالفة الثانية فستخضع لعقوبات إدارية مماثلة، ثم قد يتم تعليق الخدمة لفترة من الوقت حتى تتمكن الشركة من تعزيز نظام أمن شبكتها.

بغض النظر عن حجم الشركة، سواءً كانت كبيرة أم صغيرة، يجب عليها عند بدء مزاولة أعمالها الالتزام بلوائح ضمان أمن الشبكات. هذا لا يحمي البيانات الشخصية للمستخدمين فحسب، بل يُسهم أيضًا في رفع التصنيف الائتماني لفيتنام في البيئة الاقتصادية الرقمية. وهذا من شأنه أن يُعزز أنشطة التجارة الدولية ويُطور الاقتصاد الرقمي للبلاد.

السيد فو دو ثانغ ، مركز أثينا للأمن السيبراني

[إعلان 2]
رابط المصدر