Jakou odpovědnost nese firma při zveřejňování informací o zákaznících?

Unikla data milionů zákazníků

Ministerstvo veřejné bezpečnosti poukázalo na řadu technologických podniků, které zveřejnily informace o zákaznících, nebo na zprostředkovatelské společnosti taxislužeb, které využily uniklé informace o cestujících k nabízení služeb prostřednictvím SMS zpráv... Ministerstvo veřejné bezpečnosti rovněž uvedlo, že současná situace úniku a prodeje osobních údajů je rozšířená, veřejná a stále složitější. Ještě závažnější je, že mnoho dat se veřejně prodává již dlouhou dobu ve velkém množství v kyberprostoru. Nákup a prodej neprobíhá pouze individuálně, mezi jednotlivci, ale zahrnuje také účast společností, organizací a podniků.

V roce 2018 se na technologických fórech objevily informace o úniku webu Thegioididong.com a o tom, že hackeři získali důležité informace, jako jsou e-mailové adresy, historie transakcí a dokonce i čísla karet, což znepokojilo miliony zákazníků. Společnost Gioi Di Dong okamžitě vydala tiskovou zprávu, v níž potvrdila, že se jedná o falešné informace, že systém je stále bezpečný, funguje normálně a není ovlivněn. Poté se vše postupně uklidnilo.

V dubnu 2018 společnost VNG zaznamenala, že 160 milionů účtů Zing ID bylo ohroženo únikem informací, což by mohlo ovlivnit část herních zákaznických souborů společnosti. Společnost uvedla, že neprodleně přijala opatření k řešení, prevenci narušení a omezení počtu uživatelů postižených incidentem pomocí technických opatření. VNG však připustila, že u řady uživatelů došlo k úniku informací, ale „rozsah uživatelů skutečně postižených tímto incidentem není velký, soustředí se na herní zákazníky a neovlivňuje jiné produkty VNG“, a zavázala se, že vždy zajistí práva a bezpečnost zákazníků a bude důkladně řešit veškeré problémy, které zákazníkům vzniknou...

Podle pana Vo Do Thanga z Centra kybernetické bezpečnosti Athena musí být v konkrétních případech, jako je ten, který zmínilo Ministerstvo veřejné bezpečnosti, provedeno vyšetřování, aby se zjistilo, zda byl systém společnosti napaden, nebo zda zaměstnanci společnosti ukradli data a zveřejnili je. Ať už je důvod jakýkoli, když dojde k úniku dat, znamená to, že systém společnosti má zranitelnost. Zranitelnost zde může být technická nebo lidská. Proto musí být zajištění bezpečnosti sítě a ochrany obecně nebo ochrana osobních údajů zákazníků pravidelně monitorovány a implementovány 24 hodin denně, 24 hodin denně, 365 dní v roce, aniž by došlo k nedbalosti. Nikdo si nemůže dovolit tvrdit, že jeho systém je vždy bezpečný, protože hackeři mohou zaútočit kdykoli. Nemluvě o situaci, kdy jsou to sami zaměstnanci společnosti, kteří kradou data zákazníků, aby je prodali cizím osobám...

Svět má vysoké tresty, ale Vietnam má jen málo sankcí.

V poslední době došlo k řadě případů úniku informací o zákaznících, ale téměř žádný z nich nebyl potrestán ani sankcionován. Mezitím země po celém světě uložily za toto chování vysoké sankce. Například v červenci 2019 se americká Federální obchodní komise rozhodla udělit Facebooku pokutu ve výši 5 miliard USD poté, co společnost Cambridge Analytica nelegálně zpřístupnila a použila osobní údaje 87 milionů uživatelů této sociální sítě. Podle vyšetřování Facebook umožnil společnosti Cambridge Analytica nelegálně zpřístupnit data 50 milionů amerických uživatelů během prezidentské volební kampaně v roce 2016 a také během referenda o brexitu ve Spojeném království v roce 2016... Jedná se o největší pokutu na světě za skandál, který zahrnoval únik uživatelských dat.

Ve Vietnamu existuje mnoho předpisů týkajících se sankcí za únik a zveřejnění informací. V současné době návrh vyhlášky o sankcích za správní delikty v oblasti síťové bezpečnosti (který je předmětem konzultací a čeká na vydání vládou) stanoví, že maximální sankcí pro organizace porušící předpisy o ochraně osobních údajů je pokuta až do výše 5 % z celkových příjmů za předchozí fiskální rok ve Vietnamu za druhé nebo více porušení. Současně může být uložena další sankce v podobě odebrání obchodní licence v odvětví, které vyžaduje shromažďování osobních údajů po dobu 1–3 měsíců.

Pan Vu Ngoc Son, technický ředitel společnosti VN Cyber ​​​​Security Technology Company, uvedl, že vzhledem k absenci podrobných předpisů o ochraně osobních údajů budou podniky a organizace, které porušují pravidla, doposud podléhat pouze administrativním sankcím. Navrhovaná maximální pokuta až do výše 5 % celkových příjmů v připravovaném návrhu je proto pro Vietnam vhodná a má odrazující účinek, takže jednotky nesou vyšší odpovědnost za ochranu dat zákazníků. Podle pana Sona však tato pokuta stále není ve srovnání se světem vysoká. V mnoha zemích se totiž většina pokut ukládá na základě rozsahu dopadu každého porušení. Například pokud se jedná o porušení, které pochází od malého podniku, ale vážně postihuje velký počet uživatelů, pokuta bude stále velmi vysoká. „Ve Vietnamu stále neexistuje stupnice pro posouzení dopadu každého případu úniku osobních údajů, takže je rozumné navrhnout pokutu na základě příjmů. Myslím, že to bude nový krok vpřed v procesu kontroly a ochrany osobních údajů lidí,“ řekl pan Vu Ngoc Son.

Pan Vo Do Thang souhlasil a poznamenal, že podrobnější předpisy o specifických a veřejných správních sankcích za činy ochrany osobních údajů zákazníků donutí podniky k revizi svých systémů síťové bezpečnosti. Existuje proces pravidelného hodnocení a monitorování technických i lidských zdrojů, aby byla zajištěna důvěrnost informací o zákaznících. Je to podobné jako s předpisy o zajištění požární bezpečnosti v kancelářských budovách a na místech s vysokou koncentrací lidí. Státní orgány správy musí také posílit inspekce, dohled a přísné trestání podniků, které se dopouštějí porušení předpisů. První porušení může být zveřejněno v hromadných sdělovacích prostředcích; druhé porušení bude podléhat odpovídajícím správním sankcím a poté může být služba na určitou dobu pozastavena, aby podnik mohl posílit svůj systém síťové bezpečnosti.