یک کسب و کار در هنگام افشای اطلاعات مشتری چه مسئولیتی دارد؟

اطلاعات میلیون‌ها مشتری فاش شد

وزارت امنیت عمومی به مجموعه‌ای از شرکت‌های فناوری که اطلاعات مشتریان را فاش کرده‌اند یا شرکت‌های کارگزاری خدمات تاکسی که از اطلاعات فاش‌شده مسافران برای ارائه خدمات از طریق پیامک استفاده کرده‌اند، اشاره کرده است... وزارت امنیت عمومی همچنین اعلام کرد که وضعیت فعلی فاش کردن و فروش داده‌های شخصی گسترده، عمومی و به‌طور فزاینده‌ای پیچیده است. به‌طور جدی‌تر، بسیاری از داده‌ها مدت‌هاست که به‌طور عمومی و در حجم زیاد در فضای مجازی فروخته می‌شوند. خرید و فروش نه تنها به‌صورت فردی و بین افراد انجام می‌شود، بلکه شامل مشارکت شرکت‌ها، سازمان‌ها و مؤسسات نیز می‌شود.

در سال ۲۰۱۸، اطلاعاتی در مورد Thegioididong.com که توسط انجمن‌های فناوری منتشر شد، مبنی بر اینکه هکرها به اطلاعات مهمی مانند آدرس‌های ایمیل، تاریخچه تراکنش‌ها و حتی شماره کارت‌ها دسترسی پیدا کرده‌اند، منتشر شد و میلیون‌ها مشتری را بی‌قرار کرد. جیوی دی دونگ بلافاصله با انتشار بیانیه‌ای مطبوعاتی تأیید کرد که این اطلاعات جعلی است، سیستم هنوز ایمن است، به طور عادی کار می‌کند و تحت تأثیر قرار نگرفته است. پس از آن، همه چیز به تدریج آرام شد.

در آوریل ۲۰۱۸، VNG ثبت کرد که ۱۶۰ میلیون حساب کاربری Zing ID در معرض خطر نشت اطلاعات قرار دارند و این خطر می‌تواند بخشی از فایل‌های مشتریان بازی‌های این شرکت را تحت تأثیر قرار دهد. این شرکت اعلام کرد که به سرعت اقداماتی را برای رسیدگی، جلوگیری از نفوذ و محدود کردن تعداد کاربرانی که تحت تأثیر این حادثه قرار گرفته‌اند، از طریق اقدامات فنی انجام داده است. با این حال، VNG اذعان کرد که اطلاعات تعدادی از کاربران فاش شده است، اما «دامنه کاربرانی که واقعاً تحت تأثیر این حادثه قرار گرفته‌اند، زیاد نیست، متمرکز بر مشتریان بازی‌های ویدیویی است و بر سایر محصولات VNG تأثیری ندارد»، و متعهد شد که همیشه حقوق و ایمنی مشتریان را تضمین کند و هرگونه مشکلی را که برای مشتریان ایجاد شود، به طور کامل حل خواهد کرد...

به گفته آقای وو دو تانگ، از مرکز امنیت سایبری آتنا، برای موارد خاص مانند موردی که توسط وزارت امنیت عمومی ذکر شده است، باید تحقیقاتی انجام شود تا مشخص شود که آیا سیستم شرکت مورد حمله قرار گرفته است یا اینکه کارمندان شرکت داده‌ها را دزدیده و منتشر کرده‌اند. اما دلیل هرچه باشد، وقتی داده‌ها فاش می‌شوند، به این معنی است که سیستم شرکت دارای آسیب‌پذیری است. این آسیب‌پذیری می‌تواند فنی یا انسانی باشد. بنابراین، تضمین امنیت و ایمنی شبکه به طور کلی یا محافظت از داده‌های شخصی مشتریان باید به طور منظم و 24 ساعته و 365 روز سال و بدون سهل‌انگاری نظارت و اجرا شود. زیرا هیچ کس نمی‌تواند جرات کند ادعا کند که سیستم او همیشه ایمن است زیرا هکرها می‌توانند در هر زمانی حمله کنند. تازه این وضعیت که کارمندان خود شرکت هستند که داده‌های مشتری را می‌دزدند تا آن را به افراد خارجی بفروشند...

دنیا مجازات‌های سنگینی دارد، اما ویتنام تحریم‌های کمی دارد.

اخیراً، موارد متعددی از نشت اطلاعات مشتریان گزارش شده است، اما تقریباً هیچ واحدی مجازات یا جریمه نشده است. در همین حال، کشورهای مختلف جهان مجازات‌های سنگینی را برای این رفتار وضع کرده‌اند. به عنوان مثال، در ژوئیه ۲۰۱۹، کمیسیون تجارت فدرال ایالات متحده پس از دسترسی و استفاده غیرقانونی از اطلاعات شخصی ۸۷ میلیون کاربر این شبکه اجتماعی توسط کمبریج آنالیتیکا، تصمیم به جریمه ۵ میلیارد دلاری فیسبوک گرفت. طبق تحقیقات، فیسبوک به کمبریج آنالیتیکا اجازه داده است تا در طول مبارزات انتخاباتی ریاست جمهوری ۲۰۱۶ و همچنین همه‌پرسی برگزیت در بریتانیا در سال ۲۰۱۶، به طور غیرقانونی به اطلاعات ۵۰ میلیون کاربر آمریکایی دسترسی پیدا کند... این بزرگترین جریمه جهان تاکنون برای رسوایی نشت اطلاعات کاربران است.

در ویتنام، مقررات زیادی در رابطه با مجازات نشت و افشای اطلاعات وجود دارد. در حال حاضر، پیش‌نویس فرمان مجازات تخلفات اداری در حوزه امنیت شبکه (که در حال بررسی و انتظار برای ابلاغ توسط دولت است) تصریح می‌کند که حداکثر مجازات برای سازمان‌هایی که مقررات مربوط به حفاظت از داده‌های شخصی را نقض می‌کنند، جریمه‌ای تا سقف ۵٪ از کل درآمد سال مالی قبل در ویتنام برای دومین یا چند تخلف است. در عین حال، ممکن است مجازات اضافی لغو مجوز کسب و کار صنعتی که نیاز به جمع‌آوری داده‌های شخصی به مدت ۱ تا ۳ ماه دارد، وجود داشته باشد.

آقای وو نگوک سون، مدیر فنی شرکت فناوری امنیت سایبری VN، گفت که تاکنون، به دلیل فقدان مقررات دقیق در مورد حفاظت از داده‌های شخصی، مشاغل و سازمان‌هایی که تخلف می‌کنند، فقط مشمول مجازات‌های اداری خواهند شد. بنابراین، حداکثر جریمه پیشنهادی تا 5٪ از کل درآمد در پیش‌نویس آینده برای ویتنام مناسب است و اثر بازدارنده‌ای دارد، به طوری که واحدها مسئولیت بالاتری در حفاظت از داده‌های مشتری دارند. با این حال، به گفته آقای سون، این جریمه هنوز در مقایسه با جهان زیاد نیست. زیرا در بسیاری از کشورها، بیشتر جریمه‌ها بر اساس مقیاس تأثیر هر تخلف ارزیابی می‌شوند. به عنوان مثال، اگر تخلفی وجود داشته باشد که از یک کسب‌وکار کوچک سرچشمه می‌گیرد اما تعداد زیادی از کاربران را به طور جدی تحت تأثیر قرار می‌دهد، جریمه همچنان بسیار زیاد خواهد بود. آقای وو نگوک سون گفت: "در ویتنام، هنوز هیچ مقیاسی برای ارزیابی تأثیر هر مورد نشت اطلاعات شخصی وجود ندارد، بنابراین پیشنهاد جریمه بر اساس درآمد منطقی است. من فکر می‌کنم این یک گام جدید به جلو در فرآیند کنترل و محافظت از داده‌های شخصی افراد خواهد بود."

آقای وو دو تانگ ضمن موافقت اظهار داشت که وجود مقررات دقیق‌تر در مورد مجازات‌های اداری خاص و عمومی برای اقدامات مربوط به حفاظت از داده‌های شخصی مشتریان، کسب‌وکارها را مجبور به بررسی سیستم‌های امنیتی شبکه خود خواهد کرد. برای اطمینان از محرمانه بودن اطلاعات مشتری، فرآیندی از ارزیابی و نظارت منظم بر منابع فنی و انسانی وجود دارد. این مشابه مقررات مربوط به تضمین ایمنی در برابر آتش‌سوزی در ساختمان‌های اداری و اماکن شلوغ است. سازمان‌های مدیریت دولتی نیز باید بازرسی، نظارت و مجازات سختگیرانه کسب‌وکارهای متخلف را تقویت کنند. تخلف اول ممکن است در رسانه‌های جمعی علنی شود؛ تخلف دوم مشمول مجازات‌های اداری مربوطه خواهد بود و سپس ممکن است سرویس برای مدتی به حالت تعلیق درآید تا کسب‌وکار بتواند سیستم امنیتی شبکه خود را تقویت کند.