Hvilket ansvar har en bedrift når den utleverer kundeinformasjon?

Millioner av kunders informasjon lekket

Departementet for offentlig sikkerhet har pekt på en rekke teknologibedrifter som har lekket kundeinformasjon eller drosjetjenestemeglerfirmaer som har brukt lekket passasjerinformasjon til å tilby tjenester via SMS-meldinger... Departementet for offentlig sikkerhet sa også at den nåværende situasjonen med lekkasje og salg av personopplysninger er utbredt, offentlig og stadig mer komplisert. Enda mer alvorlig er det at mange data selges offentlig over lang tid, i store mengder på nett. Kjøp og salg skjer ikke bare individuelt, mellom enkeltpersoner, men involverer også deltakelse fra selskaper, organisasjoner og foretak.

I 2018 ble informasjon om at Thegioididong.com hadde lekket og hackere hadde fått tak i viktig informasjon som e-postadresser, transaksjonshistorikk og til og med kortnumre rapportert av teknologifora, noe som gjorde millioner av kunder urolige. Gioi Di Dong sendte umiddelbart ut en pressemelding som bekreftet at dette var falsk informasjon, at systemet fortsatt var trygt, fungerte normalt og ikke var påvirket. Etter det roet alt seg gradvis ned.

I april 2018 registrerte VNG at 160 millioner Zing ID-kontoer var i fare for å bli lekket og kunne påvirke deler av selskapets spillkundefiler. Selskapet sa at de raskt hadde tatt grep for å håndtere, forhindre inntrenging og begrense antallet brukere som ble berørt av hendelsen gjennom tekniske tiltak. VNG innrømmet imidlertid at en rekke brukere fikk informasjonen sin lekket, men «omfanget av brukere som faktisk er berørt av denne hendelsen er ikke stort, konsentrert blant spillkunder og påvirker ikke andre VNG-produkter», og lovet å alltid sikre kundenes rettigheter og sikkerhet, og vil grundig løse eventuelle problemer som oppstår for kundene ...

Ifølge Vo Do Thang, Athena Cyber ​​Security Center, må det i spesifikke tilfeller, som det som er nevnt av departementet for offentlig sikkerhet, bli en etterforskning for å finne ut om selskapets system ble angrepet, eller om selskapets ansatte stjal dataene og ga dem ut. Men uansett årsak, når data lekker, betyr det at selskapets system har en sårbarhet. Sårbarheten her kan være teknisk eller menneskelig. Derfor må det å sikre nettverkssikkerhet og trygghet generelt eller beskytte kunders personopplysninger overvåkes og implementeres regelmessig 24/7, 365 dager i året uten å være uaktsom. Fordi ingen kan tørre å bekrefte at systemet deres alltid er trygt, fordi hackere kan angripe når som helst. For ikke å nevne situasjonen der selskapets egne ansatte er de som stjeler kundedata for å selge dem til utenforstående...

Verden har strenge straffer, men Vietnam har få sanksjoner.

Nylig har det vært en rekke tilfeller av lekkasje av kundeinformasjon, men nesten ingen enheter har blitt straffet eller sanksjonert. I mellomtiden har land rundt om i verden ilagt strenge straffer for denne oppførselen. For eksempel bestemte den amerikanske føderale handelskommisjonen (FTC) i juli 2019 å ilegge Facebook en bot på 5 milliarder dollar etter at personopplysningene til 87 millioner brukere av dette sosiale nettverket ble åpnet og brukt ulovlig av Cambridge Analytica. Ifølge etterforskningen tillot Facebook Cambridge Analytica ulovlig tilgang til dataene til 50 millioner amerikanske brukere under presidentvalgkampen i 2016, samt Brexit-avstemningen i Storbritannia i 2016... Dette er verdens største bot noensinne for en skandale som lekket brukerdata.

I Vietnam finnes det mange forskrifter knyttet til straffer for informasjonslekkasje og -avsløring. For tiden fastsetter utkastet til dekret om straffer for administrative brudd innen nettverkssikkerhet (som er til høring og venter på kunngjøring fra regjeringen) at den maksimale straffen for organisasjoner som bryter forskrifter om vern av personopplysninger er en bot på opptil 5 % av den totale inntekten for foregående regnskapsår i Vietnam for andre eller flere brudd. Samtidig kan det være en tilleggsstraff for tilbakekall av næringslisensen som krever innsamling av personopplysninger i 1–3 måneder.

Vu Ngoc Son, teknisk direktør i VN Cyber ​​Security Technology Company, sa at bedrifter og organisasjoner som bryter disse reglene frem til nå, på grunn av mangelen på detaljerte forskrifter om beskyttelse av personopplysninger, kun vil bli ilagt administrative sanksjoner. Derfor er den foreslåtte maksimale boten på opptil 5 % av den totale inntekten i det kommende utkastet egnet for Vietnam og har en avskrekkende effekt, slik at enhetene har et høyere ansvar for å beskytte kundedata. Imidlertid er denne boten ifølge Son fortsatt ikke høy sammenlignet med verden. Fordi i mange land vil de fleste bøter bli vurdert basert på omfanget av hvert brudd. Hvis det for eksempel er et brudd som stammer fra en liten bedrift, men som alvorlig påvirker et stort antall brukere, vil boten fortsatt være veldig stor. «I Vietnam finnes det fortsatt ingen skala for å vurdere virkningen av hvert tilfelle av lekkasje av personlig informasjon, så det er bare rimelig å foreslå en bot basert på inntekter. Jeg tror dette vil være et nytt skritt fremover i prosessen med å kontrollere og beskytte folks personopplysninger», sa Vu Ngoc Son.

Herr Vo Do Thang var enig og kommenterte at mer detaljerte forskrifter om spesifikke og offentlige administrative sanksjoner for handlinger som beskytter kunders personopplysninger, vil tvinge bedrifter til å gjennomgå sine nettverkssikkerhetssystemer. Det er en prosess med regelmessig vurdering og overvåking av både tekniske og menneskelige ressurser for å sikre konfidensialiteten til kundeinformasjon. Dette ligner på forskriftene om å sikre brannsikkerhet i kontorbygg og på steder med mange mennesker. Statlige forvaltningsorganer må også styrke inspeksjon, tilsyn og streng straff for bedrifter som overtrer regelverket. Det første bruddet kan bli offentliggjort i massemediene; det andre bruddet vil bli underlagt tilsvarende administrative sanksjoner, og deretter kan tjenesten bli suspendert i en periode slik at bedriften kan styrke sitt nettverkssikkerhetssystem.