Ce responsabilitate are o companie atunci când dezvăluie informații despre clienți?

Informațiile a milioane de clienți au fost scurse

Ministerul Securității Publice a semnalat o serie de întreprinderi tehnologice care au divulgat informații despre clienți sau companii de brokeraj de servicii de taxi care au folosit informații despre pasageri scurse pentru a oferi servicii prin mesaje SMS... Ministerul Securității Publice a mai spus că situația actuală a scurgerii și vânzării de date cu caracter personal este larg răspândită, publică și din ce în ce mai complicată. Mai grav, multe date sunt vândute public pentru o lungă perioadă de timp, în cantități mari în spațiul cibernetic. Cumpărarea și vânzarea nu au loc doar individual, între persoane fizice, ci implică și participarea companiilor, organizațiilor și întreprinderilor.

În 2018, forumurile de tehnologie au raportat informații despre scurgerile de informații despre Thegioididong.com și despre obținerea de informații importante de către hackeri, cum ar fi adrese de e-mail, istoricul tranzacțiilor și chiar numerele cardurilor, ceea ce a stârnit neliniștea a milioane de clienți. Gioi Di Dong a emis imediat un comunicat de presă confirmând că acestea erau informații false, că sistemul era încă sigur, funcționa normal și nu era afectat. După aceea, totul s-a liniștit treptat.

În aprilie 2018, VNG a înregistrat că 160 de milioane de conturi Zing ID erau expuse riscului de a fi divulgate și ar putea afecta o parte din fișierele clienților de jocuri ale companiei. Compania a declarat că a luat prompt măsuri pentru a gestiona, preveni intruziunea și limita numărul de utilizatori afectați de incident prin măsuri tehnice. Cu toate acestea, VNG a recunoscut că informațiile unui număr de utilizatori au fost divulgate, dar „numărul de utilizatori afectați efectiv de acest incident nu este mare, este concentrat în clienții de jocuri și nu afectează alte produse VNG” și s-a angajat să asigure întotdeauna drepturile și siguranța clienților și să rezolve temeinic orice problemă care apare pentru clienți...

Potrivit domnului Vo Do Thang, de la Centrul de Securitate Cibernetică Athena, pentru cazuri specifice precum cel menționat de Ministerul Securității Publice, trebuie efectuată o investigație pentru a se ști dacă sistemul companiei a fost atacat sau dacă angajații companiei au furat datele și le-au publicat. Însă, indiferent de motiv, atunci când se scurg date, înseamnă că sistemul companiei are o vulnerabilitate. Vulnerabilitatea poate fi tehnică sau umană. Prin urmare, asigurarea securității și siguranței rețelei în general sau protejarea datelor personale ale clienților trebuie monitorizate și implementate în mod regulat 24/24, 365 de zile pe an, fără neglijență. Pentru că nimeni nu poate îndrăzni să afirme că sistemul său este întotdeauna sigur, deoarece hackerii pot ataca oricând. Ca să nu mai vorbim de situația în care proprii angajați ai companiei sunt cei care fură datele clienților pentru a le vinde unor persoane din afară...

Lumea are pedepse mari, dar Vietnamul are puține sancțiuni.

Recent, au existat o serie de cazuri de scurgeri de informații despre clienți, dar aproape nicio unitate nu a fost pedepsită sau sancționată. Între timp, țările din întreaga lume au impus sancțiuni dure pentru acest comportament. De exemplu, în iulie 2019, Comisia Federală pentru Comerț din SUA a decis să amendeze Facebook cu 5 miliarde de dolari după ce datele personale a 87 de milioane de utilizatori ai acestei rețele sociale au fost accesate și utilizate ilegal de Cambridge Analytica. Conform anchetei, Facebook a permis Cambridge Analytica să acceseze ilegal datele a 50 de milioane de utilizatori din SUA în timpul campaniei electorale prezidențiale din 2016, precum și al referendumului Brexit din Marea Britanie din 2016... Aceasta este cea mai mare amendă din lume pentru un scandal care a scurs date despre utilizatori.

În Vietnam, există numeroase reglementări legate de sancțiuni pentru scurgerea și divulgarea de informații. În prezent, Proiectul de Decret privind sancțiunile pentru încălcări administrative în domeniul securității rețelelor (care este în curs de consultare și se așteaptă promulgarea de către Guvern) prevede că sancțiunea maximă pentru organizațiile care încalcă reglementările privind protecția datelor cu caracter personal este o amendă de până la 5% din veniturile totale ale anului fiscal precedent din Vietnam pentru a doua sau mai multe încălcări. În același timp, poate exista o sancțiune suplimentară de revocare a licenței de afaceri a industriei care necesită colectarea de date cu caracter personal timp de 1-3 luni.

Dl. Vu Ngoc Son, director tehnic al companiei VN Cyber ​​​​Security Technology Company, a declarat că, până în prezent, din cauza lipsei unor reglementări detaliate privind protecția datelor cu caracter personal, întreprinderile și organizațiile care încalcă aceste reglementări vor fi supuse doar sancțiunilor administrative. Prin urmare, sancțiunea maximă propusă, de până la 5% din veniturile totale, în viitorul proiect, este potrivită pentru Vietnam și are un efect descurajant, astfel încât unitățile au o responsabilitate mai mare în protejarea datelor clienților. Cu toate acestea, potrivit dlui Son, această amendă nu este încă mare în comparație cu restul lumii. Deoarece, în multe țări, majoritatea amenzilor vor fi evaluate în funcție de amploarea impactului fiecărei încălcări. De exemplu, dacă există o încălcare care provine de la o întreprindere mică, dar afectează grav un număr mare de utilizatori, amenda va fi totuși foarte mare. „În Vietnam, încă nu există o scală pentru a evalua impactul fiecărui caz de scurgere de informații personale, așa că este rezonabil să se propună o amendă bazată pe venituri. Cred că acesta va fi un nou pas înainte în procesul de control și protejare a datelor cu caracter personal ale oamenilor”, a declarat dl. Vu Ngoc Son.

De acord, dl. Vo Do Thang a comentat că existența unor reglementări mai detaliate privind sancțiunile administrative specifice și publice pentru actele de protejare a datelor cu caracter personal ale clienților va obliga companiile să își revizuiască sistemele de securitate a rețelei. Există un proces de evaluare și monitorizare regulată atât a resurselor tehnice, cât și a celor umane pentru a asigura confidențialitatea informațiilor clienților. Acest lucru este similar cu reglementările privind asigurarea siguranței la incendiu în clădirile de birouri și în locurile aglomerate. Agențiile de management de stat trebuie, de asemenea, să consolideze inspecția, supravegherea și pedepsirea strictă a companiilor care încalcă regulile. Prima încălcare poate fi făcută publică în mass-media; a doua încălcare va fi supusă sancțiunilor administrative corespunzătoare, iar apoi serviciul poate fi suspendat pentru o perioadă de timp, astfel încât compania să își poată consolida sistemul de securitate a rețelei.