Какую ответственность несет бизнес при раскрытии информации о клиентах?

Утечка информации о миллионах клиентов

Министерство общественной безопасности указало на ряд технологических предприятий, уличенных в утечке информации о клиентах, а также на брокерские компании, предоставляющие услуги такси, которые использовали утечку данных о пассажирах для предложения услуг через SMS-сообщения... Министерство общественной безопасности также заявило, что текущая ситуация с утечкой и продажей персональных данных широко распространена, становится общедоступной и становится всё более сложной. Что ещё серьёзнее, многие данные уже давно продаются публично, в больших объёмах в киберпространстве. Купля-продажа осуществляется не только между отдельными лицами, но и с участием компаний, организаций и предприятий.

В 2018 году информация об утечке Thegioididong.com и получении хакерами важной информации, такой как адреса электронной почты, история транзакций и даже номера карт, появилась на технологических форумах, что вызвало беспокойство у миллионов клиентов. Компания Gioi Di Dong немедленно опубликовала пресс-релиз, подтверждающий, что это была ложная информация, система по-прежнему безопасна, работает в штатном режиме и не пострадала. После этого всё постепенно успокоилось.

В апреле 2018 года компания VNG зафиксировала, что 160 миллионов учётных записей Zing ID находятся под угрозой утечки, что может затронуть часть файлов игровых клиентов компании. Компания заявила, что оперативно приняла меры для устранения инцидента, предотвращения вторжения и ограничения числа пользователей, пострадавших от инцидента, с помощью технических мер. Тем не менее, VNG признала утечку данных ряда пользователей, но «количество пользователей, фактически пострадавших от этого инцидента, невелико, сосредоточено в основном среди игровых клиентов и не затрагивает другие продукты VNG», и пообещала всегда обеспечивать права и безопасность клиентов и полностью решать любые возникающие у них проблемы...

По словам г-на Во До Танга из Центра кибербезопасности Athena, в конкретных случаях, подобных упомянутому Министерством общественной безопасности, необходимо провести расследование, чтобы выяснить, была ли система компании атакована или же сотрудники компании украли данные и опубликовали их. Но какой бы ни была причина, утечка данных означает, что в системе компании есть уязвимость. Уязвимость может быть технической или антропогенной. Поэтому обеспечение безопасности сети в целом, а также защита персональных данных клиентов должны контролироваться и осуществляться регулярно, круглосуточно, 365 дней в году, без какой-либо халатности. Ведь никто не может утверждать, что его система всегда безопасна, ведь хакеры могут атаковать в любой момент. Не говоря уже о ситуации, когда сами сотрудники компании крадут данные клиентов и продают их третьим лицам...

В мире существуют суровые наказания, но во Вьетнаме санкций мало.

В последнее время произошел ряд случаев утечки информации о клиентах, но практически ни одно подразделение не было наказано или подвергнуто санкциям. Между тем, страны по всему миру ввели строгие наказания за подобное поведение. Например, в июле 2019 года Федеральная торговая комиссия США приняла решение оштрафовать Facebook на 5 миллиардов долларов США после того, как компания Cambridge Analytica получила и незаконно использовала персональные данные 87 миллионов пользователей этой социальной сети. Согласно расследованию, Facebook позволил Cambridge Analytica получить незаконный доступ к данным 50 миллионов пользователей в США во время президентской избирательной кампании 2016 года, а также референдума по Brexit в Великобритании в 2016 году... Это самый крупный штраф в истории, наложенный за скандал с утечкой данных пользователей.

Во Вьетнаме действует множество нормативных актов, предусматривающих санкции за утечку и раскрытие информации. В настоящее время проект Указа о санкциях за административные правонарушения в области сетевой безопасности (который находится на рассмотрении и ожидает обнародования Правительством) предусматривает, что максимальное наказание для организаций, нарушающих нормативные акты о защите персональных данных, составляет штраф в размере до 5% от общей выручки за предыдущий финансовый год во Вьетнаме за второе или более нарушений. Кроме того, может быть предусмотрено дополнительное наказание в виде отзыва лицензии на ведение деятельности в отрасли, требующей сбора персональных данных, на срок от 1 до 3 месяцев.

Г-н Ву Нгок Сон, технический директор компании VN Cyber ​​Security Technology Company, отметил, что до сих пор из-за отсутствия детальных правил защиты персональных данных предприятия и организации, нарушающие эти правила, подвергались только административным штрафам. Поэтому предлагаемый в готовящемся законопроекте максимальный штраф в размере до 5% от общей выручки подходит для Вьетнама и оказывает сдерживающий эффект, стимулируя компании нести более высокую ответственность за защиту данных клиентов. Однако, по словам г-на Сона, этот штраф всё ещё не высок по сравнению с мировыми стандартами. Во многих странах большинство штрафов рассчитывается исходя из масштаба последствий каждого нарушения. Например, если нарушение исходит от малого предприятия, но серьёзно затрагивает большое количество пользователей, штраф всё равно будет очень большим. «Во Вьетнаме до сих пор нет шкалы для оценки последствий каждого случая утечки персональных данных, поэтому разумно предлагать штраф, основанный на объёме выручки. Я думаю, что это станет новым шагом вперёд в процессе контроля и защиты персональных данных людей», — сказал г-н Ву Нгок Сон.

Согласившись с этим, г-н Во До Тханг отметил, что более детальное регулирование конкретных и публичных административных санкций за нарушение защиты персональных данных клиентов заставит компании пересмотреть свои системы сетевой безопасности. Для обеспечения конфиденциальности информации клиентов проводится регулярная оценка и мониторинг как технических, так и кадровых ресурсов. Это аналогично правилам обеспечения пожарной безопасности в офисных зданиях и местах массового скопления людей. Органам государственного управления также необходимо усилить контроль, надзор и строгое наказание нарушителей. Первое нарушение может быть обнародовано в СМИ; второе нарушение повлечет за собой соответствующие административные санкции, а затем предоставление услуг может быть приостановлено на определенный срок, чтобы компания могла укрепить свою систему сетевой безопасности.