Какую ответственность несет бизнес при раскрытии информации о клиентах?

Утечка информации миллионов клиентов

Министерство общественной безопасности указало на ряд технологических предприятий, которые сливали информацию о клиентах, а также на брокерские компании, предоставляющие услуги такси, которые использовали утечку информации о пассажирах для предложения услуг с помощью SMS-сообщений... Министерство общественной безопасности также заявило, что текущая ситуация с утечкой и куплей-продажей персональных данных является распространенной, общедоступной и все более сложной. А если серьезно, то значительная часть данных уже давно продается публично и в больших количествах в киберпространстве. Купля-продажа происходит не только индивидуально, между отдельными лицами, но и предполагает участие компаний, организаций и предприятий.

В 2018 году на технологических форумах появилась информация об утечке информации о Thegioididong.com и получении хакерами важной информации, такой как адреса электронной почты, история транзакций и даже номера карт, что вызвало беспокойство у миллионов клиентов. Gioi Di Dong немедленно выпустил пресс-релиз, подтверждающий, что это ложная информация, система по-прежнему безопасна, работает нормально и никак не пострадала. Потом все постепенно стихло.

В апреле 2018 года компания VNG зафиксировала, что 160 миллионов учетных записей Zing ID находятся под угрозой утечки, что может затронуть часть игровой клиентской базы компании. Компания заявила, что оперативно приняла меры по устранению, предотвращению вторжения и ограничению числа пользователей, пострадавших от инцидента, с помощью технических мер. Тем не менее, VNG признала, что утечка данных произошла у ряда пользователей, но «круг пользователей, фактически затронутых этим инцидентом, невелик, в основном это игровые клиенты, и он не затрагивает другие продукты VNG», и взяла на себя обязательство всегда обеспечивать права и безопасность клиентов и будет тщательно решать любые проблемы, которые могут возникнуть у клиентов...

По словам г-на Во До Танга из Центра кибербезопасности Athena, в конкретных случаях, подобных упомянутым Министерством общественной безопасности, необходимо провести расследование, чтобы выяснить, была ли атакована система компании или же сотрудники компании украли данные и опубликовали их. Но какова бы ни была причина, утечка данных означает, что в системе компании есть уязвимость. Уязвимость здесь может быть технической или человеческой. Поэтому обеспечение безопасности сети и защиты персональных данных клиентов должно контролироваться и осуществляться регулярно, круглосуточно и без выходных, 365 дней в году, и этим нельзя пренебрегать. Потому что никто не может осмелиться утверждать, что его система всегда безопасна, ведь хакеры могут атаковать в любой момент. Не говоря уже о ситуации, когда сотрудники самой компании крадут данные клиентов для продажи за ее пределами...

В мире существуют суровые наказания, но во Вьетнаме санкций мало.

В последнее время было зафиксировано несколько случаев утечки информации о клиентах, однако практически ни одно подразделение не было наказано или подвергнуто санкциям. Между тем, во многих странах мира подобное поведение сурово наказывается. Например, в июле 2019 года Федеральная торговая комиссия США приняла решение оштрафовать Facebook на 5 миллиардов долларов после того, как компания Cambridge Analytica получила доступ к персональным данным 87 миллионов пользователей этой социальной сети и незаконно их использовала. По данным расследования, Facebook позволил медиакомпании Cambridge Analytica незаконно получить доступ к данным 50 миллионов пользователей в США во время президентской избирательной кампании 2016 года, а также референдума о Brexit 2016 года в Великобритании... Это самый крупный в мире штраф за скандал, связанный с утечкой данных пользователей.

Во Вьетнаме существует множество правил, предусматривающих наказания за утечку и разглашение информации. В настоящее время проект указа, регулирующего административные санкции за нарушения в области кибербезопасности (находится на стадии обсуждения и ожидает обнародования правительством), предусматривает, что максимальное наказание для организаций, нарушающих положения о защите персональных данных, составляет штраф в размере до 5% от общего дохода за предыдущий финансовый год во Вьетнаме за нарушения, совершенные со второго раза. В то же время может быть предусмотрено дополнительное наказание в виде отзыва лицензии на ведение бизнеса в отрасли, требующей сбора персональных данных в течение 1–3 месяцев.

Г-н Ву Нгок Сон, технический директор Vietnam Cyber ​​Security Technology Company, заявил, что до сих пор из-за отсутствия подробных правил защиты персональных данных предприятия и организации, нарушающие закон, будут подвергаться только административным санкциям. Таким образом, предлагаемый максимальный штраф в размере до 5% от общей выручки в готовящемся законопроекте подходит для Вьетнама и служит сдерживающим фактором для подразделений, которые должны нести большую ответственность за защиту данных клиентов. Однако, по словам г-на Сона, этот штраф все равно невелик по сравнению с мировыми показателями. Потому что во многих странах большинство штрафов будут оцениваться на основе масштаба последствий каждого нарушения. Например, если нарушение совершено даже малым предприятием, но серьезно затрагивает большое количество пользователей, штраф все равно будет очень большим. «Во Вьетнаме до сих пор нет шкалы для оценки последствий каждого случая утечки личной информации, поэтому вполне разумно предложить штраф, основанный на доходах. Я думаю, что это станет новым шагом вперед в процессе контроля и защиты персональных данных людей», — сказал г-н Ву Нгок Сон.

Соглашаясь, г-н Во До Тханг отметил, что наличие более подробных положений о конкретных и публичных административных санкциях за действия по защите персональных данных клиентов заставит компании пересмотреть свои системы сетевой безопасности. Регулярно проводится оценка и мониторинг как технических, так и кадровых ресурсов для обеспечения конфиденциальности информации о клиентах. Это аналогично правилам обеспечения пожарной безопасности в офисных зданиях и местах массового скопления людей. Органам государственного управления также необходимо усилить контроль, надзор и строго наказывать предприятия-нарушители. В первый раз это может быть публично освещено в СМИ; Повторные нарушения повлекут за собой соответствующие административные санкции, а затем предоставление услуги может быть приостановлено на определенный период времени, чтобы предприятие могло усилить систему безопасности своей сети.