[论坛]4000万条个人信息泄露,“轻飘飘处罚”要到什么时候
屡次发生个人信息泄露事件
应强化处罚、追究经营层责任等
亟需强有力且具实效性的监管
![[论坛]4000万条个人信息泄露,“轻飘飘处罚”要到什么时候](http://www.asiae.co.kr/news/img_view.htm?img=2025022610275246903_1740533272.png)
近日曝光,Kakao Pay在未获同意的情况下,将4000万名用户的个人信息擅自转移至海外,引发巨大争议。个人信息保护委员会就此处以60亿韩元的罚款,但与Kakao Pay的营业收入相比,这只能算是“轻描淡写”的处罚。这样的处罚究竟能否根除企业的非法惯行,令人怀疑。在法治国家中,个人信息被擅自外泄的现象持续存在,归根结底是因为监管不到位、处罚过于轻微。
此次事件中最大的问题,是企业对个人信息保护的认识过于松懈。个人信息绝非单纯的数据,而是与用户的隐私和权利,乃至安全直接相连的重要资产。然而,企业并未将其视为必须保护的对象,而是主要当作规避监管的对象。Kakao Pay在未向用户明确告知的情况下,将数据转移到海外,内部控制同样存在明显漏洞。这绝不是单纯的失误,而是充分暴露了该企业的结构性问题。
与Kakao Pay的年营业收入相比,60亿韩元罚款微不足道。最终只会强化一种错误认知:即“即便违规,只要交罚款就行”。未经授权接收资料的苹果公司方面也受到了制裁。然而,全球信息技术企业虽然在韩国市场获取了巨额收益,却并未严肃对待国内监管。原因在于,韩国境内的罚款对这些企业几乎构不成任何实际负担。这些企业往往将政府监管视为一项“成本—收益”问题进行计算,如果认定违法带来的收益远大于罚款,就会甘愿承担违法风险继续经营。
对违反个人信息保护法行为的处罚过轻,是问题的核心所在。现行法律的制裁力度有限,企业完全有能力轻松承受。倘若这种情况反复出现,企业极有可能仅把个人信息保护视为一项可以压缩的成本。与之相对,欧洲联盟的《通用数据保护条例》(GDPR)规定,可对违规企业处以其年营业额4%以内的罚款,通过强有力的制裁,使企业不敢轻易铤而走险。
如果政府有足够意愿,解决方案其实十分明晰。第一,应修改个人信息保护法,大幅提高处罚力度。可以将罚款金额与企业营业收入挂钩,对屡犯不改的企业施以停业等强力制裁。第二,应强化对个人信息保护措施的事前审查和审计功能。目前的监管大多是事后处置,往往在损害已经发生之后才进行处罚。为在事前切断此类违法行为,有必要建立政府层面的严密监督体系。第三,应强化对经营管理层的法律责任。由于制裁多停留在企业层面,对疏于落实个人信息保护措施的经营管理层追责的案例并不多见。只有向管理层直接追究法律责任,企业才会自发、严格地落实个人信息保护。最后,加强用户权利保障的制度设计也十分重要。当发生个人信息侵害时,应引入集体诉讼制度,简化赔偿程序,使受害者能够积极维权。现实中,即便遭受损失,很多人也难以单独应对,企业利用这一点的情况并不少见。
只要企业仍将个人信息视为单纯的“数据资产”,而非应予保护的对象,就必须施加更为严厉的制裁和更具实效性的监管。维护用户权利不应是企业的选择题,而必须成为其不可回避的法定义务;一旦违反,包括经营管理层在内就应承担严厉责任。政府应进一步强化个人信息保护政策的实效性,并推动一种共识:个人信息保护不仅是个人基本权利,也是企业必须履行的社会责任。
Kim Gyuil 密歇根州立大学教授
版权所有 © 阿视亚经济 (www.asiae.co.kr)。 未经许可不得转载。
