“被罚13.4亿韩元” Woori Card:“解除招募人委任·收回中心员工权限”
个保委:“尚未考虑移交刑事起诉”
金融监管当局去年已开展现场检查
金融当局:“目前尚处于监管机构制裁审议前阶段”
Woori Card:“对员工开展培训并对系统进行常态化检查”
Woori Card于27日表示,已因加盟商个人信息事故,解聘相关员工和信用卡招募人,并切断其对营业中心所属支持系统的访问权限。此前,该公司在未经同意的情况下,将约7.4万名加盟商的个人信息用于营销,被查处后被处以约134亿韩元的罚款,此次为后续整改措施。
个人信息保护委员会表示,前一日的全体会议上已表决通过,因违反《个人信息保护法》,对Woori Card处以134.51亿韩元的罚款并下达整改命令。
据个人信息保护委员会和Woori Card介绍,Woori Card仁川营业中心自2022年7月至2023年4月期间,查询了13万1862名信用卡加盟商的姓名、居民登记号、手机号码、住址等个人信息。
自2023年9月起,该中心在查询加盟商个人信息及其是否持有Woori Card信用卡后,将相关信息生成个人信息文件,并利用了处理加盟商及持卡人个人信息的数据库。
2023年1月至4月期间,仁川营业中心共计100次通过电子邮件向招募人发送了7万5676名加盟商的个人信息。通过这种方式,仁川营业中心至少查询并向招募人提供了20万7538名加盟商的信息,其中7万4692名加盟商从未同意其信息被用于营销。未经同意即向他人提供个人信息,属于违反“不得超出利用范围使用个人信息”的法律条款。
Woori Card表示:“我们通过内部控制渠道获悉事实后,立即开展了自查审计”,“并依据《信用信息保护法》规定的程序,在公司官网发布了相关事实说明和致歉公告,同时对相关员工及信用卡招募人予以解聘等严肃问责。”
该公司并称:“已对(仁川)营业中心所属员工的内部终端系统访问权限进行了整理,统一收回数据库访问权限”,“今后所有对外邮件外发必须经过信息保护部门的审批。”
此外,Woori Card强调:“我们已对内部控制流程进行整改,包括强化数据库访问控制、优化数据库权限分离、加强外发邮件管控等”,“并正在推进建立外发邮件个人信息检测系统等信息保护管理体系。”
个人信息保护委员会表示,此次并非仅是仁川营业中心的责任,而是Woori Card整体层面的管理问题。个人信息保护委员会调查一科科长Kim Haesuk称:“内部控制流于形式,总公司层面既无核查也无检查”,“Woori Card曾请求将此视为仅发生在部分营业中心的个案予以酌情考虑,但我们未予采纳。”
据个人信息保护委员会介绍,这是首次因在未取得个人信息同意的情况下擅自向招募人提供信息,而对信用卡公司作出罚款处分。不过,目前尚未考虑提起刑事控告。
Kim科长表示:“被审议方(Woori Card)须在自收到个人信息保护委员会正式整改命令通知之日起90日内提交应对方案”,“届时将根据其提交的方案,审查是否要求被审议方出席委员会陈述意见,或是否处以罚款并提起刑事控告等。”
Woori Card表示:“对个人信息保护委员会指出的问题,我们正在深刻反省,并将优先采取措施解决相关问题”,“为防止类似事件再次发生,将通过加强对全体员工的教育和对信息保护系统的常态化检查等方式,进一步强化内部控制。”
另一方面,金融监管当局就此次事故,于2023年4月29日至5月14日对位于首尔钟路区的Woori Card总部进行了现场检查。目前仍处于金融监督院制裁审议委员会审议程序之前的阶段。
版权所有 © 阿视亚经济 (www.asiae.co.kr)。 未经许可不得转载。
