罚款就能免责?酷澎会成“首个认证被取消”对象吗…“不达标可撤销认证”
获得“ISMS-P认证”可减轻罚款
263家获证企业中有10%发生泄露
政府出手核查酷澎认证合规性
政府是否会取消因泄露了3370万名客户个人信息的Coupang的个人信息保护管理体系认证(ISMS-P),正备受关注。迄今为止,在获得ISMS-P认证的263家企业中,还没有一家被取消认证。
不过,由于此次被认为是史上最大规模的个人信息泄露事故,政府决定仔细审查Coupang在去年获得认证时提交的管理体系与实际运营情况是否符合标准,因此有舆论认为,Coupang也有可能成为首家被“取消认证”的企业。
8日,据个人信息保护委员会和韩国互联网振兴院消息,ISMS-P认证书的发放数量自2019年的69件起步,2021年为161件、2023年为278件、去年为230件、今年为248件,呈增长趋势。
以目前认证企业的累计数量计算,共有263家,其中约10%、即27家发生过大小不一的信息泄露事故。然而至今为止,还没有一家企业被取消认证,因此外界批评称该认证制度流于形式。根据《个人信息保护法》,个人信息保护委员会可以在获得认证的企业低于认证标准,或违反法律且违反事由严重的情况下,取消其认证。
个人信息保护委员会相关负责人表示:“只有在通过认证委员会的审议和表决确认存在重大缺陷时,才可以取消认证。只是目前ISMS-P认证是以自律方式运行,即便取消认证,也并不存在例如强制其重新走认证程序等明确的替代措施。”
问题在于,违反《个人信息保护法》的企业如果仍维持ISMS-P认证,那么在日后被处以罚款和罚金时,该认证会成为减轻处罚的事由。以企业为个人信息保护作出努力为由,罚款可在第一次调整金额的50%以下范围内减免,罚金可在基准金额的40%以内减免。
违反《个人信息保护法》的SK Telecom仅在T World、T Membership等客户服务领域获得认证,因此未获减免;但Coupang的情况是,从去年3月起,其为期3年的有效认证范围涵盖“Coupang服务”整体,因此若继续维持认证,被减轻处罚的可能性较高。目前,由作为认证机构的韩国互联网振兴院主导,正对Coupang是否符合认证标准等展开检查。
个人信息保护委员会相关负责人称:“对于存在严重违法行为,或在运营个人信息管理体系过程中严重低于认证标准的情形,制度上可以取消认证。若在事后审查过程中发现发生了重大缺陷,我们将积极考虑取消认证。”
版权所有 © 阿视亚经济 (www.asiae.co.kr)。 未经许可不得转载。
