在222项整改检查中确认211项已完成
SKT完成自查全盘排查和USIM认证密钥整改
Naver、酷澎等超级应用运营商措施已落实
个人信息保护委员会14日表示,对去年下半年因违反《个人信息保护法》而被处置的机构和企业的整改落实情况进行检查后发现,在222件中有211件(约95.0%)已经完成整改。
个人信息保护委员会委员长 Song Gyeonghui 13日下午在政府首尔办公大楼举行的第9次个人信息保护委员会全体会议上发表开场讲话。个人信息保护委员会供图
View original image此次检查的222件整改措施按领域划分为:▲安全措施175件 ▲个人信息处理人员管理与监督11件 ▲居民登记号处理限制7件 ▲泄露通知与申报4件 ▲其他25件等。其中,除安全措施(已完成165件)和其他(已完成24件)之外,其余全部完成整改。
个人信息保护委员会强调,特别是针对去年发生大规模个人信息泄露事故的SK Telecom和Incruit,进行了现场检查,重点核实了其是否制定并落实了具体的防止再次发生的对策。
结果显示,SKT在移动通信网内强化了对个人信息处理系统的识别和全面排查、改进防火墙策略、对USIM认证密钥及重要信息进行加密等安全措施。还通过调整组织架构,使个人信息保护负责人(CPO)在不受IT、基础设施等领域限制的情况下,对个人信息资产进行管理和监督。但其作为整改计划提交的实时监控与拦截EDR安装以及认证范围扩大等事项,将在下一轮检查时追加确认。
Incruit则落实了新增认证体系、改进异常流量检测策略等措施。通过组织改编,确保CPO组织的独立性,并新指定具备相应资质和经历的专业CPO,明确其责任,从而强化了管理体系。
在对公共机构集中管理系统进行全面检查并下达整改建议的38家机构中,有33家已完成整改并提交计划。警察厅等机构通过将人事系统的人事信息与个人信息处理系统进行联动,加强了对所属部门信息更新等访问权限的管理。国民年金公团等机构则改进了系统,使系统使用机构可以查询个人信息处理人员的访问记录。
包括Kuka Entertainment在内的海外经营者,则在内部管理计划中反映了居民登记号处理限制和禁止收集的检查清单,以确保今后在没有法律依据的情况下不处理居民登记号,并对全体员工开展了相关培训。
此外,个人信息保护委员会还表示,去年7月在事前实态检查中收到改进建议的超级应用服务经营者(Naver、Kakao、Coupang、Woowa Brothers、Danggeun Market)已全部落实相关建议。这些经营者制定了以告知信息主体等方式替代惯常“必选同意”的方案,并为强化用户权利,使用户可以在超级应用内按服务分别进行退出和删除。还采取措施,在个人信息处理方针中以通俗易懂的方式告知个人信息处理停止和删除请求的具体程序。
对于Worldcoin和TFH,则已落实引入儿童年龄确认程序、改善个人信息收集同意程序等整改措施,对其实际服务运营过程将持续进行监测。
个人信息保护委员会表示,将对目前仍在检查整改措施中的7家机构追加确认其落实情况,并督促其完成整改,“今后将通过细化整改命令和改进建议,并积极开展落实情况检查,以切实提升个人信息保护水平”。
版权所有 © 阿视亚经济 (www.asiae.co.kr)。 未经许可不得转载。
