撰文、编辑 / Kaamel Labs
本文亦发表在 Kaamel 官网博客中,点击文末 阅读原文 可查看相关内容。
韩国个人信息保护委员会(The Personal Information Protection Commission, PIPC)于 2024 年 5 月 23 日公布了对 Kakao 公司处以 151.4 亿韩元(约 11,076,717 美元)的罚款和 780 万韩元(约 5721 美元)罚款的决定。PIPA 在针对 2023 年的媒体报道进行调查后,指控 Kakao 违反《个人信息保护法》(The Personal Information Protection Act, PIPA)。该决定作出了 PIPC 迄今为止最大数额的罚款,其金额是 Golfzon 案件中 75 亿韩元的罚款金额的两倍多。
案件背景
Kakao 是一家以匿名聊天为卖点,运营开放式聊天服务的公司。2023 年 3 月,有媒体报道 KakaoTalk 开放聊天的用户个人信息被非法交易,PIPC 随后对 Kakao Corp. 展开了调查。PIPC 在一个交易在线营销计划的网站上,发现了出售 KakaoTalk 开放聊天室用户真实姓名和电话号码的广告。
据调查,在 Kakao 的用户识别系统中,同一用户不论使用普通聊天模式还是开放聊天模式,有且仅有一个会员序号作为其标识。不过,开放聊天模式的用户使用临时 ID,即由用户的会员序号等信息构成的一个识别码,用于在开放聊天室模式下标识用户身份。
Kakao 没有对 2020 年 8 月 20 日之前创建的开放聊天室用户的临时 ID 进行加密,因此很容易从临时 ID 中查到用户的会员序号。虽然 2020 年 8 月之后创建的开放聊天室的用户的临时 ID 被加密了,但存在漏洞,即当在开放聊天室公告牌上输入加密的临时 ID 时,会解密并以纯文本形式显示临时 ID。临时 ID 与会员序列号相关联,这可能会损害公开聊天的匿名性或暴露个人信息。尽管 Kakao 知晓这种漏洞,但是 Kakao 并没有对泄露事件进行通知报告,且疏于对暴露会员序列号的隐私风险的审查和改善,也没有检查和修复开放聊天室的安全漏洞。据 PIPC 负责调查和协调的总干事 Nam Suk 称:”我们确认有 696 名开放聊天室用户的信息被发布在特定网站上,黑客至少获取了 65,719 条个人信息记录。
2023 年的事件发生后,Kakao 对所有开放聊天室参与者的临时 ID 进行了加密,但有人指出可以通过分析 KakaoTalk 传输方法的公开 API 提取其用户信息,而 KakaoTalk 对黑客通过这种方式进行的恶意攻击没有有效应对措施。
执法结果
PIPC 以 Kakao 违反了 PIPA 第 29 条要求的安全措施义务和 PIPA 第 39-4 (1) 条(现第 34 条)要求的泄漏报告通知义务,分别对其处以 151.4 亿韩元(约合 11,076,717 美元)和 780 万韩元(约合 5,721 美元)的罚款。此外,PIPC 还命令 Kakao 向用户通报泄密事件,并决定在个人信息保护委员会网站上公布处罚结果。
(一) 安全措施义务
PIPA 第 29 条:“各个人信息控制者应根据总统令的规定,采取必要的技术、管理和物理措施,如制定内部管理计划和保存访问记录等,以确保安全,从而防止个人信息丢失、被盗、泄露、伪造、篡改或损坏。”
其一,在本案中,Kakao 产品的普通模式和开放聊天模式使用单一会员序列号,且使用会员序列号以形成匿名开放聊天的未加密的临时 ID。根据该法条,企业为防止会员序列号破坏匿名性,开放式聊天用户应该可以配置与普通聊天不同的身份识别系统,或对临时 ID 进行加密,以防止序列号暴露。
其二,在媒体报道之后,Kakao 虽然对临时 ID 进行了加密,但是仍然存在可以通过分析 KakaoTalk 传输方法的公开 API 提取其用户信息的严重漏洞。Kakao 没有审查和修复这一风险,也没有采取更严密的加密方式,导致用户信息被泄露给黑客。
(二)信息泄露的报告通知义务
原 PIPA 第 39-4 (1) 条规定,信息通信服务提供商得知个人信息丢失、被盗或泄露(以下简称“泄露等”)时,应立即通知相关用户,并向指定的专门机构报告,且通知或报告不得迟于知道泄露后的 24 小时。
在 2023 年 3 月 23 日的媒体报道和个人信息专员调查中披露,Kakaotalk 在明知 KakaoTalk 开放聊天室用户的个人信息被泄露的情况下坐视不管。KakaoTalk 违反了《个人信息保护法》的个人信息泄露的通知报告义务,没有报告泄漏情况并通知用户。
合规建议
提供社交、聊天、通信等产品和服务的企业,应当严格把控产品的设计,修复和改善可能引起用户信息泄露的不合理内容。提供可匿名服务的企业更要注意严格加密隐藏可以识别用户真实身份的 ID、昵称、头像等内容,避免匿名模式显示的 ID 与普通模式下用户 ID 的关联性。企业还应建立内部管理计划、保存访问记录,以防范黑客攻击,及时修复数据保护漏洞。如果发生了突破了匿名性的用户信息泄露事件,应当立即通知用户、报告相关机构,并采取补救措施。
