韩国个人信息保护委员会28日召开全体会议，决定对违反个人信息保护相关法规的韩国研究基金会处以罚款和罚金。

韩国个人信息保护委员会表示，在接获个人信息泄露报告后，委员会对韩国研究基金会运营的在线论文投稿系统 Journal&Article Management System（JAMS）展开调查，确认其存在违反《个人信息保护法》的行为。

调查显示，2025年6月6日，黑客利用JAMS中各学会页面“找回密码”功能的链接漏洞，通过篡改参数并枚举邮箱地址，获取了约12万名JAMS会员的个人信息，涉及姓名、ID、电子邮箱、手机号、账户信息等共44项。

委员会指出，上述漏洞自2013年起一直存在，但韩国研究基金会长期未能发现并修复，最终酿成本次泄露事件。该机构此前仅对JAMS门户进行了漏洞检测，未对约1600个学会页面开展相应排查。

此外，韩国研究基金会于6月12日发送泄露通知时，未在通知中列明手机号、账户信息、研究者注册号等识别性较强的信息项目，未充分履行信息泄露通知义务。

虽然韩国研究基金会并不收集或使用居民登记号码，但部分会员曾在JAMS“备注”栏自行填写相关信息，导致116条居民登记号码一并泄露。委员会还指出，在事件发生前，JAMS的Web应用防火墙已检测到居民登记号码这一13位数字信息，但韩国研究基金会将其视为误检，未进一步核查并采取后续措施。

更严重的是，在遭遇黑客攻击后，韩国研究基金会在系统尚未充分整改的情况下仍继续运行JAMS，随后于6月17日又发生冒用JAMS会员身份的二次侵害事件，暴露出其个人信息保护管理体系整体薄弱。

韩国个人信息保护委员会认为，相关漏洞长期未被发现和修复，个人信息保护管理体系不健全，且泄露后已实际发生二次冒用，事件性质极其严重。基于未履行安全措施义务、未充分履行信息泄露通知义务等问题，委员会决定对韩国研究基金会处以7.030亿韩元罚款和480万韩元罚金。

委员会同时要求主管部门——韩国科学技术信息通信部和教育部——加强对JAMS管理和运营情况的检查，完善相关机制，督促下属机构加大个人信息保护投入。委员会表示，今后还将持续推动重点公共机构进一步落实安全措施义务。