韩国个人信息保护委员会22日在第7次全体会议上决定，对3家违反个人信息保护法规的企业作出行政处罚，合计处以47.882亿韩元罚款和1740万韩元罚金，并责令其整改并予以公示。

此次被处罚的企业为KS Human Employment Info、Duoinfo和Geumneung Park Cemetery。韩国个人信息保护委员会表示，上述企业均因个人信息处理系统安全管理不到位而发生个人信息泄露，部分企业还在缺乏法律依据的情况下处理居民登记号。

其中，KS Human Employment Info被处以35.37亿韩元罚款和420万韩元罚金。监管部门查明，黑客在获取该公司个人信息处理系统管理员账号信息后，于2025年4月15日登录管理页面，下载并泄露了咨询师、总部员工及求职者（培训生）等共4.0875万人的个人信息。

泄露内容包括咨询师及员工在入职和在职期间提交的居民登记簿誊本、身份证复印件、存折复印件、亲属关系证明等，不仅涉及本人信息，还包含大量家庭成员个人信息。

调查还显示，黑客随后将相关信息发布到暗网，并试图交易其掌握的数据库。KS Human Employment Info在同一套个人信息处理系统中同时运行一般人事管理和呼叫中心运营功能，却未通过IP限制等方式控制访问权限，也未部署安全接入或认证措施，导致外部仅凭账号和密码即可不受限制访问系统。

除罚款和罚金外，韩国个人信息保护委员会还责令KS Human Employment Info定期检查个人信息处理系统访问记录及个人信息下载情况，并制定和落实个人信息销毁指引。

婚恋信息服务企业Duoinfo因发生正式会员个人信息大规模泄露事件，被处以11.97亿韩元罚款和1320万韩元罚金。

监管部门表示，黑客于2025年1月通过互联网入侵Duoinfo员工办公电脑并植入恶意代码，在获取数据库服务器账号信息后登录会员数据库服务器，下载并泄露了全部正式会员、共42.7464万人的个人信息。

调查结果显示，Duoinfo在访问存储正式会员个人信息的会员数据库时，未设置认证失败达到一定次数后的访问限制等措施；同时，对居民登记号和密码采用不安全的加密算法，违反了个人信息安全保护义务。

此外，Duoinfo在正式会员注册过程中，在缺乏单独法律依据的情况下收集并保存居民登记号；对于已超过个人信息处理方针所载5年保存期限的正式会员信息，也未按规定销毁，涉及29.8566万条数据。

韩国个人信息保护委员会还指出，Duoinfo在确认泄露事实后，无正当理由超过72小时才进行报告，存在迟报问题。考虑到婚介机构业务特点，此类企业不仅掌握会员的基本身份信息，还收集学历、宗教、工作等大量涉及个人生活和倾向的信息；但在相关信息泄露后，Duoinfo截至目前仍未向个人信息主体通报泄露事实，二次风险防范明显不足。

Geumneung Park Cemetery则因其网站管理费查询及缴纳页面存在参数篡改漏洞，被黑客利用后导致5373名用户的个人信息泄露，涉及姓名、居民登记号和手机号。

调查显示，Geumneung Park Cemetery未充分排查并处置网站参数篡改漏洞，通过互联网传输个人信息时也未采用加密通信，同时以明文方式保存居民登记号等信息，违反了个人信息保护义务。

韩国个人信息保护委员会最终对Geumneung Park Cemetery处以5420万韩元罚款，并责令其加强个人信息处理系统漏洞排查、加密等安全管理措施，防止类似泄露事件再次发生。