韩国广播媒体通信委员会29日表示,因Lotte Card未履行关联信息(CI)安全保护义务,决定对其处以1125万韩元罚款,并提出整改建议。
韩国广播媒体通信委员会当天召开2026年第5次委员会会议,认定Lotte Card违反《信息通信网利用促进及信息保护等相关法》第23条之6第2款,并通过罚款决定及整改建议。
此次处罚源于Lotte Card去年发生的信息泄露事件。韩国广播媒体通信委员会在确认CI泄露情况后,于去年9月至11月启动专项检查。
检查结果显示,Lotte Card在运营支持移动端和线上刷卡支付的“Pay服务”过程中,线上支付服务器日志中包含CI和居民登记号等信息,且长期处于未加密状态。黑客利用日志以明文保存的时段窃取了相关信息。泄露数据涉及约129万人的CI,其中45万人的居民登记号也同时泄露。
韩国广播媒体通信委员会认定,Lotte Card存在未制定CI安全处理内部规定、未建立网络安全事件应对预案等问题,未能履行应有的信息安全措施义务。考虑到安全措施不足导致大规模信息泄露,且违法状态在相关法律施行后持续3个月以上,委员会在基准罚款金额基础上加重50%,最终处以1125万韩元罚款。
与此同时,委员会还就将于2027年5月1日施行的三项要求提出整改建议,包括将居民登记号与CI分开保管、保存CI时进行加密,以及记录并保存CI提供机构和提供时间等资料。
委员会主席Kim Jong-cheol表示,CI属于可用于识别客户的重要信息。对于安全管理体系薄弱的经营者,监管部门将按照“零容忍”原则严肃处理,并持续加强管理和监督,确保公众重要信息得到安全保护。
记者信息
Seulgi Son
sageson@d-today.co.kr