Cơ quan Nghiên cứu Lập pháp Quốc hội Hàn Quốc (NARS) nhận định cách LGU+ thiết kế và vận hành mã nhận dạng thuê bao IMSI có thể có dấu hiệu vi phạm Luật Bảo vệ Thông tin Cá nhân, do mã này được xây dựng theo hướng phản ánh số điện thoại của người dùng.

Theo tài liệu rà soát về IMSI của LGU+ mà nghị sĩ Kim Jang-kyum, thuộc đảng People Power, nhận từ NARS ngày 14/4, IMSI nếu đứng riêng lẻ thì khó xác định một cá nhân cụ thể. Tuy nhiên, khi kết hợp với dữ liệu thuê bao do nhà mạng nắm giữ, khả năng nhận diện cá nhân có thể tăng lên đáng kể.

NARS cho rằng trong trường hợp của LGU+, khi IMSI được thiết kế có liên hệ với số điện thoại, khả năng mã này bị xem là thông tin cá nhân là rất lớn.

IMSI là mã dùng để nhận diện thuê bao khi truy cập mạng di động. LGU+ cho biết đã cấp IMSI có phản ánh số điện thoại khách hàng từ năm 2011.

Theo NARS, trên thực tế IMSI có khả năng nhận diện tương đương với số điện thoại. Cơ quan này cũng cho rằng ngay cả với các chủ thể xử lý dữ liệu không phải nhà mạng, IMSI vẫn có thể bị đánh giá là thông tin cá nhân.

Trong phản hồi gửi văn phòng nghị sĩ Kim Jang-kyum, Ủy ban Bảo vệ Thông tin Cá nhân cũng nêu quan điểm rằng lập luận từ các phán quyết từng công nhận IMEI là thông tin cá nhân có thể được áp dụng tương tự với IMSI.

Nhận định này trái với lập trường của LGU+, vốn cho rằng bản thân IMSI không phải là thông tin cá nhân.

NARS đồng thời đánh giá thiết kế IMSI của LGU+ có thể bị xem là chưa thực hiện đầy đủ nghĩa vụ áp dụng các biện pháp bảo đảm an toàn theo Luật Bảo vệ Thông tin Cá nhân.

Theo luật, đơn vị xử lý dữ liệu phải áp dụng các biện pháp bảo vệ để ngăn ngừa mất mát, trộm cắp hoặc rò rỉ thông tin. Tuy nhiên, NARS chỉ ra rằng cấu trúc IMSI của LGU+ có thể chưa đáp ứng đầy đủ yêu cầu bảo đảm an toàn trong quá trình lưu trữ và truyền tải dữ liệu cá nhân.

Nếu bị kết luận vi phạm nghĩa vụ áp dụng biện pháp bảo đảm an toàn, doanh nghiệp có thể bị phạt hành chính tối đa 30 triệu won.

Một cách diễn giải khác cũng được NARS nêu ra là việc sử dụng số điện thoại trong IMSI có thể bị xem là hành vi dùng thông tin cá nhân sai mục đích. Đặc biệt, nếu số điện thoại của thuê bao chuyển mạng được đưa vào IMSI, hành vi này có thể bị đánh giá là vượt ra ngoài mục đích thu thập ban đầu.

Dù vậy, NARS cũng cho rằng có thể lập luận việc này vẫn nằm trong phạm vi mục đích cung cấp dịch vụ viễn thông. Tuy nhiên, do không có yêu cầu kỹ thuật bắt buộc phải dùng số điện thoại trong thiết kế IMSI, khả năng bị diễn giải là sử dụng sai mục đích vẫn còn.

Cơ quan này cũng giải thích rằng việc gán số điện thoại và IMSI cho thuê bao mới không nhất thiết được xem là hành vi "thu thập" thông tin cá nhân từ bên ngoài, mà có thể được coi là một phần trong quy trình tạo số của nhà mạng. Vì vậy, việc có áp dụng các quy định liên quan đến thu thập thông tin cá nhân hay không cần được xem xét riêng.

Trong khi đó, LGU+ đang triển khai thay USIM miễn phí hoặc cập nhật hệ thống cho toàn bộ khách hàng nhằm ngẫu nhiên hóa giá trị IMSI. Tuy nhiên, NARS cho biết công ty đã xem xét phương án chuyển đổi IMSI từ tháng 6/2025, cho thấy doanh nghiệp có thể đã nhận thức được vấn đề từ trước.

Nghị sĩ Kim chỉ trích LGU+ đang “né tránh trách nhiệm quản lý thông tin cá nhân” dưới danh nghĩa lo ngại về an ninh. Ông nhấn mạnh rằng khi cả NARS và Ủy ban Bảo vệ Thông tin Cá nhân đều đã xác nhận khả năng xảy ra xâm hại, “không còn chỗ cho những lời bào chữa”.

Về phần mình, LGU+ cho rằng IMSI có thể được xem là thông tin cá nhân theo nghĩa rộng, nhưng do dữ liệu này không bị rò rỉ hay lộ ra bên ngoài nên khó kết luận có vi phạm Luật Bảo vệ Thông tin Cá nhân.

Doanh nghiệp cũng lập luận rằng ngay cả khi IMSI bị lộ, nếu khóa xác thực mã hóa KI không bị rò rỉ thì sẽ không phát sinh rủi ro như giả mạo điện thoại. Vì vậy, theo LGU+, trường hợp này không cấu thành vi phạm nghĩa vụ áp dụng biện pháp bảo đảm an toàn theo luật.