Ủy ban Phát thanh - Truyền thông Hàn Quốc đã xử phạt hành chính Lotte Card 11,25 triệu won vì vi phạm quy định về bảo vệ dữ liệu CI, đồng thời yêu cầu doanh nghiệp thực hiện các biện pháp khắc phục.

Ngày 29/4, tại kỳ họp thứ 5 trong năm 2026, cơ quan này đã thông qua quyết định xử phạt và kiến nghị cải thiện đối với Lotte Card do vi phạm khoản 2, điều 23-6 của Luật liên quan đến thúc đẩy sử dụng mạng thông tin - truyền thông và bảo vệ thông tin.

Quyết định được đưa ra sau đợt kiểm tra đặc biệt diễn ra từ tháng 9 đến tháng 11 năm ngoái, sau khi cơ quan chức năng phát hiện dữ liệu CI bị rò rỉ trong vụ lộ thông tin của Lotte Card.

Theo kết quả kiểm tra, trong quá trình vận hành dịch vụ thanh toán thẻ trên di động và trực tuyến, Lotte Card đã để lộ các log trên máy chủ thanh toán có chứa dữ liệu CI và số định danh cư trú mà không được mã hóa. Tin tặc đã lợi dụng thời điểm các log này được lưu dưới dạng văn bản thuần để đánh cắp dữ liệu.

Trong số thông tin bị rò rỉ có dữ liệu CI của khoảng 1,29 triệu người. Trong đó, 450.000 người bị lộ cả số định danh cư trú.

Ủy ban xác định Lotte Card không thực hiện đầy đủ các nghĩa vụ bảo mật, bao gồm việc không xây dựng quy định nội bộ về xử lý an toàn dữ liệu CI và không lập kế hoạch ứng phó với sự cố xâm nhập. Cơ quan này cho biết việc thiếu biện pháp bảo vệ đã dẫn tới vụ rò rỉ dữ liệu quy mô lớn.

Ngoài ra, tình trạng vi phạm kéo dài hơn ba tháng kể từ khi quy định pháp luật có hiệu lực. Vì vậy, mức phạt đã bị nâng thêm một nửa so với mức cơ bản, lên 11,25 triệu won.

Cơ quan quản lý cũng thông qua kiến nghị cải thiện đối với ba nội dung dự kiến áp dụng từ ngày 1/5/2027, gồm tách biệt việc lưu trữ số định danh cư trú và dữ liệu CI, mã hóa dữ liệu CI khi lưu trữ, và ghi nhận - lưu trữ tài liệu về tổ chức cung cấp CI cũng như thời điểm cung cấp.

Ông Kim Jong-cheol, Chủ tịch Ủy ban Phát thanh - Truyền thông Hàn Quốc, nhấn mạnh rằng CI là loại thông tin quan trọng có thể dùng để nhận diện khách hàng. Theo ông, cơ quan này sẽ xử lý nghiêm các doanh nghiệp có hệ thống quản trị bảo mật yếu kém và tiếp tục tăng cường công tác quản lý, giám sát nhằm bảo vệ an toàn thông tin của người dân.