Ủy ban Bảo vệ Dữ liệu cá nhân Hàn Quốc (PIPC) ngày 27/5 cho biết đã thông qua quyết định xử phạt 4 cơ quan nhà nước và một doanh nghiệp nhận ủy thác vì vi phạm Luật Bảo vệ thông tin cá nhân. Các đơn vị bị xử phạt gồm Bộ Nội vụ và An toàn, Rural Development Administration, National Institute of Agricultural Sciences, National Institute of Animal Science và nhà thầu Miso Tech.

Theo PIPC, Bộ Nội vụ và An toàn liên quan đến hai vụ lộ dữ liệu trong quá trình vận hành cổng dịch vụ hành chính tích hợp Government24. Tháng 4/2024, lỗi phát triển mã nguồn ở chức năng liên kết hồ sơ khiếu nại với hệ thống NEIS của Bộ Giáo dục và giấy chứng nhận nộp thuế của Cơ quan Thuế Quốc gia đã khiến dữ liệu cá nhân của 1.233 người bị lộ cho bên thứ ba.

Cơ quan này được xác định đã bỏ qua bước kiểm thử trước khi triển khai. Đến tháng 5/2025, một lỗ hổng xác thực trong dịch vụ tra cứu tình trạng cấp thẻ căn cước tiếp tục khiến thông tin của 4 người bị tra cứu trái phép. Ngoài ra, một tệp chứa thông tin người phụ trách bãi đỗ xe công cộng được đăng lên trang quản trị nghiệp vụ của website Gongyu Nuri đã bị Google lập chỉ mục, làm lộ dữ liệu cá nhân của 3.828 người.

PIPC cho biết Bộ Nội vụ và An toàn đã thông báo sự cố muộn hơn 72 giờ dù đã nhận biết vụ việc. Cơ quan này cũng không nêu rõ nhà thầu trong chính sách xử lý dữ liệu cá nhân. Vì vậy, PIPC phạt Bộ Nội vụ và An toàn 273 triệu won, kèm khoản phạt hành chính 7,5 triệu won, đồng thời yêu cầu khắc phục và công khai quyết định xử phạt.

Tại Rural Development Administration và các đơn vị trực thuộc, quy mô rò rỉ còn lớn hơn. Theo kết luận của PIPC, tin tặc đã đánh cắp khoảng 575.000 bản ghi dữ liệu cá nhân được lưu trên thiết bị lưu trữ mạng (NAS) của Miso Tech, nhà thầu bảo trì, rồi đăng tải lên dark web. Dữ liệu bị lộ gồm tên, địa chỉ, số liên lạc và email.

PIPC cho biết Miso Tech đã tự ý lưu dữ liệu được giao quản lý trên một hệ thống NAS riêng trong suốt 5 năm. Thiết bị này được vận hành trong 8 năm với khả năng mở truy cập từ địa chỉ IP bên ngoài, trong khi chỉ cần tài khoản quản trị và mật khẩu là có thể đăng nhập. Về phía Rural Development Administration, cơ quan này chỉ nhận giấy xác nhận không lưu giữ dữ liệu khi kết thúc hợp đồng dịch vụ, mà không kiểm tra thực tế việc hủy dữ liệu cá nhân.

Cơ quan quản lý đã phạt Miso Tech 82,5 triệu won và phạt hành chính 4,5 triệu won. Rural Development Administration bị phạt 168 triệu won, National Institute of Agricultural Sciences bị phạt 23,1 triệu won.

PIPC cho biết sẽ tiếp tục rà soát các rủi ro liên quan đến bảo vệ dữ liệu cá nhân phát sinh trong quá trình số hóa khu vực công, đồng thời chia sẻ các trường hợp bị xử phạt với các cơ quan nhà nước nhằm thu hẹp lỗ hổng quản lý trong mô hình ủy thác và tăng cường kiểm tra, giám sát trên thực tế.