Coupang·SKT, страхування від витоку десятків мільйонів персональних даних до 1 мільярда вон... Ймовірність компенсації фактичних збитків низька

Попри нещодавню масштабну витік особистої інформації, такі великі інформаційно-комунікаційні компанії, як Coupang та SK Telecom, застрахувалися на мінімально допустиму за законом суму для компенсації постраждалим у разі витоку персональних даних. Це знову підкреслює структурну проблему недостатньої компенсації у випадку реальної шкоди.

Як стало відомо 8 числа зі сфери страхування від збитків, Coupang наразі застрахована у страховій компанії Meritz Fire Insurance на випадок відповідальності за витік особистої інформації з лімітом у 10 млрд вон, і ще не повідомила про страховий випадок щодо нещодавнього витоку близько 33,7 млн персональних даних. Не лише Coupang, а й SK Telecom, у якої було викрадено дані близько 23 млн користувачів, також, як підтверджено, мають аналогічну страховку у Hyundai Marine Insurance з таким самим лімітом у 10 млрд вон.

Чинний «Закон про захист персональних даних» вимагає від компаній з певним рівнем продажів обов’язково страхуватися на випадок витоку особистої інформації, але мінімальний обов’язковий страховий ліміт занадто низький порівняно з масштабами компаній, що вважається проблемою. Наприклад, навіть якщо річний обсяг продажів компанії перевищує 10 трлн вон або кількість клієнтів із збереженням даних перевищує 10 млн, юридично немає проблем, якщо застраховано всього на 10 млрд вон. Це призводить до того, що навіть у разі великої шкоди, реальна компенсація через страховку вкрай обмежена.

Страхова індустрія наполягає, що з огляду на масштаби минулих інцидентів та кількість постраждалих, мінімальний обов’язковий страховий ліміт слід підвищити до близько 1 трлн вон. Аргументується, що навіть якщо компанії компенсують збитки через цивільні позови, часткова компенсація через страхування дозволить розподілити фінансовий тягар і забезпечити захист постраждалих. Висловлюються думки, що через низькі ліміти страхування компанії іноді зловживають цим для уникнення відповідальності чи затримки компенсації.

У цьому контексті Асоціація страхування від збитків та інші представники галузі планують найближчим часом звернутися до Комітету із захисту персональних даних та інших урядових органів з вимогою підвищити мінімальні страхові суми. Особливо розглядається запровадження обов’язкового страхування на суму не менше 1 трлн вон для компаній з обсягом продажів понад 10 трлн вон або понад 10 млн суб’єктів даних. Також дедалі частіше лунають заклики посилити адміністративні заходи, зокрема штрафи, щодо компаній, які не страхуються.

З іншого боку, наразі не зареєстровано жодного випадку штрафування за відсутність страховки. Оскільки Комітет із захисту персональних даних не може точно визначити кількість компаній, що підлягають страхуванню, не було вжито реальних заходів, і наразі рівень страхування становить лише 2%~8% від усіх компаній, які зобов’язані мати страхування (за оцінками, від 83 тис. до 380 тис.).

Деякі експерти вказують, що якщо така тенденція збережеться, у разі повторення інцидентів із витоком особистої інформації можуть виникнути суперечки щодо ефективності захисту постраждалих, а це, ймовірно, зрештою призведе до зниження довіри до компаній та радикальних реформ у сфері страхування та регулювання. Тому уряду та парламенту терміново необхідно вдосконалити відповідну систему.