黑客攻入在線支付環節，這家信用卡公司被罰近百億韓元

韓國信用卡行業又出現一筆不小的合規代價。

韓國個人信息保護委員會3月12日披露，因個人信息保護法相關義務落實不到位，樂天卡公司被處以96.2億韓元過征金、480萬韓元過怠料，并被責令整改和公示處理結果。（過征金、過怠料均屬于韓式監管術語，大概就是重罰和輕罰）

這意味著，去年引發廣泛關注的樂天卡大規模信息泄露事件，已經進入正式處罰落地階段。

從官方披露看，事故源于樂天卡在線簡易支付系統遭遇黑客攻擊，日志文件中記錄的約297萬名用戶個人信用信息被泄露，其中約45萬名用戶的居民登記號碼也被一并泄露。

韓國個人信息保護委員會表示，樂天卡在居民登記號碼處理、安全措施落實等方面存在違法問題，因此作出此次行政處罰。

早在2025年9月，韓國金融監督院已就樂天卡個人信用信息泄露情況向個人信息保護委員會作出通報，后者隨即啟動調查。隨后，樂天卡公開承認共有297萬名會員信息外泄，并就事件向用戶及有關機構致歉。

按韓聯社當時報道，樂天卡稱其擁有約960萬名會員，此次泄露波及范圍接近其用戶總量的三分之一。

在當時的說明中，樂天卡還表示，信息泄露主要發生在在線支付服務器環節，與線下支付無關；若因此給用戶造成損失，公司將承擔賠付責任，并提出未來五年投入1100億韓元加強信息保護體系建設。

如今，隨著監管處罰正式落地，這起事件也從“安全事故”進一步轉化為一筆清晰可見的合規成本。

支付機構正在處理越來越復雜、越來越敏感的數據。過去，很多支付場景更多是交易信息、賬戶信息、商戶信息。現在，隨著線上化程度提高、實名要求強化、風控鏈條延長，支付機構手中的數據類型更加豐富，關聯范圍也更大。

一旦這些數據與高頻線上交易、簡易支付入口、外部合作系統、云端部署和多方接口疊加在一起，風險暴露面自然會比過去更寬。系統不是靜態的，攻擊手法也不是靜態的，安全能力如果停留在上一階段，很容易在業務擴張中留下缺口。

更值得警惕的是，支付安全出問題后，外界看到的往往只是“系統被攻擊”這一句話，但監管在追問的，通常不是攻擊者有多強，而是機構有沒有把該做的事情做到位。

有沒有對敏感身份信息做最小化處理，權限是不是按需分配，數據是否加密隔離，接口暴露是否經過充分審查，合作方接入有沒有同步納入治理，異常監測是不是實時有效，內部管理是否留痕可查。

這些問題，看上去細碎，卻恰恰決定一家機構在事故發生后，是被認定為“遭遇外部攻擊”，還是進一步被認定為“自身管理失當”。

這也是為什么，支付行業討論安全，不能只停留在“防黑客”三個字上。真正成熟的安全治理，不只是多裝幾套防護系統，也不是出事后第一時間發一份公告，而是把數據分級分類、開發運維流程、權限管理、供應商管理、應急響應和合規審查一起納入常態化管理。支付業務越依賴線上系統、越依賴開放接口、越依賴多角色協同，這套體系就越不能是臨時性的。

雖然事件發生在韓國，但對支付行業的數據治理和安全管理，同樣具有現實參照意義。

國內支付機構這些年在反洗錢、商戶管理、賬戶管理、清算管理等方面已持續承受監管高壓，信息安全和數據保護的重要性也在不斷上升。對持牌支付機構、銀行卡機構、聚合支付服務商以及各類數字支付平臺來說，安全不只是一個技術命題，也越來越像一項綜合治理能力考核。它考驗的不只是有沒有投入，還考驗投入是否真正落到了系統、流程、人員和合作鏈條上。

對支付行業來說，安全從來不是錦上添花的選項，而是業務能夠繼續往前跑的前提。

等到問題公開、用戶恐慌、監管出手，再去補短板，通常都已經太晚了。

這里是支付之家，聚焦支付科技領域的增量信息，提供不一樣的觀察視角。

來源丨支付之家(ZFZJ.CN)（觀點僅供參考）