文章总结： 韩国个人信息保护委员会对Christie’s拍卖行处以2.8亿韩元罚款和720万韩元罚金，因其违反个人信息保护法规。事件起因是客服团队遭遇语音钓鱼攻击，黑客获取系统权限导致620名韩国会员信息泄露。调查发现该公司未采用独立认证方式重置密码，未加密保存敏感信息，且延迟超过72小时上报泄露事件。委员会要求公开处罚结果并强调应加强认证机制管理。 综合评分： 78 文章分类： 数据安全,政策法规,安全运营,应用安全,安全意识

韩国个人信息保护委员会对Christie’s罚款2.8亿韩元并处720万韩元罚金

安全学习那些事儿

2026年4月10日 15:00 上海

2026年4月8日，韩国个人信息保护委员会表示，在第6次全体会议上决定，对英国拍卖行Christie’s(Christie, Manson & Woods, Ltd.)处以2.8亿韩元罚款和720万韩元罚金，并责令其在官网公示处罚结果，原因是其违反个人信息保护相关法规。

据通报，Christie’s客服工单团队员工遭遇黑客语音钓鱼，致使黑客获取个人信息处理系统访问权限，最终导致620名韩国会员的个人信息泄露。调查显示，Christie’s在接到重置个人信息处理系统访问密码的请求时，未采用短信、邮件等独立认证方式，仅凭入职日期、所属部门等简单信息进行核验后便重置密码。而在此次黑客入侵过程中，Christie’s甚至未按上述核验流程操作，直接重置密码，并将用于登录验证的手机号更改为黑客号码。

韩国个人信息保护委员会还指出，Christie’s在未加密的情况下保存客户的居民登记号码、驾照号码和护照号码等敏感信息，未履行安全保护义务。与此同时，Christie’s在缺乏法定处理依据的情况下，以身份核验为由收集并保存韩国会员的居民登记号码。

此外，Christie’s在发现信息泄露后，也未在法定时限内完成申报和通知，在无正当理由的情况下超过72小时才上报相关情况。

韩国个人信息保护委员会表示，此次处罚除罚款和罚金外，还要求Christie’s公开披露受罚事实。该机构同时强调，个人信息处理者应妥善部署并管理认证机制，防止无合法访问权限者轻易获取或窃取认证信息。

Christie’s是全球领先的艺术品与奢侈品拍卖行，以举办现场及在线拍卖和私人定制交易而闻名。公司不仅拍卖珍贵艺术品，还提供艺术品追索、保管等专业服务。其品牌历史悠久，享誉国际，是艺术市场的重要参与者。公司信息可从英国公司注册处获取，包括注册地址、财务记录等。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全学习那些事儿 《韩国个人信息保护委员会对Christie’s罚款2.8亿韩元并处720万韩元罚金》