Coupang遭史上最高罚款……“3750万人信息泄露,基础管理不善”
酷澎及其子公司CFS合计被处以6249亿韩元罚款
罚款金额超过此前最高纪录SK电讯的4倍
另确认存在违反保障CFO独立性、妨碍调查等问题
CFS将警察厅记者团71人列入就业限制名单
去年11月引发大规模个人信息泄露事故的Coupang及其子公司Coupang Fulfillment Service(CFS),被处以合计6249亿韩元的罚款,创下历史最高纪录。
个人信息保护委员会表示,前一天召开全体会议,对Coupang处分案审议超过12小时后,最终决定就违反安全措施义务、在无法律依据的情况下取得个人信息收集同意等问题,处以6246.81亿韩元罚款;另核定罚款1680万韩元。对CFS则就违反个人信息处理规定处以2.48亿韩元罚款。
这一金额约为现行《个人信息保护法》规定的个人信息泄露事故可处罚款上限——1.3637万亿韩元(不超过总销售额的3%)的一半。与此前创下历史最高罚款纪录的SK海力士(1348亿韩元)相比,超过其4倍。
“Coupang事故并非高端黑客攻击,而是管理疏忽所致”
个人信息保护委员会认为,此次事故并非源于高端黑客攻击,而是由于Coupang基础安全管理体系不完善及管理疏忽所致。最终认定泄露规模约为3750万人。经统计,按账户口径计算,约3322万名会员的个人信息遭泄露;按手机号口径计算,至少有433万名非会员信息主体(包含在收货地址管理页面中的对象)的个人信息遭泄露。
据个人信息保护委员会介绍,Coupang在即使业务上无须查阅替代认证签名密钥的情况下,仍通过密钥管理系统使相关密钥可被明文查看,反映出其在访问权限管理方面存在疏漏。即便一名可访问密钥并查看明文的黑客已于2024年12月离职,公司也未立即更新或废弃签名密钥。此外,尽管出现了异常大量流量和多次非正常接入,公司直到接到客户关于黑客勒索邮件的投诉后,才察觉异常行为。
此外,还进一步确认其违反了泄露通知与销毁义务、未保障个人信息保护负责人(首席隐私官,Chief Privacy Officer,CPO)独立性,以及妨碍调查等问题。Coupang在对黑客开展内部调查并通过官网公开结果的过程中,将CPO排除在外。个人信息保护委员会说明称,“已责令其整改,包括强化防止类似事故再发的安全措施、向非会员信息主体实施泄露通知、保障首席个人数据官的实质性职能等。”并补充称,“同时建议其改进已退会会员的个人信息处理体系,并将在3个月内检查其履行和整改结果。”
与此同时,调查还显示,Coupang利用自2018年起运营的“Coupang Partners”侵犯了信息主体权利。自2024年12月23日至2026年2月4日,该公司擅自收集约1117万名访问其他公司网站和应用程序的会员在线活动记录,并在可识别个人身份的状态下将其存入数据库。相关信息包括在刊登Coupang广告的其他公司网站和应用程序上,用户的访问记录(网址、应用名称)、访问时间以及访问IP等。
Coupang辩称,自2022年8月起已通过举报等渠道知悉劫持广告问题,并一直运行举报制度和检测系统以便查处;一经发现,也会依据使用条款或运营政策等进行制裁。然而,个人信息保护委员会指出,调查发现其对部分广告合作伙伴并未采取注销账号等不利措施,反而适用额外佣金费率,未作出适当制裁,构成违法。
个人信息保护委员会表示:“我们同时确认,Coupang未能对发布违规广告(劫持广告)的广告合作伙伴进行适当管理和监督,导致用户在违背自身意愿的情况下,其Coupang服务使用记录被收集。”并称,“已责令其整改,包括提升个人信息处理透明度、保障信息主体对定向广告的实质性选择权、加强防范违规广告的管理监督等。”
CFS在无法律依据的情况下收集警察厅跑口记者个人信息
就CFS而言,经查,其于2023年9月至2024年2月期间收集了一份从未在物流中心工作过的警察厅跑口记者团名单(71人),并将其登记入就业限制名单。在登记过程中,既未取得信息主体同意,也未告知其已被登记,违反了个人信息收集和使用标准。该公司还将在以员工健康管理为目的持有和管理的劳动者体重信息,提交至与工伤相关的诉讼程序中,违反了敏感信息处理标准。个人信息保护委员会分别就上述事由处以2.2亿韩元和2800万韩元罚款。
个人信息保护委员会表示,通过此次调查和处分,再次强调一项原则:凡是处理韩国消费者重要个人信息的企业,无论是本土企业还是海外企业,都应适用同一标准并承担严格法律责任。Song Gyeonghui委员长表示:“希望此次处分能够成为推动与国民生活密切相关的整个在线平台扩大安全投入、加强内部控制的契机。”她还称,“个人信息保护委员会也将更加努力,为国民个人信息在平台内得到安全使用营造环境。”
![[独家]SK海力士和三星都停了……半导体工厂遭遇坏消息](https://cwcontent.asiae.co.kr/asiaresize/93/2026061116271496667_1781162834.png)
另一方面,对于此次认定结果与今年2月科学技术信息通信部政企联合调查组公布的调查结果(泄露个人信息3367万3817条)存在差异,个人信息保护委员会解释称:“调查组是根据访问记录等,以‘会员信息修改页面’的查询次数为基准进行测算;而个人信息保护委员会则剔除了攻击者重复查询的情形,以及因会员退会等原因导致数据库内已无个人信息的情况。”并表示,“相应地,另外以最低限度补充计入了非会员信息主体。”
版权所有 © 阿视亚经济 (www.asiae.co.kr)。 未经许可不得转载。
