天價罰單！酷澎遭南韓「開罰123億臺幣」破紀錄　3750萬筆個資外泄

▲南韓電商「酷澎」位於南韓首爾的總部大樓。（圖／VCG）

記者羅翊宬／編譯

南韓電商龍頭酷澎（Coupang）爆出史上最大規模個資外泄事件。對此，南韓個人資訊保護委員會今（11）日宣佈，因爲高達3750萬名客戶的個資遭到外泄，且酷澎未經授權便蒐集用戶網路活動紀錄，在經過13個小時的馬拉松式審議後，決定對酷澎合計開罰約6247億韓元（約新臺幣123億元），超越先前所有企業罰鍰規模。

根據《韓聯社》，南韓個人資訊保護委員會指出，針對酷澎的調查顯示，公司在個資安全管理存在重大疏失，導致約3750萬名用戶的個資外泄。委員會強調，此案並非高階駭客技術攻擊，而是因爲酷澎基本安全管理機制不足所導致，包括憑證簽章金鑰管理鬆散、存取控制失靈等問題。

委員會指控，酷澎作爲年營收超過30兆韓元的大型數據處理業者，卻無法妥善管理身分驗證系統與簽章金鑰，且未能即時偵測到異常行爲。此外，調查也發現酷澎在事故發生後的應對過程存在疏失，包括在接獲證據保全命令後，仍刪除約5個月的網路存取紀錄，且讓系統部分日誌因內部「6個月自動刪除機制」而消失。

▲南韓國內規模最大電商「酷澎」（Coupang）爆發3750萬筆用戶個資外泄的事件。（圖／VCG）

調查顯示，身爲前職員的駭客利用漏洞，從會員資料修改頁面竊取約3305萬名用戶的姓名與電子郵件等資訊；配送地址頁面則外泄至少2237萬筆配送資料，內容涵蓋姓名、電話、地址，甚至共同門禁密碼等敏感資訊。此外，系統內還包含約433萬名非會員的聯絡資料被一併流出，規模遠超外界先前估算。

然而，更嚴重的是，酷澎被認定在未經用戶同意的情況下，蒐集約1117萬名用戶於其他網站與應用程式的瀏覽紀錄，包括URL、應用名稱、連線時間及IP位置等資訊，並建立可識別個人的資料庫。

另外，子公司「酷澎物流中心」（Coupang Fulfillment Services，CFS），因將出入警察廳的派駐記者名單納入「就業限制名單」，且將員工的體重資訊用於勞災訴訟等用途，被認定違反個資處理規範，另遭裁罰24.8億韓元。