南韓電商巨頭 Coupang 於 2025 年 12 月 9 日宣布,聯席行政總裁朴大俊(Park Dae-jun)請辭,為早前涉及 3,370 萬用戶的大規模資料外洩事件負責。是次黑客入侵始於 2025 年 6 月,潛伏長達 5 個月未被發現,外洩規模相當於南韓總人口(約 5,100 萬)的 66%,成為該國史上最嚴重的個人資料保安事故之一。美國母公司 Coupang Inc. 隨即任命行政總監兼法律總顧問 Harold Rogers 為代理行政總裁。這位哈佛法學院畢業的合規專家將於 12 月 17 日出席韓國國會科學技術資訊通信委員會聽證會。此次人事變動顯示,Coupang 的戰略重心已從市場擴張轉向法律防禦,優先處理集體訴訟、監管罰款與穩定股價。
從 4,500 人到 3,370 萬人:外洩規模為何暴增 740 倍?
Coupang 於 2025 年 11 月 18 日首次發現異常存取行為,當時對外宣稱僅 4,500 名客戶資料遭竊。惟經韓國個人資料保護委員會(PIPC)介入調查後,確認受害人數在 11 月 29 日暴增至 3,370 萬人,這突顯企業初期危機評估出現嚴重失誤。根據韓國《個人資料保護法》,企業必須在發現資料外洩後 72 小時內向 PIPC 或韓國網絡振興院(KISA)通報,涉及 1,000 人以上的外洩事件將面臨最高 3,000 萬韓圜(約港幣 16.5 萬元)罰款及現場檢查。外洩資料包含用戶姓名、電郵、電話號碼及配送地址,部分用戶甚至連住家大門密碼都被竊取。
法律背景 CEO 上任:應對訴訟潮的策略轉向
新任代理行政總裁 Harold Rogers 並非技術出身,而是創辦人金範錫(Bom Kim)的核心幕僚,曾在 2021 年協助 Coupang 於紐約證券交易所完成集資 43 億美元(約港幣 335.4 億元)的上市計劃。業界分析師指出,這與科技公司資安危機通常優先委任技術總監(CTO)或營運總監(COO)的慣例大相徑庭。Rogers 的任命反映母公司正建立「法律優先」的危機應對機制,以因應美國證券交易委員會(SEC)的資訊披露要求、韓國國會聽證會調查,以及 Johnson Fistel 等律師事務所發起的集體訴訟。
根據 ExtraHop 2024 年研究,資料外洩後一個月內,企業股價平均下跌 7%;而 Comparitech 分析顯示,外洩後 53 天股價才能恢復至事發前水平。Coupang 作為紐約證券交易所上市公司,其 2024 年電商交易額達 55 兆韓圜(約 380 億美元,即約港幣 2,964 億元),股價波動將直接影響創辦人金範錫的 43 億美元(約港幣 335.4 億元)身家。
韓國數碼基建的結構性風險
此次事件並非單一主要個案。2025 年較早時,韓國曾因數據中心火災導致政府行政網絡大規模癱瘓。韓國網絡安全市場在 2024 年達到 51.6 億美元(約港幣 402.5 億元)規模,預計 2025 至 2034 年間以 14.7% 年複合增長率擴張,但每日仍遭受 120 萬次黑客攻擊。韓國個人資料保護委員會進一步批評 Coupang 的使用者條款含有不當免責條款,違反《個人資料保護法》,並要求企業成立專責小組降低用戶後續損害。
PwC《2024 亞太數碼信任報告》指出,26% 的亞太企業認為軟件供應鏈是主要網絡威脅,其次是第三方外洩(25%)與零日漏洞(14%)。韓國政府已於 2023 年撥款 255 億韓圜(約港幣 1.4 億元)予 KISA 發展新一代網絡安全技術,包括零信任架構(Zero Trust)部署。
競爭對手趁機擴張:Naver 聯盟挑戰市場霸主
就在 Coupang 陷入信任危機之際,競爭對手 Naver 於 2025 年 4 月與生鮮電商 Kurly 宣布策略聯盟,透過 Naver Plus Store 平台銷售 Kurly 產品,直接挑戰 Coupang 在 Rocket Fresh 生鮮配送市場的主導地位。Kurly 行政總裁 Sophie Kim 表示:「Kurly 與 Naver 擁有其他平台難以複製的獨特競爭優勢。」雖然 Naver 2024 年電商交易額 50 兆韓圜略遜於 Coupang 的 55 兆韓圜,但此次個人資料外洩事件可能加速消費者轉向 Naver 陣營,削弱 Coupang 自 2018 年以來建立的垂直整合物流優勢。
企業如何從危機中重建數碼信任?
Coupang 事件為全球電商企業敲響警鐘。IBM《2024 資料外洩成本報告》顯示,全球企業資料外洩平均損失已達 490 萬美元(約港幣 3,822 萬元),且 40% 的外洩事件涉及雲端資料。對於依賴配送地址、門鎖密碼等敏感資料的物流科技企業,零信任架構、多重身分驗證及供應鏈安全審查已成為必要投資項目。韓國 2024 年深度科技(Deep Tech)創投投資額達 3.6 兆韓圜(約港幣 198 億元),其中人工智能領域年增 4,158 億韓圜(約港幣 22.9 億元),反映政府與民間正加速投入新一代資安技術。
隨著 Rogers 即將面對國會質詢,Coupang 能否透過透明調查報告、受害者賠償機制及技術架構翻新重建消費者信心,將成為決定其市場地位的關鍵考驗。這宗事件會否促使韓國立法機構修訂《個人資料保護法》,提高罰則上限並強制企業採用即時監控系統,仍有待觀察。
資料來源:
Infosecurity Magazine
The New York Times
BBC News
Law.asia
Expert Market Research