韓國個人資料保護委員會(Personal Information Protection Commission)於 6 月 11 日向當地最大電商平台 Coupang 開出 6,246.8 億韓圜(約港幣 31.9 億元)罰款,創下韓國單一企業數據外洩罰款的最高紀錄。
委員會認定 Coupang 安全防護薄弱,加上未經客戶同意收集個人資料,導致約 3,370 萬名用戶資料外洩,相當於韓國總人口約 3 分之 2。Coupang 表明會循法律途徑提出行政訴訟,而這宗案件已超越單純的私隱合規爭議,演變成首爾與華盛頓之間的外交與貿易摩擦。以下從事件來龍去脈、商業影響與未來趨勢 3 方面深入分析。
事件始末:一條未失效的金鑰
這宗外洩的核心,是一條本應停用卻仍然生效的認證金鑰,根據韓國當局調查,1 名離職的中國籍前僱員負責認證相關工作,他在合約終止後,仍能憑藉這條私人加密金鑰存取客戶資料庫。入侵最早於 2024 年 6 月透過 Coupang 的海外伺服器展開,但公司一直未能察覺,直至同年 11 月有客戶收到黑客的威脅電郵並提出投訴,Coupang 才注意到客戶資料流量出現異常。委員會指出,這次事故並非源於高超的黑客技術,而是 Coupang 基本安全管理系統不足與管理疏忽所致。
委員會主席 Song Kyung-hee 向傳媒表示,Coupang 憑藉大規模客戶資料建立創新電商服務而急速壯大,但其個人資料保護與管理系統未能同步跟上,外洩資料涵蓋客戶姓名、電郵地址、電話號碼、送貨地址及部分訂單紀錄,但不包括付款資料與登入憑證。委員會把罰款分為 2 部分:4,236 億韓圜針對數據外洩本身,另外 2,011 億韓圜針對未經同意收集及使用客戶網上活動紀錄。這個金額是委員會 2025 年 8 月向 SK Telecom 開出 1,348 億韓圜罰款的逾 3 倍,後者當時涉及 2,300 萬名用戶。
按 Reuters 計算,今次罰款相當於 Coupang 在 2025 年 45 兆韓圜營收的約 1.4%,雖然韓國法例容許監管機構按企業年度營收最多 3% 計算罰款,但委員會在計算時剔除了與違規無關的業務收入。
對企業的啟示:合規成本與資料治理
對全球企業而言,這宗個案傳遞出清晰訊息:大型平台一旦在個人資料保護上失守,將承受嚴重的財務後果,Coupang 由韓裔美籍哈佛畢業生 Bom Kim 於 2010 年創立,憑藉隔夜「火箭速遞」服務成為韓國最大電商集團,背後有日本 SoftBank 支援,並且是韓國僅次於 Samsung 的最大私營僱主。即使規模如此龐大,企業仍因 1 條未及時撤銷的存取權限而付出巨大代價。
這宗事件突顯數項企業必須正視的資料治理重點,第 1 是離職員工的權限管理:Coupang 的系統容許前僱員在離職後仍能輕易存取全部客戶個人資料,反映權限回收流程出現嚴重漏洞。第 2 是事故偵測與通報能力:Coupang 未能自行發現異常,亦未能在韓國法例要求的 72 小時內偵測並通報外洩,令監管機構加重處罰。企業期望可以避免重蹈覆轍,就必須建立主動監察機制,而非依賴客戶投訴才察覺問題。
財務衝擊已經浮現,Coupang 上月公布今年首季錄得 2.42 億美元(約港幣 18.9 億元)營業虧損,並警告安全疑慮令部分消費者卻步,今年營收增長將會放緩。今次罰款金額接近 Coupang 去年 6,790 億韓圜的紀錄營業利潤,公司表明會把罰款反映在今年第 2 季業績。除財務損失外,韓國子公司行政總監已經辭職,超過 10,000 名受影響客戶正籌組集體訴訟,每人索償至少約港幣 HK$530。
貿易角力與未來趨勢
這宗案件最受關注的,是它如何由本地問責事件升級為地緣政治角力,Coupang 在美國德拉瓦州註冊,由美國上市的 Coupang Inc. 持有,因此投資者 Greenoaks 與 Altimeter 於今年 1 月引用美國《1974 年貿易法》第 301 條,向美國貿易代表署(USTR)提出申訴,要求調查韓國政府的處理手法,但其後撤回申訴。與此同時,美國國會共和黨議員就涉嫌歧視美國企業展開調查,並發出傳票索取 Coupang 與韓國政府之間的通訊紀錄。
韓國方面則強硬回應,近 100 名國會議員聯署反對他們所指的美國政治施壓,警告任何影響司法程序的企圖將侵犯韓國司法主權。韓國國務總理 Kim Min-seok 向美國議員表明,對 Coupang 的調查「絕無歧視」,純屬常規執法。首爾官員強調,會確保美國企業在規管數碼服務的法律下「不受歧視,亦不會面對不必要的障礙」。
這場爭端揭示各國政府在規管美國企業時面對的風險,因為華盛頓日益把外國的監管行動視為非關稅貿易壁壘,Seoul National University 法律教授 Lee Jae-min 指出,這筆史無前例的罰款,很可能加深華盛頓對美國企業在韓國遭針對的懷疑,除非首爾能徹底解釋罰款的計算方式,否則或會推高雙方緊張關係。
展望未來,韓國法例賦予監管機構更大阻嚇力:若數據外洩源於故意不當行為或重大疏忽,當局更可索取實際損害最多 5 倍的懲罰性賠償,這意味處理大量用戶資料的平台企業,未來須把資料安全投資視為核心營運成本,而非可有可無的開支。Coupang 案件的法律攻防將會持續一段時間,其最終裁決勢必成為衡量韓國監管獨立性與韓美貿易關係走向的重要指標。對在亞洲市場營運的跨國企業而言,這宗個案提醒它們:在地緣政治日趨複雜的環境下,合規失誤的代價可能遠超罰款本身。
