韩国个人信息保护委员会在2026年6月11日宣布,对电商平台Coupang因涉及约3,750万用户个人信息泄露,开出创纪录的6247亿韩元(约合4.09亿美元)罚款。这是韩国有史以来对个人信息泄露开出的最高罚单,远超去年SK Telecom收到的1348亿韩元罚款 [1, 2, 3, 4, 5, 6, 7, 8, 9, 10]。
委员会调查显示,泄露事件源于Coupang缺乏基本的网络安全管理措施,包括认证密钥管理不善和访问控制松散,导致前员工数月内未经授权访问客户数据未被发现。负责人宋庆熙表示,“此事故不是由复杂黑客手段造成,而是Coupang基本安全管理体系不足和管理疏忽” [1, 2, 4, 5]。
受影响的3,750万个账户数据覆盖了韩国约三分之二人口。调查还发现,Coupang非法收集并存储了约1,170万用户在第三方网站与APP上的可识别在线活动数据,未经用户同意 [2, 6, 8, 9, 10]。此外,Coupang未能在规定的72小时内向用户通报泄露事件,阻碍了调查,并未保障首席隐私官的独立性 [2, 5, 8, 9, 10]。
韩国公平贸易委员会在6月9日还对Coupang因2020至2022年误导付费会员折扣广告行为,处以50亿韩元(约33,000美元)罚款 [11, 12]。
韩国多名立法者对美国对调查施加政治压力表达关切,因Coupang虽在美国上市,但实际业务主要在韩国 [2, 5, 6, 7]。Coupang对此回应说,遗憾监管决定未充分反映其为防止二次伤害采取的积极措施,并已表示将提起诉讼挑战罚款决定 [1, 2, 4, 5, 7]。
受事件影响,Coupang提醒2026年收入增长将放缓,因向客户发放了补偿券。公司股价自2026年初以来已下跌约35% [1, 4]。
个人信息保护委员会还责令Coupang加强安全防护,通知非会员泄露用户,并改进前客户个人信息处理政策,以防类似事件重演 [8, 9, 10]。
