- ▲ 首尔松坡区Coupang总部。/纽西斯
11日,据个人信息保护委员会称,10日召开全体会议决定对违反《个人信息保护法》的Coupang处以6246亿8100万韩元(约合人民币27.7亿元)的课征金。该金额超过2025年8月对SK电讯处以的1347亿9100万韩元(约合人民币10亿元),系史上最大规模的课征金。另外,委员会还决定对Coupang处以1680万韩元(约合人民币7.4万元)的行政罚款。
- ▲ 10日,在首尔钟路区政府首尔办公楼召开的个人信息保护委员会全体会议上,委员长宋京姬正在发言。/韩联社
2025年11月20日,个人信息委接到Coupang申报,与韩国网络振兴院组建“集中调查工作组”着手展开调查。
经调查,一名2024年底从Coupang离职的黑客,在2025年1月进行了泄露测试,并于2025年4月至11月,持续访问会员信息修改页面、配送地管理页面、订单列表页面等,正式开始窃取个人信息。
自2025年4月14日起,该黑客通过伪造认证令牌累计访问配送地管理页面约1亿4800万次,窃取了姓名、手机号、地址等配送地信息。自6月24日起,他访问会员信息修改页面3496万6812次,窃取了姓名、电子邮箱等个人信息。自9月26日起,访问配送地修改页面5万474次,订单列表页面8万5213次,还窃取了通用玄关密码与订单信息。
经确认,他通过上述方式窃取了3322万2472名会员与至少433万8368名非会员的个人信息。
泄露的信息包括3305万7012人的姓名、电子邮箱等会员信息,2237万5359名会员与433万8368名非会员的姓名、地址、通用玄关密码等共计6398万6351条配送地信息,以及5万8349名会员的订单明细等。
委员会确认,本次事故是Coupang的基础安全管理体系不完善、管理疏漏所致。委员会表示:“Coupang对认证签名密钥访问权限疏于管理,在攻击期间,含有个人信息的页面访问量较平日暴增等异常出现访问,Coupang却未能察觉。”
1月30日前后,Coupang得知在配送地管理页面另有16万名会员的个人信息遭到泄露,却在约6天后的2月5日才发出通知。另外,存在除Coupang会员外的非会员个人信息遭到泄露的情况,委员会4次敦促Coupang发出通知,但Coupang均未履行。
- ▲ 首尔Coupang总部。/韩联社
与此同时,尽管Coupang内部规定,注销会员90天后删除会员信息,注销时即刻销毁地址与银行卡号,但有246万5592条注销会员登记的姓名、手机号、地址等配送地信息未被销毁,此次被一并泄露。经调查,有31万8499条注销会员的银行卡号未被即时销毁。
在着手调查后,委员会曾下令Coupang“保留事故相关访问记录等证据资料”,但Coupang手动删除了2024年7~11月这5个月间的网页访问日志,难以确认最初个人信息泄露时间点等事实关系。但委员会称:“未发现本次泄露的个人信息被非法流通的情况。”
另外,委员会还认定Coupang擅自收集客户的线上活动记录违规。
调查结果显示,2024年12月23日至2026年2月4日,Coupang擅自收集并储存了1117万613名客户的线上活动记录。Coupang储存了1564万5338条网页与应用的访问与使用记录,以此来精准推送广告。
针对本次泄露事故,委员会决定对Coupang处以4235亿7500万韩元(约合人民币18.8亿元)课征金与1680万韩元行政罚款;针对擅自收集线上活动记录,另处以2011亿600万韩元(约合人民币8.9亿元)的课征金。
课征金以Coupang电商服务销售额为基准算出。《个人信息保护法》规定可处以销售额3%的课征金。委员会表示:“考虑到违法严重性与损失规模,算出最终课征金。”
除Coupang外,委员会另对其子公司Coupang Fulfillment Service也处以了2亿4800万韩元(约合人民币110万元)的课征金。
调查结果显示,Coupang Fulfillment Service收集71名无物流中心工作履历的警察厅出入记者团记者名单,录入就业限制目录并加以管理。委员会表示:“违反了个人信息收集、使用规定。”该司还以员工健康管理的名义收集员工体重信息,并在产业灾害相关诉讼中将体重信息提交给法院,委员会认定此举违反敏感信息处理规定。
.jpg)
.jpg)
.jpg)
.jpg)
.jpg)
.jpg)
.jpg)
