이 글은 안희철 법무법인 DLG 변호사의 기고문입니다. 스타트업을 위한 양질의 콘텐츠를 기고문 형태로 공유하고자 하는 분이 있다면 벤처스퀘어 에디터 팀 editor@venturesquare.net으로 연락 주시기 바랍니다.
[안변의 法이슈] 쿠팡의 개인정보 유출 사고-기업의 책임과 고객의 권리
매일매일 이용하고 있는 쿠팡으로부터 문제가 왔다. 내 개인정보가 모두 털렸다는 문자다. 심지어 아파트 공용 현관의 비밀번호까지 유출되었다고 한다. 어이가 없다.
최근 몇 년 사이 국내 주요 기업들을 중심으로 대규모 개인정보 유출 사고가 연이어 발생하면서 한국 사회의 개인정보 보호 체계가 근본적으로 흔들리고 있다는 우려가 커지고 있다. SKT, KT, LG유플러스 등 통신 3사에서 유출 사건이 발생한 데 이어, 이번에 쿠팡 역시 대규모 고객정보 유출 사고가 발생한 것으로 알려졌다. 이전까지 개인정보 유출 사고는 금융기관이나 통신 대기업에서 주로 발생하는 문제로 여겨졌지만, 이젠 플랫폼 기업 역시 개인정보 보호 문제에서 결코 자유롭지 않다는 사실을 분명하게 보여준다. 특히 쿠팡의 경우 수천만 명의 고객 데이터를 장기간 보유·처리해온 대표적인 전자상거래 플랫폼이기 때문에 유출의 규모나 파급력 면에서 이전의 사고들과는 차원이 다른 무게를 가지고 있다.
현재까지 쿠팡의 개인정보 침해사고 상황을 살펴보면 유출 규모로는 고객계정 약 3,370만개가 유출된 것으로 파악되고 유출 내용은 고객 이름, 전화번호, 이메일 주소, 배송지 주소록, 주문정보 등으로 확인된다. 그런데 쿠팡은 개인정보가 유출된 후 무려 5개월이 넘게 그 사실을 알지 못했다고 한다. 쿠팡의 발표에 따르면 쿠팡은 2025년 11월 19일에 유출된 내용을 처음 파악한 것으로 보이고, 개인정보보호위원회에는 11월 20일에 개인정보 유출 사실에 대해 1차 신고를 하였다. 상황이 너무 커지면서 정부도 사안을 중대하게 보고 과학기술정보통신부 장관 주재로 긴급 대책회의를 진행하였고 11월 30일자로 민관합동조사단을 구성하는 등 시급히 대책을 마련하고 있다. 이번 개인정보 유출 사고는 지금까지 확인된 바로는 내부자가 개인정보를 유출한 것으로 보여서 해커로 인하여 유출되었던 통신 3사의 사태와는 다른 국면이다.
이러한 상황에서 개인정보 보호법을 비롯하여 개인정보와 관련된 법령 등에서는 개인정보 유출을 막고 그 피해를 최소화하기 위해서 어떠한 사항들을 정하고 있는지 확인할 필요가 있다. 개인정보 보호법은 개인정보를 업무 목적으로 처리하는 주체를 “개인정보처리자”로 정의하고 이들에게 개인정보의 분실·도난·유출·위조·변조 또는 훼손을 방지하기 위한 기술적·관리적·물리적 조치를 취할 의무를 부과한다. 이는 기업의 규모나 개인정보 보유량과 무관하게 동일하게 적용된다. 즉, 쿠팡처럼 대규모 데이터를 보유한 기업뿐 아니라 수십 명의 고객 정보를 취급하는 소규모 스타트업이나 간단한 내부 인사정보만 처리하는 중소기업 또한 예외가 될 수 없다. 개인정보를 처리하는 이상, 개인정보보호법 제29조가 정한 안전조치의무는 모든 기업에게 강제되는 핵심 규범이다.
이번 쿠팡의 개인정보 유출 사태에서 핵심적으로 다뤄야 할 쟁점은 크게 세 가지다. 첫째, 쿠팡이 법에서 요구하는 안전조치의무를 적정하게 이행했는지 여부이다. 이는 기술적 조치뿐 아니라 내부 직원 관리, 접근권한 설정, 로그기록 관리 등 관리적·물리적 조치까지 포함한다. 둘째, 쿠팡이 개인정보 유출 사실을 인지한 이후 72시간 내에 고객에게 통지를 하고 개인정보보호위원회 또는 한국인터넷진흥원에 신고하는 등 법령이 요구하는 즉각적 대응을 충실히 이행했는지 여부다. 셋째, 고객 피해를 최소화하기 위한 대응 조치가 충분하고 신속했는지, 그리고 재발 방지 대책을 투명하게 공개했는지 여부이다. 특히 쿠팡처럼 대규모 플랫폼 기업의 경우 사회적 신뢰에 미치는 영향이 매우 크기 때문에, 법이 요구하는 최소한의 조치 이상으로 적극적인 대응이 필요하다.
개인정보 유출이 발생했을 때 가장 먼저 적용되는 법적 의무는 개인정보 보호법 제34조에서 규정하는 통지 의무다. 통지 의무는 단 한 명의 개인정보라도 유출 사실을 알게 된 때로부터 72시간 내에 해당 정보주체에게 유출 사실을 알려야 한다는 규정이다. 쿠팡과 같은 대규모 기업의 경우 유출이 확인된 정보주체가 수백만 명에서 수천만 명에 이를 가능성이 있기 때문에 개별 통지가 기술적으로 어려울 수 있다. 다만, 이 경우에도 개인정보 보호법은 해당 기업의 홈페이지 공지 등의 방식으로 우선 통지하고, 가능한 범위 내에서 추가적인 개별 통지를 계속 진행해야 한다고 정하고 있다. 만약 유출된 개인정보의 항목이나 시점, 경위 등이 아직 명확히 파악되지 않았더라도 가능한 범위에서 먼저 통지하고 이후 정보가 확인되는 대로 추가 통지를 해야 한다.
동시에 개인정보처리자는 개인정보처리자는 신고 의무도 부담한다. 개인정보처리자로서 기업은 개인정보가 1,000명 이상 유출되었거나 건강정보 등 정보주첼의 사생활을 현저히 침해할 우려가 있는 민감정보, 주민등록번호나 여권번호 등의 고유식별정보가 유출된 경우, 또는 해킹 등 외부 공격에 의해 유출이 발생한 경우에 72시간 내에 이에 대해서 개인정보보호위원회나 한국인터넷진흥원(Korea Internet & Security Agency, KISA)에 신고해야 한다. 이 신고 내용 역시 통지와 동일하게 유출 항목, 유출 경위, 대응 조치 등이 포함되어야 한다.
쿠팡은 이러한 법적 의무를 모두 충족했는지에 대한 철저한 검증을 받을 가능성이 높으며 만약 안전조치의무 위반이나 통지 및 신고의무 위반사항이 확인될 경우 법적 책임은 매우 무거울 수 있다. 개인정보보호위원회는 안전조치의무를 위반한 기업에게 총 매출액의 최대 3%까지 과징금을 부과할 수 있으며, 이는 쿠팡과 같이 연 매출이 수조 원에 달하는 기업에게는 실질적으로 매우 큰 부담이 된다. 지난 SKT 개인정보 유출사고의 경우 개인정보보호위원회가 SKT에게 1,347억원 9,100만원 상당의 과징금을 부과하였는데 이번 사건은 SKT보다 더 큰 규모의 개인정보 유출일 뿐만 아니라 쿠팡 내부자 소행이라는 측면에서 그 귀책 정도가 더 크다고 판단되어 SKT보다 더 큰 과징금이 부과될 가능성 역시 배제하기 어렵다.
한편, 개인정보가 유출된 경우 피해자인 정보주체에게 발생한 손해에 대해 해당 기업이 민사적 배상책임을 지고, 고의적 은폐나 허위보고가 확인될 경우 형사책임까지 발생할 수 있다. 주목해야 할 점은 개인정보 보호법 제39조에서 “정보주체는 개인정보처리자가 이 법을 위반한 행위로 손해를 입으면 개인정보처리자에게 손해배상을 청구할 수 있다. 이 경우 그 개인정보처리자는 고의 또는 과실이 없음을 입증하지 아니하면 책임을 면할 수 없다”고 규정하고 있어서 손해를 입은 정보주체가 개인정보처리자의 고의 또는 과실을 입증해야 하는 것이 아니라 개인정보처리자가 본인에게 고의 또는 과실이 없음을 입증해야 한다는 점이다. 즉, 이러한 개인정보 보호법의 내용을 고려할 때 쿠팡은 어떤 보안 시스템을 구축하고 있었는지, 접근통제는 제대로 이루어졌는지, 유출 감지 시스템이 정상적으로 작동했는지, 내부 직원 권한 관리는 적정했는지 등에 대해서 상세하게 입증해야 한다.
뿐만 아니라, 개인정보보호법 제39조의2에서 정한 바에 따라, 피해자는 최대 300만 원 범위 내에서 기업의 과실 입증 없이도 법정 손해배상을 청구할 수 있다. 피해자의 권리가 대폭 강화된 것이다. 다만, 기존 개인정보 유출사고 사안에서 보통 10만원 정도의 손해배상만 인정되었기 때문에 한 개인의 입장에서는 소송을 할 실익이 크지 않다. 예컨대, 2024년 모두투어 개인정보 해킹사건에 대해서 서울중앙지법은 2025년 8월 1인당 10만원의 배상액을 선고하였고, 2016년 인터파크 개인정보 유출사건에는 1인당 1만원씩 배상하는 것으로 조정이 성립되었다.
쿠팡 사태는 대규모 플랫폼 기업뿐 아니라 스타트업에게도 명확한 교훈을 준다. 개인정보 보호는 단순한 법적 의무가 아니라 기업의 생존 전략이라는 점이다. 많은 스타트업이 개발자 몇 명이 내부에서 바로 서버 구축을 하고 개인정보 접근 로그조차 체계적으로 남기지 않는 경우가 흔하다. 하지만 개인정보를 다루는 순간 기업 규모와 관계없이 대기업과 동일한 수준의 법적 의무가 부과된다. 암호화, 접근권한 최소화, 정기적인 보안 교육, 외부 위탁업체에 대한 관리감독 의무 등은 스타트업이라고 해서 면제되는 것이 아니다. 개인정보 유출은 기술적 문제이면서 동시에 법적·사회적 신뢰의 문제이다. 고객은 자신의 정보를 기업에 맡기며 기업의 전문성과 보호조치를 신뢰한다. 이 신뢰가 무너지는 순간 기업의 브랜드 가치와 사업 경쟁력은 크게 훼손된다. 쿠팡 사태는 이러한 사실을 다시 한 번 보여주는 사례이며, 기업과 소비자 모두에게 중요한 경종을 울리고 있다.
한편, 기술이 발전함에 따라서 보안을 강화하는 방패와 해킹을 하려는 자, 즉 창의 싸움은 더욱 심해지고 있다. 이 상황에서 정부는 정책을 보다 전략적으로 펼칠 필요가 있다. 즉, 창이 날카로워지는 경우 해킹의 위험이 더 크고 때로는 불가피할 수 있다는 점을 인정하여, 기업의 귀책사유로 인하여 개인정보가 유출되는 경우에는 과징금이나 처벌 정도를 매우 강하고 엄격하게 하되 유출 후 그것을 수습하고 적극적으로 조치를 취하여 추가적 손해를 막는 경우에는 그에 따른 감경을 적극적으로 해줄 필요가 있다. 즉, 유출 시에는 채찍을, 그리고 손해를 방지하는 것에 대해서는 당근을 줘서 각 정보주체의 개인정보고 최대한 보호될 수 있도록 해야 한다.
자료 문의
안희철 대표변호사 010-9135-4773 / heechul.an@dlglaw.co.kr
심하루 PR마케팅팀 선임매니저 010-9458-6068 / ru.sim@dlglaw.co.kr
Coupang's Personal Information Leak: Corporate Responsibility and Customer Rights
This article is a contribution by Attorney Hee-chul Ahn of DLG Law Firm. If you would like to share quality content for startups in the form of a contribution, please contact the Venture Square editorial team at editor@venturesquare.net .
[ Legal Issues in Anbyeon] Coupang's Personal Information Leak: Corporate Responsibility and Customer Rights
I received a message from Coupang, my daily customer service, informing me that all my personal information had been compromised. They even claimed that the password to my apartment's shared entrance had been leaked. It's unbelievable.
A series of large-scale personal information leaks, particularly at major domestic companies, have occurred in recent years, raising concerns that Korea's personal information protection system is fundamentally undermining. Following data breaches at the nation's three major telecommunications companies—SKT, KT, and LG Uplus—Coupang has now reportedly suffered a massive customer data breach. While data breaches were previously considered to primarily affect financial institutions and major telecommunications companies, this latest incident clearly demonstrates that platform companies are no longer immune from privacy concerns. Coupang, a leading e-commerce platform that has long held and processed the data of tens of millions of customers, carries a significant burden in terms of both scale and impact compared to previous incidents.
Looking at Coupang's personal information breach to date, approximately 33.7 million customer accounts were compromised, including customer names, phone numbers, email addresses, shipping addresses, and order information. However, Coupang claims to have been unaware of the leak for over five months. According to Coupang's announcement, the company first became aware of the leak on November 19, 2025, and filed its first report to the Personal Information Protection Commission on November 20. As the situation grew, the government took the matter seriously and held an emergency meeting chaired by the Minister of Science and ICT. They also established a public-private joint investigation team on November 30 to urgently prepare countermeasures. Based on what has been confirmed so far, this personal information breach appears to have been an insider's leak, making it different from the hacker-induced breaches that occurred at the three major telecommunications companies.
In this situation, it's important to review the Personal Information Protection Act and other laws related to personal information to determine what measures are in place to prevent personal information leaks and minimize the damage they cause. The Personal Information Protection Act defines entities that process personal information for business purposes as "personal information processors" and imposes obligations on them to take technical, managerial, and physical measures to prevent the loss, theft, leakage, forgery, alteration, or damage of personal information. This applies equally regardless of a company's size or the amount of personal information it holds. This applies not only to companies with massive data sets like Coupang, but also to small startups handling information on dozens of customers and SMEs that only process simple internal personnel information. The obligation to take safety measures, as stipulated in Article 29 of the Personal Information Protection Act, is a core norm that all companies must adhere to as long as they process personal information.
There are three key issues to consider in the recent Coupang personal information leak. First, whether Coupang adequately implemented its legally mandated security measures. This includes not only technical measures but also administrative and physical measures, such as internal employee management, access control, and log management. Second, whether Coupang faithfully implemented the immediate response required by law, such as notifying customers and reporting the leak to the Personal Information Protection Commission or the Korea Internet & Security Agency within 72 hours of becoming aware of it. Third, whether the response measures were sufficient and prompt to minimize customer damage and whether the company transparently disclosed measures to prevent recurrence. Especially for large-scale platform companies like Coupang, given their significant impact on social trust, proactive measures beyond the minimum required by law are essential.
The first legal obligation that applies when a personal information leak occurs is the notification obligation stipulated in Article 34 of the Personal Information Protection Act. This notification obligation stipulates that companies must notify the relevant data subject of the leak within 72 hours of becoming aware of the leak, even if it's just one individual. For large companies like Coupang, where the number of data subjects confirmed to have been leaked could range from millions to tens of millions, individual notification may be technically challenging. However, even in such cases, the Personal Information Protection Act stipulates that companies must first notify individuals through a website announcement or other means, and then continue to provide additional individual notifications to the extent possible. Even if the specifics, timing, or circumstances of the leaked personal information are not yet clearly identified, companies must first notify individuals to the extent possible, and then provide additional notifications as information becomes available.
At the same time, personal information processors also have a reporting obligation. As personal information processors, companies must report to the Personal Information Protection Commission or the Korea Internet & Security Agency (KISA) within 72 hours of a leak of personal information of 1,000 or more individuals, sensitive information (such as health information) that poses a significant risk of infringement on the privacy of data subjects, unique identifiers (such as resident registration numbers or passport numbers), or a leak caused by external attacks such as hacking. This report, like the notification, must include the details of the leak, the circumstances surrounding the leak, and the measures taken.
Coupang is likely to face rigorous scrutiny to determine whether it has met all of these legal obligations, and if it is found to have violated its safety measures or its notification and reporting obligations, the legal liability could be very severe. The Personal Information Protection Commission can impose fines of up to 3% of total sales on companies that violate safety measures, which is a substantial burden for a company like Coupang, with annual sales reaching trillions of won. In the case of the previous SKT personal information leak incident, the Personal Information Protection Commission imposed a fine of 134.7 billion won (approximately $139 million USD) on SKT. However, this incident is not only a larger-scale personal information leak than that of SKT, but also a greater degree of responsibility, as it was committed by an insider at Coupang. Therefore, it is difficult to rule out the possibility of an even larger fine being imposed.
Meanwhile, in the event of a personal information leak, the company may be held civilly liable for damages suffered by the data subject, and if intentional concealment or false reporting is confirmed, criminal liability may also arise. It is noteworthy that Article 39 of the Personal Information Protection Act stipulates, "If a data subject suffers damage due to an act by a personal information processor in violation of this Act, the personal information processor may claim compensation for the damage. In this case, the personal information processor cannot avoid liability unless it proves that there was no intent or negligence." Therefore, it is not the data subject who suffered the damage who must prove the intent or negligence of the personal information processor, but the personal information processor who must prove that there was no intent or negligence on their part. In other words, considering the provisions of the Personal Information Protection Act, Coupang must provide detailed evidence regarding the security systems it had in place, whether access controls were properly implemented, whether the leak detection system functioned normally, and whether internal employee authority management was appropriate.
Moreover, under Article 39-2 of the Personal Information Protection Act, victims can now seek statutory damages of up to 3 million won without proving the company's negligence. This significantly strengthens victims' rights. However, since damages of around 100,000 won were typically awarded in previous personal information leak cases, the practical benefit of filing a lawsuit is low for individual victims. For example, in the 2024 Modutour personal information hacking incident, the Seoul Central District Court sentenced each victim to 100,000 won in damages in August 2025, and in the 2016 Interpark personal information leak incident, a settlement was reached where each victim was to be awarded 10,000 won.
The Coupang incident provides a clear lesson not only for large platform companies but also for startups. Personal information protection is not simply a legal obligation, but a corporate survival strategy. Many startups often have a few developers build their own servers in-house, failing to even systematically maintain personal information access logs. However, the moment they handle personal information, they are subject to the same legal obligations as large corporations, regardless of their size. Encryption, minimal access rights, regular security training, and the obligation to oversee and manage outsourced vendors are not exempt from startups. Personal information leaks are not only a technical issue but also a legal and social trust issue. Customers entrust their information to companies, trusting their expertise and safeguards. When this trust is eroded, a company's brand value and business competitiveness are severely damaged. The Coupang incident is a case that once again demonstrates this reality, serving as a crucial warning to both companies and consumers.
Meanwhile, as technology advances, the battle between the shield that strengthens security and the spears of hackers is intensifying. In this context, the government needs to adopt a more strategic approach to policy. Recognizing that the sharper the spear, the greater the risk of hacking, and sometimes even its inevitability, the government should impose strong and strict fines and penalties for personal information leaks caused by corporate negligence. However, it should also actively mitigate penalties for proactive measures taken to prevent further damage after the leak. In other words, the government should impose a stick for leaks and a carrot for preventing damage, ensuring the maximum protection of the personal information of each data subject.
Inquiry for information
Attorney Heechul Ahn 010-9135-4773 / heechul.an@dlglaw.co.kr
Simharu, Senior Manager, PR Marketing Team 010-9458-6068 / ru.sim@dlglaw.co.kr
クパンの個人情報流出事故 – 企業の責任とお客様の権利
この記事は、アン・ヒチョル法務法人DLG弁護士の投稿です。スタートアップのための質の高いコンテンツを投稿フォームで共有したい人がいる場合は、ベンチャースクエアエディタチームeditor@venturesquare.netに連絡してください。
[安辺の法案]クパンの個人情報流出事故 – 企業の責任と顧客の権利
毎日毎日利用しているクパンから問題が来た。私の個人情報がすべて打ち明けたという文字だ。さらにアパート共用玄関のパスワードまで流出したという。子供はいません。
近年、国内の主要企業を中心に大規模な個人情報流出事故が続いて発生し、韓国社会の個人情報保護体系が根本的に揺れているという懸念が高まっている。 SKT、KT、LGユープラスなど通信3社で流出事件が発生したのに続き、今回クパンも大規模な顧客情報流出事故が発生したことが分かった。以前まで個人情報流出事故は金融機関や通信大企業で主に発生する問題とされていたが、今やプラットフォーム企業も個人情報保護問題では決して自由ではないという事実を明らかに示している。特にクパンの場合、数千万人の顧客データを長期間保有・処理してきた代表的な電子商取引プラットフォームであるため、流出の規模や波及力の面で以前の事故とは次元が異なる重量を持っている。
現在までクパンの個人情報侵害事故状況を見ると、流出規模では顧客アカウント約3,370万個が流出したものと把握され、流出内容は顧客名、電話番号、メールアドレス、配送先住所録、注文情報などで確認される。ところがクパンは個人情報が流出した後、なんと5ヶ月以上以上その事実を知らなかったという。クパンの発表によると、クパンは2025年11月19日に流出した内容を初めて把握したものと見られ、個人情報保護委員会には11月20日に個人情報流出事実について一次申告をした。状況が大きくなりすぎて政府も事案を重視し、科学技術情報通信部長官駐在で緊急対策会議を進め、11月30日付で民官合同調査団を構成するなど緊急に対策を設けている。今回の個人情報流出事故はこれまで確認されたばかりは内部者が個人情報を流出したものとみなし、ハッカーによって流出された通信3社の事態とは異なる局面だ。
このような状況で、個人情報保護法をはじめ、個人情報に関連する法令などでは、個人情報の流出を防ぎ、その被害を最小化するためにどのような事項を定めているかを確認する必要がある。個人情報保護法は、個人情報を業務目的で処理する主体を「個人情報処理者」と定義し、これらに個人情報の紛失・盗難・流出・偽造・改造または毀損を防止するための技術的・管理的・物理的措置を取る義務を課す。これは企業の規模や個人情報の保有量とは無関係に同様に適用される。つまり、クパンのように大規模なデータを保有している企業だけでなく、数十人の顧客情報を扱う小規模スタートアップや簡単な内部人事情報だけを処理する中小企業も例外にならない。個人情報を処理する以上、個人情報保護法第29条が定める安全措置義務は、すべての企業に強制される核心規範である。
今回クパンの個人情報流出事態で核心的に取り組むべき争点は大きく3つだ。まず、クパン法で要求する安全措置義務を適正に履行したか否かである。これには、技術的措置だけでなく、内部職員管理、アクセス権設定、ログ記録管理など、管理的・物理的措置までも含まれる。第二に、クパンが個人情報流出事実を認知してから72時間以内に顧客に通知し、個人情報保護委員会または韓国インターネット振興院に申告するなど法令が要求する即時対応を忠実に履行したかどうかだ。第三に、顧客被害を最小限に抑えるための対応措置が十分かつ迅速であったか、そして再発防止対策を透明に公開したかどうかである。特にクパンのように大規模プラットフォーム企業の場合、社会的信頼への影響が非常に大きいため、法が要求する最小限の措置以上に積極的な対応が必要である。
個人情報の流出が発生したときに最初に適用される法的義務は、個人情報保護法第34条で規定する通知義務である。通知義務は、たった一人の個人情報でも流出事実を知ったときから72時間以内に該当情報主体に流出事実を知らせなければならないという規定だ。クパンのような大規模企業の場合、流出が確認された情報主体が数百万人から数千万人に至る可能性があるため、個別通知が技術的に難しい場合がある。ただし、この場合にも個人情報保護法は当該企業のホームページ公知等の方法で優先通知し、可能な範囲内で追加的な個別通知を継続しなければならないと定めている。もし漏洩した個人情報の項目や視点、経緯などがまだ明確に把握されていなくても、可能な範囲で先に通知し、その後情報が確認されるとおりに追加通知をしなければならない。
同時に、個人情報処理者は個人情報処理者は届出義務も負担する。個人情報処理者として企業は、個人情報が1,000人以上流出されたか、健康情報など情報ジュチェルの私生活を著しく侵害する恐れのある民感情報、住民登録番号やパスポート番号などの固有識別情報が流出した場合、またはハッキングなど外部攻撃により流出が発生した場合に韓国インターネット振興院(Korea Internet & Security Agency, KISA)に申告しなければならない。この申告内容も通知と同様に流出項目、流出経緯、対応措置等を含まなければならない。
クパンは、これらの法的義務をすべて満たしたかどうかについて徹底的な検証を受ける可能性が高く、安全措置義務違反や通知および申告義務違反が確認された場合、法的責任は非常に重くなる可能性があります。個人情報保護委員会は、安全措置義務に違反した企業に総売上額の最大3%まで課徴金を賦課することができ、これはクパンのように開かれた売上が水槽ウォンに達する企業には実質的に非常に大きな負担となる。過去のSKT個人情報流出事故の場合、個人情報保護委員会がSKTに1,347億ウォン9,100万ウォン相当の課徴金を賦課したが、今回の事件はSKTよりも大きな規模の個人情報流出日だけでなく、クパン内部者訴訟という側面でその帰責程度が大きいと判断され、SKTよりも多い。
一方、個人情報が流出した場合、被害者である情報主体に発生した損害に対して当該企業が民事的賠償責任を負い、故意的隠蔽や虚偽報告が確認された場合、刑事責任まで発生する可能性がある。注目すべき点は、個人情報保護法第39条で「情報主体は、個人情報処理者がこの法律に違反した行為で損害を受ければ、個人情報処理者に損害賠償を請求することができる。この場合、その個人情報処理者は、故意または過失がないことを立証しなければ責任を免れないか、または損害賠償責任を負わないか、または損害賠償責任を負わないか、または損害賠償を受けることができない」と規定しており、過失を立証しなければならないのではなく、個人情報処理者が本人に故意または過失がないことを立証しなければならないという点だ。つまり、このような個人情報保護法の内容を考慮する際、クパンはどのようなセキュリティシステムを構築していたのか、アクセス制御が正しく行われたのか、流出検知システムが正常に動作したのか、内部職員権限管理は適正であるかなどについて詳細に立証しなければならない。
さらに、個人情報保護法第39条の2で定めるところにより、被害者は最大300万ウォンの範囲内で企業の過失立証なしに法定損害賠償を請求することができる。被害者の権利が大幅に強化されたのだ。ただし、既存個人情報流出事故事案で通常10万ウォン程度の損害賠償のみ認められたため、ある個人の立場では訴訟を行う実益が大きくない。例えば、2024年ともツアー個人情報ハッキング事件に対してソウル中央地法は2025年8月1人当たり10万ウォンの賠償額を宣告し、2016年インターパーク個人情報流出事件には1人当たり1万ウォンずつ賠償することで調整が成立した。
クパン事態は大規模プラットフォーム企業だけでなくスタートアップにも明確な教訓を与える。個人情報保護は単なる法的義務ではなく、企業の生存戦略だという点だ。多くのスタートアップが開発者数人が内部ですぐにサーバー構築をして個人情報アクセスログすら体系的に残さない場合がよくある。しかし、個人情報を扱う瞬間、企業規模に関係なく、大企業と同レベルの法的義務が課される。暗号化、アクセス権の最小化、定期的なセキュリティ教育、外部委託業者に対する管理監督義務などは、スタートアップとしては免除されるものではない。個人情報の流出は技術的問題でありながら同時に法的・社会的信頼の問題である。顧客は自分の情報を企業に任せ、企業の専門性と保護措置を信頼する。この信頼が崩れる瞬間、企業のブランド価値と事業競争力は大きく毀損される。クパン事態はこの事実を再び示す事例であり、企業と消費者の両方に重要な警鐘を鳴らしている。
一方、技術が発展するにつれてセキュリティを強化する盾とハッキングをしようとする者、すなわち窓の戦いはさらに激しくなっている。この状況で政府は政策をより戦略的に広げる必要がある。つまり、窓が鋭くなる場合、ハッキングの危険がより大きく、時には避けられないことを認め、企業の帰責事由により個人情報が流出する場合には課徴金や処罰の程度を非常に強く厳しくするが、流出後にそれを収拾して積極的に措置を取って追加的損害を防ぐ必要がある。すなわち、流出時には鞭を、そして損害を防止することについてはニンジンを与えて各情報主体の個人情報報告できるだけ保護できるようにしなければならない。
資料お問い合わせ
アン・ヒチョル代表弁護士 010-9135-4773 / heechul.an@dlglaw.co.kr
シムハルPRマーケティングチームシニアマネージャー 010-9458-6068 / ru.sim@dlglaw.co.kr
Coupang个人信息泄露事件:企业责任与消费者权利
本文由DLG律师事务所的安熙哲律师撰写。如果您也想为创业公司投稿,请联系Venture Square编辑团队,邮箱地址为editor@venturesquare.net 。
【安倍法律问题】 Coupang个人信息泄露事件:企业责任与消费者权益
我收到Coupang(我的日常客服平台)发来的信息,告知我所有个人信息已被泄露。他们甚至声称我公寓公共入口的密码也泄露了。简直难以置信。
近年来,韩国发生多起大规模个人信息泄露事件,尤其是在一些大型国内企业,引发了人们对韩国个人信息保护体系存在根本性缺陷的担忧。继韩国三大电信公司——SKT、KT和LG Uplus——相继发生数据泄露事件后,据报道,Coupang也遭遇了大规模的客户数据泄露。虽然此前人们普遍认为数据泄露主要影响金融机构和大型电信公司,但此次事件清楚地表明,平台公司也无法免受隐私问题的困扰。Coupang是一家领先的电商平台,长期以来持有并处理着数千万客户的数据,与以往的泄露事件相比,此次事件无论从规模还是影响来看,都面临着更为严峻的挑战。
截至目前,Coupang个人信息泄露事件已导致约3370万个客户账户信息泄露,包括客户姓名、电话号码、电子邮件地址、收货地址和订单信息。然而,Coupang声称在五个多月的时间里对此毫不知情。根据Coupang的公告,该公司于2025年11月19日首次发现泄露事件,并于11月20日向个人信息保护委员会提交了第一份报告。随着事态发展,政府高度重视此事,并召开了由科学及信息通信技术部长主持的紧急会议。11月30日,政府还成立了公私联合调查组,紧急制定应对措施。根据目前已确认的情况,此次个人信息泄露事件似乎是内部人员泄露,这与此前三大电信公司遭遇的黑客攻击事件有所不同。
在这种情况下,审查《个人信息保护法》及其他与个人信息相关的法律至关重要,以确定已采取哪些措施来防止个人信息泄露并最大程度地减少其造成的损害。《个人信息保护法》将出于商业目的处理个人信息的实体定义为“个人信息处理者”,并规定其有义务采取技术、管理和物理措施,以防止个人信息丢失、被盗、泄露、伪造、篡改或损坏。无论公司规模大小或持有的个人信息数量多少,此规定均适用。这不仅适用于像Coupang这样拥有海量数据集的公司,也适用于处理数十位客户信息的小型初创企业以及仅处理简单内部人事信息的中小企业。根据《个人信息保护法》第29条的规定,采取安全措施的义务是所有处理个人信息的公司必须遵守的核心规范。
近期Coupang个人信息泄露事件中,有三个关键问题需要考虑。首先,Coupang是否充分落实了法律规定的安全措施。这不仅包括技术措施,还包括行政和物理措施,例如内部员工管理、访问控制和日志管理。其次,Coupang是否忠实地履行了法律要求的紧急应对措施,例如在知悉泄露事件后72小时内通知客户并向个人信息保护委员会或韩国互联网振兴院报告。第三,应对措施是否充分及时,以最大程度地减少客户损失,以及公司是否公开透明地披露了防止类似事件再次发生的措施。尤其对于像Coupang这样的大型平台公司而言,鉴于其对社会信任的巨大影响,采取超出法律最低要求的积极主动的措施至关重要。
个人信息泄露发生后,首要的法律义务是《个人信息保护法》第34条规定的通知义务。该通知义务规定,公司必须在知悉泄露事件后72小时内通知相关数据主体,即使仅涉及一名个人。对于像Coupang这样的大型公司而言,已确认泄露的数据主体数量可能高达数百万甚至数千万,逐一通知在技术上可能具有挑战性。然而,即便如此,《个人信息保护法》仍规定,公司必须首先通过网站公告或其他方式通知个人,并在条件允许的情况下继续提供额外的通知。即使泄露个人信息的具体内容、时间或情况尚未明确,公司也必须首先在条件允许的情况下通知个人,并在获得更多信息后提供补充通知。
同时,个人信息处理者也负有报告义务。作为个人信息处理者,公司在发生涉及1000人以上个人信息泄露、涉及对数据主体隐私构成重大侵犯风险的敏感信息(例如健康信息)、唯一标识符(例如居民登记号码或护照号码)泄露,或因黑客攻击等外部攻击导致泄露的情况下,必须在72小时内向个人信息保护委员会或韩国互联网安全局(KISA)报告。该报告与通知一样,必须包含泄露详情、泄露情况以及已采取的措施。
Coupang很可能面临严格审查,以确定其是否履行了所有法律义务。如果发现其违反了安全措施或通知和报告义务,则可能承担非常严重的法律责任。个人信息保护委员会可对违反安全措施的公司处以最高相当于其总销售额3%的罚款,这对Coupang这样年销售额达数万亿韩元的公司来说是一笔不小的负担。在之前的SKT个人信息泄露事件中,个人信息保护委员会对SKT处以1347亿韩元(约合1.39亿美元)的罚款。然而,此次事件不仅比SKT事件规模更大,而且责任也更重,因为此次事件是由Coupang内部人员所为。因此,很难排除Coupang面临更高罚款的可能性。
同时,一旦发生个人信息泄露,公司可能需对数据主体遭受的损失承担民事责任;如果确认存在故意隐瞒或虚假报告的情况,还可能承担刑事责任。值得注意的是,《个人信息保护法》第39条规定:“如果个人信息处理者违反本法,导致数据主体遭受损害,个人信息处理者可以要求赔偿。在此情况下,个人信息处理者除非证明其不存在故意或过失,否则不得免除责任。” 因此,并非遭受损害的数据主体需要证明个人信息处理者存在故意或过失,而是个人信息处理者需要证明其不存在故意或过失。换言之,根据《个人信息保护法》的规定,Coupang必须提供详细的证据,证明其已建立的安全系统、访问控制是否得到妥善实施、泄漏检测系统是否正常运行以及内部员工权限管理是否适当。
此外,根据《个人信息保护法》第39条之2,受害者现在无需证明公司存在过失即可寻求最高300万韩元的法定赔偿。这显著加强了受害者的权益。然而,由于以往个人信息泄露案件的赔偿金额通常约为10万韩元,因此对个人受害者而言,提起诉讼的实际意义不大。例如,在2024年Modutour个人信息泄露事件中,首尔中央地方法院于2025年8月判处每位受害者10万韩元的赔偿;而在2016年Interpark个人信息泄露事件中,双方达成和解,每位受害者获得1万韩元的赔偿。
Coupang事件不仅给大型平台公司,也给初创企业敲响了警钟。个人信息保护不仅仅是法律义务,更是企业生存的根本。许多初创企业往往只派几个开发人员自行搭建服务器,甚至连个人信息访问日志的系统性维护都做不到。然而,一旦他们开始处理个人信息,无论规模大小,都必须承担与大型企业相同的法律义务。加密、最小访问权限、定期安全培训以及对外包供应商的监督和管理义务,对初创企业而言都不可或缺。个人信息泄露不仅是技术问题,更是法律和社会信任问题。消费者将个人信息托付给企业,信任其专业能力和安全保障措施。一旦这种信任遭到破坏,企业的品牌价值和商业竞争力将受到严重损害。Coupang事件再次印证了这一点,对企业和消费者都敲响了警钟。
与此同时,随着科技进步,安全防护盾与黑客攻击之矛之间的博弈日趋激烈。在此背景下,政府需要采取更具战略性的政策方针。政府应认识到,黑客攻击的威胁越大,其风险也越大,有时甚至不可避免。因此,对于因企业疏忽导致的个人信息泄露,政府应处以严厉的罚款和处罚。但对于泄露事件发生后采取的积极措施以防止进一步损害,政府也应积极减轻处罚。换言之,政府应“惩戒泄露”,“鼓励预防损害”,从而最大限度地保护每位数据主体的个人信息安全。
信息查询
安希澈律师 010-9135-4773 / heechul.an@dlglaw.co.kr
Simharu,公关营销团队高级经理,电话:010-9458-6068 /邮箱:ru.sim@dlglaw.co.kr
Fuite de données personnelles chez Coupang : responsabilité de l’entreprise et droits des consommateurs
Cet article est une contribution de Maître Hee-chul Ahn du cabinet DLG. Si vous souhaitez partager du contenu de qualité destiné aux startups, veuillez contacter l'équipe éditoriale de Venture Square à l' adresse editor@venturesquare.net .
[ Questions juridiques à Anbyeon] Fuite de données personnelles chez Coupang : responsabilité de l’entreprise et droits des consommateurs
J'ai reçu un message de Coupang, mon service client habituel, m'informant que toutes mes informations personnelles avaient été compromises. Ils prétendent même que le mot de passe de l'interphone de mon immeuble a fuité. C'est incroyable.
Ces dernières années, une série de fuites massives de données personnelles, notamment au sein de grandes entreprises coréennes, ont suscité des inquiétudes quant à la solidité du système de protection des données personnelles en Corée. Après les violations de données chez les trois principaux opérateurs de télécommunications du pays – SKT, KT et LG Uplus – Coupang aurait subi une importante fuite de données clients. Si les violations de données étaient auparavant considérées comme touchant principalement les institutions financières et les grands opérateurs de télécommunications, ce dernier incident démontre clairement que les plateformes numériques ne sont plus à l'abri des problèmes de confidentialité. Coupang, plateforme de commerce électronique leader qui détient et traite depuis longtemps les données de dizaines de millions de clients, est confrontée à un problème d'une ampleur et d'un impact considérables, comparé aux incidents précédents.
Concernant la fuite de données personnelles chez Coupang, environ 33,7 millions de comptes clients ont été compromis, incluant les noms, numéros de téléphone, adresses électroniques, adresses de livraison et informations de commande. Coupang affirme pourtant avoir ignoré la fuite pendant plus de cinq mois. Selon son communiqué, l'entreprise a pris connaissance de la fuite le 19 novembre 2025 et a déposé une première plainte auprès de la Commission de protection des données personnelles le 20 novembre. Face à l'aggravation de la situation, le gouvernement a pris l'affaire au sérieux et a convoqué une réunion d'urgence présidée par le ministre des Sciences et des TIC. Une équipe d'enquête conjointe public-privé a également été mise en place le 30 novembre afin de préparer d'urgence des contre-mesures. D'après les éléments confirmés à ce jour, cette fuite de données personnelles semble être due à une fuite interne, contrairement aux attaques informatiques survenues chez les trois principaux opérateurs de télécommunications.
Dans ce contexte, il est essentiel de consulter la loi sur la protection des données personnelles et les autres lois relatives aux données personnelles afin de déterminer les mesures mises en place pour prévenir les fuites de données et minimiser les dommages qu'elles occasionnent. La loi sur la protection des données personnelles définit les entités qui traitent des données personnelles à des fins commerciales comme des « responsables du traitement » et leur impose l'obligation de prendre des mesures techniques, organisationnelles et physiques pour prévenir la perte, le vol, la fuite, la falsification, l'altération ou la détérioration des données personnelles. Cette obligation s'applique à toutes les entreprises, quelle que soit leur taille ou le volume de données personnelles qu'elles détiennent. Elle concerne non seulement les entreprises disposant d'importants volumes de données comme Coupang, mais aussi les jeunes entreprises gérant les informations de quelques dizaines de clients et les PME traitant uniquement des informations internes relatives au personnel. L'obligation de prendre des mesures de sécurité, telle que stipulée à l'article 29 de la loi sur la protection des données personnelles, est une norme fondamentale à laquelle toutes les entreprises doivent se conformer dès lors qu'elles traitent des données personnelles.
Trois points essentiels sont à considérer concernant la récente fuite de données personnelles chez Coupang. Premièrement, Coupang a-t-elle correctement mis en œuvre les mesures de sécurité obligatoires ? Cela inclut non seulement les mesures techniques, mais aussi les mesures administratives et physiques, telles que la gestion interne du personnel, le contrôle d'accès et la gestion des journaux d'activité. Deuxièmement, Coupang a-t-elle scrupuleusement respecté les obligations légales en matière de réponse immédiate, notamment en informant ses clients et en signalant la fuite à la Commission de protection des données personnelles ou à l'Agence coréenne de sécurité Internet dans les 72 heures suivant sa découverte ? Troisièmement, les mesures prises ont-elles été suffisantes et rapides pour minimiser les préjudices subis par les clients ? L'entreprise a-t-elle communiqué de manière transparente sur les mesures mises en place pour éviter toute récidive ? Pour les grandes plateformes comme Coupang, compte tenu de leur impact considérable sur la confiance du public, il est essentiel de prendre des mesures proactives allant au-delà des exigences légales minimales.
La première obligation légale applicable en cas de fuite de données personnelles est l'obligation de notification prévue à l'article 34 de la loi sur la protection des données personnelles. Cette obligation impose aux entreprises d'informer la personne concernée de la fuite dans les 72 heures suivant sa découverte, même s'il ne s'agit que d'une seule personne. Pour les grandes entreprises comme Coupang, où le nombre de personnes concernées par la fuite peut atteindre plusieurs millions, voire plusieurs dizaines de millions, la notification individuelle peut s'avérer techniquement complexe. Toutefois, même dans ce cas, la loi sur la protection des données personnelles stipule que les entreprises doivent d'abord informer les personnes concernées par le biais d'une annonce sur leur site web ou par tout autre moyen, puis continuer à leur envoyer des notifications individuelles supplémentaires dans la mesure du possible. Même si les détails, la date ou les circonstances de la fuite ne sont pas encore clairement identifiés, les entreprises doivent d'abord informer les personnes concernées dans la mesure du possible, puis leur envoyer des notifications supplémentaires au fur et à mesure que des informations sont disponibles.
Parallèlement, les responsables du traitement des données personnelles ont également une obligation de déclaration. En tant que responsables du traitement des données personnelles, les entreprises doivent signaler à la Commission de protection des données personnelles ou à l'Agence coréenne de sécurité Internet (KISA), dans un délai de 72 heures, toute fuite de données personnelles concernant 1 000 personnes ou plus, des données sensibles (telles que des données de santé) présentant un risque important d'atteinte à la vie privée des personnes concernées, des identifiants uniques (tels que des numéros de carte de résident ou des numéros de passeport), ou toute fuite résultant d'attaques externes telles que le piratage informatique. Ce signalement, à l'instar de la notification, doit inclure les détails de la fuite, les circonstances de celle-ci et les mesures prises.
Coupang fera vraisemblablement l'objet d'un examen rigoureux afin de déterminer si elle a respecté toutes ses obligations légales. Si elle est reconnue coupable d'avoir enfreint ses mesures de sécurité ou ses obligations de notification et de déclaration, sa responsabilité juridique pourrait être très lourde. La Commission de protection des données personnelles peut infliger des amendes allant jusqu'à 3 % du chiffre d'affaires total aux entreprises qui ne respectent pas les mesures de sécurité, ce qui représente une charge considérable pour une entreprise comme Coupang, dont le chiffre d'affaires annuel se chiffre en billions de wons. Lors de la précédente fuite de données personnelles chez SKT, la Commission avait infligé une amende de 134,7 milliards de wons (environ 139 millions de dollars américains) à SKT. Cependant, cet incident représente non seulement une fuite de données personnelles d'une ampleur bien supérieure à celle de SKT, mais aussi un degré de responsabilité plus élevé, car il a été commis par un employé de Coupang. Par conséquent, il est difficile d'exclure la possibilité d'une amende encore plus importante.
Par ailleurs, en cas de fuite de données personnelles, l'entreprise peut être tenue civilement responsable du préjudice subi par la personne concernée. Si la dissimulation intentionnelle ou la fausse déclaration sont avérées, sa responsabilité pénale peut également être engagée. Il convient de noter que l'article 39 de la loi sur la protection des données personnelles stipule : « Si une personne concernée subit un préjudice du fait d'un acte commis par un responsable du traitement des données personnelles en violation de la présente loi, ce responsable peut réclamer réparation. Dans ce cas, il ne peut se soustraire à sa responsabilité que s'il prouve l'absence de faute intentionnelle ou de négligence. » Par conséquent, ce n'est pas à la personne concernée qui doit prouver la faute intentionnelle ou la négligence du responsable du traitement, mais à ce dernier de prouver l'absence de faute intentionnelle ou de négligence de sa part. En d'autres termes, au regard des dispositions de la loi sur la protection des données personnelles, Coupang doit fournir des preuves détaillées concernant ses systèmes de sécurité, la mise en œuvre adéquate des contrôles d'accès, le bon fonctionnement du système de détection des fuites et la pertinence de la gestion des droits d'accès de ses employés.
De plus, en vertu de l'article 39-2 de la loi sur la protection des données personnelles, les victimes peuvent désormais réclamer des dommages et intérêts légaux jusqu'à 3 millions de wons sans avoir à prouver la négligence de l'entreprise. Ceci renforce considérablement leurs droits. Cependant, étant donné que les dommages et intérêts accordés dans les affaires précédentes de fuite de données personnelles s'élevaient généralement à environ 100 000 wons, l'intérêt pratique d'intenter une action en justice reste faible pour les victimes individuelles. Par exemple, lors du piratage des données personnelles de Modutour en 2024, le tribunal du district central de Séoul a condamné chaque victime à verser 100 000 wons de dommages et intérêts en août 2025, et lors de la fuite de données personnelles d'Interpark en 2016, un accord a été conclu prévoyant l'octroi de 10 000 wons à chaque victime.
L'incident Coupang offre un enseignement clair, non seulement pour les grandes plateformes, mais aussi pour les startups. La protection des données personnelles n'est pas une simple obligation légale, mais une stratégie de survie pour toute entreprise. Nombre de startups font construire leurs serveurs en interne par quelques développeurs, sans même tenir de registres d'accès aux données personnelles. Or, dès lors qu'elles traitent des données personnelles, elles sont soumises aux mêmes obligations légales que les grandes entreprises, quelle que soit leur taille. Le chiffrement, les droits d'accès minimaux, les formations régulières à la sécurité et l'obligation de superviser et de gérer les prestataires externes ne leur font pas exception. Les fuites de données personnelles ne constituent pas seulement un problème technique, mais aussi un enjeu de confiance juridique et sociale. Les clients confient leurs informations aux entreprises, se fiant à leur expertise et à leurs mesures de sécurité. Lorsque cette confiance est rompue, la valeur de la marque et la compétitivité de l'entreprise sont gravement compromises. L'incident Coupang illustre une fois de plus cette réalité et constitue un avertissement crucial pour les entreprises comme pour les consommateurs.
Parallèlement, avec les progrès technologiques, la lutte entre les mesures de sécurité et les cyberattaques s'intensifie. Dans ce contexte, les pouvoirs publics doivent adopter une approche plus stratégique. Conscients que plus les mesures de sécurité sont efficaces, plus le risque de piratage est élevé, voire inévitable, ils doivent imposer des amendes et des sanctions sévères en cas de fuite de données personnelles due à la négligence des entreprises. Toutefois, ils doivent également atténuer les sanctions pour les mesures proactives prises afin de prévenir tout dommage ultérieur. En d'autres termes, les pouvoirs publics doivent sanctionner les fuites et encourager la prévention, garantissant ainsi une protection maximale des données personnelles de chaque personne concernée.
Demande de renseignements
Avocat Heechul Ahn 010-9135-4773 / heechul.an@dlglaw.co.kr
Simharu, responsable principale, équipe marketing et relations publiques 010-9458-6068 / ru.sim@dlglaw.co.kr
You must be logged in to post a comment.