本文由DLG律师事务所的安熙哲律师撰写。如果您也想为创业公司投稿,请联系Venture Square编辑团队,邮箱地址为editor@venturesquare.net 。
【安倍法律问题】 Coupang个人信息泄露事件:企业责任与消费者权益
我收到Coupang(我的日常客服平台)发来的信息,告知我所有个人信息已被泄露。他们甚至声称我公寓公共入口的密码也泄露了。简直难以置信。
近年来,韩国发生多起大规模个人信息泄露事件,尤其是在一些大型国内企业,引发了人们对韩国个人信息保护体系存在根本性缺陷的担忧。继韩国三大电信公司——SKT、KT和LG Uplus——相继发生数据泄露事件后,据报道,Coupang也遭遇了大规模的客户数据泄露。虽然此前人们普遍认为数据泄露主要影响金融机构和大型电信公司,但此次事件清楚地表明,平台公司也无法免受隐私问题的困扰。Coupang是一家领先的电商平台,长期以来持有并处理着数千万客户的数据,与以往的泄露事件相比,此次事件无论从规模还是影响来看,都面临着更为严峻的挑战。
截至目前,Coupang个人信息泄露事件已导致约3370万个客户账户信息泄露,包括客户姓名、电话号码、电子邮件地址、收货地址和订单信息。然而,Coupang声称在五个多月的时间里对此毫不知情。根据Coupang的公告,该公司于2025年11月19日首次发现泄露事件,并于11月20日向个人信息保护委员会提交了第一份报告。随着事态发展,政府高度重视此事,并召开了由科学及信息通信技术部长主持的紧急会议。11月30日,政府还成立了公私联合调查组,紧急制定应对措施。根据目前已确认的情况,此次个人信息泄露事件似乎是内部人员泄露,这与此前三大电信公司遭遇的黑客攻击事件有所不同。
在这种情况下,审查《个人信息保护法》及其他与个人信息相关的法律至关重要,以确定已采取哪些措施来防止个人信息泄露并最大程度地减少其造成的损害。《个人信息保护法》将出于商业目的处理个人信息的实体定义为“个人信息处理者”,并规定其有义务采取技术、管理和物理措施,以防止个人信息丢失、被盗、泄露、伪造、篡改或损坏。无论公司规模大小或持有的个人信息数量多少,此规定均适用。这不仅适用于像Coupang这样拥有海量数据集的公司,也适用于处理数十位客户信息的小型初创企业以及仅处理简单内部人事信息的中小企业。根据《个人信息保护法》第29条的规定,采取安全措施的义务是所有处理个人信息的公司必须遵守的核心规范。
近期Coupang个人信息泄露事件中,有三个关键问题需要考虑。首先,Coupang是否充分落实了法律规定的安全措施。这不仅包括技术措施,还包括行政和物理措施,例如内部员工管理、访问控制和日志管理。其次,Coupang是否忠实地履行了法律要求的紧急应对措施,例如在知悉泄露事件后72小时内通知客户并向个人信息保护委员会或韩国互联网振兴院报告。第三,应对措施是否充分及时,以最大程度地减少客户损失,以及公司是否公开透明地披露了防止类似事件再次发生的措施。尤其对于像Coupang这样的大型平台公司而言,鉴于其对社会信任的巨大影响,采取超出法律最低要求的积极主动的措施至关重要。
个人信息泄露发生后,首要的法律义务是《个人信息保护法》第34条规定的通知义务。该通知义务规定,公司必须在知悉泄露事件后72小时内通知相关数据主体,即使仅涉及一名个人。对于像Coupang这样的大型公司而言,已确认泄露的数据主体数量可能高达数百万甚至数千万,逐一通知在技术上可能具有挑战性。然而,即便如此,《个人信息保护法》仍规定,公司必须首先通过网站公告或其他方式通知个人,并在条件允许的情况下继续提供额外的通知。即使泄露个人信息的具体内容、时间或情况尚未明确,公司也必须首先在条件允许的情况下通知个人,并在获得更多信息后提供补充通知。
同时,个人信息处理者也负有报告义务。作为个人信息处理者,公司在发生涉及1000人以上个人信息泄露、涉及对数据主体隐私构成重大侵犯风险的敏感信息(例如健康信息)、唯一标识符(例如居民登记号码或护照号码)泄露,或因黑客攻击等外部攻击导致泄露的情况下,必须在72小时内向个人信息保护委员会或韩国互联网安全局(KISA)报告。该报告与通知一样,必须包含泄露详情、泄露情况以及已采取的措施。
Coupang很可能面临严格审查,以确定其是否履行了所有法律义务。如果发现其违反了安全措施或通知和报告义务,则可能承担非常严重的法律责任。个人信息保护委员会可对违反安全措施的公司处以最高相当于其总销售额3%的罚款,这对Coupang这样年销售额达数万亿韩元的公司来说是一笔不小的负担。在之前的SKT个人信息泄露事件中,个人信息保护委员会对SKT处以1347亿韩元(约合1.39亿美元)的罚款。然而,此次事件不仅比SKT事件规模更大,而且责任也更重,因为此次事件是由Coupang内部人员所为。因此,很难排除Coupang面临更高罚款的可能性。
同时,一旦发生个人信息泄露,公司可能需对数据主体遭受的损失承担民事责任;如果确认存在故意隐瞒或虚假报告的情况,还可能承担刑事责任。值得注意的是,《个人信息保护法》第39条规定:“如果个人信息处理者违反本法,导致数据主体遭受损害,个人信息处理者可以要求赔偿。在此情况下,个人信息处理者除非证明其不存在故意或过失,否则不得免除责任。” 因此,并非遭受损害的数据主体需要证明个人信息处理者存在故意或过失,而是个人信息处理者需要证明其不存在故意或过失。换言之,根据《个人信息保护法》的规定,Coupang必须提供详细的证据,证明其已建立的安全系统、访问控制是否得到妥善实施、泄漏检测系统是否正常运行以及内部员工权限管理是否适当。
此外,根据《个人信息保护法》第39条之2,受害者现在无需证明公司存在过失即可寻求最高300万韩元的法定赔偿。这显著加强了受害者的权益。然而,由于以往个人信息泄露案件的赔偿金额通常约为10万韩元,因此对个人受害者而言,提起诉讼的实际意义不大。例如,在2024年Modutour个人信息泄露事件中,首尔中央地方法院于2025年8月判处每位受害者10万韩元的赔偿;而在2016年Interpark个人信息泄露事件中,双方达成和解,每位受害者获得1万韩元的赔偿。
Coupang事件不仅给大型平台公司,也给初创企业敲响了警钟。个人信息保护不仅仅是法律义务,更是企业生存的根本。许多初创企业往往只派几个开发人员自行搭建服务器,甚至连个人信息访问日志的系统性维护都做不到。然而,一旦他们开始处理个人信息,无论规模大小,都必须承担与大型企业相同的法律义务。加密、最小访问权限、定期安全培训以及对外包供应商的监督和管理义务,对初创企业而言都不可或缺。个人信息泄露不仅是技术问题,更是法律和社会信任问题。消费者将个人信息托付给企业,信任其专业能力和安全保障措施。一旦这种信任遭到破坏,企业的品牌价值和商业竞争力将受到严重损害。Coupang事件再次印证了这一点,对企业和消费者都敲响了警钟。
与此同时,随着科技进步,安全防护盾与黑客攻击之矛之间的博弈日趋激烈。在此背景下,政府需要采取更具战略性的政策方针。政府应认识到,黑客攻击的威胁越大,其风险也越大,有时甚至不可避免。因此,对于因企业疏忽导致的个人信息泄露,政府应处以严厉的罚款和处罚。但对于泄露事件发生后采取的积极措施以防止进一步损害,政府也应积极减轻处罚。换言之,政府应“惩戒泄露”,“鼓励预防损害”,从而最大限度地保护每位数据主体的个人信息安全。
信息查询
安希澈律师 010-9135-4773 / heechul.an@dlglaw.co.kr
Simharu,公关营销团队高级经理,电话:010-9458-6068 /邮箱:ru.sim@dlglaw.co.kr
You must be logged in to post a comment.