2025年11月,韓國領先的電子商務平台coupang遭遇了該國迄今為止最嚴重的資料安全危機:一名已離職逾一年的外籍工程師,利用非法取得的加密簽署金鑰,在五個月內持續竊取用戶資料,最終導致約3,370萬名用戶的個人資訊外洩——這數字超過韓國總人口的60%。初期報導稱僅有4,500人受影響;然而,隨後的深入調查揭露了公司安全管控體系中的系統性失誤:金鑰管理不當、存取權限撤銷延遲,以及海外資料庫監控不足。
韓國個人資訊保護與智慧財產委員會(pipc)隨即祭出史上最高罰款,總計6,247億韓元。其中,4,236億韓元係因核心疏失所致:coupang未能建立完善的金鑰生命週期管理制度,致使一名擁有高級權限的離職員工得以長期遠端存取儲存在海外雲端資料中心的敏感客戶資料庫,其中包括姓名、聯絡方式、收貨地址及完整的訂單紀錄等個人資訊。餘下的2,011億韓元則源自違法收集1,117萬名用戶的跨平台瀏覽行為資料,疑似以廣告定向合作之名過度追蹤用戶的數位足跡——此前,其物流子公司亦因類似隱私侵害遭罰2.48億韓元。
更為關鍵的是,coupang在11月18日偵測到異常後,竟將通報監管機關的時程延遲近48小時,公然違反韓國《個人資訊保護法》所規定的24小時強制通報期限。這一延遲成為加重處罰的重要因素。與sk電信於2025年因資料外洩案被罰1,348億韓元相比,coupang的罰金高出四倍以上,凸顯監管機構對安全治理體系漏洞的零容忍態度。
此事件不僅暴露出跨國科技企業本地化合規策略中的深層弱點,也將「前員工存取權限刪除」、「動態金鑰管理」以及「跨境資料儲存審核」等議題推上資料治理討論的 forefront。
