史上最重!酷澎害3750萬用戶個資外洩 遭開罰140億元創紀錄
韓國個人資訊保護委員會(PIPC)11日宣布,電商龍頭酷澎(Coupang)因大規模個人資料外洩及未經授權蒐集用戶線上活動紀錄等多項違規行為,遭處以總額6246億8100萬韓元(約新台幣140億元)罰款,創下韓國史上單一企業因違反個資保護法遭裁罰的最高紀錄。
韓聯社報導,根據個資委調查,酷澎因資訊安全管理不當,導致約3750萬名用戶個人資料外洩。調查指出,該公司在認證簽章金鑰管理、系統存取權限控制等基本資安措施上存在重大缺失,未能建立完善的安全管理機制,進而造成大規模個資洩漏事件。
個資委10日在首爾政府大樓召開全體會議後決議,針對個資外洩事件處以4235億7500萬韓元罰款,並加處1680萬韓元罰鍰。這項裁罰金額不僅刷新韓國歷來單一個資外洩案件紀錄,也凸顯主管機關對企業個資保護責任的高度重視。
除了個資外洩外,調查還發現,酷澎未經合法授權,蒐集約1117萬名會員在其他網站及App上的瀏覽與使用紀錄,並在可識別個人身分的狀態下儲存於資料庫中。相關資料包括用戶造訪網站的網址、使用App名稱、登入時間及IP位址等資訊。個資委認定此舉已違反個人資料蒐集與利用規範,因此另處2011億660萬韓元罰款。
調查過程中,主管機關還發現酷澎涉及多項違規情事,包括未依規定通知受影響用戶個資外洩情況、未落實個資刪除義務、未保障個人資訊保護負責人(CPO)獨立性,以及存在妨礙調查等問題。
此外,個資委指出,酷澎未妥善監督合作廣告商,導致部分廣告商透過俗稱「綁架式廣告」的方式蒐集用戶資料。這類廣告通常會在使用者不知情或不同意的情況下進行頁面跳轉,進而取得相關使用紀錄。主管機關認為,酷澎未善盡管理責任,使部分用戶的服務使用紀錄遭違法蒐集。
個資委已要求酷澎全面強化資訊安全措施、防止類似事件再次發生,並提高個資處理透明度,保障用戶對個人化廣告的選擇權。同時,也要求公司對受影響的非會員資訊當事人進行通知,並確保個資保護負責人能夠獨立執行監督職務。
另一方面,負責營運物流中心的酷澎子公司Coupang Fulfillment Services(CFS)也被查出違規。個資委發現,CFS曾蒐集71名從未在物流中心工作過的韓國警察廳採訪記者名單,並將其納入就業限制管理名冊,違反個資蒐集及使用規定。
此外,CFS以員工健康管理為由保存的員工體重資料,卻在職業災害相關訴訟中提交法院作為證據,涉及違法處理敏感個人資訊,因此再被處以2億4800萬韓元罰款。個資委表示,酷澎必須在3個月內完成相關改善措施並提交執行成果報告,主管機關也將持續追蹤後續改善情況,確保企業落實個人資料保護責任。