2025年末,韩国电商巨头Coupang(酷澎)约3370万用户信息泄露事件,如同一枚投入数字社会的深水炸弹,不仅引发了前所未有的公众信任危机,更在行政、立法、司法及跨国法律层面触发了一系列连锁反应,最终推动韩国个人信息保护制度走向以“惩罚性重典”为标志的强监管时代。
一、 事件核心:大规模、长潜伏与迟滞应对
事件的严重性首先体现在其规模与过程。
泄露信息涵盖姓名、邮箱、电话、住址及部分购物记录,波及近四分之三的韩国成年人口,规模为韩国史上之最。调查显示,黑客攻击最早可追溯至2025年6月,但Coupang直至11月18日才察觉异常,存在近5个月的安全监控空白。更引发诟病的是,公司11月20日首次向主管部门报告时称仅4500余账号受影响,9天后却修正为3370万,信息的严重失真加剧了监管机构与公众的愤怒。
二、 政府与国会反应:跨部门围剿与立法加速
1.行政与刑事调查并进
韩国政府迅速组建了由科技部、个人信息保护委员会(PIPC)、金融委员会、警察厅、国情院等七大部门局长级官员构成的跨部门联合应对工作组(TF)。TF不仅重新核查泄露规模、分析安全漏洞,还重点调查Coupang是否滥用“免责条款”,并着手检查泄露信息是否已在暗网流通,同时为“数字弱势群体”提供注销账号支持。与此同时,首尔警方对Coupang总部进行了长达一周的搜查取证,以查明是否存在刑事犯罪行为。
2. 国会质询与政治压力
韩国国会听证会成了舆论不满的集中爆发点。Coupang创始人、美国母公司CEO金范锡以“居留海外、业务繁忙”为由缺席,派出的外籍高管因需翻译协助,回答被议员斥为“毫无意义”、“浪费时间”。PIPC委员长宋京熙在会上明确警告,若查实违规,将考虑采取取消其关键的信息安全管理体系(ISMS-P)认证的严厉措施,此举可能动摇其运营合法性。
三、法律追责多维展开:天价罚款与跨境诉讼
1. 现行法下的巨额罚单
依据2023年修订的《个人信息保护法》,Coupang最高可被处以上一财年相关销售额3%的罚款。初步估算,其罚款额度可能高达1.2万亿韩元,远超此前对SK电讯开出的1348亿韩元纪录。
2. 跨国集体诉讼开启
法律追责已超越国界。
韩国律所已在美国纽约联邦法院对Coupang母公司提起集体诉讼,试图论证母公司对子公司的信息安全负有实际控制责任,并依据美国法律寻求惩罚性损害赔偿。这为受害者开辟了全新的索赔战场。
四、修法革命:10%惩罚性罚款时代的到来
正是Coupang事件,为已酝酿多时的《个人信息保护法》修订按下了“加速键”。
1. 核心修订内容
2025年12月17日,韩国国会政务委员会正式通过了修订案,其中最受瞩目的条款是:对造成重大个人信息泄露的企业,罚款上限从销售额的3%大幅提升至10%。这一定性为“惩罚性罚款”的条款,明确适用于如下三种情形:
因故意或重大过失,三年内反复违法;
因故意或重大过失,造成1000万人以上大规模损害;
不遵守政府纠正命令导致泄露。
2. “不溯及既往”原则与影响
修订案同时规定,新罚款标准不适用于法律生效前发生的事故。这意味着,尽管Coupang事件直接催化了此次修法,但其本身很可能免受10%罚款(按年销售额估算或达4.1万亿韩元)的“核弹级”打击。这一设计平衡了法律的震慑力与稳定性,但也引发了关于公平性的讨论。
3. 其他配套修订
将难以计算销售额情况下的罚款上限,从200亿韩元提高到500亿韩元。
收紧事故报告时限,将“知晓后72小时内报告”的具体要求由施行令提升至由《总统令》规定,以堵塞企业拖延报告的漏洞。
同日,韩国国会还通过了将虚拟资产交易所纳入金融诈骗防止责任主体的相关法案,显示了数字资产监管的同步收紧。
五、 结论:强监管时代的转折点
Coupang数据泄露案已从一个孤立的安全事故,演变为一场推动韩国数据保护体系根本性变革的“完美风暴”。它清晰地揭示了未来监管的三大趋势:
经济威慑空前强化:10%的惩罚性罚款天花板,意味着数据安全不再是可权衡的“合规成本”,而是关乎企业生存的“核心投资”。这迫使所有企业必须从根本上重构其信息安全治理架构。
法律责任立体化、全球化:企业将同时面临韩国国内高额行政罚单、刑事调查、消费者集体诉讼,以及来自海外司法管辖区的跨国索赔。法律责任风险呈多维叠加态势。
监管从形式走向实质:ISMS-P等认证的“可撤销性”被严肃运用,事故报告的刚性要求被加强,表明监管重点从审核书面文件转向持续监督实际安全能力与应急响应的有效性。
此次法律修订的通过,标志着韩国个人信息保护正式进入以严厉经济制裁为核心威慑的 “强监管时代” 。对于所有在韩运营的中国企业而言,Coupang付出的代价和引发的法律海啸,是一声响彻业界的警钟:在数字经济时代,对用户数据的任何系统性忽视,都将可能招致毁灭性的法律与商业后果。