2026年6月11日,韓國個人資訊保護委員會(PIPC)對Coupang開出創紀錄的6,247億韓元(約新台幣140億元)罰款。事件的起點,是一名2024年離職的前員工——他離開時,帶走了一把從未被撤銷的簽章金鑰。
再讀一次:金鑰從未被撤銷。
這不是一場高度複雜的駭客攻擊。韓國主管機關的用語非常直接:這是一個管理問題。罰款的結構,說明了一切。
- 約90億新台幣來自資料外洩本身——但處罰的依據不是「被入侵」,而是:金鑰管理疏失、存取控制不足、違反24小時通報義務、銷毀證據紀錄,以及個資長(CPO)缺乏實質的組織獨立性。
- 另約42億新台幣來自完全無關的另一項違規:Coupang在廣告業務中未經合法依據蒐集用戶行為資料。這不是前員工造成的問題,而是管理層的商業決策。
外洩事件讓調查人員走進了大門;他們在裡面發現的,是治理問題。
這正是多數企業至今仍未意識到的核心教訓。 個資合規不是一份由IT部門執行、法務部門蓋章的清單。它存在於員工離職程序、個資長的組織地位、產品團隊的商業決策,以及危機發生時管理層的第一反應。
對在亞太地區營運的企業而言,Coupang案的意義不在於如何防範內部人員威脅。它標示的是:當具備執法實力的主管機關登門調查時,他們審視的不只是技術控制措施——而是整個治理架構。