Korea Południowa nakłada na Coupang rekordową karę w wysokości 409 mln dolarów po masowym wycieku danych ujawniającym 33 mln użytkowników
Południowokoreański regulator ochrony danych nałożył na giganta e-commerce Coupang karę w wysokości 624,7 mld wonów (409 mln dolarów) – największą w historii kraju karę za naruszenie ochrony danych – w związku z wyciekiem, który ujawnił dane osobowe ponad 33 mln klientów i pogłębił napięcia dyplomatyczne z Waszyngtonem.
Naruszenie
Były pracownik, obywatel Chin, ukradł kryptograficzny klucz podpisu i wykorzystał go do dostępu do danych klientów z serwerów zagranicznych przez prawie pięć miesięcy, od czerwca do listopada 2025 roku. Naruszenie ujawniło imiona, adresy e-mail, numery telefonów, adresy wysyłki i historię zamówień ponad 33,7 mln kont klientów – około dwóch trzecich populacji Korei Południowej. Według doniesień dane płatnicze nie zostały naruszone.
Coupang po raz pierwszy wykrył podejrzaną aktywność 18 listopada 2025 r., ale potrzebował 48 godzin, aby powiadomić organy regulacyjne, przekraczając ustawowy 24-godzinny termin zgłoszenia. To opóźnienie stało się kluczowym czynnikiem w surowości kary, według Komisji Ochrony Danych Osobowych (PIPC).
- Były pracownik rozpoczyna nieautoryzowany dostęp do danych klientów przy użyciu skradzionego klucza kryptograficznego
- Coupang wykrywa podejrzaną aktywność, ale czeka 48 godzin na powiadomienie organów regulacyjnych
- CEO Park Dae‑jun rezygnuje; firma ogłasza plan odszkodowań w postaci bonów o wartości 1,69 bln wonów
- PIPC nakłada rekordową karę w wysokości 624,7 mld wonów na Coupang
Ustalenia regulacyjne i rekordowa kara
PIPC nałożyła kwotę główną w wysokości 624,7 mld wonów (około 409 mln dolarów), obejmującą 423,6 mld wonów za samo naruszenie oraz 201,1 mld wonów za nieautoryzowane gromadzenie zapisów aktywności online należących do 11,17 mln użytkowników, którzy korzystali z usług poza platformą Coupang. Osobna grzywna w wysokości 248 mln wonów została nałożona na Coupang Fulfillment Services. Łączna kwota znacznie przekroczyła poprzedni rekord Korei Południowej w wysokości 134,8 mld wonów nałożony na SK Telecom.
Ten wypadek wydarzył się z powodu braku środków bezpieczeństwa i systemów ze strony Coupang, a nie zaawansowanego hackingu.
Regulator stwierdził, że Coupang nie poinformował poszkodowanych osób, nie usunął ujawnionych danych, nie zagwarantował niezależności swojego inspektora ochrony danych i próbował utrudniać śledztwo.
- Coupang (2026)
- 409 mln USD
- Meta (Ireland, 2021)
- 306 mln USD
- SK Telecom (2025)
- 88 mln USD
Reakcja Coupang i skutki korporacyjne
Coupang przeprosił za wywołanie niepokoju, ale wyraził żal, że jego proaktywne działania i wyjaśnienia „nie zostały wystarczająco odzwierciedlone” w orzeczeniu. Firma zapowiedziała, że zaskarży karę w sądzie. CEO Park Dae‑jun zrezygnował w grudniu 2025 r., a w tym samym miesiącu firma ogłosiła plan odszkodowań o łącznej wartości 1,69 bln wonów (1,17 mld dolarów) w postaci bonów ważnych tylko na platformie dla poszkodowanych klientów.
Napięcia dyplomatyczne z Waszyngtonem
Coupang ma siedzibę w Seattle w Stanach Zjednoczonych, ale generuje większość swoich przychodów w Korei Południowej. Dochodzenie spotkało się z oskarżeniami ze strony amerykańskich republikanów, że śledztwo Seulu stanowi „dyskryminacyjne działania regulacyjne” wobec amerykańskich firm. Południowokoreańscy parlamentarzyści odpowiedzieli wspólnym listem podpisanym przez prawie 100 polityków, wyrażającym obawy dotyczące „niewłaściwej presji” ze strony amerykańskich polityków, dodając wymiar dyplomatyczny do sprawy ochrony danych.
Waga finansowa kary
Kara jest prawie równa zyskowi operacyjnemu Coupang wynoszącemu 473 mld wonów (473 mln dolarów) za ubiegły rok. Dla porównania, Irlandzka Komisja Ochrony Danych nałożyła na Meta karę w wysokości 306 mln dolarów w 2021 r. po ujawnieniu danych 533 mln użytkowników na całym świecie.
