面臨勒令停業、社會發起脫酷？Coupang 在南韓越演越烈的風暴

南韓電商龍頭酷澎（Coupang）正身陷創立以來最嚴重的風暴。一場規模空前個資外洩事故，不僅讓逾三千萬名使用者隱私資料落入不明人士之手，更驚動政府首度公開拋出「營業停止」這張最重的制裁牌。這場危機究竟如何演變至此？酷澎能否安然渡過？而看似雷厲風行的政府態度，實際執行上又面臨哪些難題？

從 4,500 筆到 3,370 萬筆

時間倒回2025年11月18日，當時媒體爆出酷澎內部系統發出異常警報，經初步調查後，公司於11月20日向韓國個人資料保護委員會通報，表示約有4,500個帳戶遭到非法存取。這個數字看起來不算太嚴重，對於一個擁有數千萬會員的平台而言，幾千筆的資安事故似乎還在可控範圍內。

然而，短短九天後，情況急轉直下。11 月 29 日，酷澎發布震撼聲明：經過深入調查，實際遭到外洩的帳戶數量高達 3,370 萬筆。這個數字甚至超過了酷澎公布的活躍使用者數 2,470 萬人。換言之，幾乎所有曾經在酷澎購物過的消費者，包括那些早已註銷帳號的人，個資都可能已經外流。

以南韓總人口約五千萬人來計算，這場資安事故影響的範圍相當於全國近七成的民眾。而外洩的資料內容也遠比最初揭露的更為敏感：不只是姓名、電子郵件和電話號碼，還包括配送地址、最近五筆訂單紀錄。

根據調查，駭客早在 2025 年 6 月 24 日就開始透過海外伺服器入侵酷澎系統，長達近五個月的時間裡，數千萬筆個資就這樣在公司毫無察覺的情況下被持續竊取。直到使用者主動投訴出現異常。

事件的肇因也逐漸明朗。韓媒指出，一名 2024 年離職的中國籍工程師在任職期間取得了系統核心的簽章金鑰（signing key）。這把「萬能鑰匙」可以生成任意使用者的存取權杖，讓持有者幾乎能無限制地瀏覽所有會員資料。但當這名員工離職後，酷澎竟未立即撤銷其權限，讓這把金鑰得以繼續使用長達數月之久。

南韓政府揚言「營業停止」

隨著事件規模不斷擴大，南韓政府的態度也從關切升級為震怒。12 月 17 日，國會科學技術資訊放送通訊委員會召開聽證會，要求酷澎高層到場說明。然而，掌握實質經營權的創辦人兼執行長金範錫（Bom Kim）卻以業務繁忙為由缺席，僅派出美國籍臨時代表及資安長出席。

南韓最具震撼力的表態則來自公正交易委員會。委員長朱炳基（주병기，音譯）在接受南韓電視專訪時，首度公開提及對酷澎祭出「營業停止」處分的可能性。他表示，若酷澎未能妥善執行損害補救措施，公正委員會將可依據《電子商務法》，命令酷澎在一年範圍內全部或部分停止營業。

這是南韓政府首度對大型電商平台公開討論營業停止處分，其政治意涵不言而喻。另一方面，南韓個人資料保護委員會（PIPC）正在研議撤銷酷澎的 ISMS-P（資訊安全管理系統）認證，對有「南韓亞馬遜」形象立身的酷澎是另一記重擊。

除了營業停止的可能性，鉅額罰鍰也山雨欲來。依照現行《個人資料保護法》，違規企業可被處以全年營收 3% 的罰鍰。酷澎母公司 Coupang Inc 2024 年營收高達 41.29 兆韓元（約 289 億美元），若以最高比例計算，罰鍰金額將達 1.23 兆韓元（約新台幣 300 億元）。不僅如此，國會法案審查小組已初步通過修法草案，擬將重大個資外洩案件的罰鍰上限從 3% 提高至 10%，代表酷澎面臨的財務代價可能還會繼續攀升。

南韓民間的「脫酷」運動

另一方面，酷澎事件已在南韓網路社群上演變成龐大的抵制潮，「탈팡」（Talpang，意為「脫離酷澎」）迅速成為網路熱門關鍵字。事件爆發後，甚至有多位知名藝人公開宣布退出酷澎會員。

然而，想「脫酷」卻沒那麼容易。不少南韓網友表次，酷澎的退會流程設計得極為繁複：必須從手機 App 跳轉到電腦版網頁，歷經本人驗證、使用紀錄確認、問卷調查等至少六個步驟，途中還會不斷跳出「您將失去火箭配送優惠」「折價券將全數作廢」等挽留訊息。如果是付費會員，還得先解除訂閱才能進行退會。輿論批評這是典型的「Dark Pattern」——透過刻意設計的不便，阻止使用者離開平台。

與此同時，集體訴訟的籌備也如火如荼展開。事件曝光後，Naver 上就出現了許多訴訟籌備論壇，也有律師準備代表使用者向法院提起訴訟，要求每人獲賠 10 萬韓元（約新台幣 2,500 元）。根據南韓民調機構 Realmeter 於 12 月 15 日公布的民調，68.4% 的受訪民眾支持政府對酷澎採取強力制裁措施。

停業令高牆

但不少媒體指出，按照南韓現行法規與實務慣例，這道制裁的門檻其實相當高。首先南韓《電子商務法》對營業停止設有嚴格的前提條件。依照法規設計，主管機關必須先下達改正命令，確認業者未能改善後，才能進入停業處分的程序。也就是說，目前酷澎尚未收到任何改正命令，在法律程序上還遠遠不到可以命令停業的階段。

其次這次事件的核心是「個資外洩」，屬於《個人資料保護法》的管轄範圍，而非《電子商務法》。公正委員會若要援引《電子商務法》祭出停業處分，必須另外證明消費者因此遭受實際的財產損失——單純的個資外洩本身還不夠，必須有具體的詐騙受害案例才行。

更關鍵的是，法律本身就為大型平台設置了「安全閥」。《電子商務法》明文規定，若營業停止處分會對消費者造成「嚴重不便」或危害公共利益，主管機關可以改採罰鍰來替代。這個條款幾乎是為酷澎量身打造的免死金牌：作為南韓最大的電商平台，酷澎一旦停業，影響的將不只是消費者的購物便利，更牽動整個產業生態。

酷澎的規模究竟有多大？根據最新統計，酷澎直接雇用的員工約 9.3 萬人，平台上的入駐商家約 23 萬家，其中八成是中小型業者，每年透過酷澎創造的營收超過 9 兆韓元。

從南韓過去的執法紀錄來看，公正委員會對大型平台祭出全面停業處分的案例幾乎不存在。過往遭到停業的對象，多半是涉及重複、蓄意詐騙的小型網購業者。像酷澎這種規模的企業，即使違規屬實，制裁手段通常也是改正命令搭配高額罰鍰，而非直接關門。

面對排山倒海的壓力，酷澎並非毫無回應。在輿論強烈批評下，公司已將付費會員的解約流程從原本的六到八個步驟簡化為兩個步驟。酷澎臨時代表也在聽證會上承諾，將在調查結束後公布具體的賠償方案，並計畫於明年上半年導入無密碼認證（Passkey）機制來強化資安。

但在南韓社會有一個非常現實的狀況，市場上，並沒有任何競爭對手能真正取代酷澎的「火箭配送」服務。數據顯示，外洩事件曝光十天後，酷澎的日活躍使用者數已回升至約 1,600 萬人，幾乎恢復到事發前的水準。

不過來自國際的壓力正在升高。酷澎母公司在紐約證交所上市，美國股東也已在加州北區聯邦法院提起集體訴訟，指控公司違反證券法的公告義務——酷澎在 11 月 18 日發現問題後，遲至 12 月 16 日才向美國證券交易委員會（SEC）申報，遠超過規定的四個營業日時限。

這場風暴最終將如何落幕，目前還難以預料。但這正是網路社會的經典寫照：當少數巨頭掌握了太多人的日常生活，社會該如何平衡便利與風險、效率與安全？酷澎的未來命運，或許將成為這個問題的重要試金石。

核稿編輯：Sisley

加入 INSIDE 會員，獨享 INSIDE 科技趨勢電子報，點擊立刻成為會員！

延伸閱讀：

• 酷澎個資遭洩！為什麼會在韓國當地遭到媒體抨擊？

• Coupang 證實 3,400 萬筆個資外洩！執行長辭職、美方法律顧問接掌