围绕Coupang大规模个人信息泄露事件的国政调查,韩国国会立法调查处点出多项有待查明的核心问题。报告指出,涉事个人信息覆盖约65%的韩国人口,且曾被无权限人员访问,事件背后或暴露出企业内部控制体系的结构性漏洞。
韩国国会立法调查处2日发布题为《Coupang国政调查相关个人信息泄露争点》的报告,并就国政调查一旦启动后应重点核查的事项,归纳出五大方向。
报告称,原本应受到严格管理的内部人员专用令牌签名密钥,在相关负责人离职后仍持续有效。立法调查处据此认为,Coupang在内部控制流程上可能存在系统性缺口。
基于这一判断,报告建议国政调查重点核查离职人员访问权限是否能够及时回收,实时监测和拦截机制是否正常运行,以及是否还存在其他未被发现的未授权访问情况。
除事件本身外,Coupang在事故应对过程中的处理方式也成为报告批评的重点。报告指出,尽管已有约3370个账户被确认存在异常访问,但公司回避使用“泄露”表述,且通知方式较为消极,相关决策过程和责任链条有必要查清。
报告还提到,涉事一方除访问在用用户信息外,可能还在缺乏明显限制的情况下接触到已注销会员等相关信息。因此,Coupang个人信息数据库的管理方式是否妥当,也被列入重点核查范围。
此外,在调查尚未结束的情况下,Coupang自行确认涉事对象并开展内部取证,其过程及正当性同样需要接受审查。报告指出,有必要确认政府或侦查机构是否掌握与Coupang内部调查结果相一致的原始资料。
在受害者赔偿方面,外界质疑同样强烈。报告称,Coupang选择以必须使用关联公司服务为前提的“使用券”进行补偿,因此有必要核查,对于不愿接受这一方案或已经退出相关服务的受害者,公司是否准备了其他赔偿安排。
立法调查处表示,如果“个人信息侵害日常化”的观念被固化,大规模个人信息泄露的反复发生就可能在结构上被默认。为防止类似事件再次出现,必须拿出明确且有效的应对措施。
Seulgi Son
sageson@d-today.co.kr