韩国个人信息保护委员会就Coupang去年11月发生的大规模个人信息泄露事件作出处罚决定。监管部门认定，Coupang未履行个人信息安全保障义务，并在缺乏合法依据的情况下收集数据，因此对其处以6246亿8100万韩元罚款，并另处1680万韩元罚金。

按相关营收基数测算，此次处罚金额约占营收的2%。

从处罚构成看，因个人信息泄露事件所涉及的安全保障义务违规，Coupang被处以4235亿7500万韩元罚款；因擅自收集其他公司线上活动信息，被处以2011亿0600万韩元罚款。此外，Coupang物流子公司Coupang Fulfillment Services还被单独处以2亿4800万韩元罚款。

韩国个人信息保护委员会表示，本次罚款系按Coupang披露的营收口径测算。根据现行《个人信息保护法》，罚款上限为相关营收的3%。自9月11日起，如符合“泄露个人信息超过1000万人”“发生重大且重复事故”“未履行整改命令导致事故”等条件，最高可按营收的10%处以罚款。由于Coupang事件发生在新规实施之前，因此此次仍适用3%的上限。

其中，在个人信息泄露事件部分，监管部门以事发前3年平均营收为基准测算，相关营收基数约为30万亿韩元；在擅自收集其他公司线上活动信息部分，相关营收基数约为36万亿韩元。韩国个人信息保护委员会称，Coupang Eats、Coupang Play以及企业间交易（B2B）等与违法行为无关的独立服务收入已被剔除，电商相关收入则全部计入。

从处罚金额结构来看，监管部门对Coupang未履行安全保障义务的问题认定更为严重。

韩国个人信息保护委员会主席Song Kyung-hee在发布会上表示，Coupang在安全措施方面主要存在两项问题。

第一，密钥管理存在缺陷。她指出，Coupang在运营过程中，相关认证签名密钥处于可被明文查看的状态；此外，曾可接触该密钥的前员工离职后，相关密钥也未及时更新或作废。

第二，入侵检测体系存在不足。Song Kyung-hee表示，Coupang对含有个人信息的页面与普通商品页面采用了相同的异常流量识别阈值，导致在攻击发生期间未能及时识别流量的快速增长。

对于擅自收集其他公司线上活动信息的行为，韩国个人信息保护委员会表示，这一问题也被重点纳入了罚款测算。

监管部门称，Coupang在运营联盟营销项目Coupang Partners期间，向约15万个网站和应用分发广告工具。Coupang会员访问相关站点时，无论是否点击广告，其访问时间、URL等信息都会与会员识别编号关联，并自动写入Coupang数据库。

尽管Coupang方面称这并非公司主观意图，但韩国个人信息保护委员会认定，该行为具有“故意收集”性质。

韩国个人信息保护委员会还表示，Coupang面向泄露事件受害者运营补偿项目的做法，已被部分作为减轻处罚的因素予以考虑。

此外，监管部门还将就Coupang另行启动告发程序。韩国个人信息保护委员会称，调查启动后，已要求保全接入日志等证据材料，但Coupang手动删除了约5个月的App接入日志，且未停止“超过6个月日志自动删除”的内部政策。监管部门据此判断，其存在故意妨碍调查的行为，并将依法推进后续告发程序。

在处罚决定公布后，Coupang发布声明，就个人信息泄露事件致歉。同时公司表示，为防止二次损害而采取的先行措施，以及基于明确事实关系所作的说明，未能在韩国个人信息保护委员会的决定中得到充分反映，对此感到遗憾。

Coupang还表示，Coupang Partners是面向韩国数千名内容创作者、博主及小微商户的变现项目，采用的是与全球其他企业相同的联盟营销模式，在保护客户数据和合法合规运营方面不存在问题。公司称，在收到韩国个人信息保护委员会正式议决书后，将通过法律程序进一步厘清事实关系。