Ủy ban Bảo vệ dữ liệu cá nhân Hàn Quốc ngày 10/6 công bố mức xử phạt hành chính lớn nhất từ trước đến nay đối với Coupang, liên quan đến vụ rò rỉ dữ liệu quy mô lớn xảy ra vào tháng 11 năm ngoái. Tổng mức phạt áp với doanh nghiệp này là 6.246,81 tỷ won.

Theo quyết định được thông qua tại phiên họp toàn thể, Coupang bị phạt 6.246,81 tỷ won và phạt bổ sung 16,8 triệu won vì không thực hiện đầy đủ các biện pháp bảo đảm an toàn dữ liệu, đồng thời thu thập dữ liệu cá nhân mà không có căn cứ pháp lý.

Mức phạt này cao hơn nhiều so với khoản 1.347,91 tỷ won mà Ủy ban từng áp với SK Telecom trong năm ngoái.

Cùng vụ việc, Coupang Fulfillment Services (CFS), đơn vị logistics trực thuộc Coupang, cũng bị xác định vi phạm quy định về thu thập và sử dụng dữ liệu cá nhân, cũng như quy định liên quan đến xử lý dữ liệu nhạy cảm. Tổng mức phạt đối với CFS là 248 triệu won.

Ủy ban cho biết đã nhận báo cáo từ Coupang vào ngày 20/11/2025 và bắt đầu điều tra vụ rò rỉ dữ liệu từ ngày 21/11.

Theo cơ quan này, Coupang là một nền tảng được người dân sử dụng thường xuyên trong đời sống hằng ngày, nên khi xảy ra rò rỉ hoặc xâm phạm dữ liệu, tác động xã hội là rất lớn. Trên cơ sở đó, Ủy ban đã lập tổ điều tra chuyên sâu cùng Cơ quan Internet và An ninh Hàn Quốc để làm rõ vụ việc và các dấu hiệu vi phạm pháp luật về bảo vệ dữ liệu cá nhân.

Ủy ban nhấn mạnh cuộc điều tra được tiến hành theo nguyên tắc xử lý trách nhiệm tương xứng với mức độ vi phạm, không phân biệt doanh nghiệp trong nước hay nước ngoài.

Kết quả điều tra cho thấy Coupang đã không đáp ứng các yêu cầu an toàn cơ bản như quản lý khóa chữ ký số và kiểm soát quyền truy cập, dẫn tới việc dữ liệu của khoảng 37,5 triệu người dùng bị rò rỉ.

Ngoài ra, Ủy ban còn xác định thêm một loạt vi phạm khác của Coupang, gồm không thực hiện đầy đủ nghĩa vụ thông báo rò rỉ dữ liệu và nghĩa vụ hủy dữ liệu, không bảo đảm tính độc lập của cán bộ phụ trách bảo vệ dữ liệu cá nhân (CPO), cũng như cản trở quá trình điều tra.

Cơ quan này đã yêu cầu Coupang thực hiện các biện pháp khắc phục, gồm tăng cường bảo mật để ngăn tái diễn, thông báo vụ rò rỉ cho cả những chủ thể dữ liệu không phải thành viên, và bảo đảm CPO thực hiện đúng vai trò của mình. Ủy ban cũng khuyến nghị doanh nghiệp cải tổ hệ thống xử lý dữ liệu cá nhân của người dùng đã hủy tài khoản, đồng thời cho biết sẽ kiểm tra việc thực hiện trong vòng 3 tháng.

Bên cạnh vụ rò rỉ, Ủy ban cho biết đã phát hiện Coupang thu thập trái phép lịch sử hoạt động trực tuyến của khoảng 11,17 triệu thành viên khi họ truy cập website và ứng dụng của bên thứ ba, sau đó lưu trữ trong cơ sở dữ liệu ở trạng thái có thể nhận diện người dùng.

Cơ quan này cũng xác nhận Coupang không quản lý và giám sát đầy đủ các đối tác quảng cáo đăng quảng cáo hijacking, khiến dữ liệu về lịch sử sử dụng dịch vụ Coupang bị thu thập trái với ý chí của người dùng.

Vì vậy, Ủy ban đã ban hành lệnh khắc phục nhằm tăng tính minh bạch trong xử lý dữ liệu, bảo đảm quyền lựa chọn thực chất của chủ thể dữ liệu đối với quảng cáo cá nhân hóa, đồng thời siết quản lý và giám sát để ngăn các hình thức quảng cáo vi phạm.

Trong một nội dung khác, Ủy ban đánh giá việc Coupang thu thập thông tin của 71 phóng viên thuộc nhóm báo chí ra vào Cơ quan Cảnh sát Quốc gia, dù những người này không có tiền sử làm việc tại các trung tâm logistics, rồi đưa vào danh sách hạn chế tuyển dụng nội bộ, là hành vi vi phạm quy định về thu thập và sử dụng dữ liệu cá nhân.

Ngoài ra, cơ quan này cho biết Coupang đã nộp cho tòa án dữ liệu về cân nặng của người lao động trong quá trình xét xử vụ kiện liên quan đến tai nạn lao động, dù thông tin này được lưu trữ và quản lý với mục đích quản lý sức khỏe nhân viên. Theo Ủy ban, hành vi đó vi phạm quy định về xử lý dữ liệu nhạy cảm.