Ủy ban Bảo vệ Dữ liệu Cá nhân Hàn Quốc ngày 11/6 cho biết đã quyết định phạt Coupang 6.246,81 tỷ won, kèm khoản phạt hành chính 16,8 triệu won, sau vụ rò rỉ dữ liệu cá nhân quy mô lớn xảy ra vào tháng 11 năm ngoái. Cơ quan này kết luận Coupang vi phạm nghĩa vụ bảo đảm an toàn dữ liệu và thu thập thông tin cá nhân khi không có căn cứ pháp lý.

Theo Ủy ban, tổng mức phạt tương đương 2% doanh thu của Coupang tại Hàn Quốc.

Trong tổng số 6.246,81 tỷ won, có 4.235,75 tỷ won liên quan đến vi phạm nghĩa vụ bảo đảm an toàn dữ liệu dẫn đến sự cố rò rỉ thông tin. Phần còn lại, 2.011,06 tỷ won, được áp cho hành vi thu thập trái phép thông tin về hoạt động trực tuyến của người dùng trên các nền tảng khác. Công ty con logistics Coupang Fulfillment Services cũng bị phạt riêng 248 triệu won.

Ủy ban cho biết mức phạt được tính trên cơ sở doanh thu công bố của Coupang tại Hàn Quốc. Theo Luật Bảo vệ thông tin cá nhân hiện hành, mức phạt tối đa là 3% doanh thu.

Từ ngày 11/9, Hàn Quốc sẽ áp dụng cơ chế xử phạt tăng nặng, cho phép nâng mức phạt tối đa lên 10% doanh thu trong các trường hợp như rò rỉ dữ liệu của hơn 10 triệu người, sự cố nghiêm trọng lặp lại nhiều lần hoặc thiệt hại phát sinh do không chấp hành lệnh khắc phục. Tuy nhiên, do vụ việc của Coupang xảy ra trước thời điểm quy định mới có hiệu lực, cơ quan quản lý áp trần phạt 3%.

Đối với vụ rò rỉ dữ liệu, doanh thu dùng để tính phạt là mức bình quân trong ba năm ngay trước thời điểm xảy ra sự cố, vào khoảng 30 nghìn tỷ won. Với hành vi thu thập trái phép thông tin hoạt động trực tuyến từ bên thứ ba, doanh thu làm căn cứ tính phạt là khoảng 36 nghìn tỷ won.

Ủy ban cũng cho biết đã loại trừ doanh thu từ các dịch vụ độc lập không liên quan trực tiếp đến hành vi vi phạm, như Coupang Eats, Coupang Play và mảng giao dịch doanh nghiệp B2B. Trong khi đó, doanh thu từ hoạt động thương mại điện tử vẫn được tính toàn bộ.

Việc phần lớn mức phạt tập trung vào hành vi vi phạm nghĩa vụ an toàn dữ liệu cho thấy cơ quan quản lý đánh giá rất nghiêm trọng sai phạm này của Coupang.

Tại họp báo, Chủ tịch Ủy ban Bảo vệ Dữ liệu Cá nhân Song Kyung-hee nêu hai vấn đề chính trong cách Coupang triển khai các biện pháp an toàn thông tin.

Thứ nhất là khâu quản lý khóa ký chứng thực. Theo bà Song, Coupang vận hành hệ thống theo cách cho phép đọc khóa ký chứng thực dự phòng dưới dạng văn bản thuần. Ngoài ra, công ty cũng không gia hạn hoặc hủy khóa ngay cả khi nhân sự từng có quyền truy cập đã nghỉ việc.

Vấn đề thứ hai là hệ thống phát hiện xâm nhập chưa đầy đủ. Bà Song cho biết Coupang áp cùng một ngưỡng lưu lượng bất thường cho các trang xử lý dữ liệu cá nhân và các trang sản phẩm thông thường. Điều này khiến công ty không phát hiện được mức tăng đột biến về lưu lượng trong thời gian bị tấn công.

Ủy ban cho biết yếu tố thu thập trái phép thông tin hoạt động trực tuyến trên các nền tảng khác cũng được tính đến đáng kể khi xác định mức phạt.

Theo kết luận của cơ quan này, trong quá trình vận hành chương trình tiếp thị liên kết Coupang Partners, Coupang đã phân phối công cụ quảng cáo đến khoảng 150.000 website và ứng dụng. Khi thành viên Coupang truy cập các trang này, kể cả không nhấp vào quảng cáo, thời điểm truy cập, địa chỉ URL và các dữ liệu liên quan vẫn được kết hợp với mã định danh thành viên rồi tự động lưu vào cơ sở dữ liệu của Coupang.

Dù Coupang cho rằng đây không phải hành vi có chủ đích, Ủy ban kết luận việc thu thập dữ liệu được thực hiện một cách có ý thức.

Cơ quan quản lý cũng cho biết đã xem xét chương trình bồi thường dành cho nạn nhân bị ảnh hưởng như một tình tiết giảm nhẹ một phần cho Coupang.

Bên cạnh đó, Ủy ban sẽ tiến hành thủ tục tố giác riêng đối với Coupang. Theo cơ quan này, ngay sau khi mở điều tra, họ đã yêu cầu bảo toàn chứng cứ, bao gồm nhật ký truy cập. Tuy nhiên, Coupang vẫn xóa thủ công nhật ký truy cập ứng dụng trong khoảng 5 tháng và không dừng chính sách nội bộ tự động xóa nhật ký sau 6 tháng.

Ủy ban nhận định đây là hành vi cố ý cản trở điều tra và sẽ triển khai thủ tục tố giác theo đúng điều kiện pháp lý.

Sau thông báo của Ủy ban, Coupang đã ra tuyên bố xin lỗi về vụ rò rỉ dữ liệu cá nhân. Công ty đồng thời bày tỏ lấy làm tiếc khi cho rằng các biện pháp chủ động nhằm ngăn ngừa thiệt hại thứ cấp, cũng như phần giải thích dựa trên các tình tiết thực tế rõ ràng, chưa được phản ánh đầy đủ trong quyết định của cơ quan quản lý.

Coupang cũng cho biết Coupang Partners là chương trình cho phép hàng nghìn nhà sáng tạo nội dung, blogger và chủ hộ kinh doanh nhỏ tại Hàn Quốc giới thiệu sản phẩm để tạo thu nhập. Theo doanh nghiệp, chương trình này vận hành theo mô hình liên kết tương tự nhiều công ty toàn cầu khác, đồng thời vẫn bảo vệ dữ liệu khách hàng và tuân thủ quy định pháp luật. Công ty cho biết sẽ chờ văn bản nghị quyết chính thức từ Ủy ban và kỳ vọng các tình tiết liên quan sẽ được làm rõ trong quá trình tố tụng pháp lý sau đó.