Kršenje podataka Coupanga: Kada privatnost potrošača postaje geopolitika

Kada kršenje podataka prestaje biti samo kršenje podataka

Kršenje podataka u južnokorejskom e-commerce gigantu Coupangu izložilo je osobne podatke 33,7 milijuna korisnika. Taj broj sam po sebi je zapanjujući. No ono što je uslijedilo nakon tog kršenja pretvorilo je incident vezan uz privatnost potrošača u nešto daleko neobičnije: geopolitički pat između dvaju bliskih saveznika.

Izvještaji navode da je američka vlada dala naznake kako bi mogla usporiti diplomatske i obrambene konzultacije na visokoj razini s Južnom Korejom, osim ako Seoul ne zajamči da osnivač Coupanga, Bom Kim, američki državljanin, neće snositi pravne posljedice zbog tog kršenja. Kao odgovor, Južna Koreja pokrenula je značajnu vladinu reakciju koja uključuje policijske pretrese i parlamentarne pozive upućene direktorima Coupanga.

Samo kršenje prouzročio je bivši zaposlenik, što ga čini incidentom unutarnje prijetnje, a ne vanjskim hakerskim napadom. Ta razlika je važna za razumijevanje načina na koji se to dogodilo, no ne mijenja ishod za desetke milijuna ljudi čiji su podaci izloženi bez njihovog pristanka.

Problem odgovornosti o kojemu nitko ne želi govoriti

Jedna od najjasnijih pouka ovog incidenta jest koliko brzo odgovornost može iščeznuti kada su u igri moćni interesi. U većini slučajeva kršenja podataka, pogođeni korisnici tjeskobno čekaju hoće li tvrtka odgovorna za incident snositi smislene posljedice. Regulatorne kazne, odgovornost rukovodstva i obvezna poboljšanja sigurnosti trebaju pružiti određenu sigurnost da tvrtke ozbiljno shvaćaju zaštitu podataka.

No kada diplomatski pritisak uđe u jednadžbu, taj okvir odgovornosti postaje krhak. Ako se wjerodostojna prijetnja pravnim posljedicama za rukovoditelje učinkovito ukloni lobingom strane vlade, odvraćajući učinak zakona o zaštiti podataka znatno slabi. Tvrtke koje rukuju ogromnim količinama osobnih podataka moraju razumjeti da ozbiljna kršenja nose ozbiljne posljedice. Kada geopolitika kratko spoji taj proces, obični korisnici plaćaju cijenu.

Ovo nije hipotetska zabrinutost. 33,7 milijuna ljudi čiji su podaci izloženi u ovom kršenju stvarne su osobe. Njihova imena, kontaktni podaci, povijest kupovine i potencijalno drugi osjetljivi podaci sada su nekontrolirani. Diplomatski manevriranje koje se odvija iznad njih ništa ne čini kako bi smanjilo njihov rizik.

Što ovo znači za vas

Ako kupujete na međunarodnim e-commerce platformama, ovaj slučaj korisno je podsjetnik koliko malo uvida imate u to kamo vaši podaci odlaze i tko je odgovoran za njihovu zaštitu kada ih jednom predate.

Kada stvorite račun na platformi poput Coupanga, vjerujete toj tvrtki svoje osobne podatke. Praktično govoreći, također vjerujete svakoj jurisdikciji u kojoj ta platforma djeluje da ima funkcionalna i provediva pravila o zaštiti podataka. Ovaj incident pokazuje da čak i robusna nacionalna provedba može biti podložna ometanju izvana.

VPN ne bi zaštitio korisnike Coupanga od ovog kršenja. Podaci su bili pohranjeni kod same tvrtke, a nisu presretnuti u prijenosu. VPN maskira vaš internetski promet od vašeg davatelja internetskih usluga i drugih promatrača na razini mreže, ali nema nikakve veze s time što tvrtka radi s podacima koje ste joj već predali. Tko god tvrdi drugačije, preuveličava mogućnosti VPN tehnologije.

Ono što jest važno jest biti selektivan u pogledu toga kojim platformama uopće vjerujete svoje podatke. Neki praktični koraci koje vrijedi razmotriti:

• Koristite jedinstvene adrese e-pošte ili pseudonime za različite platforme, kako kršenje na jednoj usluzi ne bi imalo lančani učinak na druge.
• Izbjegavajte pohranjivanje podataka o plaćanju kod trgovaca, osim ako ne postoji jasna, kontinuirana potreba za tim.
• Pratite usluge obavješćivanja o kršenjima koje vas upozoravaju kada se vaše vjerodajnice pojave u procurelim skupovima podataka.
• Redovito pregledavajte dozvole računa na aplikacijama i platformama te brišite račune koje više ne koristite.
• Budite skeptični prema programima lojalnosti i neobaveznom dijeljenju podataka koji nude male nagrade u zamjenu za dublje profiliranje.

Međunarodna zaštita podataka ima strukturne slabosti

Ovaj slučaj također ističe stvaran jaz u načinu na koji međunarodna zaštita podataka funkcionira. Zakoni poput europske GDPR uredbe i Zakona o zaštiti osobnih podataka Južne Koreje osmišljeni su kako bi tvrtke odgovornima držali unutar određenih jurisdikcija. No nisu bili osmišljeni s mislima na scenarije u kojima strana vlada aktivno pritišće provedbu da prestane.

Kako sve više tvrtki posluje globalno i kako sve više korisnika dijeli podatke preko granica, pitanje tko je u konačnici odgovoran za zaštitu tih podataka postaje teže odgovoriti. Regulatorni okviri koji dobro funkcioniraju u izolaciji mogu zakazati kada se sretnu s diplomatskim odnosima, trgovinskim pregovorima ili sigurnosnim savezima.

Za potrošače, iskren odgovor jest da nijedan pojedinačni alat ili navika neće vas u potpunosti zaštititi u svijetu u kojemu podaci slobodno teku preko granica i odgovornost može biti razmijenjena u diplomatskim pregovorima. No informiran skepticizam prema tome tko drži vaše podatke, i zašto, razumno je polazište. Kršenje podataka Coupanga podsjetnik je da privatnost potrošača nije samo tehnički problem. To je i politički problem, a obični korisnici zaslužuju razumjeti tu razliku.