Co faktycznie ujawniło naruszenie w Coupang: 37 milionów użytkowników i liczba ta rośnie
Koreańska Komisja Ochrony Danych Osobowych (PIPC) nałożyła przełomową grzywnę w wysokości 624,6 miliarda wonów, czyli około 409 milionów dolarów, na Coupang, największą platformę e-commerce w kraju. Grzywna za naruszenie danych w Coupang jest teraz najwyższą karą za naruszenie prywatności, jaką kiedykolwiek nałożono w historii Korei i jedną z najwyższych odnotowanych w całej Azji.
Naruszenie dotknęło ponad 33 miliony zarejestrowanych użytkowników Coupang oraz dodatkowe 4,3 miliona osób niezarejestrowanych, co daje łącznie ponad 37 milionów osób, których dane zostały ujawnione. Dla kontekstu, Korea Południowa liczy około 52 miliony mieszkańców, co oznacza, że incydent dotknął znaczną część dorosłej populacji kraju. Ujawnione dane obejmowały podobno identyfikatory osobiste, dane kontaktowe i historię zakupów – informacje, które dają cyberprzestępcom wystarczający materiał do przeprowadzania ataków phishingowych, przejmowania kont (credential stuffing) i oszustw tożsamościowych.
Coupang zapowiedział, że zamierza podjąć kroki prawne przeciwko karze, co stanowi wstęp do przedłużającego się sporu regulacyjnego, który może potrwać latami. Firma kwestionuje zarówno wysokość kary, jak i ustalenia leżące u jej podstaw – odpowiedź ta staje się coraz powszechniejsza, gdy organy regulacyjne nakładają dziewięciocyfrowe grzywny za naruszenia prywatności.
Jak kara w Korei wypada na tle RODO i kar stanowych w USA
Wysokość tej kary od razu skłania do porównań z działaniami egzekucyjnymi w Europie i Ameryce Północnej. Zgodnie z europejskim Ogólnym Rozporządzeniem o Ochronie Danych (RODO), maksymalna grzywna wynosi 4 procent globalnego rocznego obrotu firmy. Działanie PIPC wobec Coupang sugeruje, że południowokoreańscy regulatorzy są skłonni kalibrować kary tak, aby naprawdę odstraszać duże platformy, zamiast wymierzać symboliczne uderzenia po kieszeni.
W Stanach Zjednoczonych sytuacja jest bardziej rozdrobniona. Egzekwowanie przepisów na szczeblu federalnym przez FTC jest zazwyczaj wolniejsze i bardziej oparte na negocjacjach. Działania na poziomie stanowym jednak przyspieszają. W 2025 roku stanowe kary za naruszenie prywatności w USA osiągnęły rekordowy poziom 3,425 miliarda dolarów, przewyższając sumy z poprzednich pięciu lat łącznie, co odzwierciedla szerszy globalny zwrot w kierunku traktowania nieprawidłowego zarządzania danymi jako poważnego ryzyka finansowego, a nie tylko przypisu w dokumentacji zgodności.
Kara nałożona przez Koreę na Coupang wyróżnia się, ponieważ została wymierzona wobec krajowego lidera rynku, a nie zagranicznego giganta technologicznego. Europejscy regulatorzy historycznie nakładali najwyższe grzywny na firmy z siedzibą w USA, takie jak Meta i Google. Gdy flagowa platforma e-commerce własnego kraju otrzymuje rekordową karę, sygnalizuje to, że egzekwowanie przepisów dojrzewa i wykracza poza spektakularne sprawy wymierzone w firmy zagraniczne.
Dlaczego firmy rutynowo kwestionują rekordowe grzywny za naruszenie prywatności i co będzie dalej
Decyzja Coupang o zaskarżeniu kary nie jest zaskakująca. Kwestionowanie wysokich kar regulacyjnych na drodze sądowej to standardowa praktyka korporacyjna z kilku powodów. Po pierwsze, opóźnia skutki finansowe na czas postępowania. Po drugie, firmy czasami osiągają zmniejszenie ostatecznej kwoty – albo dlatego, że sądy zgadzają się co do uchybień proceduralnych, albo dlatego, że negocjacje ugodowe kończą się niższą kwotą. Po trzecie, samo podjęcie wyzwania prawnego sygnalizuje akcjonariuszom i partnerom biznesowym, że zarząd walczy, zamiast godzić się z winą.
Ten schemat powtarza się wielokrotnie w głośnych sprawach dotyczących prywatności. Po pozwie Kalifornii przeciwko 23andMe w związku z naruszeniem danych genetycznych 7 milionów użytkowników, postępowanie sądowe przeciągnęło się daleko poza pierwotne ogłoszenie, a ostateczne rozstrzygnięcie obejmowało postępowanie upadłościowe i sprzedaż aktywów, a nie zwykłą zapłatę kary.
Dla organów regulacyjnych zakwestionowane grzywny wciąż spełniają swoją rolę. Nawet jeśli Coupang ostatecznie zapłaci obniżoną kwotę, nagłówek z ogromną sumą wysyła sygnał do innych dużych platform działających w Korei, że poważne nieprawidłowości w zarządzaniu danymi wiążą się z realnym ryzykiem finansowym. Reputacyjny koszt publicznej kary na taką skalę również działa odstraszająco, niezależnie od ostatecznego wyniku prawnego.
Kroki, które mogą podjąć użytkownicy dbający o prywatność po naruszeniu na dużą skalę w handlu detalicznym
Jeśli jesteś jedną z 37 milionów osób, których dane wyciekły w wyniku naruszenia w Coupang, lub po prostu po tak głośnej sprawie jak ta ponownie oceniasz swoją ekspozycję, istnieją konkretne kroki, które warto podjąć natychmiast.
Zmień hasła. Jeśli używasz tego samego hasła w wielu serwisach, naruszenie w jednym sprzedawcy stwarza ryzyko wszędzie. Używaj menedżera haseł, aby utrzymywać unikalne, złożone dane uwierzytelniające dla każdego konta.
Włącz uwierzytelnianie wieloskładnikowe. Nawet jeśli twoje hasło zostało ujawnione, MFA znacznie utrudnia atakującym dostęp do kont za pomocą skradzionych danych logowania.
Monitoruj swoje konta finansowe. Naruszenia w handlu detalicznym często obejmują historię zakupów, a czasem częściowe dane płatnicze. W nadchodzących tygodniach przeglądaj wyciągi z banku i karty pod kątem nieznanych transakcji.
Uważaj na phishing. Atakujący, którzy zdobyli twoje dane kontaktowe z naruszonych baz danych, często wysyłają następnie przekonujące e-maile lub wiadomości tekstowe. Bądź sceptyczny wobec niespodziewanych wiadomości z prośbą o zweryfikowanie danych konta, zwłaszcza tych, które wywołują poczucie pilności.
Zażądaj swoich danych. Wiele jurysdykcji, w tym Korea Południowa na mocy Ustawy o Ochronie Danych Osobowych, daje jednostkom prawo do żądania informacji, jakie dane przechowuje o nich firma, oraz do żądania ich usunięcia. Jeśli jesteś użytkownikiem Coupang, to prawo przysługuje ci niezależnie od trwającego sporu prawnego.
Co to oznacza dla Ciebie
Grzywna za naruszenie danych w Coupang w Korei to nie tylko historia jednej firmy czy jednego kraju. Jest częścią szerszej zmiany w podejściu rządów, które traktują dane osobowe jako chronione aktywo z realnymi mechanizmami egzekwowania. Niezależnie od tego, czy robisz zakupy na koreańskich platformach, czy nie, ten trend ma znaczenie: regulatorzy na całym świecie podnoszą stawkę dla firm, które nie chronią danych użytkowników.
Najlepszy moment na przejrzenie własnego śladu cyfrowego jest teraz, przed kolejnym naruszeniem, a nie po nim. Zrozumienie swoich praw wynikających z obowiązujących cię przepisów o ochronie prywatności to praktyczny punkt wyjścia. Szerszy obraz ewolucji egzekwowania przepisów bliżej domu można znaleźć w danych o rosnących stanowych karach za naruszenie prywatności w USA, które stanowią przydatne ramy do zrozumienia, dokąd zmierza impet regulacyjny.
