韩国出事,负责内部控制的美国法人保持沉默…酷澎公司治理结构被推上风口浪尖
韩国泄露3370万条数据却噤声的美国总部
安全架构与预算由美国拍板
法律责任全由韩国法人承担
随着国内第一大电商企业Coupang发生规模达3370万件的客户个人信息泄露事件,美国纳斯达克上市公司——母公司Coupang Inc董事会以及“实际控制人”Kim Beomseok董事长的责任问题正不断发酵。被指为离职员工所为的客户信息擅自查询行为持续数月期间,内部控制系统完全没有发挥作用,加之公司以警方调查为由,事实上将事态收拾工作置之不理。舆论指出,这与风险管理与监督职能事实上集中在美国本社董事会及其下属审计委员会的公司治理结构密切相关。
据业界和公告资料显示,截至2日,Coupang的业务、营收和数据大部分都在韩国。超过90%的整体销售额、约9万名员工以及逾3000万名用户全部集中在韩国。尽管如此,作为集团最高层治理结构的Coupang Inc董事会却被曝仅由包括董事长Kim Beomseok在内的8名外国人组成,成员来自美国、巴西、印度等国。
董事会构成可谓“星光熠熠”。其中包括美国半导体设计企业ARM的首席财务官(CFO)兼首席独立董事Jason Child,美国金融科技企业Brex联合创始人Pedro Franceschi,硅谷投资公司GreenOaks Capital创始人Neil Mehta,以及出身于Meta的Asha Sharma等,均为在全球信息技术、金融、科技行业拥有丰富履历的人士。
然而,面对在韩国发生的史上最大规模个人信息泄露事件,董事会至今保持沉默。“在韩国开展业务,却在美国进行控制的体系,在危机情况下演变成责任真空”的批评由此而来。
董事会下属审计委员会,是否发挥了“最后关卡”作用
Coupang的韩国法人是《个人信息保护法》的直接规制对象,处罚、罚款等法律责任也由韩国法人承担。但在实际操作中,包括安全体系构建、安全投资决策、风险管理战略等核心决策,均在Coupang Inc层面作出。
Coupang Inc董事会下属设有正式负责监督网络安全的审计委员会。委员为3人,分别是Jason Child(委员长)、Benjamin Sun、Ambarin Tuvashi。委员长Jason Child是曾在多家全球科技企业连续担任CFO的财务及风险管理专家。他于2022年4月加入Coupang董事会,曾在安全与观测技术企业Splunk等多家公司担任CFO。委员Sun是纽约风投公司Primary Venture Partners的联合创始人;委员Tuvashi则是曾任美国协作平台企业Airtable CFO的全球科技企业财务与战略专家。
根据审计委员会章程,他们必须监督内部控制、信息安全与个人信息保护政策、数据风险、内部举报调查流程以及企业全面风险管理(Enterprise Risk Management)的执行情况。审查经营层制定的网络安全政策和事故应对计划,并定期与首席信息安全官(CISO)会面,听取威胁态势汇报,也属于其职责范围。
尽管如此,在此次泄露事件中,离职员工账号却在一个多月内始终未被注销,来自海外IP的大量查询尝试也未被探知。泄露行为持续5个月之久,却看不到预警系统正常运转的迹象。有观点指出,从最基本的账号与权限管理,到异常迹象探测等核心控制环节,出现了连锁失灵。由于在集团层面负责设计安全体系并监督风险的最高主体正是Coupang Inc董事会,外界对董事会的批评由此集中爆发。
近来,美国与欧洲将网络安全与个人信息保护视为董事会层面的核心治理议题。原因在于,面临监管机构制裁和股东诉讼风险的案例不断增加。安永(EY)美洲董事会咨询中心负责人Patrick Niemann表示:“越是拥有大规模数据基础设施的企业,董事会对人工智能与网络安全等技术风险的主动监督程度,就越是与企业信任度直接挂钩。如果未能建立完善的个人信息保护原则,仅凭一次事故就可能动摇整个企业。”
Kim Beomseok董事长保持沉默,“领导力真空”
尤其是身兼Coupang Inc董事会主席和首席执行官(CEO)的Kim Beomseok,至今尚未就本次事件发表任何正式立场。Kim董事长虽在2021年辞去韩国法人Coupang董事会主席及登记董事职务,但仍保留Coupang Inc董事长一职,并持有高达74.3%的表决权,处于对韩国法人进行事实控制的地位。
在季度业绩发布后的电话会议上,直接向投资者说明未来业务战略和业绩展望的“对外代表”也是Kim董事长。舆论因此指出:“Coupang的实际最高负责人并非韩国法人,而是美国本社的董事长Kim Beomseok。”
但有批评认为,每当真正发生事故时,Kim董事长却总是退居幕后。在此次事件中,出面低头致歉并向全国民众发表道歉声明的,是韩国法人的代表Park Daejun。去年国会国政监察中,Kim董事长虽被列为证人,但以“滞留海外”为由未出席。在韩国公平交易委员会指定大企业同一人(实际控制人)时,Kim董事长也被排除在外。换言之,他规避了国内大企业所有者通常承担的那种法律责任与信息披露义务。
版权所有 © 阿视亚经济 (www.asiae.co.kr)。 未经许可不得转载。
![“请多多关照” 近来频频鞠躬九十度走近的他们,一年收入多少 [数据精选]](https://cwcontent.asiae.co.kr/asiaresize/307/2026052010120870131_1779239528.png)
