按“精神损害每人10万韩元”计算…酷澎首遭“惩罚性赔偿”或达6万亿韩元
3370万人受害引发适用法律争议再燃
赔偿金额或高达数万亿韩元规模
是否存在故意或重大过失成最大争点…企业安全管理标准亦遭质疑
人们关注此次“Coupang 3370万名客户个人信息泄露”事件,是否会成为韩国国内首次实质适用惩罚性损害赔偿制度的案例。现行《个人信息保护法》规定,因企业的故意或重大过失导致个人信息泄露时,须赔偿损失金额最高5倍的损害赔偿,但一直以来被指出缺乏实效。本次事件的受害规模为历来最大,有分析认为,在本案中法律适用范围和赔偿规模都有可能空前扩大。
据相关业界3日消息,法律事务所“Beonhwa”已向首尔东部地方法院对Coupang提起诉讼,要求每人支付300,000韩元精神损害赔偿金。在此之前,法律法人“Cheongdo”也已召集14名受害者,向首尔中央地方法院提交了诉状,大伦等多家律师事务所正在招募集体诉讼参与者。针对Coupang的集体诉讼筹备咖啡馆已超过30个,加入人数约为50万名。这是在上月29日大规模个人信息泄露事件曝光后短短5天内出现的变化。如果这一趋势持续下去,预计到年底参与诉讼的人数将扩大到数十万名。
首例惩罚性损害赔偿适用可能性大增的Coupang
法律界认为,即便只依据现行惩罚性损害赔偿规定,Coupang的潜在负担规模也可能相当可观。以近期判例为基准,若假定每人精神损害金额为100,000韩元,当5万人参与诉讼时,基本损害额为50亿韩元,适用5倍惩罚性损害赔偿后将增至250亿韩元;若参与人数为50万人,惩罚性损害赔偿额为2,500亿韩元,参与人数达100万人则约为5,000亿韩元。若将这一数值直接套用于全部受害者人数(3,370万名),则仅基本损害额就达3兆3,700亿韩元,按法律适用上限(5倍)计算,理论上的赔偿额最高可增至16兆8,500亿韩元。由于预计参与集体诉讼的人数已在快速增加,实际请求金额有可能比上述数字更大。
在前一天举行的国会科学技术信息广播通信委员会紧急质询中,确认了Coupang在安全管理体系方面存在重大缺陷。Coupang首席信息安全官(CISO)Brett Mathis表示,攻击者获取了Coupang内部的私有签名密钥(加密密钥),生成了伪造认证令牌,通过此方式在不输入密码的情况下伪装成其他用户,阅览了内部信息。舆论指出,事件的根本原因并非高度复杂的外部入侵,而是长期放任未回收的加密密钥,导致管理失职。
惩罚性损害赔偿制度是为防止企业再犯并提高警示效果,而对违法行为所造成的实际损失额以上的金额进行课责的一种制度。2014年信用卡公司信息泄露事件后,2015年在《个人信息保护法》中增设了相关规定,但由于企业只要证明“无故意或重大过失”即可免除责任,事实上几乎没有适用案例。去年Kakao发生3,300万条信息泄露,仅被处以151亿韩元的罚款;今年2,300万人的个人信息在SK电信事件中被泄露,罚款为1,347亿韩元。
Coupang事件发生后,国会正在加快以大幅强化制裁体系为方向的立法讨论。共同民主党议员Lee Hoonki提出的《个人信息保护法》修正案规定,当个人信息因丢失、盗窃、泄露等遭到损害时,可对经营者处以“最高相当于全部销售额10%”的罚款。以Coupang去年41万亿韩元销售额为基准,若适用该法,最多可被处以4.1万亿韩元的罚款。
共同民主党议员 Park Jumin 作为代表提出了“惩罚性损害赔偿制定法”,规定在因故意或重大过失给他人造成损害的情况下,须赔偿损失金额两倍;国民力量党议员 Park Jungha 提出设立“个人信息受害补偿基金”;议员 Lee Sanghwi 则分别提出了在一旦知悉泄露事实时,立即通知受害者、强化相关义务的修正案。
海外已将巨额赔偿与制裁常态化
在海外,针对大规模个人信息侵害,巨额赔偿与制裁已实现常态化。美国信用评级公司Equifax在2017年7月发生侵害事件,并于9月公开,约1亿4,700万人的敏感信息被泄露。由于其被认定存在安全补丁延误和内部管控不力的责任,2019年承担了最高7亿美元(约9,000亿韩元)的和解金。
2019年,Meta(原Facebook)在未获同意的情况下向一家民意调查机构泄露了8,700万人的个人信息,被美国联邦贸易委员会(Federal Trade Commission)处以50亿美元(约6万亿韩元)的罚款。美国移动通信公司T-Mobile也在2021年发生7,660万人的信息泄露事件后,支付了3.5亿美元(约5,140亿韩元)作为赔偿金。
版权所有 © 阿视亚经济 (www.asiae.co.kr)。 未经许可不得转载。
