[记者手记]数字灾难时代…个人信息委员会“隐身”

by Kim Bokyung

Published 05 Dec.2025 10:34(KST)

由于Coupang发生大规模个人信息泄露事件，国民蒙受了严重精神损害，但主管部门个人信息保护委员会的存在感却十分淡薄。即便拥有在违反《个人信息保护法》时可以按销售额3%征收罚金的强力法律，在事前防止泄露和将损失最小化方面，其职能缺失已暴露无遗。

个人信息保护委员会本月3日召开紧急全体会议，敦促Coupang将此前以个人信息“曝光”名义发送的通知更正为“泄露”并重新发送，通过弹窗等方式在一定期间内公告泄露内容，并积极告知追加防止损失的要领。同时，还责令其强化自有监测，并扩大运营专门应对团队。对此，截至5日上午，Coupang仅在官网客服中心公告中加入了“泄露”一词，并仍以“（为防止损失）顾客无需采取额外措施”为由，继续表现出掉以轻心的态度。个人信息保护委员会相关负责人在接受《亚洲经济》电话采访时表示：“已要求Coupang在7日内提交整改结果”，“若未在期限内履行，将根据法律在事前通知后，成为整改命令及罚款的对象”。

个人信息保护委员会掌握着《个人信息保护法》这一法律工具，一旦发生个人信息泄露，可对企业整体销售额处以最高3%的罚金。据此预计，Coupang的罚金将超过1万亿韩元，但业内认为，Coupang很可能对罚金处置不服而提起行政诉讼。为避免在诉讼中处于不利地位，Coupang极有可能采取缩小事件规模、坚持自己在保护管理责任方面并未疏忽的“装不知”姿态。

用于证明企业已建立个人信息保护体系的国内权威认证制度ISMS-P，其实效性也不足。有效期3年的ISMS-P认证每年要接受一次审查，而漏洞正是在这里暴露出来的。并不存在对相关企业进行定期监测的程序，审查标准和方式也被指仅是形式性地构成。例如，今年个人信息保护委员会的ISMS-P项目预算为2亿韩元，明年也被冻结在2亿韩元。虽然Coupang事件发生在预算审查过程中，但预算未能增加，令人遗憾。个人信息保护委员会在原有预算基础上追加申请了11亿韩元，但据称未获国会预决算委员会采纳。即便拥有强有力的法律和认证制度，如果只是空有其表，无法在一线发挥实效，终究形同虚设。