[事事关心]个人信息泄露，不是结束而是开始

by Yoo Byeongdon

Published 10 Dec.2025 10:38(KST)

Updated 10 Dec.2025 14:31(KST)

open/close

酷澎3370万条个人信息泄露
定制化犯罪或将成日常

市民对于Coupang个人信息泄露事件的看法分成两派。一种是“又出事了”的无奈，另一种是“这次会不会轮到我”的不安。这种不安并非空洞的恐惧。个人信息泄露并不是到此为止的单一事件，而在大多数情况下会成为二次犯罪的起点。

此次事件中被指可能泄露到外部的信息，不仅包括姓名、联系方式、地址，还可能包括购买记录、配送信息。每一项信息单独存在时就已具有风险，而一旦彼此结合，犯罪的精确度就会跃升到完全不同的层级。与过去那种随机群发的垃圾短信或电话诈骗不同，如今可以实施掌握“真实订单记录”后再接近受害者的犯罪。“您最近订购的商品出现了问题”“需要为您办理退款”“快递员投错了件”之类的句子，如今已是屡见不鲜的诈骗话术。

这种“量身定制”的犯罪极易瓦解受害者的警惕心。当对方准确说出自己的实名、确实订购过的商品名称，甚至连配送地址都完全吻合时，受害者往往难以意识到这其实是犯罪。尤其对于老年人或不熟悉数字环境的人而言，“官方通知”和“诈骗信息”之间的界限早已模糊不清。信息越具体，人就越容易上当。被泄露的信息不仅会被用于电话金融诈骗、短信钓鱼、账号盗用、冒用名义等基本犯罪，近年来甚至被滥用于冒充快递员或客服人员上门的犯罪形式。个人信息泄露早已不再只是停留在屏幕上的风险。

更严重的是，被泄露的信息并不会一次性消耗殆尽。一旦流入黑暗市场，这些信息会被转卖、再流通，在数月乃至数年间被反复用于犯罪。即便更换电话号码、重新补办银行卡、更改账户信息，已经流出的数据仍会不断被动员到其他形式的犯罪中。受害并非“一次性事件”，而是长期化的过程。

承担这种长期风险的主体始终是个人。企业发布道歉声明，提出一定程度的补偿方案；国家机关在调查事故原因后，讨论处以罚款和下达整改命令。但对于反复打来的电话诈骗、可疑短信和链接、垃圾账号的访问尝试、非法广告信息等，所有应对责任却完全落在个人身上。

在这一结构中，责任被奇异地拆分：信息泄露的第一责任在企业，二次受害的直接加害者是犯罪分子，而实际的恢复成本和不安代价则由受害者承担。与此同时，行政与制度往往要在事件发生之后才姗姗启动。国家对企业处以的罚款和整改命令，虽然被包装为“防止再次发生”，但并不能从根本上阻断已泄露信息所引发的二次受害。必须强化对企业进行常态化安全检查及信息管理实际状况的实质性监管权力，并在法律上明确将因泄露导致的二次受害也纳入企业责任结构之中。只有当企业承担的责任上升到能够真切感受到经营风险的程度，安全投入才不至于仅被视为一项成本。