砸下“火箭配送1万亿”投资的酷澎内部控制失灵…史上最大规模个人信息泄露

3370万条个人信息泄露
更倾向于认为是离职员工所为
专注扩张物流基础设施等技术投资
安全等内部管理体系漏洞暴露

据悉，国内最大电子商务平台Coupang因一名泄露多达3370万条客户个人信息的中国籍前Coupang员工被举报至警方，由此引发外界对Coupang内部控制失灵可能性的强烈质疑。

打出科技企业旗号的Coupang，以构建全国配送网络为目标，投入近10万亿韩元完善物流基础设施，并一直强调利用人工智能（AI）的创新技术重要性，但外界指出，其在管理和保护海量客户数据方面却流于疏忽。

1日，据流通业界消息，Coupang前一日向客户发送通知短信称：“发生了部分泄露客户宝贵个人信息的事故”，并表示：“本次事件系未经授权的查询所致，目前正与警察厅、个人信息保护委员会、韩国互联网振兴院等相关主管部门协作调查中。”

个人信息泄露者为中国籍前Coupang员工，目前已从Coupang离职并滞留海外。据悉，该员工在窃取个人信息后，近日向Coupang方面发送带有威胁性的电子邮件，Coupang由此才察觉到个人信息被泄露的事实。

根据Coupang向美国证券交易委员会（SEC）提交的去年年度报告，Coupang在首席信息安全官（CISO）之下设有约200人的信息安全团队，运营一套负责监督和识别与第三方供应商、服务提供商以及客户等相关信息访问等安全事故的系统。

因此，Coupang员工要访问客户信息必须经过审批程序，但据传该员工是通过未经批准的ID查询客户信息的。Coupang在察觉客户信息被擅自查询后，追踪相关ID，确认有4500个账户的个人信息遭到泄露，并向个人信息保护委员会进行了申报；在后续调查过程中，又确认自5个月前的6月24日起就持续发生未经授权的查询行为。

鉴于Coupang此前一再强调自己不仅是流通企业，更是科技企业，如今却在事故预防和事后应对上显得过于松散，因此招致批评。此前，自2014年起10年间，Coupang为构建火箭配送基础设施，在物流中心建设、快递分拣机器人设备、配送员招聘等方面投入超过6.2万亿韩元。去年又提出愿景，计划到2027年再追加投入3万亿韩元以上，将火箭配送覆盖区域扩展至全国。仅这些投资金额就接近10万亿韩元。与此同时，公司还以“以客户为中心、以数据为基础的创新、聚焦问题并快速解决”的工程文化为优势，大力鼓励培育创新技术。近期，Coupang还在首尔担任黑客松大赛主办方之一，汇聚全球信息技术开发者创业公司、工程师、设计师等各领域专家，共同开发利用AI技术的解决方案，积极扩展技术生态体系并发掘新的增长动力。

在信息保护领域，Coupang也在扩大人力和物力投入，但与公司快速的增长势头相比，占比并不高。根据韩国互联网振兴院（KISA）的信息保护公示，Coupang在信息保护领域的投资额在2021年为535亿韩元，2022年为639亿韩元，2023年为659亿韩元，去年为889亿韩元。该资料可用于了解各企业在信息技术和信息保护方面的投入规模。考虑到Coupang去年年销售额已突破40万亿韩元，舆论认为其在信息保护方面的投入仍显微不足道。同一时期，信息技术领域的投资额从7494亿韩元增至1.9万亿韩元，但在整体预算中信息保护领域的占比却从7.1%下降到4.6%。信息保护领域专职人员也仅在3年间从170人增至211人，增加约40人。

因此，有观点认为，Coupang此次个人信息泄露事故，与其说是外部入侵，不如说更大程度上源于内部系统管理问题。Coupang代表Park Daejun前一日在政府首尔办公大楼就大规模个人信息泄露事故公开致歉，对于中国籍员工涉嫌泄露个人信息一事，他表示：“属于侦查范畴，我们正积极配合调查”，“就此事本身发表言论会对侦查造成影响，因此难以多说”，划清了界限。