Coupang bị phạt 410 triệu USD vì vi phạm dữ liệu kỷ lục tại Hàn Quốc

Cơ quan quản lý quyền riêng tư của Hàn Quốc đã áp mức phạt kỷ lục 410 triệu USD đối với Coupang vì vụ vi phạm dữ liệu ảnh hưởng đến 37,6 triệu người dùng, mức phạt doanh nghiệp lớn nhất thuộc loại này tại nước này.

Ủy ban Bảo vệ Thông tin Cá nhân Hàn Quốc (PIPC) hôm thứ Năm đã phạt Coupang 624,68 tỷ won (410,1 triệu USD) vì vụ vi phạm dữ liệu ảnh hưởng đến 37,6 triệu người dùng, mức phạt doanh nghiệp lớn nhất về quyền riêng tư trong lịch sử nước này.

"Sự cố này không phải do kỹ thuật hack tinh vi gây ra, mà là do hệ thống quản lý bảo mật cơ bản không đầy đủ và sự cẩu thả của Coupang," bà Kyung Hee Song, Chủ tịch PIPC, phát biểu tại một cuộc họp báo.

Theo tính toán của Reuters, khoản phạt tương đương 1,4% doanh thu 45 nghìn tỷ won năm 2025 của Coupang. Một cựu nhà phát triển phần mềm người Trung Quốc đã giữ lại khóa xác thực sau khi rời công ty, cho phép truy cập trái phép trong khoảng một năm cho đến khi Coupang phát hiện vụ vi phạm vào tháng 11/2025. Coupang cho biết thủ phạm đã truy cập tên, số điện thoại và mã khóa của tòa nhà dân cư, nhưng không lấy được dữ liệu thẻ tín dụng hoặc giấy tờ tùy thân do chính phủ cấp. Cơ quan quản lý cũng phát hiện công ty đã thu thập bất hợp pháp dữ liệu hoạt động trực tuyến của khoảng 11 triệu khách hàng thông qua một chương trình tiếp thị mà không có sự đồng ý của họ.

Khoản phạt này gia tăng áp lực pháp lý lên gã khổng lồ thương mại điện tử có trụ sở tại Seattle, công ty kiểm soát khoảng 40% thị trường logistics của Hàn Quốc, và diễn ra trong bối cảnh Washington và Seoul tiếp tục đàm phán thương mại. Coupang cho biết họ lấy làm tiếc về quyết định này và hy vọng các sự thật sẽ "được làm sáng tỏ rõ ràng thông qua các thủ tục pháp lý," ám chỉ khả năng kháng cáo.

Cổ phiếu Coupang đã giảm 4,97% trên Sở giao dịch Chứng khoán New York sau thông báo, phản ánh lo ngại của nhà đầu tư về tác động tài chính và uy tín. Công ty, được thành lập tại Delaware nhưng phần lớn doanh thu đến từ Hàn Quốc, trước đó đã tuyên bố sẽ tăng cường hệ thống bảo vệ dữ liệu.

PIPC cho biết Coupang đã không phát hiện vụ vi phạm trong vòng 72 giờ theo yêu cầu của luật pháp Hàn Quốc. Bà Song lưu ý rằng hệ thống bảo mật của công ty cho phép tin tặc dễ dàng truy cập thông tin cá nhân của tất cả khách hàng ngay cả sau khi nghi phạm đã rời công ty, và Coupang chỉ nhận biết được lưu lượng dữ liệu bất thường sau một khiếu nại của khách hàng.

Cuộc điều tra đã thu hút sự chú ý từ các quan chức thương mại Mỹ do lo ngại rằng chính quyền Hàn Quốc đã vượt quá thẩm quyền trong cách đối xử với công ty niêm yết tại Mỹ. Hàn Quốc khẳng định cuộc điều tra không phải là vấn đề thương mại hay an ninh và cần được xử lý tách biệt khỏi các cuộc đàm phán song phương đang diễn ra.

Khoản phạt vượt xa các mức phạt vi phạm dữ liệu trước đây áp dụng cho các công ty Hàn Quốc bao gồm SK Telecom và KT, báo hiệu sự leo thang đáng kể trong hoạt động thực thi của PIPC. Mức phạt tương đương gần đây nhất — khoản phạt 7,5 tỷ won đối với SK Telecom vào năm 2023 vì rò rỉ dữ liệu ảnh hưởng đến 19 triệu người dùng — chỉ chưa đến 2% so với mức phạt hiện tại, nhấn mạnh lập trường cứng rắn hơn của cơ quan quản lý.

Bài viết này chỉ mang tính chất tham khảo và không cấu thành lời khuyên đầu tư.