酷澎在韓國爆發的資安外洩事件延燒到台灣市場!數位發展部數位產業署(以下簡稱數產署)於24日晚間發新聞稿指出,酷澎韓國個資外洩事件已確認影響逾20萬名台灣用戶,共計20萬4,552名台灣用戶姓名、電子郵件、電話號碼、配送地址以及近5筆訂單紀錄等資料遭非法讀取。數產署表示,將於25日辦理行政檢查,如經調查發現有違反個資法情事,將依法裁處。
去年11月底,酷澎爆發史上最大規模資安外洩事件,當時台灣酷澎第一時間發聲明強調沒有台灣用戶受影響,後續事件規模擴大時,台灣酷澎仍數次表示,並未涉及台灣使用者的個資。如今在酷澎其委託之第三方資安公司Mandiant鑑定後發現,確實有影響台灣用戶資料的事實,並在23日通報數產署。
台灣酷澎急發四點聲明止血:僅1帳號資料被儲存、沒證據顯示資料在外流竄
對此,台灣酷澎也在24日深夜發表聲明,提出四大重點回應:
1.祭出補償方案: 台灣酷澎將直接通知受影響的台灣客戶,且提供總金額超過新台幣2億元的補償方案,每位受影響的客戶將獲得總價值新台幣1,000元的酷澎購物折價券。預計自今年3月8日起陸續發放。
2.沒有任何高度敏感資訊遭接觸: 本次事件遭接觸的客戶資料僅限基本聯絡與訂單資訊,包括客戶姓名、電郵地址、電話號碼、配送地址以及有限的訂單記錄。沒有任何財務或支付資訊、登入憑證(例如:密碼)或政府核發的身分證件資料曾遭接觸。
3.外洩途徑已完成封堵、設備全數追回: 所有已知曾被該名前員工用於本次事件中的設備均已追回並接受完整的鑑識分析、而用以存取系統的管道已於2025年11月即完成封堵與修補。且經由 Mandiant 確認,鑑識證據符合以下結論:該名前員工曾儲存約3,000個酷澎韓國用戶資料以及1個酷澎台灣帳號的用戶資料,且後續已刪除上述資料。
4.目前沒有證據顯示相關資料遭濫用: 目前沒有證據顯示任何經存取的客戶資料曾被該名實施外洩的前員工以外之人閱覽、分享或轉移給任何第三人。
且在遍及暗網、深網、Telegram、中國通訊平台以及其他論壇的監控範圍中,截至目前為止,沒有發現任何與本事件相關的客戶資料遭不當使用的情形,也沒有任何證據顯示任何與本事件相關的酷澎客戶資料出現在上述來源中。
從聲明內容看來,酷澎如今雖被打臉先前多次指出台灣用戶未受影響的說法,但仍試圖淡化其資安外洩的嚴重程度:不僅強調受影響的只有「基本」訂單資訊,而非支付與密碼,且指出目前「沒有證據」顯示資料有流到外部平台,還強調實際上僅1個酷澎台灣帳號的用戶資料遭「儲存」。
但外界擔心,事件的實際影響可能沒這麼簡單。細看韓國酷澎在事件爆發後的發展,酷澎從最早通報時指出僅約4500名用戶資料遭到外流,到後來暴增到共有3,370萬個帳號(幾乎是2/3的韓國人口)受影響,不僅擠牙膏式地公布,衝擊消費者信任,後續酷澎臨時執行長羅傑斯(Harold Rogers)出席韓國國會聽證會時,又堅持真正資料被存取的用戶只有3000名,引起韓國當局不滿。
是20萬還是1用戶?律師:酷澎試圖偷換「接觸」「儲存」兩種概念
而針對此次台灣酷澎的聲明,立勤國際法律事務所主持律師黃沛聲則認為:「酷澎的操作很厲害。」
黃沛聲分析,酷澎新聞稿強調,實際被「儲存」的台灣帳號資料只有1筆;但數產署原本的表述是,超過20萬筆台灣用戶資料遭「非法讀取」,而這兩個概念在法律上有所不同。
他解釋,「被儲存(retained)」代表資料被下載並保存;「被接觸(accessed)」代表資料在系統中被未授權查看或讀取。
而在台灣《個資法》的監理邏輯下,黃沛聲認為問題並不僅止於最後個資是否遭大規模下載,而在於 未授權的存取行為本身是否發生,以及企業管理架構是否過度寬鬆 。
白話來說便是:「 即便最後只有少數資料被儲存,但假若單一員工在系統中有機會未經授權便違規接觸到20萬筆帳號資料,這本身就代表企業的權限分層與最小必要原則並未落實。 」其監控與管理架構就值得被挑戰的。
黃沛聲強調,之所以說酷澎的新聞操作「厲害」,是因為他們試圖偷換概念。因為酷澎試圖強調個資是否真實被外流、濫用,「是在控制消費者對個資外洩的感受。」而監理機關所關注的資料可接觸範圍,才是企業內控成熟度的真實指標:「這兩者是不同的論述焦點。」
此外,外界關注的還有此次台灣資安外洩,會不會像韓國一樣,從原先單純的行政案件:企業因資安疏失而遭裁罰款、賠償,上綱到如今成為韓美兩國結構性的外資市場競爭議題,以及反壟斷層面監理的政治事件。
黃沛聲認為,目前台灣酷澎在法律責任「切割得不錯」,事件看起來還沒有延燒的走勢。他解釋,眼下台灣的資安外洩事件,酷澎面臨的還僅是《個資法》的行政責任問題,可能涉及是否採取「適當安全措施」、是否落實最小必要存取原則,最終面臨的就是主管機關的行政裁罰或限期改善。與酷澎在韓國面臨的處境截然不同。
台灣外洩事件會像韓美升級成政治事件?
據前美國韓國經濟研究所非常駐研究員金海允在《韓國科技與貿易觀察》的評論指出,該事件升級成韓美兩國政治事件的其一關鍵在於:
事件一個月後,酷澎股價持續重挫(截至 12 月 23 日,酷澎股票(CPNG)在一個月內下跌約 18.5%),連帶掀起投資人們的集體訴訟。
據金海允指出,除了用戶在首爾法院提起的眾多個人和集體損害賠償訴訟外,更重要的是,酷澎在韓國和美國面臨股東對美國法院分別提起的證券集體訴訟,這使得訴訟焦點從「因資料外洩而受損的韓國用戶,轉移到了聲稱因股價下跌而遭受經濟損失的美國市場股東。」
金海允指出,由於這些訴訟中聲稱的損害已從韓國酷澎用戶擴展到美國的酷澎投資者和股東,因此美國政府有充分理由關注此事,這不僅是為了保護這家「美國」科技公司免受外國監管審查,更是為了維護美國股市的完整性。
這也解釋為何自1月開始,美國方面包含總統川普、副總統美國副總統萬斯(JD Van)都陸續明示暗示的警告韓國政府不要針對酷澎等「美國企業」(酷澎雖絕大部分業務實體皆在韓國市場,但其母公司血統為美國達拉斯註冊、紐約上市的企業)尋求處罰或實施歧視性監管。
台灣酷澎仍待數產署裁處結果,但商譽恐已受損
回到台灣的視角,黃沛聲認為若酷澎針對台灣資安外洩事件,同樣選擇操作政治壓力,把議題上升為國際政治衝突,反而讓這事件的延燒風險提高,並不聰明。
他強調目前數產署也只是站在個資法維護「台灣用戶權益」的問題。且如同酷澎試圖帶的風向所示,這起事件是「前員工竊取資料」的刑事犯罪行為。前員工是刑事加害人,用戶是受害者。企業本身一方面可能是管理不周的責任主體,但另一方面也同時是被內部人員侵害的「被害企業」。在這種論述下:「酷澎只要持續加強也是受害者的形象就好。」
目前酷澎在台灣所面臨的後果,仍需等待行政檢查結果,據了解數產署應最快會在十個工作日、完成行政檢查後,進行裁處。但黃沛聲認為無論最終裁罰結果為何,可以確定的是:「台灣消費者對酷澎的信任度以及印象應已嚴重扣分。」
延伸閱讀:
5G吃到飽方案比較|中華電信、台灣大哥大、遠傳三大電信:599、799、不限速吃到飽該怎麼選?
本文不開放轉載
