針對酷澎台灣逾20萬筆客戶資料外洩一事,數位發展部(簡稱「數發部」)今(26日)出具最新説明,實地調查後列出酷澎台灣個資管理缺失,將於3月完成報告後進行開罰,若援引個資法第48條來看,最高可開罰新台幣200萬元。同時,數發部透露,將會要求酷澎台灣的客戶資料要落地儲存管理。另外,在數發部眼中,接觸(Access)資料就算是資料外洩!
鏡週刊2026.02.26 13:00 臺北時間
數發部揭酷澎台灣缺失最高可開罰200萬 將要求客戶資料落地管理
- 記者|鏡週刊
為了解台灣客戶個資是否受到酷澎南韓個資外洩事件影響,數發部於去年12月24日就曾親赴酷澎台灣位在台北101的辦公室進行了解,昨(25日)再度邀集法律、資安專家學者、刑事警察局及資安院組成行政調查小組,進行實地個資行政檢查。
今日一早,數發部便針對酷澎台灣用戶外洩事件,整理出4大說明:
- 酷澎台灣資料外洩的攻擊者與酷澎南韓攻擊事件為同一人,皆是那位酷澎韓國離職員工,並以持有備援金鑰得以偽造客戶登入驗證之手法,擷取部分使用者資料。
- 根據第三方資安公司鑑識報告指出,攻擊者是透過2,000多個不同IP網址,登入並接觸了20萬4,552名酷澎臺灣用戶的個資,包括姓名、電子郵件、電話號碼、配送地址,及部份訂單紀錄等。
- 先前酷澎台灣表示,台灣與韓國的用戶資料庫有區隔,惟檢查結果發現,不同資料庫之備援金鑰係相同,使用同一備援金鑰即可存取。
- 酷澎未刪除離職員工之權限及定期更換備援金鑰,導致離職員工仍可用備援金鑰存取資料。
數發部表示,後續將依《個人資料保護法》及《數位經濟相關產業個人資料檔案安全維護管理辦法》等相關規定,對鑑識報告及各項情事進行查核,並就調查事證結果,依法定程序辦理後續裁處事宜。
若從個資法第48條來看,未採取適當安全措施導致個資外洩,主管機關可直接開罰新台幣2萬元至200萬元,也就是說,情節嚴重者最高可開罰200萬元,不過數發部強調,仍須待報告出爐後才會公布最終開罰數字。
除了開罰要求酷澎矯正疏失外,數發部也在研擬如何要求酷澎將台灣用戶的資料在台灣進行管理,也就是資料落地,讓酷澎台灣和南韓資料分開管理也分開儲存。
此外,數發部指出,先前便對酷澎台灣鄭重說明,希望在台補償方案優於南韓方案,而酷澎台灣端出來的補償方案,雖然折價券總金額與南韓相近都落在新台幣千元水位,不過經過協調,酷澎台灣5張購物折價券都能在電商使用,較南韓版本僅有1張能在電商事業使用,已有爭取與進展。
相關文章