酷澎台灣爆個資風暴！20萬筆資料遭讀取恐挨罰200萬　還得資料落地

韓國電商平台酷澎於2025年11月爆發內部人員涉入的個資外洩事件，其中，酷澎台灣逾20萬筆客戶資料遭存取，數位發展部今（26）日公布最新說明，經實地行政檢查後，已發現酷澎台灣在個資管理上存在缺失，預計於3月完成調查報告後，依法進行裁處。若依《個人資料保護法》第48條規定，未採取適當安全措施導致個資外洩，主管機關可處新台幣2萬元至200萬元罰鍰，情節重大者最高可罰200萬元，最終金額仍待報告出爐後確定，同時，數發部也研議要求酷澎台灣落實資料落地。

數位發展部指出，為釐清事件影響，自2025年11月韓國事件發生後即要求酷澎台灣說明，並於2025年12月24日前往公司位於台北101的辦公室進行行政檢查，要求以雙週頻率回報韓國總部及第三方鑑識進度。其間，酷澎台灣曾於2026年1月12日、1月26日及2月9日三度回報，皆表示尚無證據顯示台灣用戶資料受影響。

然而，韓國科學技術情報通訊部於2月10日公布調查指出，攻擊者早在2025年11月16日及11月25日即透過電子郵件示警系統漏洞，並實際存取資料，影響範圍包含韓國、日本及台灣用戶。酷澎台灣隨後依最新鑑識結果，於2月23日正式通報數發部，確認台灣用戶資料確已遭非法存取。

數發部數位產業署今（26）日表示，昨（25）日已會同法律與資安專家、刑事警察局及國家資通安全研究院組成行政調查小組，赴酷澎台灣實地檢查，確認其個資管理制度存在缺失。調查初步顯示，本案與韓國事件為同一名酷澎韓國離職員工所為，該員仍持有備援金鑰，透過偽造客戶登入驗證程序進入資料庫。

第三方鑑識報告指出，攻擊者透過超過2,000個不同IP位址登入系統，接觸20萬4,552名台灣用戶資料，內容包含姓名、電子郵件、電話號碼、配送地址及部分訂單紀錄。數發部強調，即使僅為接觸資料而未下載，在行政認定上仍屬個資外洩範疇。

此外，儘管酷澎台灣先前表示台韓資料庫彼此區隔，但檢查發現不同資料庫使用相同備援金鑰，只要持有該金鑰即可存取。公司亦未於員工離職後即時刪除系統權限，且未定期更換備援金鑰，導致離職員工仍能登入系統。

數發部表示，後續將依《個人資料保護法》第48條及《數位經濟相關產業個人資料檔案安全維護管理辦法》辦理裁處。依規定，未採取適當安全措施致個資外洩者，可處新台幣2萬元至200萬元罰鍰，情節重大者最高可罰200萬元。最終裁罰金額及相關處分內容，將於3月完成調查報告後對外說明。

同時，數發部也研議要求酷澎台灣落實資料落地，將台灣用戶資料在台儲存與管理，與韓國資料分開存放與分開管理，以強化個資保護機制。另在補償方案方面，數發部要求提出優於韓國版本的內容，目前酷澎台灣提供5張購物折價券，皆可於電商平台使用，相關細節仍在持續協調中。