個資外洩風險? 韓媒:台灣酷澎用戶的資料「也存在南韓伺服器」
據南韓媒體今天(12/5)報導,南韓電商龍頭「酷澎」(Coupang)爆出大規模用戶個資外洩,酷澎台灣火速聲明,表示台灣用戶不受影響,不過,韓媒比對「酷澎台灣」與「韓國酷澎」的用戶隱私權條款,發現台灣用戶的資料,也被儲存在南韓的伺服器,可能存在個資外洩的風險。
據韓媒「EBN產業經濟」報導,南韓電商龍頭「酷澎」(Coupang)29日宣佈,共計3370萬筆的客戶個資外洩,引發該國民眾震驚,酷澎台灣在事件爆發後,短短數小時內,立刻發表聲明,表示沒有證據顯示台灣用戶的個資遭外洩,並與頂尖獨立資安公司的專家進行合作。
韓媒報導寫道,即便台灣分布迅速發布聲明,但比對「酷澎台灣」與「韓國酷澎」的用戶隱私權條款,發現兩地的服務系統看似分離,但真正保存用戶資料的「數位心臟」,其實都集中在南韓的伺服器。
酷澎台灣在用戶隱私權條款第三條載明:「我們將顧客的資料,儲存在位於南韓的關係企業管理的雲端空間,另備份於新加坡。」
報導強調,即便酷澎的官方說法屬實,外洩事故僅限於南韓的資料庫,但由於台灣用戶的資料,也在南韓的伺服器集中保管,共享基礎設施的情況下,一旦遭內部人士鎖定攻擊,台灣用戶的資料,也可能會有外洩風險。
酷澎台灣的隱私權條款中還提到:「無法直接識別資料主體之網路識別,或基於交易而生成的代碼,可能會透過安全網絡,傳輸至我們在中國的關係企業。」
換句話說,當台灣用戶在酷澎台灣App下單,其資料會傳輸至南韓雲端系統,備份至新加坡,部分去識別化的資料,還會送往在中國的關係企業。這次南韓酷澎資料外洩事件,核心嫌疑人就是中國籍的員工。
報導提到,「韓國酷澎」的個資條款,詳細區分個資、位置資訊、連結資訊(CI)等類別,並以3個月、3年、5年等不同期限,明定其保存期間,且規定當用戶退出會員90天後,即會刪除會員資料。
不過,「酷澎台灣」的個資條款則使用較為彈性的措辭,其中規定:「當目的達成或不存在後,我們將停止基於該目的,利用您的個人資料。」留下模糊空間,讓企業自行判斷刪除的時間點,可能成為台灣用戶的潛在風險。
報導指出,即便「韓國酷澎」在個資條款中規定,用戶退出會員90天後,即會刪除會員資料,但這次的外洩個資事件中,有些受害人早在多年前退出會員,在雙邊客戶資料儲存於共同伺服器的情況下,對南韓用戶都未能遵守的刪除原則,不太可能對台灣用戶「例外地嚴格遵守」。