2025年末,韩国电商巨头Coupang超过3300万用户数据泄露,本是一起严重的网络安全与管理事件。然而,事件的走向远超常规:韩国国会启动高强度听证与立法程序,美国国会发出传票并举行闭门听证,美国投资者依据美韩自贸协定对韩国政府发起国际仲裁,美国贸易代表办公室(USTR)更将此事与双边贸易谈判乃至安全对话挂钩。
这场风暴还远未结束。本周,50多名美国众议院议员联合致信韩国驻美国大使姜京和 (Kyung-wha Kang)并发出严厉警告,指责韩国政府系统性地针对美国公司,同时庇护中国支持的竞争对手。信中写道:“我们致力于确保贵国政府停止对Coupang及其他在韩国运营的美国公司的迫害。这关系到美国的经济和安全利益,事关重大。”
可以看到,在数字时代,一家跨国科技公司的一次运营失误,已不再仅仅是罚款与声誉损失的问题。它可能迅速演变为一个复杂的“法律-资本-政治”复合型危机,在母国与东道国的地缘政治张力中被无限放大。对于同样在全球化浪潮中航行,尤其身处中美战略竞争大背景下的中国出海企业而言,Coupang案例是一面必须正视的镜子。
01 事故原点:技术与管理失误
拥有美韩双重国籍的Kim Beomseok于2010年创立了Coupang,并通过积极扩张和效仿亚马逊的快速配送服务,将其打造成为韩国电商领域的领军企业。该公司于2021年在纽约证券交易所上市,估值超过600亿美元,成为韩国企业在美上市规模最大的案例之一。其主要投资者包括软银、红杉资本以及其他硅谷知名企业。
Coupang数据泄露事故的原点,可追溯至2025年11月18日。当日,Coupang内部系统发现存在未经授权的客户账户访问,初步评估约有4500个账户受到影响。此次异常访问的暴露,源于一名已离职员工向公司及部分用户发送了匿名威胁邮件。
根据后续韩国政府部门于2026年2月10日公布的联合调查结果,此次大规模泄露的根本原因被定性为“管理问题”。调查指出,一名已于2024年11月离职的Coupang前工程师,在职期间窃取了公司的内部签名密钥,并利用该密钥在后续持续非法访问客户账户,入侵行为至少持续至2025年11月8日。
此外,公司在事件响应流程上出现了重大延误。Coupang在内部发现漏洞超过53小时后,才于2025年11月19日晚间向韩国当局正式报告,这已远超韩国《信息网络法》规定的24小时报告时限。直至2025年12月25日,Coupang发布声明,确认约有3300万用户账户的数据在此次事件中被前员工非法访问,但声称其仅保存了约3000条记录,且未将数据传递给任何第三方。
02 韩国法律与监管的“饱和式”响应
Coupang的数据泄露事件直接触发了韩国《个人信息保护法》等法规下的行政与刑事调查,构成了所有后续法律行动的起点。
韩国个人信息保护委员会(PIPC)在此事件中展现了其近年来一贯的强硬执法风格。对比同期案例,PIPC对路易威登、迪奥、蒂芙尼三家公司因数据泄露合计处以约360亿韩元(约1.72亿元人民币)的罚款;对乐天卡处以96.2亿韩元罚款。这些案例表明,韩国PIPC对涉及大规模用户数据(尤其是百万量级)的泄露事件,处罚金额动辄达到百亿甚至数百亿韩元级别,且无论涉事企业是本土还是外资。Coupang涉及3300万用户,其面临的行政处罚风险极高。
就在Coupang事件发酵期间,韩国于2026年3月10日公布了修订后的《个人信息保护法》,新法将于今年9月施行。此次修法直接回应了包括Coupang事件在内的一系列大规模泄露事故,核心变化包括:1)责任上提至最高层CEO;2)顶格罚款从全球总营业额的3%提高至10%;3)引入了“泄露可能性”通知义务,要求企业在发现风险迹象时就必须提前告知用户。
此外,韩国反应绝非单一部门执法。Coupang此前就曾因操纵搜索排名和刷好评被处以创纪录的1628亿韩元罚款。此次数据泄露,在监管者看来,不仅是安全失误,更是拥有市场支配地位的企业未能履行与其影响力相匹配的社会责任的表现。因此,调查从PIPC迅速扩展至国税厅(税务稽查)、警方(刑事调查)等多部门,调查范围包括劳工、金融和海关等多个领域,形成“合规围剿”态势。Coupang事件为韩国推动更具干预性的平台监管提供了“社会危机”层面的正当性理由。这也说明,在数字领域,数据安全、消费者保护与反垄断监管的边界正在模糊,共同构成对大型平台的全方位规制。
事件发生后,韩国国会加速推进了旨在规制大型平台企业的《平台公平竞争促进法》的立法进程。该法案的核心是“事前指定”市场支配型平台企业,并禁止其从事自我优待、捆绑销售等四大类行为,违者最高可处相关销售额8%的罚款。尽管最终立法路径可能调整为修订现行《公平交易法》,但强化监管的方向不变
03 美国资本力量的“威慑”
传统上,跨国企业在东道国面临监管挑战时,主要依靠商业谈判、本地诉讼或政府间低调外交。美国资本在此事件中展示了截然不同的路径。
2026年1月22日,主要机构投资者Greenoaks Capital Partners和Altimeter Capital Management率先依据《美韩自由贸易协定》(KORUS)第11章“投资者-国家争端解决”(ISDS)条款,向韩国政府发出仲裁意向通知。随后,Abrams Capital、Durable等另三家基金加入。他们指控韩国政府的调查与处罚构成“不公平、不公正待遇”及“间接征收”,违反了KORUS的投资者保护条款。这是本案最具战略性的转折点。
ISDS机制允许外国投资者绕过东道国国内法院,直接在国际仲裁庭(如ICSID)起诉东道国政府。此举将Coupang与韩国监管机构的国内行政法律纠纷,瞬间提升至“国家违反国际条约”的高度。其目的不仅是索赔,更是向韩国政府施加巨大的国际法与外交压力,迫使其重新评估执法尺度。
在韩国国内舆论和政治压力要求严惩Coupang时,ISDS仲裁的威胁成为该公司最强大的“护身符”。韩国政府任何过激的处罚(如吊销执照、天价罚款),都可能被仲裁庭认定为“征收”,导致韩国面临数十亿美元的国家赔偿责任。这迫使韩国监管机构必须在平息国内民意与避免国际条约违约之间艰难权衡。
另外,同一批投资者同步向美国贸易代表办公室(USTR)提交了基于《1974年贸易法》第301条的请愿书,指控韩国政府的行为构成“不合理且歧视性的政策,对美国商业造成负担或限制”。301条款是美国单边贸易报复的工具。不过,2025年3月初投资者们决定撤回请愿书,因为美国政府表示正在考虑对韩国潜在的不公平做法进行更广泛的审查,因此继续针对单一公司的投诉已变得没有必要。
尽管已经撤回,但此举将商业争端直接嵌入美韩双边贸易关系框架,为美国行政部门的介入提供了国内法依据和舆论弹药,与ISDS仲裁形成了“国际法+国内贸易法”的双重法律威慑。
04 地缘政治的“捆绑施压”
美国政府和立法机构对Coupang数据泄露事件的回应,是一套高度协同、法律化与政治化交织的干预组合拳。
美国国会在此事件中扮演了急先锋角色,其行动迅速、多线并进,且与资本力量高度联动。美国众议院司法委员会向Coupang公司发出传票,强制要求其提供与韩国政府机构的所有通信记录,并传唤临时首席执行官哈罗德·罗杰斯于2026年2月23日出席闭门听证会。调查定性为“监督韩国政府涉嫌歧视性针对美国公司”。
此举有双重目的。对内,为事件树立“韩国政府不公”的官方叙事,收集“证据”以支持后续立法或行政行动。对外,向韩国政府展示美国最高立法机构的关注压力,并通过获取企业内部文件,实际介入和监控美韩政府间的交涉过程。
此外,美国国会还相继采取了一系列整治行动,例如筹款委员会贸易小组委员会举行听证会,主席阿德里安·史密斯公开指控“韩国监管机构正在积极针对美国科技领军企业”,并点名Coupang为例;41名共和党议员联名致信美国贸易代表办公室(USTR)等机构,要求将数字贸易壁垒纳入对韩谈判核心;50名国会议员联名致信韩国大使,要求停止针对美国公司的“定向政策打压”,并警告此举威胁美韩同盟。
这些行动形成了强大的国内政治共识与舆论声势,使美国行政部门的对韩施压“有据可依”,并将企业合规问题成功包装为关乎美国国家经济安全与联盟信誉的政治议题。
美国贸易代表办公室(USTR)取消了原定2025年12月18日与韩国的贸易协定闭门会议,时机正值韩国国会举行Coupang听证会后。USTR代表曾明确警告,若韩国推进被视为有害的立法,美国可能再次发起贸易战。USTR的行动依据是《美韩自由贸易协定》(KORUS)中的非歧视承诺,以及《1974年贸易法》第301条。其核心诉求是阻止韩国通过可能限制美资平台的法规。这直接将一家公司的数据泄露事件,与两国整体的贸易关系前景和具体立法议程捆绑,迫使韩国在“国内监管自主权”与“维持稳定对美经贸关系”之间做艰难抉择。
最终,美国将高级别外交安全会谈与Coupang创始人待遇挂钩的报道,标志着资本利益通过政治游说,成功与美国的国家安全、经济霸权叙事深度绑定。保护一家美国上市公司及其投资者,被塑造为维护“美国商业利益不受盟友不公平对待”的象征性事件。
05 对中国出海企业的核心启示
Coupang数据泄露事件及其衍生的美韩两国交涉,清晰地展示了一条从技术原点蔓延至国家关系的风险传导链。中国企业必须理解,必须构建更具韧性、更具前瞻性的战略防线,以抵御这种“立体化”攻击。
企业身份:从“商业实体”到“地缘政治节点”
中国企业必须清醒认识到,在关键行业和市场中,大型跨国企业已不再仅仅是商业实体,而是可能被各方视为 “地缘政治经济节点”。
Coupang的“在美上市、美资主导”身份,使其在危机中自动获得了美国法律与政治资源的加持。同样,中国企业的股权结构、上市地点、核心技术来源、供应链布局,都会在特定国际争端中被放大检视,成为定义其“立场”或“风险来源”的标签。
因此,与之相配的合规体系需额外具备“外交功能”,必须用应对外交危机的准备,来预案可能发生的商业危机。法务与政府关系团队需要具备处理国际投资仲裁、应对外国政府调查(如国会听证)、理解并利用双边/多边贸易协定的能力。合规报告不仅要满足当地法律,还要预判其可能引发的国际条约争议。
数据泄露:从“管理问题”衍生至“主权问题”趋势
数据不仅是用户隐私和商业资产,更是国家数字主权、经济竞争力和国家安全的组成部分。各国,尤其是美欧等主要经济体,都将数据控制权和数字产业主导权视为国家战略的核心。一次数据泄露,可能因企业身份而被东道国解读为“国家安全威胁”,同时被母国或资本来源国解读为“针对性的歧视打压”。纯技术性的合规失误,可能迅速触发法律、政治、外交的多米诺骨牌效应。
所以,数据泄露与网络攻击、外国干预、社会稳定性日益关联。这使得数据治理极易被“安全化”叙事包裹。美国将Coupang创始人人身安全与美韩高级别安全会谈挂钩,便是将商业法律问题强行嵌入国家安全议程的典型操作,极大地抬高了博弈筹码。
企业不仅要应对黑客、监管罚款,更要应对因数据问题引发的母国与东道国的政治对抗、国际仲裁、贸易制裁乃至外交危机。数据执法将成为东道国实现产业政策、贸易谈判和地缘政治目标的工具。类似Coupang的“选择性执法”或“超常执法”争议将更频繁。
06 在不确定的世界中构建确定性
以美国科技资本为代表的全球数字资本,任何国家的数据本地化、严格平台监管等政策,都被视为对其根本商业利益的威胁。Coupang事件中,美国资本的激烈反应,正是为了捍卫“数据自由流动”这一全球数字资本主义的基石。
对于志在出海的中国企业而言,真正的挑战不在于完全避免风险,而在于能否在风险发生前,就看清其可能演化的全部路径图。法律团队必须成为企业战略的核心,不仅要懂法条,更要懂政治、懂资本、懂国际关系。
本文来自微信公众号“Internet Law Review”,作者:张颖,36氪经授权发布。
