从全球数据泄露事件看网络与数据安全的合规与监管

一、引言：全球数字经济中的网络与数据安全新常态

2025年，全球数字经济监管持续趋严，网络与数据安全已从技术议题升级为影响企业运营与战略的核心法律风险。IBM Security《2025年数据泄露成本报告》显示，全球单起数据泄露平均成本达444万美元。监管重心正从“是否建制度”转向“制度是否落地、措施是否有效”，执法强度与频次显著提升。

本文聚焦2025年三起标志性数据泄露事件，剖析企业在内部治理、应急响应及供应链管理中的典型风险，并提供务实合规建议。

二、2025年重大数据泄露事件的法律风险透视

（一）韩国Coupang与SK电讯案：内部治理失效的集中兑现

韩国《个人信息保护法》（PIPA）对企业设定了高标准义务，但2025年两起巨头事件暴露出基础治理短板。

2025年11月，韩国最大电商平台Coupang发生涉及3370万客户账户信息的重大泄露；同年8月，通信巨头SK电讯因数据泄露被韩国个人信息保护委员会（PIPC）处以1348亿韩元罚款。

图1 Coupang官网主页（功能类似淘宝、亚马逊）

图2 SK Telecom官网页面（已中文翻译）

调查显示，Coupang事件疑似源于内部员工利用认证系统漏洞越权访问，暴露其身份与访问管理（IAM）缺陷：未落实“最小权限”原则、权限分级粗放、异常行为监测能力缺失——泄漏持续五个月才被发现。SK电讯则因互联网系统与内网缺乏物理隔离导致泄露，该基础性措施缺位被PIPC明确认定为重大过失。

两案均体现典型的“安全负债”（Security Debt）：长期忽视基础架构投入，最终以百倍代价偿还——高额罚款叠加商誉损失，SK电讯还额外推出客户安抚计划以重建信任。

（二）美国Marquis案：供应链的“多米诺骨牌”效应

2025年8月，美国金融软件供应商Marquis Software Solutions遭勒索攻击，攻击者利用SonicWall防火墙漏洞窃取文件，致超78万终端客户的敏感金融信息泄露。虽受攻击方为供应商，但使用其服务的700余家金融机构作为实际数据控制者，承担主要法律责任与商业损失。

图3 AI生成示意图，仅供参考

该案揭示关键合规原则：数据合规责任不可通过外包转嫁。数据控制者无法仅凭服务合同将合规义务与风险完全转移至供应商。监管机构与用户仍会追溯至控制者本身。企业须在采购环节严格审查数据处理协议（DPA），将供应商网络安全能力、审计权限、事件通报时限及协同处置义务纳入核心条款，构建实质性“合规护城河”。

三、企业数据安全合规要点分析

（一）内部治理：数据安全问责与权限管理

Coupang与SK电讯案例共同指向企业内部治理短板：身份与访问管理（IAM）策略失效、数据资产底数不清、网络隔离与访问控制等基础措施缺失。企业需建立匹配自身风险等级的数据安全管理制度，明确各层级职责与问责机制，并通过定期审计与管理层认证确保制度持续有效运行。

图4 AI生成示意图，仅供参考

（二）事件响应：及时、准确、透明的通报义务

数据安全事件发生后，及时、准确、透明的通报已成为全球监管共性要求。企业须在“知晓”或“有理由认为”事件发生时，立即启动法律与技术团队联合评估流程，确保在法定时限内完成向监管机构及受影响用户的通报。

以下为韩国、欧盟、美国主要通报义务对比：

韩美欧针对数据安全事件通报义务的法律规定

（三）第三方风险管理：对外包服务商的法律审查

Marquis案表明，数据控制者无法通过外包规避合规责任。企业须在数据处理协议（DPA）中明确约定：供应商应达到的安全标准、企业享有的技术审计权、事件发生后的通知时限与协作义务，确保供应商的安全能力成为企业自身合规体系的有效延伸，而非风险敞口。

四、结语

2025年多起重大泄露事件表明，基础安全薄弱与内部治理缺位，将直接导致高额罚款、集体诉讼及难以估量的商业损失。在全球监管日益严格的背景下，数据安全合规已非一次性应对，而是一项必须融入日常运营的战略性持续投入。

企业需整合高层治理、技术防御、合同管控与应急响应能力，构建系统化、可落地的安全合规体系，方能在复杂监管环境中有效管控风险、保障业务韧性。