Компенсация будет предоставлена 33,7 млн человек - всем пользователям, которые в конце ноября получили уведомление о компрометации своих персональных данных. В список включены как действующие клиенты сервиса, так и бывшие пользователи, ранее удалившие аккаунты. С 15 января компания начнет поэтапно рассылать уведомления с разъяснением порядка получения компенсации.
Согласно опубликованному плану, каждому пострадавшему пользователю будет предоставлен единоразовый компенсационный пакет номиналом 50 тыс. вон (ок. 35 долларов). Он будет оформлен в виде четырех купонов, действительных в экосистеме Coupang - по купону различных номиналов на основной маркетплейс, на сервис доставки еды, на сервис путешествий и на люксовую платформу.
В компании подчеркивают, что компенсация предоставляется всем пострадавшим без необходимости доказывать фактический ущерб. Временный генеральный директор Coupang заявил, что руководство осознает серьезность инцидента и рассматривает выплаты как меру ответственности перед клиентами. По его словам, компания намерена "восстановить доверие и подтвердить приверженность принципу клиентского приоритета".
Однако объявленный формат компенсации вызвал резкую критику со стороны общественных организаций и политиков. Гражданские активисты обратили внимание на то, что выплаты производятся не в денежной форме, а исключительно в виде купонов, стимулирующих дальнейшее потребление внутри экосистемы Coupang. В организации заявили, что такая схема противоречит принципу прямой компенсации морального и психологического ущерба и фактически превращает извинения в маркетинговый инструмент.
Критика усилилась и на фоне парламентских слушаний по вопросам кибербезопасности. Депутаты правящей Демократической партии сочли, что компания использует кризис для продвижения малоизвестных сервисов, таких как Coupang Travel и R.LUX. Дополнительное раздражение вызвало отсутствие на слушаниях основателя компании Ким Бом Сока, который вновь ограничился письменными извинениями, сославшись на работу и проживание за рубежом.
Случай Coupang стал одним из наиболее масштабных, но далеко не единственным примером утечек персональных данных с последующими компенсациями. При этом подходы компаний и регуляторов к возмещению ущерба существенно различаются.
Для сравнения, весной 2024 года южнокорейская телекоммуникационная компания SK Telecom после взлома серверов и утечки данных десятков миллионов абонентов объявила о компенсационном пакете объемом 2,3 трлн вон. Каждый пострадавший клиент получил эквивалент 100 тыс. вон - половину в виде прямой скидки на счет, половину в виде бонусных баллов. Регулятор также наложил на компанию крупный административный штраф.
В Соединенных Штатах также были случаи крупных краж персональных данных у различных компаний, но там практика компенсаций выстроена по иной логике. Ключевая особенность американской модели - создание ограниченного компенсационного фонда в рамках коллективных исков (class action), из которого производятся выплаты всем заявившимся пострадавшим. При большом числе потерпевших это почти неизбежно приводит к резкому снижению реальной выплаты на одного человека.
Наиболее показательный пример - дело кредитного бюро Equifax, допустившего в 2017 году утечку данных 147 млн американцев. Тогда был сформирован компенсационный фонд в размере от 575 до 700 млн долларов - на тот момент крупнейший в истории. Формально пострадавшим обещали до 125 долларов компенсации или возмещение документально подтвержденных убытков до 20 тыс. долларов, а также бесплатный кредитный мониторинг. Однако из-за огромного числа заявок реальная выплата большинству пострадавших составила всего несколько долларов, а иногда - менее одного доллара, что вызвало волну общественного возмущения.
Схожая ситуация сложилась и после утечки данных у телекоммуникационного оператора T-Mobile в 2021 году, когда были скомпрометированы персональные данные 76 млн клиентов. Компания согласилась на выплату 350 млн долларов в рамках мирового соглашения. При этом без доказанных финансовых потерь клиенты могли рассчитывать лишь на компенсацию в диапазоне от 25 до 100 долларов, а максимальные выплаты - до 25 тыс. долларов - получали лишь единицы, сумевшие документально подтвердить причиненный ущерб.
Ещё более наглядным стал кейс интернет-компании Yahoo, где в 2013-2016 годах были взломаны порядка 3 млрд аккаунтов - крупнейшая утечка данных в мировой истории. Несмотря на масштаб инцидента, общий компенсационный фонд составил 117,5 млн долларов. В результате средняя выплата на одного пострадавшего оказалась символической, а основной формой "компенсации" стали бесплатные сервисы мониторинга и возможность получить возмещение за потраченное на разбирательства время - при строгом документальном подтверждении.
Таким образом, практика показывает, что размер компенсации напрямую зависит не только от масштабов утечки, но и от модели регулирования. На этом фоне решение Coupang выделить 1,685 трлн вон выглядит беспрецедентным по абсолютному объему, но спорным по форме. В пересчете на одного пользователя компенсация составляет около 35 долларов - заметно меньше, чем в случае с SK Telecom, и при этом предоставляется не в денежном эквиваленте. Именно это обстоятельство и стало главным предметом общественной дискуссии.