韩国经营须注意哪些数据隐私问题？

韩国规范个人信息处理活动的主要法律是2011年颁布的《个人信息保护法》（PIPA）。个人信息保护委员会（PIPC）是负责实施PIPA和制定相关政策的主管机关。除PIPA外，另有行业专门法律为特定类别的个人信息提供保障，例如定位数据和信用信息。

本文概述了外国实体在韩国运营时须注意的主要事项，重点聚焦PIPA的域外适用范围、执法趋势、跨境数据传输以及应对数据泄露的义务。

一、PIPA域外效力

尽管PIPA未明确界定其域外适用范围，一般认为PIPA在以下涉及外国实体的情形中适用：

（1）外国实体处理韩国公民或居民的个人信息，无论该实体位于何处；

（2）韩国实体或外国实体在韩国境内处理个人信息。

为明确适用范围，PIPC于2024年4月4日发布《关于〈个人信息保护法〉适用于外国经营者的指引》，声明PIPA适用于以下情况：

（1）向韩国数据主体提供商品或服务；

（2）处理个人信息的方式直接影响韩国数据主体，或对他们产生重大影响；

（3）经营者在韩国领土内设有营业场所。

对PIPA域外适用范围如此宽泛的解读表明外国实体必须严格遵守韩国的数据保护法。

二、强化执法

2023年，PIPA全面修订，取缔了部分与个人信息泄露和收集相关的的刑事处罚，同时大幅提高行政处罚力度。值得注意的是，行政罚款的计算基准由“与违法行为相关的收入”改为“实体的全部收入”。

例如，如果数据控制者未按PIPA第64-2条第1款第ix项和第2款规定采取适当的安全措施，PIPC可对其处以最高相当于全部收入(除去与违法行为无关的收入)3%的行政罚款。“于是，违法行为无关的收入”成为行政罚款计算的关键要素。

PIPC于2024年5月8日依修订后的PIPA开出了一张罚单——Golfzon因数据泄露事件被处以75亿韩元(约520万美元)行政罚款，这是迄今对国内公司的最高罚款。这个案件也启示企业有必要采取战略性的法律手段来确保“与违法行为无关的收入”计算合理恰当。

外国实体也必须应对韩国日益严厉的监管执法环境。2025年1月，PIPC在一起跨境数据传输案件中对KakaoPay处以59亿韩元行政罚款，对苹果国际分销有限公司（Apple Distribution International）处以24亿韩元（另加220万韩元）行政罚款，这是PIPC迄今开出的最大罚单之一。

在这起案件中，PIPC调查发现KakaoPay和苹果在未通知用户的情况下，通过他们与支付宝的服务关系对用户的个人信息进行跨境处理。KakaoPay已将此次行政处罚结果诉至法院，目前，法院仍在审理此次处罚的合法性。

包括这一案件在内的近期执法行动不仅因行政罚款金额之高而瞩目，更显示了PIPC对外国实体跨境数据合规的高度关注。

此外，PIPA最新修订（将于2025年10月2日起实施）进一步强化了外国实体指定国内代表的义务。该要求最初于2020年颁布，针对信息通信服务提供者，后于2023年扩展至适用于符合以下任一条件的任何外国实体：

（1）年营业收入超过一万亿韩元；

（2）在上一年最后三个月期间平均每日处理超过一百万名韩国数据主体的个人信息；

（3）被要求提交PIPA第63条第1款规定的文件，且PIPC认为该实体必须指定代表。

代表必须从以下实体中任命：

（1）由外国实体设立的国内实体；

（2）外国实体对其施加主导影响的国内实体。

外国实体必须妥善管理和监督指定的代表，并确保在隐私政策中披露代表的姓名、地址和电话号码。未能遵守上述要求的实体可能会被处以行政罚款。

三、应对数据泄露

当数据控制者发现发生任何个人信息的丢失、被盗或未经授权披露（数据泄露）时，必须在72小时内通知受影响的数据主体(PIPA第34条第1款；施行令第39条第1款）。通知内容必须包括：

（1）泄露事件中涉及的个人信息类别；

（2）泄露发生的时间及情形；

（3）数据主体可采取的减轻潜在损害的措施；

（4）数据控制者已采取的对策和补救程序；

（5）负责处理报告或申诉的部门联系方式。

若数据泄露涉及以下情形，数据控制者还必须在72小时内向PIPC或韩国互联网振兴院（KISA）提交报告：

（1）1000名或以上数据主体的个人信息；

（2）敏感信息或独特识别信息；

（3）非法外部访问数据控制者的数据系统或数据处理设备（PIPA第34条第3款；施行令第40条第1款）。

未能在知悉数据泄露后72小时内通知数据主体或向PIPC或KISA报告的，可能被处以最高3000万韩元的行政罚款。

如因数据控制者的过失或故意不当行为造成泄露，数据主体可要求最高300万韩元的赔偿。在此情况下，数据控制者必须证明其不存在故意或过失（PIPA第39-2条）。

PIPC在收到数据泄露报告或通过自身监测获悉此类事件后，可要求数据控制者提交相关资料。

若数据控制者未履行上述义务或被认定违反PIPA，PIPC还可进入相关当事人的营业场所进行检查（PIPA第63条）。在调查过程中予以配合，可作为计算行政罚款时的酌情减轻因素。

四、跨境数据传输

须向境外提供个人信息、将个人信息外包给境外处理或将个人信息存储至境外(跨境传输)的数据控制者，必须遵守PIPA第28-8条第1款的规定，否则通常会受到行政处罚。

在PIPA修订前，只要获得数据主体同意，就可以跨境传输数据，但2023年的修订增加了跨境传输必须遵从的其他法律依据：

（1）在法律、韩国为一方缔结的条约或其他国际协议中对跨境传输有具体规定；

（2）为履行与数据主体订立的合同而需在境外委托处理或存储个人信息，且已通过隐私政策或施行令规定的其他方式通知数据主体；

（3）数据接收方已取得个人信息保护认证或PIPC认可的其他认证；

（4）向经PIPC认可为提供充分保护水平的国家或国际组织转移个人信息。

修订后的PIPA还授予PIPC叫停跨境传输的权力（PIPA第28-9条）。

在获取跨境传输个人信息的同意时，数据控制者必须向数据主体事先说明传输详情（）IPA第28-8条第2款），且这些内容必须载入隐私政策（PIPA第30条第1款viii项；施行令第31条第1款ii项）。

在订立与此类传输相关的合同时，数据控制者还必须确保协议条款不违反PIPA的规定（PIPA第28-8条第5款）。

随着韩国数据隐私监管的演变，外国实体来韩经营必须谨慎规划数据管理流程。PIPC加大了对跨境数据传输的执法力度，如企业未能遵守法律关于同意、通知和合同的规定，将面临严厉处罚。有针对性的合规策略是确保监管合规、赢得消费者信任的关键。

（来源：亚洲商法ABLJ，作者：高焕京，蔡盛喜，孙京玟）