韩国作为与我国地理位置邻近的发达经济体,是众多中国企业出海布局的重要目标市场。掌握当地个人信息与数据保护相关法律法规,推动企业及时开展合规自查与整改工作,有效降低因数据合规问题引发的法律风险与商业风险,最大限度避免对企业海外发展进程及品牌信誉造成负面影响。
一、立法及执法体系
1.立法框架
· 法律法规
韩国的个人信息保护的核心立法为:《个人信息保护法》(“PIPA”),不同业务领域还可能同时受到专项法律及监管规则影响:例如,通信与网络安全领域需遵守《信息通信网络的利用促进及信息保护法》(“Network Act”),金融、征信等高度敏感的数据处理通常还需关注《信用信息的利用及保护法》(Credit Information Use and Protection Act)及其配套监管要求。
· 国际协作
2017年6月12日,韩国参与了《亚太经合组织跨境隐私规则体系》(“CBPR”)、《亚太经合组织跨境隐私执法安排》(“CPEA”)以及《区域全面经济伙伴关系协定》(“RCEP”)。
2021年12月17日,欧盟已通过针对韩国的充分性决定;2025年9月16日,韩国做出对欧盟数据保护框架认可的充分性决定。至此,在韩国与欧盟之间的数据跨境传输行为,不再需要额外保障措施。
2.监管与责任
· 监管机构:韩国个人信息保护主要监管机构是个人信息保护委员会(“PIPC”)和韩国互联网与安全局(“KISA”)。PIPC有权对违反PIPA的企业处以行政处分。KISA为接收个人信息泄露投诉的专属机构。
· 法律责任:PIPA70-74条具体规定了不同犯罪情形下应承担的刑事责任,情节严重者可处以10年以下有期徒刑,或一亿韩元以下的罚金。PIPA64条、75条、76条具体规定了行政处罚情形,一般违法行为最高可处5000万韩元以下行政罚款,涉及跨境转移、敏感个人信息、未成年个人信息处理等重点违规行为,还可加收不超过企业销售总额3%(销售额不便统计的,不超过20亿韩元)的附加费。
二、个人及敏感信息的定义
1.个人信息
“个人信息”指与在世个人相关的下列任何信息:(a)通过姓名、居民登记号、肖像等可识别特定个人的信息;(b)即使本身无法识别特定个人,但与其他信息结合后可轻易识别特定个人的信息。
2.敏感信息
“敏感信息”包括意识形态、信仰、工会或政党加入或退出情况、政治见解、健康状况、性生活及其他可能严重威胁信息主体隐私的个人信息。
三、个人信息处理核心合规要求
1.核心原则
· 必要最小原则
(1)个人信息处理者应明确规定个人信息的处理目的,并为实现该目的合法、公正地收集必要范围内的最少个人信息。
(2)个人信息处理者应采取与处理目的相适应的方式处理个人信息,不得超出该目的使用。
· 准确性原则
(1)个人信息处理者应确保个人信息在处理目的所需范围内准确、完整且与时俱进。
(2)个人信息处理者应根据个人信息的处理方式、类型等,考虑对信息主体权利的侵害可能性及相关风险的严重程度,安全管理个人信息。
· 透明公开原则
个人信息处理者应公开其隐私政策及其他与个人信息处理相关的事项,并保障信息主体的知情权等权利。
· 匿名化/假名化处理制度
(1)个人信息处理者应采取最大限度降低侵害信息主体隐私可能性的方式处理个人信息。
(2)在满足目的可实现的情况下,可考虑采用匿名化或假名化措施以降低识别风险。PIPA规定,在统计、科研、公共利益档案等场景,可在满足条件下处理假名信息(pseudonymized information),但禁止以识别个人为目的。
2. 同意机制及例外情形
企业可以基于信息主体同意处理个人信息;在满足法定条件时,也可基于合同履行必要性、法定义务、生命身体或财产安全的紧急保护、正当利益等事由开展处理。但无论基于何种处理基础,均应同步满足告知、目的限制、数据最小化与安全措施等要求。
· 同意要求
(1)“明确性”及“单独性”:个人信息处理者拟获取信息主体对其个人信息处理的同意时,应将需同意的各项事项“收集信息目的、收集信息详情、信息保留及使用期限、信息主体拒绝权利及不利后果、信息接收方(如提供给第三方)”列明,以信息主体可清晰识别的方式提出同意请求,并分别获得其同意。个人信息处理者在处理个人敏感信息或涉及跨境传输时,应获得信息主体的单独同意。
(2)未成年人信息特殊保护处理:14周岁以下儿童的个人信息需获得同意时,个人信息处理者应获得其法定代理人的同意。此时,可直接向该儿童收集获取法定代理人同意所需的必要最少个人信息,无需获得法定代理人的同意。
· 同意的撤回权
信息主体可随时向个人信息处理者撤回对个人信息收集、使用、提供的同意。信息主体撤回同意后,个人信息处理者应立即采取必要措施,如以无法恢复或复原的方式销毁该信息。
2.例外情形
· 一般个人信息处理的例外
(1) 履行法律义务或公共职责;
(2) 执行合同或保障合同履行;
(3) 保护生命、身体、或财产安全;
(4) 实现正当利益且不侵害信息主体权利;
(5) 国际条约或公共事务必要。
· 特殊主体/场景的例外
(1) 针对信息通信服务提供者:信息通信服务提供者为提供基础服务,可在无需用户同意的情况下处理必要数据,包括:为履行服务合同,且因经济或技术原因难以获取一般同意的;为计算服务费用;其他法律特别规定的情形。
(2) 敏感信息处理:原则上需单独同意方可处理,其他法律明确要求或允许处理敏感信息则可无需经信息主体同意。
(3) 假名化/匿名化信息的处理:个人信息处理者可为统计目的、科学研究目的、公共利益档案保存目的等,未经信息主体同意处理假名化信息,但不得包含可识别特定个人的信息。
3. 安全保障义务
每个个人信息处理者应采取总统令规定的必要安全保障措施(如制定内部管理计划、保存访问记录等技术、管理及物理措施),防止个人信息丢失、被盗、泄露、伪造、篡改或损坏。
4. 个人信息影响评估
若运营符合总统令规定标准的个人信息档案存在侵害信息主体个人信息的风险,公共机构首长应进行风险因素分析及改进评估,并将评估结果提交保护委员会。此时,公共机构首长应向保护委员会指定的机构申请个人信息影响评估。
5. 个人信息泄露通知
个人信息处理者发现其处理的个人信息发生泄露时,应立即告知信息主体下列事项:
(1) 泄露的个人信息详情;
(2) 个人信息泄露的时间与方式;
(3) 信息主体可采取的减少泄露损害风险的措施等相关信息;
(4) 个人信息处理者采取的应对措施及救济程序;
(5) 信息主体报告损害的服务台及联系方式。
四、个人信息跨境处理
1. 跨境传输条件
根据PIPA界定,跨境提供(含查询)、跨境委托处理以及跨境存储等行为都可能落入“境外移转/跨境传输”范畴。企业开展跨境传输时,还应确保相关跨境传输安排及合同条款不违反PIPA的强制性要求,并对传输双方的责任边界作出可执行的约定。
符合以下情形之一的,可以将个人信息进行境外移转:
(1) 信息主体另行同意境外移转的情形;
(2) 法律、以韩国为一方的条约或其他国际协定中存在有关境外移转的特别规定的;
……
结合上述规定以及中国与韩国尚未达成相互充分认定的现状,对韩出海业务中,如需将韩国用户等主体的个人信息传输至中国总部,原则上必须取得主体的单独明确同意。
2. “境外移转中止命令 ”制度
韩国的个人信息出境适用“境外移转中止命令”制度,即如果境外法律环境发生重大变化,可能对个人信息主体产生侵权风险的,保护委员会可以责令停止该传输行为。
五、合规要点
1. 企业布局韩国业务时,应当结合韩国PIPA规定,制定公开透明的隐私政策,坚持告知透明、合法基础的主线原则,重点把握信息主体知情权保障、处理目的与范围的适当性、以及敏感信息、第三方提供、跨境传输等典型高敏场景下的合规要求。
2. 在韩国收集的个人信息,如需转移/传输至中国等境外地区存储、处理,须以隐私政策/个人信息处理规则等形式,提前取得个人的单独、明确同意。
3. 若需与支付、物流、客服、营销、数据分析等第三方合作伙伴共享用户数据,应与合作方签订权责清晰的书面合同,明确界定数据保护责任边界,并对合作方采取必要监督,确保其严格遵守相应的数据安全及隐私保护规范。
4. 持续强化数据安全治理、内部控制与事件响应机制,有助于降低安全事件引发的连锁风险,并提升对监管问询、用户权利请求等的应对能力。
结语
韩国数据合规门槛高、监管严,对韩出海企业想稳扎市场,数据合规不可忽视。建议吃透PIPA核心规则,守住数据收集、传输、共享各环节底线,搭稳框架、厘清边界,争取降低长期风险、支撑稳定经营。