官方公众号企业安全新浪微博
FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。
FreeBuf+小程序
妖后- 关注
0
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
9
本文由
妖后 创作,已纳入「FreeBuf原创奖励计划」,未授权禁止转载
一、前言
随着数字经济的深度全球化,数据跨境流动已成为企业拓展国际市场的核心议题。韩国作为亚太地区数字化进程领先的经济体,其数据安全法律体系以《个人信息保护法》(PIPA)为核心,通过严格的要求与国际协作框架,构建了兼顾隐私保护与商业开放的双轨制治理模式。本文梳理韩国数据安全的法律法规、行业标准与实践,并提示动态监管下的合规风险与应对策略。
官方最新动态关注:https://www.pipc.go.kr/np/
政策关注:https://www.pipc.go.kr/eng/index.do
二、韩国安全法律及标准
1、韩国“数据三法”
《个人信息保护法》:PIPA是韩国最重要的数据保护法律,适用于所有处理个人信息的公共和私营机构。该法规定了个人信息处理的基本原则、数据主体的权利、数据控制者和处理者的义务等。
《信息通信网络法》:该法主要针对信息通信服务提供商,要求其采取技术和管理措施保护用户信息。
《信用信息使用和保护法》:该法专门规范信用信息的收集、使用和保护。
2、其他相关法律及标准
《位置信息保护法》:专门用于规范个人位置信息的收集、使用和保护的法律。该法律要求企业在使用个人位置信息时必须获得当事人的明确同意。
《个人信息保护法实施令》:提供了PIPA的具体实施细节。
《标准个人信息保护指南》:为企业和机构提供了数据保护的具体操作指南。
《个人数据去识别化指南》:指导企业如何对个人数据进行去识别化处理。
《个人数据假名化指南》:指导企业如何对个人数据进行假名化处理。
《海外经营者个人信息保护法适用指南》:帮助外国企业遵守《个人信息保护法》(PIPA)要求的全面指南。
《自动化决策个人信息控制者措施标准》:指导企业如何对个人数据进行自动化决策处理。
三、监管机构
个人信息保护委员会(PIPC):主要负责监督和执行数据保护法规,制定相关政策,并处理数据保护相关的投诉和纠纷;
韩国互联网与安全局(KISA):作为PIPC指定的机构,负责接收个人信息泄露报告,并协助处理相关事务;
金融服务委员会(FSC):监督信用信息企业及其对《信用信息使用和保护法》的遵守情况;
韩国通信委员会(KCC):负责处理位置信息的企业及其对《位置信息法》的遵守情况。
四、处罚案例
case1:社交网络服务提供商Things Flow Co., Ltd.因多项违规行为被处以3,092万韩元(约合18万元人民币)的罚款(2024年8月29日)
该公司为情侣聊天应用Between Us提供技术支持,但在运营过程中存在严重的合规问题:
儿童信息收集违规: 未经法定代理人同意,收集了38,633名14岁以下儿童的个人信息,严重违反了《个人信息保护法》(PIPA)对未成年人保护的规定。
系统安全管理缺失:未能妥善保存和管理个人信息处理系统的访问记录,增加了数据泄露的风险。
用户权利响应不及时: 未能在法定10天期限内响应用户查看个人信息的请求,侵犯了用户的知情权。
Case2:PIPC 对 Meta 实施制裁,因其在没有合法处理依据的情况下收集和使用敏感数据(2024年11月7日)
访问地址:https://www.pipc.go.kr/eng/user/ltn/new/noticeDetail.do?bbsId=BBSMSTR_000000000001&nttId=2698
PIPC于2024年11月4日作出决议,对Meta 未遵守个人信息保护法的行为处以216.232亿韩元的罚款及行政罚款,并责令改正。Meta的违法行为包括:
无合法处理依据而收集和使用敏感数据:在没有法律依据的情况下收集并处理约98万名韩国用户的敏感个人信息(如宗教、政治观点、同性婚姻状况等)。未经用户明确同意,将这些信息提供给约4000家广告商用于投放有针对性的广告。
无正当理由拒绝查阅个人资料 :Meta 拒绝了用户访问个人数据的请求,例如处理个人数据的期限、通过 Facebook 登录功能提供个人数据的状态、合法依据以及收集用户在 Facebook 之外的活动的同意状态.
个人数据泄露: Meta 本应采取措施删除或屏蔽无法使用的网站,但却没有删除恢复账户的页面。黑客利用这一漏洞,在恢复账户的页面上提交虚假身份信息,要求重置他人账户密码,导致 Meta 在没有充分验证身份信息是否伪造的情况下批准了这些请求。最终导致 10 名国内用户的数据泄露。
Case3:PIPC 因非法跨境数据传输对 Kakao Pay 和 Apple 进行制裁(2025年1月31日)
访问地址:https://www.pipc.go.kr/eng/user/ltn/new/noticeDetail.do?bbsId=BBSMSTR_000000000001&nttId=2771
PIPC于2025年1月22日决定对Kakao Pay、Apple 等分别进行处罚,原因是它们未能遵守《个人信息保护法》关于个人数据跨境转移的法律要求。PIPC的行政处罚如下:
● Kakao Pay:违规罚款59.7亿韩元;
● Apple:PIPC对Apple处以24亿韩元的行政罚款及22万韩元的过失罚款,并责令其改正,将Alipay列入隐私政策中委托处理的海外实体名单;。
违规行为包括:
1. Kakao Pay:未经同意直接向支付宝提供所有用户的个人信息
Kakao Pay通过第三方支付整合服务商将支付信息等转移给苹果,苹果则委托Alipay处理相关的个人信息。
2. Apple:未告知数据主体委托个人数据处理及跨境数据传输
Apple在其隐私政策中列出了NHN KCP(一家支付网关公司)作为其委托的海外实体,但未提及Alipay,导致用户无法知晓Alipay对其个人数据的处理。
五、隐私合规实践
| 重点关注 | 数据保护要求 | 实践参考 |
|---|---|---|
| 处理通知 |
| 线上发布韩语版“隐私政策” |
| 选择和同意 |
| 1、“隐私政策”放在注册/登录处,由用户勾选同意,并保留同意日志; 2、隐私政策名称必须使用“개인정보 처리방침”),并对字体加粗或使用不同的颜色标识。
|
| 目的限制 |
| 1、“隐私政策”需详细写明所有业务模块中收集的个人信息、使用目的、保留期限等。若是有重大变动,需要及时更新“隐私政策”。 2、“隐私政策”需要保留历史版本,供用户查看。 |
| 准确性 |
| 提供个人信息编辑的功能,可以让用户对其个人信息进行修改。 |
| 数据跨境传输 |
| 1、韩国对数据存储无本地化要求(除非是影响国家安全之类的),但对数据传输有明确要求。 |
| 数据保留 |
| 用户有诉求,需要支持删除数据 |
| 数据泄露通知 |
| 1、向监管报告:发现个人信息泄露后,应在72小时内向KISA报告。 |
| 数据处理协议(DPA) |
| 1、在与三方合作时,务必要考虑双方数据安全责任,若三方涉及处理个人信息时,必须要签署数据处理协议。 2、隐私政策单独增加【个人信息委托清单】或【向三方提供个人信息清单】。 参考案例: 【个人信息委托情况】:https://pay-account-web.kakao.com/terms/detail?terms_id=399 【向三方提供个人信息情况】:https://pay-account-web.kakao.com/terms/detail?terms_id=75 |
| 隐私影响评估 |
| 若发现有隐患,则主动开展隐私影响评估,输出评估结果,留档。 |
| 数据主体权利 |
| 1、对于用户权利,需要及时响应,提供接受渠道:邮箱、电话或者在线表单提交。 参考案例:https://www.huawei.com/en/personal-data-request 2、响应及时性:应在收到用户请求后的10天内响应,复杂情况下可延长至10天,但需在最初10天内通知用户延期原因。 |
| 数据安全 |
| 需要充分保障用户数据安全(技术+管理),不能出现泄露事件,被媒体传播放大,容易引起监管审查。 |
| 儿童个人信息 |
| 1、用户注册时,需要核实用户的年龄是否小于14岁,若是超过14岁,需要获取监护人的授权。 2、核实年龄的方式:根据《海外经营者个人信息保护法适用指南》中建议,用户自己填写出生日期 或 调用韩国本人确认服务 |
结束语
韩国数据安全监管正从“被动防御”转向“开放可控”,企业需以“合规先行”策略应对动态政策环境。建议结合业务场景选择认证路径,并通过技术、合同与流程的多维管控,构建可持续的跨境数据治理体系。
已在FreeBuf发表 9 篇文章
如需授权、对文章有疑问或需删除稿件,请联系 FreeBuf 客服小蜜蜂(微信:freebee1024)
知机安全
- 9 文章数
- 7 关注者