هيكل PIPA بعد تعديلات 2023

PIPA هو القانون الأساسي للبيانات الشخصية في كوريا الجنوبية، وتُعدّ النسخة المعدّلة نقطة المرجع لأي ناشر يعمل منذ عام 2024 فصاعداً. الفِرَق التي تعمل وفق النص السابق لعام 2023 تنظر إلى إطار قديم وغير محدّث.

ما الذي غيّرته تعديلات 2023

أجرت تعديلات 2023 عدة تغييرات هيكلية:

• توحيد التزامات المتحكم في البيانات عبر جميع القطاعات، وإزالة النظام المجزأ الذي كان يُعامل مزودي خدمات المعلومات والاتصالات بشكل مختلف عن سائر المتحكمين
• إعادة هيكلة إطار النقل عبر الحدود للابتعاد عن نموذج الموافقة الصريحة لكل نقل نحو نماذج الملاءمة والضمانات الأقرب إلى نموذج GDPR
• إدخال حق واضح في عدم الخضوع لقرارات آلية كاملة ذات تأثيرات جوهرية، مع حق طلب المراجعة البشرية
• تشديد نافذة إخطار الاختراق الإلزامية لتصبح 72 ساعة، مطابقةً لمعيار GDPR
• رفع سقف الغرامات الإدارية إلى ما يصل إلى 3 بالمئة من إجمالي الإيرادات للمخالفات الجسيمة — ارتفاع كبير عن الحدود السابقة المرتبطة بالإيرادات من النشاط المخالف

دور PIPC

تُعدّ PIPC هيئة حماية البيانات الموحدة، وتتمتع بصلاحيات تشمل التحقيق وفرض الغرامات وإصدار أوامر تصحيحية والإفصاح العلني عن قرارات التطبيق. منذ 2023 تعمل كجهة على مستوى الوزارة مع موارد موسّعة بشكل ملموس وموقف أكثر عدوانية في التطبيق.

من يخضع للتنظيم

ينطبق PIPA على أي معالجة لمعلومات شخصية تخص المقيمين الكوريين، بصرف النظر عن موقع المتحكم. ناشر مقرّه الولايات المتحدة يخدم مستخدمين كوريين عبر موقع محلّي، أو مشترٍ برامجي يتقدم بعروض على مخزون كوري، يقع ضمن النطاق. هذا الامتداد خارج الإقليم راسخ في ممارسة PIPC وقد تعزّز في إجراءات تطبيق متعددة ضد منصات أجنبية منذ 2023.

ما الذي يُعدّ معلومة شخصية

تعريف PIPA واسع. تشمل المعلومات الشخصية أي معلومة تتعلق بفرد حي يمكن من خلالها التعرف عليه، سواء بشكل مباشر أو بالدمج مع معلومات أخرى. اعتبرت PIPC باستمرار كامل طيف المعرّفات الإلكترونية — ملفات تعريف الارتباط ومعرفات الإعلانات وعناوين IP وبصمات الأجهزة والملفات السلوكية — معلوماتٍ شخصية حين يمكن ربطها بالفرد مباشرةً أو بوسائل معقولة.

المعلومات الحساسة

يُحدّد القانون الكوري فئة متميزة من المعلومات الحساسة (민감정보) تستدعي اشتراطات موافقة أشد صرامة. تشمل هذه الفئة: المعتقد والآراء النقابية أو الحزبية والآراء السياسية والصحة والحياة الجنسية والبيانات الجينية والبيانات البيومترية المستخدمة في التعرف والسجل الجنائي. معالجة المعلومات الحساسة تستلزم موافقة منفصلة ومحددة — وليس الموافقة المجمّعة التي قد تغطي المعلومات الشخصية العادية.

معلومات التعريف الفريدة

يُفرد PIPA فئة إضافية هي معلومات التعريف الفريدة (고유식별정보)، وتشمل أرقام التسجيل للمقيمين وأرقام جوازات السفر وأرقام رخص القيادة وأرقام تسجيل الأجانب. معالجة هذه البيانات مقيّدة بشدة وهي محظورة عموماً لأغراض التسويق أو الإعلان.

أهمية ذلك بالنسبة لملفات تعريف الارتباط

ملف تعريف ارتباط يخزّن معرّف جلسة بسيط هو معلومة شخصية عادية ويخضع لنظام الموافقة العام. أما ملف تعريف الارتباط الذي يُغذّي شريحة جمهور تمسّ فئات حساسة — اهتمامات صحية أو توجهات سياسية أو انتماءات دينية — فيتجاوز إلى منطقة المعلومات الحساسة ويتطلب تدفق موافقة منفصل ومحدد. لا ينبغي للناشرين الذين يستهدفون جماهير تتداخل مع قائمة المعلومات الحساسة في PIPA تشغيل تلك الشرائح ضمن موافقة الإعلان العامة.

موافقة ملفات تعريف الارتباط بموجب PIPA في 2026

تتبنى كوريا الجنوبية نموذج موافقة صريح. كان موقف PIPC من ملفات تعريف الارتباط ثابتاً وتأكّد بقرارات تطبيق متعددة عبر 2024 و2025.

العناصر الخمسة للموافقة الصحيحة

يشترط PIPA أن تكون الموافقة على ملفات تعريف الارتباط غير الضرورية والتقنيات المشابهة:

• محددة للغرض — الموافقة الشاملة العامة غير صالحة، كل غرض معالجة يحتاج موافقته الخاصة
• مستنيرة — يجب أن يفهم المستخدم ما يُجمع من بيانات ولماذا ومن يتلقاها وإلى متى
• طوعية — يجب أن يكون الرفض ممكناً دون حرمان المستخدم من خدمة يحق له الحصول عليها
• معبّر عنها بفعل إيجابي — المربعات المحددة مسبقاً والموافقة الضمنية والموافقة بالتمرير كلها غير صالحة
• منفصلة لكل فئة غرض — الأساسية والتحليلية والإعلانية والتخصيصية والنقل عبر الحدود — كل منها يحتاج موافقة مستقلة

كيف يبدو نظام CMP المتوافق

ينبغي أن يقدّم نظام CMP المُهيَّأ للحركة الكورية في 2026:

• لافتة مرئية قبل تشغيل أي ملف تعريف ارتباط غير ضروري، مع تعيين اللغة الافتراضية إلى الكورية (한국어) للمستخدمين الكوريين
• إجراءات موافقة ورفض وتخصيص منفصلة بنفس البروز البصري — نبّهت PIPC تحديداً لتصاميم اللافتات التي يكون فيها زر الرفض أقل وضوحاً من زر القبول
• ضوابط تفصيلية لكل غرض تشمل زر تبديل صريح للنقل عبر الحدود
• تدفق منفصل وواضح التسمية لمعالجة المعلومات الحساسة محاط بإجراءه الخاص
• آلية دائمة وسهلة الإيجاد لسحب الموافقة بعد الاختيار الأولي
• سياسة خصوصية باللغة الكورية (개인정보 처리방침) مع إفصاحات كاملة

سجلات الموافقة

يجب على المتحكم الاحتفاظ بدليل على الموافقة — من وافق ومتى وعلى ماذا ومن خلال أي واجهة. سجلات الموافقة القابلة للتصدير والمختومة بالوقت هي الحد الأدنى المتوقع، وقد أُشير إلى سجلات موافقة غير كافية في عدة إجراءات تطبيق من PIPC.

النقل عبر الحدود بعد تعديلات 2023

أُعيد هيكلة نظام النقل عبر الحدود في كوريا بشكل أشمل من تقريباً أي تحديث وطني للخصوصية ما بعد 2023. فهم الإطار الجديد هو أكبر فجوة امتثال واحدة للناشرين الأجانب في 2026.

إطار النقل الجديد

يوفر PIPA المعدّل أربع مسارات للنقل العابر للحدود المشروع:

• قرارات الملاءمة التي تصدرها PIPC للدول أو القطاعات الوجهة
• اعتماد المستلم في الخارج بموجب نظام اعتماد معترف به من PIPC
• عقود معيارية معتمدة من PIPC، تعمل بشكل مشابه لبنود التعاقد القياسية في GDPR
• موافقة صريحة منفصلة من صاحب البيانات للنقل المحدد، كآلية احتياطية

أهمية ذلك

قبل تعديلات 2023، اعتمدت معظم تدفقات النقل عبر الحدود على المسار الرابع — الموافقة لكل نقل — مما أنتج أنظمة CMP ثقيلة ومعقدة وكان صعب الصيانة للحزم البرمجية. يتيح إطار 2023 للمتحكمين الاعتماد على العقود المعيارية أو الاعتماد، مما يخفف عبء الموافقة ويتوافق مع الممارسة الدولية. الناشرون الذين لم يحدّثوا عقود موردّيهم للإشارة إلى عقود PIPC المعيارية لا يزالون يعملون وفق النظام القديم افتراضياً، وهو التزام امتثال لا أصل.

النهج العملي لعام 2026

يُنفّذ معظم الناشرين الأجانب الآن عقود PIPC المعيارية مع معالجيهم في الخارج، ويُوثّقون آلية النقل في سياسة الخصوصية، ويحتفظون بالموافقة المنفصلة لكل نقل كحل احتياطي للحالات الحدّية فقط. هذا قابل للتطبيق وقابل للدفاع عنه وأبسط بشكل ملموس مما سبق.

صنع القرار الآلي والشفافية الخوارزمية

أدخلت تعديلات 2023 حقاً في عدم الخضوع لقرارات آلية كاملة ذات تأثيرات جوهرية، وحقاً في طلب المراجعة البشرية لمثل هذه القرارات. بالنسبة للناشرين، ينطبق هذا بشكل أوضح على الاختيار الخوارزمي للمحتوى والتسعير الشخصي وأي استهداف للجمهور ينتج نتائج تفاضلية جوهرية.

التزامات الإفصاح

يجب على المتحكمين الإفصاح في سياسة الخصوصية عن استخدام صنع القرار الآلي ووصف المنطق الأساسي وشرح التأثيرات الجوهرية المحتملة. لا يعني هذا الكشف عن الخوارزميات الملكية — لكنه يستلزم ملخصاً ذا مغزى بلغة بسيطة يمكن لمستخدم عادي فهمه.

حق المراجعة

يمكن للمستخدمين المتأثرين بقرار آلي جوهري طلب المراجعة البشرية أو التصحيح أو الشرح. يجب على المتحكم توفير قناة لهذا الطلب والاستجابة ضمن الجداول الزمنية المعيارية لـ PIPA.

حقوق أصحاب البيانات

يمنح PIPA مجموعة الحقوق المألوفة المُطبّقة عبر الإطار الكوري:

• الحق في الإعلام بشأن المعالجة
• حق الوصول إلى البيانات المعالجة
• حق تصحيح البيانات غير الدقيقة
• حق تعليق المعالجة
• حق الحذف حين لم تعد المعالجة مبرّرة
• حق سحب الموافقة بنفس السهولة التي أُعطيت بها
• حق الاعتراض على صنع القرار الآلي ذي التأثيرات الجوهرية
• حق تقديم شكوى إلى PIPC

الجداول الزمنية للاستجابة

يجب على المتحكمين الاستجابة لمعظم طلبات أصحاب البيانات خلال 10 أيام، قابلة للتمديد مرة واحدة لمدة 10 أيام إضافية مع إخطار — أشد إحكاماً بشكل ملحوظ من نافذة GDPR البالغة 30 يوماً. وهذه إحدى الفجوات التشغيلية الأكثر شيوعاً لدى الناشرين الأجانب الذين لديهم عادةً أدوات وأدلة تشغيل معيارية وفق جدول GDPR البالغ 30 يوماً.

العقوبات وموقف التطبيق في 2026

تصاعد نشاط تطبيق PIPC بحدة منذ 2023، وأسفر 2025 عن بعض أضخم الغرامات في تاريخها — عدة منها ضد منصات وناشرين أجانب.

الغرامات الإدارية

رفعت تعديلات 2023 الحدَّ الأعلى للغرامات إلى ما يصل إلى 3 بالمئة من إجمالي الإيرادات للمخالفات الأكثر جدية. تنطبق غرامات درجات دنيا على الإخفاقات المتعلقة بالموافقة والإخطار وأمن البيانات وإخطار الاختراق والنقل عبر الحدود. كانت PIPC مستعدة لاستخدام الدرجة العليا في 2025، وهو ما لم يكن نمطها التاريخي.

المسؤولية الجنائية

يحمل PIPA عقوبات جنائية — بما فيها السجن — للمخالفات الأكثر فداحة، كالبيع غير المشروع للمعلومات الشخصية أو الاختراقات المتعمدة على نطاق واسع. هذه حالات نادرة لكنها حقيقية وقد جرى الاستناد إليها في قضايا 2025.

محاور التطبيق

تتمحور إجراءات PIPC في 2025 حول قضايا متكررة: لافتات موافقة غير كافية أو غامضة، ونقل عبر الحدود دون آلية صحيحة ما بعد 2023، وإخطار اختراق غير كافٍ، وإخفاق في الوفاء بحقوق أصحاب البيانات ضمن نافذة العشرة أيام. استُشهد بالناشرين الأجانب في جميع الفئات الأربع.

قائمة تدقيق للحركة الكورية في 2026

• لافتة CMP تُعرض باللغة الكورية (한국어) مع أزرار موافقة ورفض وتخصيص بنفس البروز البصري
• أغراض الموافقة تفصيلية وتضع معالجة المعلومات الحساسة خلف تدفق موافقة محدد خاص بها
• تعتمد عمليات النقل عبر الحدود على عقد PIPC المعياري أو الاعتماد أو الملاءمة — وليس على الموافقة القديمة لكل نقل
• سياسة الخصوصية (개인정보 처리방침) متاحة باللغة الكورية مع إفصاحات كاملة عن المعالجين والأغراض والاحتفاظ والحقوق، بما في ذلك منطق صنع القرار الآلي حيثما انطبق
• سجلات الموافقة مختومة بالوقت وقابلة للتصدير ومحتفظ بها لمدة معالجة لا تقل مع هامش قابل للتدقيق
• سير عمل طلب أصحاب البيانات قادر على الاستجابة خلال 10 أيام من البداية للنهاية باللغة الكورية
• دليل تشغيل إخطار الاختراق مُضبط على نافذة PIPC البالغة 72 ساعة
• إفصاحات صنع القرار الآلي واردة في سياسة الخصوصية حيث تُتّخذ قرارات جوهرية باستخدام مثل هذه الأنظمة
• تمت مراجعة قائمة الموردين للضرورة مع إزالة الموردين غير المستخدمين أو الزائدين

آفاق 2026

تطوّر نظام الخصوصية في كوريا الجنوبية من أحد الأطر الأشد على الورق في آسيا إلى أحد أشد الأنظمة تطبيقاً على مستوى العالم. أزالت تعديلات 2023 العوائق الهيكلية التي كانت تجعل الامتثال مكلفاً، وقد استخدمت PIPC العامين الماضيين للتركيز على تطبيق بقية القانون. يحتاج الناشرون الذين لديهم حزمة موافقة بمستوى GDPR تعديلات صغيرة نسبياً ليكونوا جاهزين لكوريا: نظام CMP وسياسة باللغة الكورية وعقود PIPC المعيارية للتدفقات العابرة للحدود وجدول استجابة 10 أيام والعناية بقائمة المعلومات الحساسة. سيجد الناشرون الذين لا يزالون يتعاملون مع كوريا كسوق أخف أن 2026 و2027 أكثر تكلفة بشكل ملموس مقارنة بالسنوات السابقة. الخبر الجيد هو أن الفجوة تشغيلية لا معمارية، ويمكن سدّها في أسابيع إذا أُولِيت الأولوية.