Паўднёвакарэйскі PIPA і папраўкі 2025 года: кіраўніцтва для выдаўцоў і рэкламадаўцаў па згодзе на cookie, трансгранічных перадачах і PIPC у 2026 годзе
Паўднёвакарэйскі Закон пра абарону асабістай інфармацыі (PIPA, 개인정보 보호법) з моманту ўступлення ў сілу ў 2011 годзе ціха быў адным са строгіх рэжымаў згоды ў Азіі. Што змянілася за апошнія тры гады — гэта правапрымяненне. Папраўкі 2023 года — самая значная перапрацоўка PIPA з моманту яго ўвядзення — уступілі ў сілу на працягу 2023 і 2024 гадоў і рэструктурызавалі правілы трансгранічнай перадачы, раскрыццё аўтаматызаванага прыняцця рашэнняў і сістэму штрафаў. Камісія па абароне асабістай інфармацыі (PIPC, 개인정보보호위원회) выкарыстала 2024 і 2025 гады для накладання адных з найбуйнейшых штрафаў у сваёй гісторыі, уключаючы некалькі супраць замежных выдаўцоў і глабальных платформаў. У 2026 годзе разглядаць Карэю як рынак з мяккім падыходам больш не з'яўляецца жыццяздольнай пазіцыяй для любога, хто абслугоўвае значны карэйскі трафік. Гэтае кіраўніцтва разбірае, што насамрэч патрабуе PIPA, што змянілі папраўкі 2023 года, як павінна быць наладжана згода на cookie і як PIPC прымяняе фрэймворк прама зараз.
Структура PIPA пасля папраўкі 2023 года
PIPA — асноўны закон пра персанальныя даныя ў Паўднёвай Карэі, і яго змененая версія — пункт адліку для любога выдаўца, які працуе з 2024 года і далей. Каманды, якія працуюць па тэксце да 2023 года, глядзяць на састарэлы фрэймворк.
Што змянілі папраўкі 2023 года
Папраўкі 2023 года ўнеслі некалькі структурных змен:
- Уніфікавалі абавязкі кантралёра даных ва ўсіх сектарах, ліквідаваўшы фрагментаваны рэжым, які раней адносіўся да пастаўшчыкоў інфармацыйных і камунікацыйных паслуг інакш, чым да іншых кантралёраў
- Рэструктурызавалі фрэймворк трансгранічнай перадачы, сыходзячы ад відавочнай згоды на кожную перадачу да патэрнаў адэкватнасці і гарантый, бліжэй да мадэлі GDPR
- Увялі яснае права не падвяргацца цалкам аўтаматызаваным рашэнням, якія вырабляюць значныя эфекты, з правам запытаць чалавечую праверку
- Узмацнілі абавязковае акно паведамлення пра парушэнне да 72 гадзін, адпавядаючы стандарту GDPR
- Паднялі столь адміністрацыйных штрафаў да 3 працэнтаў ад агульнага даходу за сур'ёзныя парушэнні — рэзкае павелічэнне ў параўнанні з ранейшымі межамі, прывязанымі да даходу ад парушаючай дзейнасці
Роля PIPC
PIPC — адзіны орган па абароне даных з паўнамоцтвамі, якія ахопліваюць расследаванні, накладанне штрафаў, карэкціруючыя загады і публічнае раскрыццё правапрымяняльных рашэнняў. З 2023 года ён дзейнічае як орган узроўню Кабінета міністраў са значна пашыранымі рэсурсамі і прыкметна больш агрэсіўнай пазіцыяй правапрымянення.
Хто рэгулюецца
PIPA прымяняецца да любой апрацоўкі асабістай інфармацыі карэйскіх рэзідэнтаў, незалежна ад таго, дзе знаходзіцца кантралёр. Выдавец са ЗША, які абслугоўвае карэйскіх карыстальнікаў праз лакалізаваны сайт, ці праграматык-пакупнік, які робіць стаўкі на карэйскі інвентар, трапляе ў сферу дзеяння. Гэты экстэрытарыяльны ахоп добра ўсталяваны ў практыцы PIPC і быў пацверджаны ў некалькіх правапрымяняльных дзеяннях супраць замежных платформаў з 2023 года.
Што лічыцца асабістай інфармацыяй
Вызначэнне PIPA шырокае. Асабістая інфармацыя ўключае любую інфармацыю пра жывога чалавека, якая можа ідэнтыфікаваць яго, прама ці ў спалучэнні з іншай інфармацыяй. PIPC паслядоўна адносіў увесь спектр анлайн-ідэнтыфікатараў — cookie, рэкламныя ID, IP-адрасы, адбіткі прылад і паводзінскія профілі — да асабістай інфармацыі, калі яны могуць быць прывязаны да чалавека напрамую ці разумнымі сродкамі.
Чуллівая інфармацыя
Карэйскае права вылучае асобную катэгорыю чуллівай інфармацыі (민감정보), якая актывуе больш строгія патрабаванні да згоды. Гэта ўключае ідэалогію, перакананні, членства ў прафсаюзе ці палітычнай партыі, палітычныя погляды, здароўе, сэксуальнае жыццё, генетычныя даныя, біяметрычныя даныя, якія выкарыстоўваюцца для ідэнтыфікацыі, і судзімасць. Апрацоўка чуллівай інфармацыі патрабуе асобнай, канкрэтнай згоды — не аб'яднанай згоды, якая можа пакрываць звычайную асабістую інфармацыю.
Унікальная ідэнтыфікацыйная інфармацыя
PIPA вылучае дадатковую катэгорыю, унікальную ідэнтыфікацыйную інфармацыю (고유식별정보), якая ўключае нумары рэгістрацыі рэзідэнта, нумары пашпартоў, нумары вадзіцельскіх правоў і нумары рэгістрацыі замежнікаў. Іх апрацоўка жорстка абмежавана і, як правіла, забаронена для маркетынгавых ці рэкламных мэтаў.
Чаму гэта важна для cookie
Cookie, які захоўвае просты ідэнтыфікатар сесіі, — гэта звычайная асабістая інфармацыя, якая падпадае пад агульны рэжым згоды. Cookie, які сілкуе сегмент аўдыторыі, які закранае чуллівыя катэгорыі — інтарэсы да здароўя, палітычныя схільнасці, рэлігійную прыналежнасць — пераходзіць у вобласць чуллівай інфармацыі і патрабуе асобнага, канкрэтнага патоку згоды. Выдаўцам, нацэленым на аўдыторыі, якія перасякаюцца з чуллівым спісам PIPA, не варта запускаць гэтыя сегменты пад агульнай рэкламнай згодай.
Згода на cookie паводле PIPA ў 2026 годзе
Паўднёвая Карэя прытрымліваецца строгай мадэлі згоды opt-in. Пазіцыя PIPC па cookie была паслядоўнай і падмацоўвалася шматлікімі правапрымяняльнымі рашэннямі на працягу 2024 і 2025 гадоў.
Пяць элементаў сапраўднай згоды
PIPA патрабуе, каб згода на неабавязковыя cookie і аналагічныя тэхналогіі была:
- Канкрэтнай для мэты — агульная парасонавая згода несапраўдная, кожная мэта апрацоўкі мае патрэбу ў сваёй згодзе
- Усвядомленай — карыстальнік павінен разумець, якія даныя збіраюцца, навошта, хто іх атрымлівае і на які тэрмін
- Добраахвотнай — адмова павінна быць магчымай без адмовы ў паслузе, на якую карыстальнік інакш мае права
- Выражанай сцвярджальным дзеяннем — загадзя адзначаныя сцяжкі, падразумяваная згода і пракрутка-як-згода — усё несапраўднае
- Асобнай для кожнай катэгорыі мэтаў — неабходныя, аналітыка, рэклама, персаналізацыя і трансгранічная перадача — кожнае мае патрэбу ў сваёй асобна сабранай згодзе
Як выглядае адпаведная CMP
CMP, наладжаная для карэйскага трафіку ў 2026 годзе, павінна прадстаўляць:
- Бачны баннер да спрацоўвання любога неабавязковага cookie, па змаўчанні на карэйскай (한국어) для карэйскіх карыстальнікаў
- Асобныя дзеянні «Прыняць», «Адхіліць» і «Наладзіць» з роўнай візуальнай прыкметнасцю — PIPC спецыяльна згадваў дызайны баннераў, дзе «Адхіліць» менш прыкметна, чым «Прыняць»
- Дэталёвыя элементы кіравання па кожнай мэце, уключаючы відавочны пераключальнік для трансгранічнай перадачы
- Асобны, дакладна пазначаны паток для апрацоўкі чуллівай інфармацыі, абмежаваны ўласным дзеяннем
- Пастаянны, лёгка знаходны механізм адклікання згоды пасля першапачатковага выбару
- Палітыку прыватнасці на карэйскай мове (개인정보 처리방침) з поўным раскрыццём
Запісы пра згоду
Кантралёр павінен падтрымліваць доказы згоды — хто пагадзіўся, калі, на што, праз які інтэрфейс. Экспартуемыя журналы згоды з часавымі меткамі — гэта базавае чаканне, і неадэкватныя запісы пра згоду згадваліся ў некалькіх правапрымяняльных дзеяннях PIPC.
Трансгранічныя перадачы пасля папраўкі 2023 года
Рэжым трансгранічнай перадачы Карэі быў рэструктурызаваны больш дбайна, чым амаль любое іншае нацыянальнае абнаўленне прыватнасці пасля 2023 года. Разуменне новага фрэймворка — гэта адзіны самы вялікі прабел у адпаведнасці для замежных выдаўцоў у 2026 годзе.
Новы фрэймворк перадачы
Зменены PIPA прадастаўляе чатыры шляхі для легітымнай трансгранічнай перадачы:
- Рашэнні аб адэкватнасці, выпушчаныя PIPC для краін ці сектараў прызначэння
- Сертыфікацыю замежнага атрымальніка па прызнанай PIPC схеме сертыфікацыі
- Стандартныя кантракты, зацверджаныя PIPC, якія функцыянуюць аналагічна стандартным дагаворным умовам GDPR
- Асобную відавочную згоду ад суб'екта даных на канкрэтную перадачу, як астаткавы механізм
Чаму гэта важна
Да папраўкі 2023 года большасць трансгранічных патокаў абапіралася на чацвёрты шлях — згоду на кожную перадачу — што стварала грувасткія, складаныя CMP і было цяжка падтрымліваць для праграматык-стэкаў. Фрэймворк 2023 года дазваляе кантралёрам абапірацца на стандартныя кантракты ці сертыфікацыю, зніжаючы цяжар згоды і прыводзячы ў адпаведнасць з міжнароднай практыкай. Выдаўцы, якія не абнавілі свае кантракты з пастаўшчыкамі для спасылкі на стандартныя кантракты PIPC, па-ранейшаму працуюць па старым рэжыме па змаўчанні, што цяпер з'яўляецца абавязацельствам па адпаведнасці, а не актывам.
Практычны падыход 2026 года
Большасць замежных выдаўцоў цяпер заключаюць стандартныя кантракты PIPC са сваімі замежнымі апрацоўшчыкамі, дакументуюць механізм перадачы ў палітыцы прыватнасці і захоўваюць асобную-згоду-на-перадачу як запасны варыянт толькі для крайніх выпадкаў. Гэта працаздольна, абаронна і значна прасцей, чым тое, што было раней.
Аўтаматызаванае прыняцце рашэнняў і алгарытмічная празрыстасць
Папраўкі 2023 года ўвялі права не падвяргацца цалкам аўтаматызаваным рашэнням, якія вырабляюць значныя эфекты, і права запытаць чалавечую праверку такіх рашэнняў. Для выдаўцоў гэта найбольш прыкметна прымяняецца да алгарытмічнай курацыі кантэнту, персаналізаванага цэнаўтварэння і любога таргетынгу аўдыторыі, які вырабляе значныя дыферэнцыяльныя вынікі.
Абавязацельствы па раскрыцці
Кантралёры павінны раскрываць у палітыцы прыватнасці, што выкарыстоўваецца аўтаматызаванае прыняцце рашэнняў, апісваць базавую логіку і тлумачыць патэнцыйныя значныя эфекты. Гэта не азначае раскрыццё прапрыетарных алгарытмаў — але патрабуе асэнсаванага рэзюмэ на простай мове, якое тыповы карыстальнік мог бы зразумець.
Права на праверку
Карыстальнікі, закранутыя значным аўтаматызаваным рашэннем, могуць запытаць чалавечую праверку, выпраўленне ці тлумачэнне. Кантралёр павінен прадаставіць канал для гэтага запыту і адказаць у стандартныя тэрміны PIPA.
Правы суб'ектаў даных
PIPA прадастаўляе знаёмы кластар правоў, якія прымяняюцца праз карэйскі фрэймворк:
- Права быць інфармаваным пра апрацоўку
- Права доступу да апрацаваных даных
- Права на выпраўленне недакладных даных
- Права на прыпыненне апрацоўкі
- Права на выдаленне, дзе апрацоўка больш не апраўдана
- Права адклікаць згоду гэтак жа лёгка, як яна была дадзена
- Права пярэчыць супраць аўтаматызаванага прыняцця рашэнняў, якое вырабляе значныя эфекты
- Права паскардзіцца ў PIPC
Тэрміны адказу
Кантралёры павінны адказваць на большасць запытаў суб'ектаў даных на працягу 10 дзён, з аднаразовым падаўжэннем яшчэ на 10 дзён з паведамленнем — значна жорсткей, чым 30-дзённае акно GDPR. Гэта адзін з найбольш распаўсюджаных аперацыйных прабелаў для замежных выдаўцоў, у якіх звычайна ёсць інструментарый і рэгламенты, наладжаныя на 30-дзённы рытм GDPR.
Штрафы і пазіцыя правапрымянення ў 2026 годзе
Правапрымяняльная актыўнасць PIPC рэзка ўзрасла з 2023 года, і 2025 год вырабіў адны з найбуйнейшых штрафаў у яго гісторыі — некалькі з іх супраць замежных платформаў і выдаўцоў.
Адміністрацыйныя штрафы
Папраўкі 2023 года паднялі верхні ўзровень штрафу да 3 працэнтаў ад агульнага даходу за найбольш сур'ёзныя парушэнні. Штрафы ніжэйшага ўзроўню прымяняюцца за збоі вакол згоды, паведамлення, бяспекі даных, паведамлення пра парушэнне і трансгранічнай перадачы. PIPC быў гатовы выкарыстоўваць верхні ўзровень у 2025 годзе, што не было яго гістарычным патэрнам.
Крымінальная адказнасць
PIPA нясе крымінальныя пакаранні — уключаючы пазбаўленне волі — за найбольш кідкія парушэнні, такія як незаконны продаж асабістай інфармацыі ці наўмысныя буйнамаштабныя парушэнні. Яны рэдкія, але рэальныя і прымяняліся ў справах 2025 года.
Тэмы правапрымянення
Дзеянні PIPC 2025 года групуюцца вакол паўтаральных праблем: неадэкватныя ці неадназначныя баннеры згоды, трансгранічныя перадачы без сапраўднага механізму пасля 2023 года, недастатковае паведамленне пра парушэнне і няздольнасць выконваць правы суб'ектаў даных на працягу 10-дзённага акна. Замежныя выдаўцы згадваліся ва ўсіх чатырох катэгорыях.
Чэк-ліст аўдыту для карэйскага трафіку ў 2026 годзе
- Баннер CMP падаецца на карэйскай (한국어) з «Прыняць», «Адхіліць» і «Наладзіць» пры роўнай візуальнай прыкметнасці
- Мэты згоды дэталёвыя і аддзяляюць любую апрацоўку чуллівай інфармацыі за ўласным канкрэтным патокам згоды
- Трансгранічныя перадачы абапіраюцца на стандартны кантракт PIPC, сертыфікацыю ці адэкватнасць — а не на састарэлую згоду на кожную перадачу
- Палітыка прыватнасці (개인정보 처리방침) даступна на карэйскай з поўным раскрыццём апрацоўшчыкаў, мэтаў, захоўвання і правоў, уключаючы логіку аўтаматызаванага прыняцця рашэнняў, дзе прымяняльна
- Журналы згоды маюць часавыя меткі, экспартуемыя і захоўваюцца як мінімум на тэрмін апрацоўкі плюс правяральны запас
- Працоўны працэс запытаў суб'ектаў даных можа адказаць на працягу 10 дзён ад пачатку да канца, на карэйскай
- Рэгламент паведамлення пра парушэнне наладжаны на 72-гадзіннае акно PIPC
- Раскрыццё аўтаматызаванага прыняцця рашэнняў прысутнічае ў палітыцы прыватнасці, дзе значныя рашэнні прымаюцца з выкарыстаннем такіх сістэм
- Спіс пастаўшчыкоў перагледжаны на неабходнасць, неіспальзуемыя ці лішнія пастаўшчыкі выдалены
Перспектыва 2026 года
Рэжым прыватнасці Паўднёвай Карэі паспеў з аднаго са строгіх на паперы фрэймворкаў у Азіі ў адзін са строгіх па правапрымяненні рэжымаў глабальна. Папраўкі 2023 года ліквідавалі структурныя бар'еры, якія рабілі адпаведнасць дарагой, і PIPC выкарыстаў наступныя два гады, каб засяродзіцца на правапрымяненні астатняй часткі закона. Выдаўцам з кансент-стэкам узроўню GDPR патрэбны адносна невялікія карэкціроўкі, каб быць гатовымі да Карэі: CMP і палітыка на карэйскай мове, стандартныя кантракты PIPC для трансгранічных патокаў, 10-дзённы рытм адказу і асцярожнасць са спісам чуллівай інфармацыі. Выдаўцы, якія ўсё яшчэ разглядаюць Карэю як больш лёгкі рынак, выявяць, што 2026 і 2027 гады істотна даражэй папярэдніх гадоў. Добрая навіна ў тым, што разрыў аперацыйны, а не архітэктурны, і можа быць закрыты за тыдні пры прыярытызацыі.