PIPA на Южна Корея и измененията от 2025 г.: Ръководство за издатели и рекламодатели за бисквитково съгласие, трансгранични предавания и PIPC през 2026 г.
Южнокорейският Закон за защита на личните данни (PIPA, 개인정보 보호법) безшумно е един от най-строгите режими за съгласие в Азия, откакто влезе в сила през 2011 г. Промяната през последните три години е в прилагането. Измененията от 2023 г. — най-значимото пренаписване на PIPA от приемането му насам — влязоха в сила през 2023 г. и 2024 г. и преструктурираха правилата за трансгранично предаване, оповестяванията при автоматизирано вземане на решения и рамката на санкциите. Комисията за защита на личните данни (PIPC, 개인정보보호위원회) използва 2024 г. и 2025 г., за да наложи едни от най-големите си глоби в историята, включително няколко срещу чуждестранни издатели и глобални платформи. През 2026 г. отношението към Корея като лек пазар вече не е приемлива позиция за никого, обслужващ значителен корейски трафик. Това ръководство разглежда какво всъщност изисква PIPA, какво са променили измененията от 2023 г., как трябва да бъде конфигурирано бисквитковото съгласие и как PIPC прилага рамката в момента.
Структурата на PIPA след измененията от 2023 г.
PIPA е основният статут за лични данни в Южна Корея, а изменената версия е отправната точка за всеки издател, работещ от 2024 г. нататък. Екипи, работещи по текста преди 2023 г., гледат на остаряла рамка.
Какво са Променили Измененията от 2023 г.
Измененията от 2023 г. направиха няколко структурни промени:
- Обединиха задълженията на администратора на данни в различните сектори, премахвайки фрагментирания режим, при който доставчиците на услуги в областта на информацията и комуникациите се третираха по различен начин от другите администратори
- Преструктурираха рамката за трансгранично предаване, за да се отдалечат от изричното съгласие за всяко предаване към модели на адекватност и гаранции, по-близки до модела на GDPR
- Въведоха ясно право да не бъдеш обект на напълно автоматизирани решения, произвеждащи значителни последици, с право да поискаш човешки преглед
- Стегнаха задължителния срок за уведомяване за нарушения до 72 часа, съответстващ на стандарта на GDPR
- Повишиха тавана на административните глоби до до 3 процента от общия приход за сериозни нарушения — драматично увеличение спрямо предишните тавани, обвързани с приходите от нарушаващата дейност
Ролята на PIPC
PIPC е единният орган за защита на данните, с правомощия, обхващащи разследване, налагане на глоби, корективни разпореждания и публично оповестяване на решения за прилагане. От 2023 г. насам работи като орган на ниво кабинет с значително разширени ресурси и видимо по-агресивна позиция по прилагане.
Кой Подлежи на Регулация
PIPA се прилага за всяко обработване на лични данни на корейски жители, независимо от местоположението на администратора. Издател, базиран в САЩ, обслужващ корейски потребители чрез локализиран сайт, или програматичен купувач, наддаващ за корейски инвентар, попада в обхвата. Това екстериториално действие е добре установено в практиката на PIPC и е потвърдено в множество действия по прилагане срещу чуждестранни платформи от 2023 г. насам.
Какво Представлява Лична Информация
Определението в PIPA е широко. Личната информация включва всяка информация за живо физическо лице, което може да бъде идентифицирано, директно или чрез комбинация с друга информация. PIPC последователно третира пълния диапазон от онлайн идентификатори — бисквитки, рекламни идентификатори, IP адреси, цифрови отпечатъци на устройства и поведенчески профили — като лична информация, когато могат да бъдат свързани с физическо лице директно или с разумни средства.
Чувствителна Информация
Корейското законодателство определя отделна категория чувствителна информация (민감정보), която задейства по-строги изисквания за съгласие. Тя включва идеология, вярвания, членство в профсъюз или политическа партия, политически мнения, здраве, сексуален живот, генетични данни, биометрични данни, използвани за идентификация, и криминална история. Обработването на чувствителна информация изисква отделно, конкретно съгласие — а не обобщеното съгласие, което може да покрие обикновената лична информация.
Уникална Идентификационна Информация
PIPA разграничава допълнителна категория — уникална идентификационна информация (고유식별정보), която включва номера на регистрация на жители, номера на паспорти, номера на шофьорски книжки и номера на регистрация на чужденци. Обработването им е строго ограничено и като цяло е забранено за маркетингови или рекламни цели.
Защо Това Е Важно за Бисквитките
Бисквитка, съхраняваща обикновен идентификатор на сесия, е обикновена лична информация и попада под общия режим на съгласие. Бисквитка, захранваща аудиторен сегмент, засягащ чувствителни категории — здравни интереси, политически наклонности, религиозни принадлежности — преминава в територията на чувствителната информация и изисква отделен, специфичен поток на съгласие. Издателите, насочени към аудитории, застъпващи се с чувствителния списък на PIPA, не трябва да изпълняват тези сегменти под общо рекламно съгласие.
Бисквитково Съгласие по PIPA през 2026 г.
Южна Корея следва строг модел на изрично съгласие. Позицията на PIPC относно бисквитките е последователна и е потвърдена с множество решения за прилагане през 2024 г. и 2025 г.
Петте Елемента на Валидното Съгласие
PIPA изисква съгласието за несъществени бисквитки и подобни технологии да бъде:
- Специфично за целта — общото рамково съгласие е невалидно, всяка цел на обработване се нуждае от собствено съгласие
- Информирано — потребителят трябва да разбира какви данни се събират, защо, кой ги получава и за колко дълго
- Доброволно — отказът трябва да бъде възможен, без да се отказва услуга, на която потребителят иначе е имал право
- Изразено чрез утвърдително действие — предварително отметнати квадратчета, подразбиращо се съгласие и превъртането като съгласие са всички невалидни
- Отделно за всяка категория на целта — съществено, аналитично, рекламно, персонализация и трансгранично предаване — всяко се нуждае от собствено отделно събрано съгласие
Как Изглежда Съответстващ CMP
CMP, конфигуриран за корейски трафик през 2026 г., трябва да представя:
- Видим банер преди изстрелването на несъществена бисквитка, по подразбиране на корейски (한국어) за корейски потребители
- Отделни действия „Приемам", „Отказвам" и „Персонализирам" с равна визуална видност — PIPC конкретно е посочвала дизайни на банери, при които „Отказвам" е по-малко видим от „Приемам"
- Гранулирани контроли за всяка цел, включително изрично превключване за трансгранично предаване
- Отделен, ясно обозначен поток за обработване на чувствителна информация, скрит зад собственото му действие
- Постоянен, лесно намираем механизъм за оттегляне на съгласието след началния избор
- Политика за поверителност на корейски (개인정보 처리방침) с пълни оповестявания
Записи за Съгласие
Администраторът трябва да поддържа доказателство за съгласие — кой е дал съгласие, кога, за какво, чрез какъв интерфейс. Записите за съгласие, подлежащи на износ и с времеви печат, са базовото очакване, а недостатъчните записи за съгласие са цитирани в няколко действия по прилагане на PIPC.
Трансгранични Предавания след Измененията от 2023 г.
Режимът за трансгранично предаване на Корея е преструктуриран по-обстойно от почти всяко друго национално обновление на поверителността след 2023 г. Разбирането на новата рамка е единствената най-голяма пропуск в съответствието за чуждестранни издатели през 2026 г.
Новата Рамка за Предаване
Изменената PIPA предвижда четири пътища за законно трансгранично предаване:
- Решения за адекватност, издадени от PIPC за държавите или секторите получатели
- Сертифициране на задграничния получател съгласно схема за сертифициране, призната от PIPC
- Стандартни договори, одобрени от PIPC, функциониращи по аналогия на стандартните договорни клаузи на GDPR
- Отделно изрично съгласие от субекта на данните за конкретното предаване, като остатъчен механизъм
Защо Това Е Важно
Преди измененията от 2023 г. повечето трансгранични потоци разчитаха на четвъртия път — съгласие за всяко предаване — което произвеждаше обемисти, сложни CMP-та и беше трудно за поддържане за програматични стекове. Рамката от 2023 г. позволява на администраторите да разчитат на стандартни договори или сертифициране, намалявайки тежестта на съгласие и привеждайки се в съответствие с международната практика. Издателите, които не са актуализирали своите договори с доставчици, за да препращат към стандартните договори на PIPC, все още работят по подразбиране по стария режим, което вече е задължение за съответствие, а не актив.
Практическият Подход за 2026 г.
Повечето чуждестранни издатели вече изпълняват стандартните договори на PIPC с техните задгранични обработватели, документират механизма за предаване в политиката за поверителност и запазват отделно съгласие за всяко предаване само за пределни случаи. Това е осъществимо, защитимо и значително по-просто от преди.
Автоматизирано Вземане на Решения и Алгоритмична Прозрачност
Измененията от 2023 г. въведоха право да не бъдеш обект на напълно автоматизирани решения, произвеждащи значителни последици, и право да поискаш човешки преглед на такива решения. За издателите това се прилага най-видимо за алгоритмичното курируване на съдържание, персонализирано ценообразуване и всяко насочване към аудитория, което произвежда значителни диференциални резултати.
Задължения за Оповестяване
Администраторите трябва да оповестят в политиката за поверителност, че се използва автоматизирано вземане на решения, да опишат основната логика и да обяснят потенциалните значителни последици. Това не означава разкриване на собствени алгоритми — но изисква смислено резюме на обичаен език, което типичен потребител може да разбере.
Правото на Преглед
Потребителите, засегнати от значително автоматизирано решение, могат да поискат човешки преглед, корекция или обяснение. Администраторът трябва да осигури канал за тази заявка и да отговори в стандартните срокове на PIPA.
Права на Субектите на Данни
PIPA предоставя познатия набор от права, прилагани чрез корейската рамка:
- Право да бъдеш информиран за обработването
- Право на достъп до обработваните данни
- Право на коригиране на неточни данни
- Право на спиране на обработването
- Право на изтриване, когато обработването вече не е обосновано
- Право на оттегляне на съгласието толкова лесно, колкото е дадено
- Право на възражение срещу автоматизирано вземане на решения, произвеждащо значителни последици
- Право на подаване на жалба до PIPC
Срокове за Отговор
Администраторите трябва да отговарят на повечето заявки от субекти на данни в рамките на 10 дни, с възможност за еднократно удължаване с още 10 дни с известие — значително по-стегнато от 30-дневния прозорец на GDPR. Това е една от по-честите оперативни пропасти за чуждестранни издатели, чийто инструментариум и наръчници обикновено са настроени към 30-дневния ритъм на GDPR.
Санкции и Позиция по Прилагане през 2026 г.
Дейността по прилагане на PIPC се е ескалирала рязко от 2023 г. насам, а 2025 г. произведе едни от най-големите глоби в историята му — няколко от тях срещу чуждестранни платформи и издатели.
Административни Глоби
Измененията от 2023 г. повишиха горния таван на глобите до до 3 процента от общия приход за най-сериозните нарушения. По-ниски глоби се прилагат за пропуски около съгласие, уведомяване, сигурност на данните, уведомяване за нарушения и трансгранично предаване. PIPC беше готова да използва горния таван през 2025 г., което не е нейният исторически модел.
Наказателна Отговорност
PIPA носи наказателни санкции — включително лишаване от свобода — за най-тежките нарушения, като незаконна продажба на лична информация или умишлени мащабни нарушения. Те са редки, но реални и са приложени в случаи от 2025 г.
Теми в Прилагането
Действията на PIPC през 2025 г. се групират около повтарящи се проблеми: недостатъчни или неясни банери за съгласие, трансгранични предавания без валиден механизъм след 2023 г., недостатъчно уведомяване за нарушения и неспазване на правата на субектите на данни в рамките на 10-дневния прозорец. Чуждестранни издатели са цитирани и в четирите категории.
Контролен Списък за Одит за Корейски Трафик през 2026 г.
- Банерът на CMP се предоставя на корейски (한국어) с „Приемам", „Отказвам" и „Персонализирам" с равна визуална видност
- Целите на съгласие са гранулирани и поставят обработването на чувствителна информация зад собствен специфичен поток на съгласие
- Трансграничните предавания разчитат на стандартен договор, сертифициране или адекватност на PIPC — не на унаследено съгласие за всяко предаване
- Политика за поверителност (개인정보 처리방침) е налична на корейски с пълни оповестявания на обработватели, цели, задържане и права, включително логика за автоматизирано вземане на решения, когато е приложимо
- Записите за съгласие са с времеви печат, подлежащи на износ и задържани поне за продължителността на обработването плюс одитируем марж
- Работният процес за заявка от субект на данни може да отговори в рамките на 10 дни от начало до край, на корейски
- Наръчникът за уведомяване за нарушения е настроен за 72-часовия прозорец на PIPC
- Оповестяванията за автоматизирано вземане на решения са в политиката за поверителност, когато значителни решения се вземат с такива системи
- Списъкът с доставчици е прегледан за необходимост, като неизползваните или излишни доставчици са премахнати
Прогнозата за 2026 г.
Режимът за поверителност в Южна Корея се е развил от една от по-строгите на хартия рамки в Азия до един от по-строгите в прилагането режими в световен мащаб. Измененията от 2023 г. премахнаха структурните бариери, правели съответствието скъпо, а PIPC използва двете изминали години, за да се съсредоточи върху прилагането на останалата част от закона. Издателите с набор от инструменти за съгласие на ниво GDPR се нуждаят от сравнително малки корекции, за да бъдат готови за Корея: CMP и политика на корейски, стандартни договори на PIPC за трансгранични потоци, 10-дневният ритъм на отговор и внимание към списъка с чувствителна информация. Издателите, все още третиращи Корея като по-лек пазар, ще намерят 2026 г. и 2027 г. значително по-скъпи от предишните години. Добрата новина е, че пропастта е оперативна, а не архитектурна, и може да бъде затворена за седмици, ако бъде приоритизирана.