انطباق۵ مه ۲۰۲۶ | FlexyConsent

PIPA کره جنوبی و اصلاحات ۲۰۲۵: راهنمای ناشران و تبلیغ‌دهندگان برای رضایت کوکی، انتقال‌های فرامرزی و PIPC در سال ۲۰۲۶

قانون حفاظت از اطلاعات شخصی کره جنوبی (PIPA، 개인정보 보호법) از زمان لازم‌الاجرا شدن در سال ۲۰۱۱ به آرامی یکی از سخت‌گیرانه‌ترین رژیم‌های رضایت در آسیا بوده است. آنچه در سه سال گذشته تغییر کرده اجرا است. اصلاحات ۲۰۲۳ — مهم‌ترین بازنویسی PIPA از زمان معرفی آن — در سال‌های ۲۰۲۳ و ۲۰۲۴ اجرایی شدند و قوانین انتقال فرامرزی، افشای تصمیم‌گیری خودکار و چارچوب جریمه را بازسازی کردند. کمیسیون حفاظت از اطلاعات شخصی (PIPC، 개인정보보호위원회) از سال‌های ۲۰۲۴ و ۲۰۲۵ برای صدور برخی از بزرگ‌ترین جرایم تاریخ خود استفاده کرده، از جمله چندین مورد علیه ناشران خارجی و پلتفرم‌های جهانی. در سال ۲۰۲۶، تلقی کره به عنوان بازاری با نظارت سبک دیگر موضعی قابل دفاع برای هیچ‌کس که ترافیک قابل توجه کره را ارائه می‌دهد نیست. این راهنما آنچه PIPA واقعاً نیاز دارد، آنچه اصلاحات ۲۰۲۳ تغییر داد، نحوه پیکربندی رضایت کوکی و نحوه اجرای PIPC چارچوب در حال حاضر را بررسی می‌کند.

ساختار PIPA پس از اصلاحات ۲۰۲۳

PIPA قانون اصلی داده‌های شخصی در کره جنوبی است و نسخه اصلاح‌شده نقطه مرجع هر ناشری است که از سال ۲۰۲۴ به بعد فعالیت می‌کند. تیم‌هایی که از متن قبل از ۲۰۲۳ کار می‌کنند با چارچوبی قدیمی روبرو هستند.

چه چیزی اصلاحات ۲۰۲۳ تغییر داد

اصلاحات ۲۰۲۳ چندین تغییر ساختاری ایجاد کرد:

تعهدات کنترل‌کننده داده در همه بخش‌ها یکپارچه شد و رژیم پراکنده‌ای را که پیشتر ارائه‌دهندگان خدمات اطلاعات و ارتباطات را متفاوت از سایر کنترل‌کننده‌ها تلقی می‌کرد حذف کرد
چارچوب انتقال فرامرزی بازسازی شد تا از رضایت صریح به‌ازای هر انتقال به سمت الگوهای کفایت و ضمانت‌نامه نزدیک‌تر به مدل GDPR حرکت کند
حق روشنی برای عدم تبعیت از تصمیمات کاملاً خودکار با اثرات قابل توجه، همراه با حق درخواست بررسی انسانی معرفی شد
پنجره اجباری اطلاع‌رسانی نقض به ۷۲ ساعت کاهش یافت که با استاندارد GDPR مطابقت دارد
سقف جریمه‌های اداری برای نقض‌های جدی به حداکثر ۳ درصد از کل درآمد افزایش یافت — افزایش چشمگیری نسبت به سقف‌های قبلی مرتبط با درآمد فعالیت ناقض

نقش PIPC

PIPC مرجع یکپارچه حفاظت از داده‌ها با اختیاراتی شامل تحقیق، اعمال جریمه، دستورهای اصلاحی و افشای عمومی تصمیمات اجرایی است. از سال ۲۰۲۳ به عنوان یک نهاد در سطح کابینه با منابع گسترده و موضع اجرایی تهاجمی‌تر عمل کرده است.

چه کسانی تنظیم می‌شوند

PIPA برای هرگونه پردازش اطلاعات شخصی ساکنان کره صدق می‌کند، صرف نظر از محل کنترل‌کننده. ناشر مستقر در ایالات متحده که از طریق یک سایت محلی‌سازی‌شده به کاربران کره خدمات می‌دهد، یا خریدار برنامه‌ریزی که روی موجودی کره پیشنهاد می‌دهد، در محدوده قرار می‌گیرد. این دامنه فراسرزمینی در رویه PIPC به خوبی مستقر شده و در چندین اقدام اجرایی علیه پلتفرم‌های خارجی از سال ۲۰۲۳ تقویت شده است.

چه چیزی اطلاعات شخصی محسوب می‌شود

تعریف PIPA گسترده است. اطلاعات شخصی شامل هر اطلاعاتی درباره یک فرد زنده است که بتوان فرد را مستقیماً یا در ترکیب با سایر اطلاعات شناسایی کرد. PIPC به طور مداوم طیف کامل شناسه‌های آنلاین — کوکی‌ها، شناسه‌های تبلیغاتی، آدرس‌های IP، اثر انگشت دستگاه و پروفیل‌های رفتاری — را به عنوان اطلاعات شخصی تلقی کرده وقتی که می‌توان آن‌ها را مستقیماً یا از طریق ابزارهای معقول به یک فرد ربط داد.

اطلاعات حساس

قانون کره دسته متمایزی از اطلاعات حساس (민감정보) را تعیین می‌کند که الزامات رضایت سخت‌گیرانه‌تری را فعال می‌کند. این شامل ایدئولوژی، باورها، عضویت در اتحادیه کارگری یا حزب سیاسی، عقاید سیاسی، سلامت، زندگی جنسی، داده‌های ژنتیکی، داده‌های بیومتریک استفاده‌شده برای شناسایی و سابقه کیفری است. پردازش اطلاعات حساس نیاز به رضایت جداگانه و خاص دارد — نه رضایت دسته‌بندی‌شده‌ای که ممکن است اطلاعات شخصی معمولی را پوشش دهد.

اطلاعات شناسایی منحصربه‌فرد

PIPA دسته اضافی‌ای را جدا می‌کند، اطلاعات شناسایی منحصربه‌فرد (고유식별정보)، که شامل شماره ثبت ساکن، شماره گذرنامه، شماره گواهینامه رانندگی و شماره ثبت بیگانگان است. پردازش این‌ها به شدت محدود است و به طور کلی برای اهداف بازاریابی یا تبلیغاتی ممنوع است.

چرا این برای کوکی‌ها اهمیت دارد

کوکی که یک شناسه جلسه ساده ذخیره می‌کند اطلاعات شخصی معمولی است و تحت رژیم رضایت عمومی قرار می‌گیرد. کوکی که یک بخش مخاطب در دسته‌های حساس تغذیه می‌کند — علاقه‌مندی‌های بهداشتی، گرایش‌های سیاسی، وابستگی‌های مذهبی — وارد قلمروی اطلاعات حساس می‌شود و نیاز به جریان رضایت جداگانه و خاص دارد. ناشرانی که مخاطبانی را هدف قرار می‌دهند که با فهرست حساس PIPA همپوشانی دارند نباید آن بخش‌ها را تحت رضایت تبلیغاتی عمومی اجرا کنند.

رضایت کوکی تحت PIPA در سال ۲۰۲۶

کره جنوبی از یک مدل رضایت opt-in سخت‌گیرانه پیروی می‌کند. موضع PIPC درباره کوکی‌ها ثابت بوده و با چندین تصمیم اجرایی در سال‌های ۲۰۲۴ و ۲۰۲۵ تقویت شده است.

پنج عنصر رضایت معتبر

PIPA مقرر می‌دارد که رضایت برای کوکی‌های غیرضروری و فناوری‌های مشابه:

خاص هدف باشد — رضایت کلی عمومی معتبر نیست، هر هدف پردازشی به رضایت خود نیاز دارد
آگاهانه باشد — کاربر باید بفهمد چه داده‌ای جمع‌آوری می‌شود، چرا، چه کسی آن را دریافت می‌کند و برای چه مدت
داوطلبانه باشد — رد باید بدون محروم شدن از خدماتی که کاربر در غیر این صورت حق دارد ممکن باشد
با عمل اثباتی بیان شده باشد — جعبه‌های از پیش تیک‌زده، رضایت ضمنی و رضایت اسکرول همه نامعتبر هستند
جداگانه برای هر دسته هدف — ضروری، تحلیلی، تبلیغاتی، شخصی‌سازی و انتقال فرامرزی هر کدام به رضایت جمع‌آوری‌شده جداگانه نیاز دارند

یک CMP سازگار چه شکلی دارد

CMP پیکربندی‌شده برای ترافیک کره در سال ۲۰۲۶ باید ارائه دهد:

یک بنر قابل مشاهده قبل از فعال شدن هر کوکی غیرضروری، به طور پیش‌فرض به کره‌ای (한국어) برای کاربران کره
اقدامات جداگانه پذیرش، رد و سفارشی‌سازی با برجستگی بصری برابر — PIPC به طور خاص طراحی‌های بنری را که رد کمتر از پذیرش قابل مشاهده است ذکر کرده
کنترل‌های دانه‌دانه بر اساس هدف، از جمله یک تغییروضعیت صریح برای انتقال فرامرزی
جریان جداگانه و به وضوح برچسب‌گذاری‌شده برای پردازش اطلاعات حساس که پشت عمل خودش قرار گرفته
یک مکانیزم دائمی و به راحتی قابل یافتن برای پس‌گرفتن رضایت پس از انتخاب اولیه
سیاست حریم خصوصی به زبان کره‌ای (개인정보 처리방침) با افشاهای کامل

سوابق رضایت

کنترل‌کننده باید شواهد رضایت را حفظ کند — چه کسی رضایت داد، چه زمانی، به چه چیزی، از طریق چه رابطی. گزارش‌های رضایت قابل صادرکردن با مهر زمانی حداقل مورد انتظار هستند و سوابق ناکافی رضایت در چندین اقدام اجرایی PIPC ذکر شده است.

انتقال‌های فرامرزی پس از اصلاحات ۲۰۲۳

رژیم انتقال فرامرزی کره کامل‌تر از تقریباً هر به‌روزرسانی ملی حریم خصوصی پس از ۲۰۲۳ بازسازی شده است. درک چارچوب جدید بزرگ‌ترین شکاف انطباق منفرد برای ناشران خارجی در سال ۲۰۲۶ است.

چارچوب انتقال جدید

PIPA اصلاح‌شده چهار مسیر برای انتقال فرامرزی قانونی فراهم می‌کند:

تصمیمات کفایت صادرشده توسط PIPC برای کشورها یا بخش‌های مقصد
صدور گواهینامه گیرنده خارجی تحت یک طرح گواهینامه تأیید‌شده PIPC
قراردادهای استاندارد تأیید‌شده توسط PIPC که به شکل مشابهی با بندهای قراردادی استاندارد GDPR عمل می‌کنند
رضایت صریح جداگانه از موضوع داده برای انتقال خاص، به عنوان مکانیزمی باقیمانده

چرا این اهمیت دارد

قبل از اصلاحات ۲۰۲۳، اکثر جریان‌های فرامرزی به مسیر چهارم متکی بودند — رضایت به ازای هر انتقال — که CMPهای ضخیم و پیچیده ایجاد می‌کرد و نگهداری آن برای پشته‌های برنامه‌ریزی دشوار بود. چارچوب ۲۰۲۳ به کنترل‌کننده‌ها اجازه می‌دهد به قراردادهای استاندارد یا گواهینامه متکی شوند، بار رضایت را کاهش داده و با رویه بین‌المللی همسو شوند. ناشرانی که قراردادهای فروشنده خود را برای ارجاع به قراردادهای استاندارد PIPC به‌روز نکرده‌اند هنوز به طور پیش‌فرض تحت رژیم قدیمی فعالیت می‌کنند که اکنون یک بدهی انطباقی است نه یک دارایی.

رویکرد عملی ۲۰۲۶

اکثر ناشران خارجی اکنون قراردادهای استاندارد PIPC را با پردازنده‌های خارجی خود اجرا می‌کنند، مکانیزم انتقال را در سیاست حریم خصوصی مستند می‌کنند و رضایت جداگانه به ازای انتقال را تنها برای موارد استثنائی نگه می‌دارند. این قابل اجراست، قابل دفاع است و به طور معناداری ساده‌تر از قبل است.

تصمیم‌گیری خودکار و شفافیت الگوریتمی

اصلاحات ۲۰۲۳ حق عدم تبعیت از تصمیمات کاملاً خودکار با اثرات قابل توجه و حق درخواست بررسی انسانی چنین تصمیماتی را معرفی کرد. برای ناشران، این به طور بارزترین بر کیوریشن محتوای الگوریتمی، قیمت‌گذاری شخصی‌شده و هرگونه هدف‌گیری مخاطب که نتایج تفاضلی قابل توجه ایجاد می‌کند اعمال می‌شود.

تعهدات افشا

کنترل‌کننده‌ها باید در سیاست حریم خصوصی افشا کنند که از تصمیم‌گیری خودکار استفاده می‌شود، منطق اساسی را توصیف کنند و اثرات قابل توجه بالقوه را توضیح دهند. این به معنای افشای الگوریتم‌های اختصاصی نیست — اما مستلزم خلاصه‌ای معنادار به زبان ساده است که کاربر معمولی بتواند درک کند.

حق بررسی

کاربران تحت تأثیر یک تصمیم خودکار قابل توجه می‌توانند بررسی انسانی، تصحیح یا توضیح درخواست کنند. کنترل‌کننده باید یک کانال برای این درخواست ارائه دهد و در مهلت‌های استاندارد PIPA پاسخ دهد.

حقوق موضوعات داده

PIPA مجموعه آشنایی از حقوق را که از طریق چارچوب کره اعمال می‌شود اعطا می‌کند:

حق اطلاع از پردازش
حق دسترسی به داده‌های پردازش‌شده
حق تصحیح داده‌های نادرست
حق تعلیق پردازش
حق حذف در صورتی که پردازش دیگر توجیهی ندارد
حق پس‌گرفتن رضایت به همان سهولتی که داده شده
حق اعتراض به تصمیم‌گیری خودکار با اثرات قابل توجه
حق شکایت به PIPC

مهلت‌های پاسخ

کنترل‌کننده‌ها باید به اکثر درخواست‌های موضوعات داده در ۱۰ روز پاسخ دهند، که یک بار قابل تمدید به ۱۰ روز دیگر با اطلاعیه است — به طور قابل توجهی سخت‌تر از پنجره ۳۰ روزه GDPR. این یکی از شکاف‌های عملیاتی رایج‌تر برای ناشران خارجی است که معمولاً ابزار و دستورالعمل‌هایی دارند که با ریتم ۳۰ روزه GDPR تنظیم شده‌اند.

جریمه‌ها و موضع اجرایی در سال ۲۰۲۶

فعالیت اجرایی PIPC از سال ۲۰۲۳ به شدت تشدید شده و ۲۰۲۵ برخی از بزرگ‌ترین جرایم تاریخ آن را ایجاد کرده — تعدادی از آن‌ها علیه پلتفرم‌ها و ناشران خارجی.

جریمه‌های اداری

اصلاحات ۲۰۲۳ سطح جریمه بالاترین را برای جدی‌ترین تخلفات به حداکثر ۳ درصد از کل درآمد افزایش داد. جریمه‌های سطح پایین‌تر برای شکست‌های مربوط به رضایت، اطلاع‌رسانی، امنیت داده، اطلاع‌رسانی نقض و انتقال فرامرزی اعمال می‌شوند. PIPC در سال ۲۰۲۵ آماده استفاده از بالاترین سطح بوده که این الگوی تاریخی آن نبود.

مسئولیت کیفری

PIPA مجازات‌های کیفری — از جمله زندان — برای شدیدترین تخلفات مانند فروش غیرقانونی اطلاعات شخصی یا نقض‌های عمدی در مقیاس بزرگ را در نظر دارد. این‌ها نادر اما واقعی هستند و در پرونده‌های ۲۰۲۵ استناد شده‌اند.

موضوعات اجرایی

اقدامات ۲۰۲۵ PIPC حول موضوعات تکراری متمرکز می‌شوند: بنرهای رضایت ناکافی یا مبهم، انتقال‌های فرامرزی بدون مکانیزم معتبر پس از ۲۰۲۳، اطلاع‌رسانی نقض ناکافی و عدم رعایت حقوق موضوعات داده در پنجره ۱۰ روزه. ناشران خارجی در هر چهار دسته ذکر شده‌اند.

چک‌لیست حسابرسی برای ترافیک کره در سال ۲۰۲۶

بنر CMP به کره‌ای (한국어) با برجستگی بصری برابر برای پذیرش، رد و سفارشی‌سازی ارائه می‌شود
اهداف رضایت دانه‌دانه هستند و هر پردازش اطلاعات حساس را پشت جریان رضایت خاص خود جدا می‌کنند
انتقال‌های فرامرزی به قرارداد استاندارد PIPC، گواهینامه یا کفایت متکی هستند — نه رضایت قدیمی به ازای انتقال
سیاست حریم خصوصی (개인정보 처리방침) به کره‌ای با افشاهای کامل پردازنده‌ها، اهداف، نگهداری و حقوق، از جمله منطق تصمیم‌گیری خودکار در صورت کاربرد در دسترس است
گزارش‌های رضایت دارای مهر زمانی، قابل صادرکردن و حداقل برای مدت پردازش به اضافه یک حاشیه قابل حسابرسی نگهداری می‌شوند
جریان کاری درخواست موضوع داده می‌تواند در ۱۰ روز از ابتدا تا انتها به کره‌ای پاسخ دهد
دستورالعمل اطلاع‌رسانی نقض برای پنجره ۷۲ ساعته PIPC تنظیم شده است
افشاهای تصمیم‌گیری خودکار در سیاست حریم خصوصی جایی است که تصمیمات قابل توجه با استفاده از چنین سیستم‌هایی گرفته می‌شوند
فهرست فروشنده برای ضرورت بررسی شده و فروشندگان استفاده‌نشده یا زائد حذف شده‌اند

چشم‌انداز ۲۰۲۶

رژیم حریم خصوصی کره جنوبی از یکی از چارچوب‌های سخت‌تر روی کاغذ در آسیا به یکی از رژیم‌های سخت‌تر در اجرا در سطح جهانی بالغ شده است. اصلاحات ۲۰۲۳ موانع ساختاری که انطباق را گران‌قیمت کرده بود حذف کرد و PIPC از دو سال بعد برای تمرکز بر اجرای بقیه قانون استفاده کرده است. ناشرانی که دارای پشته رضایت در سطح GDPR هستند برای آماده بودن برای کره به تنظیمات نسبتاً کوچکی نیاز دارند: CMP و سیاست به زبان کره‌ای، قراردادهای استاندارد PIPC برای جریان‌های فرامرزی، ریتم پاسخ ۱۰ روزه و دقت با فهرست اطلاعات حساس. ناشرانی که هنوز کره را به عنوان بازاری سبک‌تر می‌بینند متوجه خواهند شد که سال‌های ۲۰۲۶ و ۲۰۲۷ از نظر مادی گران‌تر از سال‌های قبل هستند. خبر خوب این است که شکاف عملیاتی است نه معماری، و اگر اولویت‌بندی شود می‌توان آن را در هفته‌ها بست.