ה-PIPA של קוריאה הדרומית ותיקוני 2025: מדריך המפרסמים והמפרסמים לקבלת הסכמה לעוגיות, העברות חוצות גבולות ו-PIPC ב-2026
חוק הגנת המידע האישי של קוריאה הדרומית (PIPA, 개인정보 보호법) היה בשקט אחד ממשטרי ההסכמה המחמירים ביותר באסיה מאז שנכנס לתוקף ב-2011. מה שהשתנה בשלוש השנים האחרונות הוא האכיפה. תיקוני 2023 — השכתוב המשמעותי ביותר של PIPA מאז הכנסתו — נכנסו לתוקף ב-2023 וב-2024 ושינו מבניות כללי העברה חוצי גבולות, גילויי קבלת החלטות אוטומטית ומסגרת העונשים. הוועדה להגנת מידע אישי (PIPC, 개인정보보호위원회) השתמשה ב-2024 וב-2025 להטיל כמה מהקנסות הגדולים ביותר בהיסטוריה שלה, כולל כמה נגד מפרסמים זרים ופלטפורמות גלובליות. ב-2026, התייחסות לקוריאה כשוק עם פיקוח קל אינה עוד עמדה בת-קיימא עבור מי שמשרת תנועה קוריאנית משמעותית. מדריך זה עובר על מה ש-PIPA דורשת בפועל, מה שינו תיקוני 2023, כיצד יש להגדיר הסכמה לעוגיות וכיצד ה-PIPC אוכפת את המסגרת כעת.
מבנה PIPA לאחר תיקוני 2023
PIPA הוא החוק הראשי לנתונים אישיים בקוריאה הדרומית, והגרסה המתוקנת היא נקודת ייחוס לכל מפרסם הפועל מ-2024 ואילך. צוותים העובדים מהטקסט שלפני 2023 מסתכלים על מסגרת מיושנת.
מה שינו תיקוני 2023
תיקוני 2023 ערכו מספר שינויים מבניים:
- אוחדו חובות בקר הנתונים בכל המגזרים, בהסרת המשטר המפוצל שבעבר התייחס לספקי שירותי מידע ותקשורת באופן שונה משאר הבקרים
- שונה מסגרת העברה חוצת גבולות לעבור מהסכמה מפורשת לכל העברה לקראת דפוסי הלימות ובטחונות הקרובים יותר למודל GDPR
- הוכנסה זכות ברורה לא להיות כפוף להחלטות אוטומטיות לחלוטין המייצרות השפעות משמעותיות, עם זכות לבקש בדיקה אנושית
- הוקטנה חלון ההודעה החובה על הפרה ל-72 שעות, בהתאמה לתקן GDPR
- הועלה תקרת הקנסות המינהליים לעד 3 אחוזים מסך ההכנסות עבור הפרות חמורות — עלייה דרמטית מהתקרות הקודמות הקשורות להכנסות מהפעילות המפרה
תפקיד ה-PIPC
ה-PIPC הוא הרשות המאוחדת להגנת נתונים, עם סמכויות הכוללות חקירה, הטלת קנסות, צווים מתקנים ופרסום פומבי של החלטות אכיפה. מאז 2023 היא פועלת כגוף ברמת הקבינט עם משאבים שהורחבו משמעותית ועמדת אכיפה אגרסיבית יותר בצורה ניכרת.
מי מוסדר
PIPA חל על כל עיבוד של מידע אישי של תושבי קוריאה, ללא קשר לאיפה נמצא הבקר. מפרסם מבוסס ארה"ב המשרת משתמשים קוריאנים דרך אתר מותאם מקומית, או קונה פרוגרמטי שמגיש הצעות על מלאי קוריאני, נמצא בתחום. טווח חוץ-טריטוריאלי זה מבוסס היטב בפרקטיקת ה-PIPC ועוצם במספר פעולות אכיפה נגד פלטפורמות זרות מאז 2023.
מה נחשב מידע אישי
הגדרת PIPA רחבה. מידע אישי כולל כל מידע על אדם חי שיכול לזהות את האדם, ישירות או בשילוב עם מידע אחר. ה-PIPC התייחסה באופן עקבי לטווח המלא של מזהים מקוונים — עוגיות, מזהי פרסום, כתובות IP, טביעות אצבע של מכשירים ופרופילים התנהגותיים — כמידע אישי כאשר ניתן לקשרם לאדם ישירות או באמצעים סבירים.
מידע רגיש
החוק הקוריאני מייעד קטגוריה נפרדת של מידע רגיש (민감정보) המפעילה דרישות הסכמה מחמירות יותר. זה כולל אידיאולוגיה, אמונות, חברות בארגון עובדים או מפלגה פוליטית, דעות פוליטיות, בריאות, חיי מין, נתונים גנטיים, נתונים ביומטריים המשמשים לזיהוי והיסטוריה פלילית. עיבוד מידע רגיש דורש הסכמה נפרדת וספציפית — לא הסכמה מצורפת שעשויה לכסות מידע אישי רגיל.
מידע זיהוי ייחודי
PIPA מחלצת קטגוריה נוספת, מידע זיהוי ייחודי (고유식별정보), הכולל מספרי רישום תושב, מספרי דרכון, מספרי רישיון נהיגה ומספרי רישום זרים. עיבוד אלה מוגבל מאוד ואסור בדרך כלל לצרכי שיווק או פרסום.
מדוע זה חשוב לעוגיות
עוגייה שמאחסנת מזהה הפעלה פשוט היא מידע אישי רגיל ונכנסת למשטר ההסכמה הכללי. עוגייה המזינה מקטע קהל הנוגע בקטגוריות רגישות — תחומי עניין בריאות, נטיות פוליטיות, זיקות דתיות — חוצה לטריטוריית מידע רגיש ודורשת את זרימת ההסכמה הנפרדת והספציפית. מפרסמים המכוונים לקהלים החופפים לרשימת הרגישים של PIPA לא צריכים להפעיל את המקטעים האלה תחת הסכמה פרסומית כללית.
הסכמה לעוגיות תחת PIPA ב-2026
קוריאה הדרומית פועלת לפי מודל הסכמת opt-in מחמיר. עמדת ה-PIPC לגבי עוגיות הייתה עקבית ועוצמה על ידי מספר החלטות אכיפה ב-2024 וב-2025.
חמשת המרכיבים של הסכמה תקפה
PIPA דורשת שהסכמה לעוגיות שאינן חיוניות וטכנולוגיות דומות תהיה:
- ספציפית למטרה — הסכמה כללית אינה תקפה, כל מטרת עיבוד צריכה הסכמה משלה
- מושכלת — המשתמש חייב להבין אילו נתונים נאספים, מדוע, מי מקבל אותם ולכמה זמן
- וולונטרית — סירוב חייב להיות אפשרי מבלי לשלול שירות שהמשתמש זכאי לו
- מבוטאת באמצעות פעולה חיובית — תיבות מסומנות מראש, הסכמה משתמעת והסכמה על ידי גלילה פסולות כולן
- נפרדת לכל קטגוריית מטרה — חיוני, אנליטי, פרסום, התאמה אישית והעברה חוצת גבולות כל אחד צריך הסכמה שנאספה בנפרד
כיצד נראה CMP תואם
CMP המוגדר לתעבורה קוריאנית ב-2026 צריך להציג:
- כרזה גלויה לפני שכל עוגייה שאינה חיונית מופעלת, כברירת מחדל בקוריאנית (한국어) למשתמשים קוריאנים
- פעולות קבל, דחה והתאם אישית נפרדות עם בולטות ויזואלית שווה — ה-PIPC ציינה ספציפית עיצובי כרזות שבהם דחה פחות גלוי מקבל
- פקדים מפורטים לפי מטרה, כולל מתג מפורש להעברה חוצת גבולות
- זרימה נפרדת ומסומנת בבירור לעיבוד מידע רגיש, מוגנת מאחורי פעולה משלה
- מנגנון קבוע וקל למציאה לביטול ההסכמה לאחר הבחירה הראשונית
- מדיניות פרטיות בשפה הקוריאנית (개인정보 처리방침) עם כל הגילויים
רשומות הסכמה
הבקר חייב לשמור ראיות של הסכמה — מי הסכים, מתי, למה, דרך איזו ממשק. יומני הסכמה ניתנים לייצוא עם חותמת זמן הם רמת הציפייה הבסיסית, ורשומות הסכמה לא מספקות צוינו במספר פעולות אכיפה של PIPC.
העברות חוצות גבולות לאחר תיקוני 2023
משטר ההעברה החוצת גבולות של קוריאה שונה מבניות ביסודיות יותר מכמעט כל עדכון פרטיות לאומי אחר לאחר 2023. הבנת המסגרת החדשה היא הפער הבודד הגדול ביותר בציות למפרסמים זרים ב-2026.
מסגרת ההעברה החדשה
ה-PIPA המתוקן מספק ארבעה נתיבים להעברה חוצת גבולות לגיטימית:
- החלטות הלימות שהוציא ה-PIPC עבור מדינות יעד או מגזרים
- הסמכה של הנמען הזר במסגרת תוכנית הסמכה מוכרת ב-PIPC
- חוזים סטנדרטיים שאושרו על ידי ה-PIPC, הפועלים באופן אנלוגי לסעיפי החוזים הסטנדרטיים של GDPR
- הסכמה מפורשת נפרדת מהנושא לגבי ההעברה הספציפית, כמנגנון שיורי
מדוע זה חשוב
לפני תיקוני 2023, רוב הזרמות חוצות הגבולות הסתמכו על הנתיב הרביעי — הסכמה לכל העברה — שהפיק CMP עבים ומורכבים וקשה לתחזוקה עבור מחסניות פרוגרמטיות. מסגרת 2023 מאפשרת לבקרים להסתמך על חוזים סטנדרטיים או הסמכה, מפחיתה את נטל ההסכמה ומיישרת קו עם הפרקטיקה הבינלאומית. מפרסמים שלא עדכנו את חוזי הספקים שלהם להפנות לחוזים הסטנדרטיים של ה-PIPC עדיין פועלים כברירת מחדל במסגרת המשטר הישן, שהוא כעת התחייבות ציות ולא נכס.
הגישה המעשית ב-2026
רוב המפרסמים הזרים מבצעים כעת חוזים סטנדרטיים של PIPC עם המעבדים הזרים שלהם, מתעדים את מנגנון ההעברה במדיניות הפרטיות ושומרים הסכמה נפרדת לכל העברה רק כגיבוי למקרי קצה. זה ניתן לביצוע, ניתן להגנה ופשוט משמעותית יותר ממה שהיה לפני.
קבלת החלטות אוטומטית ושקיפות אלגוריתמית
תיקוני 2023 הכניסו זכות לא להיות כפוף להחלטות אוטומטיות לחלוטין המייצרות השפעות משמעותיות, וזכות לבקש בדיקה אנושית של החלטות כאלה. עבור מפרסמים, זה חל באופן הגלוי ביותר על אצירה אלגוריתמית של תוכן, תמחור מותאם אישית וכל כיוון קהל המייצר תוצאות דיפרנציאליות משמעותיות.
חובות גילוי
בקרים חייבים לגלות במדיניות הפרטיות שנעשה שימוש בקבלת החלטות אוטומטית, לתאר את ההיגיון הבסיסי ולהסביר את ההשפעות המשמעותיות הפוטנציאליות. זה לא אומר לחשוף אלגוריתמים קנייניים — אך זה דורש סיכום מובן בשפה פשוטה שמשתמש טיפוסי יכול להבין.
זכות הבדיקה
משתמשים המושפעים מהחלטה אוטומטית משמעותית יכולים לבקש בדיקה אנושית, תיקון או הסבר. הבקר חייב לספק ערוץ לבקשה זו ולהגיב בתוך לוחות הזמנים הסטנדרטיים של PIPA.
זכויות נושאי הנתונים
PIPA מעניק את אשכול הזכויות המוכר, המוחל דרך המסגרת הקוריאנית:
- זכות להיות מיודע על עיבוד
- זכות גישה לנתונים שעובדו
- זכות לתיקון נתונים לא מדויקים
- זכות להשעיית עיבוד
- זכות למחיקה כאשר עיבוד אינו מוצדק עוד
- זכות לביטול הסכמה בקלות כפי שניתנה
- זכות להתנגד לקבלת החלטות אוטומטית המייצרת השפעות משמעותיות
- זכות להגיש תלונה ל-PIPC
לוחות זמנים לתגובה
בקרים חייבים להגיב לרוב בקשות נושאי הנתונים תוך 10 ימים, שניתן להאריך פעם אחת ב-10 ימים נוספים עם הודעה — הדוק משמעותית יותר מחלון 30 הימים של GDPR. זהו אחד הפערים התפעוליים הנפוצים יותר עבור מפרסמים זרים, שיש להם בדרך כלל כלים ונהלים מכוונים לקצב 30 הימים של GDPR.
עונשים ועמדת אכיפה ב-2026
פעילות האכיפה של ה-PIPC הסלימה בחדות מאז 2023, ו-2025 הניב כמה מהקנסות הגדולים ביותר בהיסטוריה שלה — כמה מהם נגד פלטפורמות ומפרסמים זרים.
קנסות מינהליים
תיקוני 2023 העלו את שכבת הקנס העליונה לעד 3 אחוזים מסך ההכנסות עבור ההפרות החמורות ביותר. קנסות ברמה נמוכה יותר חלים על כשלים סביב הסכמה, הודעה, אבטחת נתונים, הודעת הפרה והעברה חוצת גבולות. ה-PIPC הייתה מוכנה להשתמש בשכבה העליונה ב-2025, שלא היה הדפוס ההיסטורי שלה.
אחריות פלילית
PIPA נושאת עונשים פליליים — כולל מאסר — עבור ההפרות החמורות ביותר, כמו מכירה בלתי חוקית של מידע אישי או הפרות מכוונות בקנה מידה גדול. אלה נדירים אך אמיתיים והופעלו בתיקי 2025.
נושאי אכיפה
פעולות ה-PIPC מ-2025 מתקבצות סביב בעיות חוזרות: כרזות הסכמה לא מספקות או עמומות, העברות חוצות גבולות ללא מנגנון תקף לאחר 2023, הודעת הפרה לא מספקת וכישלון לכבד זכויות נושאי נתונים בחלון 10 הימים. מפרסמים זרים צוינו בכל ארבע הקטגוריות.
רשימת בדיקה לביקורת לתעבורה קוריאנית ב-2026
- כרזת ה-CMP מוגשת בקוריאנית (한국어) עם קבל, דחה והתאם אישית בבולטות ויזואלית שווה
- מטרות ההסכמה מפורטות ומפרידות כל עיבוד של מידע רגיש מאחורי זרימת ההסכמה הספציפית שלו
- העברות חוצות גבולות מסתמכות על חוזה סטנדרטי PIPC, הסמכה או הלימות — לא על הסכמה ישנה לכל העברה
- מדיניות הפרטיות (개인정보 처리방침) זמינה בקוריאנית עם כל הגילויים של מעבדים, מטרות, שמירה וזכויות, כולל לוגיקת קבלת החלטות אוטומטית כאשר רלוונטי
- יומני ההסכמה מוחתמים בזמן, ניתנים לייצוא ומשמרים לפחות את משך העיבוד בתוספת מרווח ניתן לביקורת
- זרימת העבודה של בקשת נושא הנתונים יכולה להגיב תוך 10 ימים מקצה לקצה, בקוריאנית
- נוהל הודעת ההפרה מכוון לחלון 72 השעות של PIPC
- גילויי קבלת החלטות אוטומטית נמצאים במדיניות הפרטיות היכן שהחלטות משמעותיות מתקבלות באמצעות מערכות כאלה
- רשימת הספקים נסקרה לצורך הכרחיות, עם הסרת ספקים שאינם בשימוש או מיותרים
תחזית 2026
משטר הפרטיות של קוריאה הדרומית בגר ממסגרת המחמירה יותר על הנייר באסיה לאחד ממשטרי האכיפה המחמירים ביותר בעולם. תיקוני 2023 הסירו את החוסמים המבניים שהפכו את הציות ליקר, וה-PIPC השתמשה בשנתיים מאז להתמקד באכיפת שאר החוק. למפרסמים עם ערימת הסכמה ברמת GDPR נדרשים התאמות קטנות יחסית כדי להיות מוכנים לקוריאה: CMP ומדיניות בשפה קוריאנית, חוזים סטנדרטיים PIPC לזרמות חוצות גבולות, קצב התגובה של 10 ימים וזהירות עם רשימת המידע הרגיש. מפרסמים שעדיין מתייחסים לקוריאה כשוק קל יותר ימצאו ש-2026 ו-2027 יקרים יותר מבחינה מהותית מהשנים הקודמות. החדשות הטובות הן שהפער הוא תפעולי, לא ארכיטקטוני, וניתן לסגור אותו תוך שבועות אם מועדף.