दक्षिण कोरिया का PIPA और 2025 के संशोधन: कुकी सहमति, सीमा-पार स्थानांतरण और 2026 में PIPC के लिए प्रकाशकों और विज्ञापनदाताओं की मार्गदर्शिका
दक्षिण कोरिया का व्यक्तिगत सूचना संरक्षण अधिनियम (PIPA, 개인정보 보호법) 2011 में लागू होने के बाद से चुपचाप एशिया की सबसे सख्त सहमति व्यवस्थाओं में से एक रहा है। पिछले तीन वर्षों में जो बदला है वह प्रवर्तन है। 2023 के संशोधन — PIPA की शुरुआत के बाद से सबसे महत्वपूर्ण पुनर्लेखन — 2023 और 2024 में लागू हुए और सीमा-पार स्थानांतरण नियमों, स्वचालित निर्णय लेने के प्रकटीकरण और दंड ढांचे को पुनर्संरचित किया। व्यक्तिगत सूचना संरक्षण आयोग (PIPC, 개인정보보호위원회) ने 2024 और 2025 का उपयोग अपने इतिहास के कुछ सबसे बड़े जुर्माने लगाने के लिए किया, जिनमें विदेशी प्रकाशकों और वैश्विक प्लेटफार्मों के खिलाफ कई शामिल हैं। 2026 में, कोरिया को हल्के निगरानी वाले बाजार के रूप में देखना किसी के लिए भी टिकाऊ रुख नहीं है जो महत्वपूर्ण कोरियाई ट्रैफिक सेवा कर रहा है। यह मार्गदर्शिका बताती है कि PIPA वास्तव में क्या आवश्यक है, 2023 के संशोधनों ने क्या बदला, कुकी सहमति को कैसे कॉन्फ़िगर किया जाना चाहिए और PIPC अभी ढांचे को कैसे लागू कर रहा है।
2023 के संशोधनों के बाद PIPA की संरचना
PIPA दक्षिण कोरिया में प्राथमिक व्यक्तिगत डेटा अधिनियम है, और संशोधित संस्करण 2024 से परिचालन करने वाले किसी भी प्रकाशक के लिए संदर्भ बिंदु है। 2023 से पहले के पाठ से काम करने वाली टीमें एक पुरानी रूपरेखा देख रही हैं।
2023 के संशोधनों ने क्या बदला
2023 के संशोधनों ने कई संरचनात्मक परिवर्तन किए:
- सभी क्षेत्रों में डेटा नियंत्रक दायित्वों को एकीकृत किया, उस खंडित व्यवस्था को हटाते हुए जो पहले सूचना और संचार सेवा प्रदाताओं को अन्य नियंत्रकों से अलग तरह से मानती थी
- GDPR मॉडल के करीब पर्याप्तता और सुरक्षा उपाय पैटर्न की ओर प्रति-स्थानांतरण स्पष्ट सहमति से दूर जाने के लिए सीमा-पार स्थानांतरण ढांचे को पुनर्संरचित किया
- मानव समीक्षा का अनुरोध करने के अधिकार के साथ महत्वपूर्ण प्रभाव उत्पन्न करने वाले पूरी तरह से स्वचालित निर्णयों के अधीन न होने का स्पष्ट अधिकार शामिल किया
- अनिवार्य उल्लंघन अधिसूचना विंडो को GDPR मानक से मेल खाते हुए 72 घंटों तक कड़ा किया
- गंभीर उल्लंघनों के लिए प्रशासनिक जुर्माने की सीमा कुल राजस्व के 3 प्रतिशत तक बढ़ाई — उल्लंघन गतिविधि से होने वाले राजस्व से जुड़ी पहले की सीमाओं से नाटकीय वृद्धि
PIPC की भूमिका
PIPC एकीकृत डेटा संरक्षण प्राधिकरण है, जिसके पास जांच, जुर्माना लगाना, सुधारात्मक आदेश और प्रवर्तन निर्णयों का सार्वजनिक प्रकटीकरण शामिल करने वाली शक्तियां हैं। 2023 से यह महत्वपूर्ण रूप से विस्तारित संसाधनों और दृश्यमान रूप से अधिक आक्रामक प्रवर्तन रुख के साथ कैबिनेट-स्तरीय निकाय के रूप में संचालित हो रहा है।
किसे विनियमित किया जाता है
PIPA कोरियाई निवासियों की व्यक्तिगत जानकारी के किसी भी प्रसंस्करण पर लागू होता है, चाहे नियंत्रक कहीं भी स्थित हो। एक यूएस-आधारित प्रकाशक जो स्थानीयकृत साइट के माध्यम से कोरियाई उपयोगकर्ताओं को सेवा देता है, या एक प्रोग्रामेटिक खरीदार जो कोरियाई इन्वेंट्री पर बोली लगाता है, दायरे में है। यह क्षेत्रातीत पहुंच PIPC अभ्यास में अच्छी तरह से स्थापित है और 2023 से विदेशी प्लेटफार्मों के खिलाफ कई प्रवर्तन कार्यों में इसे मजबूत किया गया है।
व्यक्तिगत जानकारी क्या मानी जाती है
PIPA की परिभाषा व्यापक है। व्यक्तिगत जानकारी में एक जीवित व्यक्ति के बारे में कोई भी जानकारी शामिल है जो व्यक्ति की पहचान कर सके, या तो सीधे या अन्य जानकारी के संयोजन से। PIPC ने ऑनलाइन पहचानकर्ताओं की पूरी श्रेणी — कुकीज, विज्ञापन आईडी, आईपी पते, डिवाइस फिंगरप्रिंट और व्यवहार प्रोफाइल — को व्यक्तिगत जानकारी के रूप में लगातार माना है जब उन्हें सीधे या उचित साधनों से किसी व्यक्ति से जोड़ा जा सकता है।
संवेदनशील जानकारी
कोरियाई कानून संवेदनशील जानकारी (민감정보) की एक अलग श्रेणी निर्दिष्ट करता है जो सख्त सहमति आवश्यकताओं को ट्रिगर करती है। इसमें विचारधारा, विश्वास, ट्रेड यूनियन या राजनीतिक दल की सदस्यता, राजनीतिक राय, स्वास्थ्य, यौन जीवन, आनुवंशिक डेटा, पहचान के लिए उपयोग किए जाने वाले बायोमेट्रिक डेटा और आपराधिक इतिहास शामिल हैं। संवेदनशील जानकारी के प्रसंस्करण के लिए अलग, विशिष्ट सहमति की आवश्यकता है — बंडल सहमति नहीं जो सामान्य व्यक्तिगत जानकारी को कवर कर सकती है।
अद्वितीय पहचान जानकारी
PIPA एक अतिरिक्त श्रेणी को अलग करता है, अद्वितीय पहचान जानकारी (고유식별정보), जिसमें निवासी पंजीकरण संख्या, पासपोर्ट संख्या, ड्राइवर लाइसेंस संख्या और विदेशी पंजीकरण संख्या शामिल हैं। इनका प्रसंस्करण सख्ती से प्रतिबंधित है और विपणन या विज्ञापन उद्देश्यों के लिए आम तौर पर प्रतिबंधित है।
कुकीज के लिए यह क्यों मायने रखता है
एक कुकी जो एक साधारण सत्र पहचानकर्ता संग्रहीत करती है वह सामान्य व्यक्तिगत जानकारी है और सामान्य सहमति व्यवस्था के अंतर्गत आती है। एक कुकी जो संवेदनशील श्रेणियों को छूने वाले दर्शक खंड को खिलाती है — स्वास्थ्य रुचियां, राजनीतिक झुकाव, धार्मिक संबद्धता — संवेदनशील जानकारी क्षेत्र में प्रवेश करती है और अलग, विशिष्ट सहमति प्रवाह की आवश्यकता है। PIPA की संवेदनशील सूची के साथ ओवरलैप करने वाले दर्शकों को लक्षित करने वाले प्रकाशकों को उन खंडों को सामान्य विज्ञापन सहमति के तहत नहीं चलाना चाहिए।
2026 में PIPA के तहत कुकी सहमति
दक्षिण कोरिया एक सख्त ऑप्ट-इन सहमति मॉडल का पालन करता है। कुकीज पर PIPC का रुख सुसंगत रहा है और 2024 और 2025 में कई प्रवर्तन निर्णयों से इसे मजबूत किया गया है।
वैध सहमति के पांच तत्व
PIPA की आवश्यकता है कि गैर-आवश्यक कुकीज और समान तकनीकों के लिए सहमति:
- उद्देश्य के लिए विशिष्ट हो — सामान्य छाता सहमति मान्य नहीं है, प्रत्येक प्रसंस्करण उद्देश्य की अपनी सहमति की आवश्यकता है
- सूचित हो — उपयोगकर्ता को समझना होगा कि क्या डेटा एकत्र किया जाता है, क्यों, कौन इसे प्राप्त करता है और कितने समय के लिए
- स्वैच्छिक हो — उस सेवा से वंचित किए बिना इनकार संभव होना चाहिए जिसके लिए उपयोगकर्ता अन्यथा हकदार है
- एक सकारात्मक कार्य द्वारा व्यक्त हो — पूर्व-चेकित बॉक्स, निहित सहमति और स्क्रॉल-के-रूप-में-सहमति सभी अमान्य हैं
- प्रत्येक उद्देश्य श्रेणी के लिए अलग — आवश्यक, विश्लेषण, विज्ञापन, वैयक्तिकरण और सीमा-पार स्थानांतरण प्रत्येक को अलग से एकत्रित सहमति की आवश्यकता है
एक अनुपालक CMP कैसा दिखता है
2026 में कोरियाई ट्रैफिक के लिए कॉन्फ़िगर किया गया CMP प्रस्तुत करना चाहिए:
- किसी भी गैर-आवश्यक कुकी के फायर होने से पहले एक दृश्यमान बैनर, कोरियाई उपयोगकर्ताओं के लिए कोरियाई (한국어) में डिफ़ॉल्ट रूप से
- समान दृश्य प्रमुखता के साथ अलग स्वीकार, अस्वीकार और अनुकूलित करें क्रियाएं — PIPC ने विशेष रूप से बैनर डिज़ाइन का उल्लेख किया है जहां अस्वीकार स्वीकार से कम दृश्यमान है
- सीमा-पार स्थानांतरण के लिए एक स्पष्ट टॉगल सहित, प्रति उद्देश्य दानेदार नियंत्रण
- अपनी स्वयं की क्रिया के पीछे गेट किए गए संवेदनशील-जानकारी प्रसंस्करण के लिए एक अलग, स्पष्ट रूप से लेबल किया गया प्रवाह
- प्रारंभिक विकल्प के बाद सहमति वापस लेने के लिए एक स्थायी, आसानी से पाया जाने वाला तंत्र
- पूर्ण प्रकटीकरण के साथ कोरियाई-भाषा गोपनीयता नीति (개인정보 처리방침)
सहमति रिकॉर्ड
नियंत्रक को सहमति का सबूत बनाए रखना होगा — किसने सहमति दी, कब, किसके लिए, किस इंटरफेस के माध्यम से। निर्यात योग्य, टाइमस्टैम्प किए गए सहमति लॉग आधार रेखा अपेक्षा हैं, और अपर्याप्त सहमति रिकॉर्ड कई PIPC प्रवर्तन कार्यों में उद्धृत किए गए हैं।
2023 के संशोधनों के बाद सीमा-पार स्थानांतरण
कोरिया की सीमा-पार स्थानांतरण व्यवस्था को 2023 के बाद के लगभग किसी भी अन्य राष्ट्रीय गोपनीयता अद्यतन की तुलना में अधिक व्यापक रूप से पुनर्संरचित किया गया है। नई रूपरेखा को समझना 2026 में विदेशी प्रकाशकों के लिए एकल सबसे बड़ा अनुपालन अंतर है।
नया स्थानांतरण ढांचा
संशोधित PIPA वैध सीमा-पार स्थानांतरण के लिए चार रास्ते प्रदान करता है:
- गंतव्य देशों या क्षेत्रों के लिए PIPC द्वारा जारी पर्याप्तता निर्णय
- PIPC-मान्यता प्राप्त प्रमाणन योजना के तहत विदेशी प्राप्तकर्ता का प्रमाणन
- PIPC द्वारा अनुमोदित मानक अनुबंध, जो GDPR मानक संविदात्मक खंडों के समान रूप से कार्य करते हैं
- विशिष्ट स्थानांतरण के लिए डेटा विषय से अलग स्पष्ट सहमति, एक अवशिष्ट तंत्र के रूप में
यह क्यों मायने रखता है
2023 के संशोधनों से पहले, अधिकांश सीमा-पार प्रवाह चौथे रास्ते पर निर्भर थे — प्रति-स्थानांतरण सहमति — जो मोटे, जटिल CMP उत्पन्न करती थी और प्रोग्रामेटिक स्टैक के लिए बनाए रखना मुश्किल था। 2023 ढांचा नियंत्रकों को मानक अनुबंधों या प्रमाणन पर निर्भर रहने की अनुमति देता है, सहमति बोझ को कम करता है और अंतर्राष्ट्रीय अभ्यास के साथ संरेखित होता है। जिन प्रकाशकों ने PIPC मानक अनुबंधों का संदर्भ देने के लिए अपने विक्रेता अनुबंधों को अपडेट नहीं किया है, वे अभी भी डिफ़ॉल्ट रूप से पुरानी व्यवस्था के तहत काम कर रहे हैं, जो अब एक संपत्ति के बजाय अनुपालन देनदारी है।
2026 में व्यावहारिक दृष्टिकोण
अधिकांश विदेशी प्रकाशक अब अपने विदेशी प्रोसेसर के साथ PIPC मानक अनुबंध निष्पादित कर रहे हैं, गोपनीयता नीति में स्थानांतरण तंत्र का दस्तावेजीकरण कर रहे हैं और प्रति-स्थानांतरण अलग सहमति को केवल एज केस के लिए फॉलबैक के रूप में रख रहे हैं। यह काम करने योग्य है, बचाव योग्य है और पहले की तुलना में सार्थक रूप से सरल है।
स्वचालित निर्णय लेना और एल्गोरिदमिक पारदर्शिता
2023 के संशोधनों ने महत्वपूर्ण प्रभाव उत्पन्न करने वाले पूरी तरह से स्वचालित निर्णयों के अधीन न होने का अधिकार और ऐसे निर्णयों की मानव समीक्षा का अनुरोध करने का अधिकार शामिल किया। प्रकाशकों के लिए, यह सबसे स्पष्ट रूप से एल्गोरिदमिक सामग्री क्यूरेशन, वैयक्तिकृत मूल्य निर्धारण और किसी भी दर्शक लक्ष्यीकरण पर लागू होता है जो महत्वपूर्ण विभेदक परिणाम उत्पन्न करता है।
प्रकटीकरण दायित्व
नियंत्रकों को गोपनीयता नीति में प्रकट करना होगा कि स्वचालित निर्णय लेने का उपयोग किया जाता है, बुनियादी तर्क का वर्णन करें और संभावित महत्वपूर्ण प्रभावों की व्याख्या करें। इसका मतलब मालिकाना एल्गोरिदम का खुलासा करना नहीं है — लेकिन इसके लिए एक सार्थक सादी भाषा का सारांश आवश्यक है जिसे एक विशिष्ट उपयोगकर्ता समझ सके।
समीक्षा का अधिकार
एक महत्वपूर्ण स्वचालित निर्णय से प्रभावित उपयोगकर्ता मानव समीक्षा, सुधार या स्पष्टीकरण का अनुरोध कर सकते हैं। नियंत्रक को इस अनुरोध के लिए एक चैनल प्रदान करना होगा और मानक PIPA समय-सीमा के भीतर प्रतिक्रिया देनी होगी।
डेटा विषय अधिकार
PIPA परिचित अधिकारों का समूह प्रदान करता है, जो कोरियाई ढांचे के माध्यम से लागू होते हैं:
- प्रसंस्करण के बारे में सूचित किए जाने का अधिकार
- संसाधित डेटा तक पहुंच का अधिकार
- गलत डेटा के सुधार का अधिकार
- प्रसंस्करण के निलंबन का अधिकार
- जब प्रसंस्करण अब उचित नहीं है तब हटाने का अधिकार
- उतनी ही आसानी से सहमति वापस लेने का अधिकार जितनी आसानी से दी गई थी
- महत्वपूर्ण प्रभाव उत्पन्न करने वाले स्वचालित निर्णय लेने पर आपत्ति का अधिकार
- PIPC से शिकायत करने का अधिकार
प्रतिक्रिया समयरेखा
नियंत्रकों को अधिकांश डेटा विषय अनुरोधों का 10 दिनों के भीतर जवाब देना होगा, जिसे नोटिस के साथ एक बार 10 और दिनों के लिए बढ़ाया जा सकता है — GDPR की 30-दिन की विंडो की तुलना में काफी सख्त। यह विदेशी प्रकाशकों के लिए अधिक सामान्य परिचालन अंतरालों में से एक है, जिनके पास आम तौर पर 30-दिन GDPR कैडेंस के लिए ट्यून किए गए उपकरण और रनबुक होते हैं।
2026 में दंड और प्रवर्तन रुख
PIPC की प्रवर्तन गतिविधि 2023 से तेजी से बढ़ी है, और 2025 ने इसके इतिहास में कुछ सबसे बड़े जुर्माने उत्पन्न किए — उनमें से कई विदेशी प्लेटफार्मों और प्रकाशकों के खिलाफ।
प्रशासनिक जुर्माने
2023 के संशोधनों ने सबसे गंभीर उल्लंघनों के लिए शीर्ष जुर्माना स्तर को कुल राजस्व के 3 प्रतिशत तक बढ़ाया। सहमति, सूचना, डेटा सुरक्षा, उल्लंघन अधिसूचना और सीमा-पार स्थानांतरण के आसपास की विफलताओं के लिए निचले स्तर के जुर्माने लागू होते हैं। PIPC 2025 में शीर्ष स्तर का उपयोग करने के लिए तैयार रहा है, जो इसका ऐतिहासिक पैटर्न नहीं था।
आपराधिक दायित्व
PIPA सबसे जघन्य उल्लंघनों के लिए आपराधिक दंड — कारावास सहित — वहन करता है, जैसे व्यक्तिगत जानकारी की गैरकानूनी बिक्री या जानबूझकर बड़े पैमाने पर उल्लंघन। ये दुर्लभ हैं लेकिन वास्तविक हैं और 2025 के मामलों में लागू किए गए हैं।
प्रवर्तन विषय
PIPC के 2025 के कार्य आवर्ती मुद्दों के आसपास एकत्रित होते हैं: अपर्याप्त या अस्पष्ट सहमति बैनर, 2023 के बाद के वैध तंत्र के बिना सीमा-पार स्थानांतरण, अपर्याप्त उल्लंघन अधिसूचना और 10-दिन की विंडो के भीतर डेटा विषय अधिकारों का सम्मान करने में विफलता। विदेशी प्रकाशकों को चारों श्रेणियों में उद्धृत किया गया है।
2026 में कोरियाई ट्रैफिक के लिए ऑडिट चेकलिस्ट
- CMP बैनर कोरियाई (한국어) में स्वीकार, अस्वीकार और अनुकूलित करें के साथ समान दृश्य प्रमुखता के साथ परोसा जाता है
- सहमति उद्देश्य दानेदार हैं और किसी भी संवेदनशील-जानकारी प्रसंस्करण को अपने विशिष्ट सहमति प्रवाह के पीछे अलग करते हैं
- सीमा-पार स्थानांतरण PIPC मानक अनुबंध, प्रमाणन या पर्याप्तता पर निर्भर करते हैं — विरासत प्रति-स्थानांतरण सहमति पर नहीं
- गोपनीयता नीति (개인정보 처리방침) प्रोसेसर, उद्देश्यों, प्रतिधारण और अधिकारों के पूर्ण प्रकटीकरण के साथ कोरियाई में उपलब्ध है, जिसमें जहां लागू हो वहां स्वचालित निर्णय लेने का तर्क शामिल है
- सहमति लॉग टाइमस्टैम्प किए गए हैं, निर्यात योग्य हैं और कम से कम प्रसंस्करण अवधि के साथ एक ऑडिट योग्य मार्जिन के लिए बनाए रखे गए हैं
- डेटा विषय अनुरोध वर्कफ़्लो 10 दिनों के भीतर कोरियाई में अंत-से-अंत तक प्रतिक्रिया दे सकता है
- उल्लंघन अधिसूचना रनबुक PIPC की 72-घंटे की विंडो के लिए ट्यून किया गया है
- स्वचालित निर्णय लेने के प्रकटीकरण गोपनीयता नीति में हैं जहां ऐसी प्रणालियों का उपयोग करके महत्वपूर्ण निर्णय लिए जाते हैं
- विक्रेता सूची की आवश्यकता के लिए समीक्षा की गई है, अप्रयुक्त या अनावश्यक विक्रेताओं को हटाया गया है
2026 का दृष्टिकोण
दक्षिण कोरिया की गोपनीयता व्यवस्था एशिया में कागज पर सख्त ढांचों में से एक से वैश्विक स्तर पर प्रवर्तन में सख्त व्यवस्थाओं में से एक तक परिपक्व हो गई है। 2023 के संशोधनों ने संरचनात्मक बाधाओं को हटा दिया जिसने अनुपालन को महंगा बना दिया था, और PIPC ने तब से दो वर्षों का उपयोग शेष कानून के प्रवर्तन पर ध्यान केंद्रित करने के लिए किया है। GDPR-ग्रेड सहमति स्टैक वाले प्रकाशकों को कोरिया के लिए तैयार होने के लिए अपेक्षाकृत छोटे समायोजन की आवश्यकता है: कोरियाई-भाषा CMP और नीति, सीमा-पार प्रवाह के लिए PIPC मानक अनुबंध, 10-दिन प्रतिक्रिया कैडेंस और संवेदनशील-जानकारी सूची के साथ देखभाल। कोरिया को अभी भी हल्के बाजार के रूप में मानने वाले प्रकाशकों को लगेगा कि 2026 और 2027 पिछले वर्षों की तुलना में भौतिक रूप से अधिक महंगे हैं। अच्छी खबर यह है कि अंतर परिचालन है, वास्तुकला नहीं, और यदि प्राथमिकता दी जाए तो इसे हफ्तों में बंद किया जा सकता है।