PIPA Korea Selatan dan Amandemen 2025: Panduan Penerbit dan Pengiklan untuk Persetujuan Cookie, Transfer Lintas Batas, dan PIPC di 2026
Korea Selatan Undang-Undang Perlindungan Informasi Pribadi (PIPA, 개인정보 보호법) secara diam-diam telah menjadi salah satu rezim persetujuan paling ketat di Asia sejak pertama kali berlaku pada 2011. Yang berubah dalam tiga tahun terakhir adalah penegakannya. Amandemen 2023 — penulisan ulang PIPA paling signifikan sejak diperkenalkan — mulai berlaku melalui 2023 dan 2024 serta merestrukturisasi aturan transfer lintas batas, pengungkapan pengambilan keputusan otomatis, dan kerangka sanksi. Komisi Perlindungan Informasi Pribadi (PIPC, 개인정보보호위원회) menggunakan 2024 dan 2025 untuk mengeluarkan beberapa denda terbesar yang pernah ada, termasuk beberapa terhadap penerbit asing dan platform global. Pada 2026, memperlakukan Korea sebagai pasar dengan sentuhan ringan bukan lagi sikap yang dapat dipertahankan oleh siapa pun yang melayani lalu lintas Korea yang signifikan. Panduan ini menjelaskan apa yang sebenarnya disyaratkan PIPA, apa yang diubah oleh amandemen 2023, bagaimana persetujuan cookie harus dikonfigurasi, dan bagaimana PIPC menegakkan kerangka tersebut saat ini.
Struktur PIPA Setelah Amandemen 2023
PIPA adalah undang-undang data pribadi utama di Korea Selatan, dan versi yang telah diamandemen adalah acuan bagi setiap penerbit yang beroperasi mulai 2024. Tim yang bekerja dari teks sebelum 2023 melihat kerangka yang sudah usang.
Apa yang Diubah oleh Amandemen 2023
Amandemen 2023 membuat beberapa perubahan struktural:
- Menyatukan kewajiban pengontrol data di semua sektor, menghilangkan rezim yang terfragmentasi yang sebelumnya memperlakukan penyedia layanan informasi dan komunikasi secara berbeda dari pengontrol lainnya
- Merestrukturisasi kerangka transfer lintas batas untuk beralih dari persetujuan-eksplisit-per-transfer menuju pola kecukupan-dan-perlindungan yang lebih dekat dengan model GDPR
- Memperkenalkan hak yang jelas untuk tidak tunduk pada keputusan yang sepenuhnya otomatis yang menghasilkan efek signifikan, dengan hak untuk meminta tinjauan manusia
- Memperketat jendela pemberitahuan pelanggaran wajib menjadi 72 jam, sesuai dengan standar GDPR
- Menaikkan batas maksimum denda administratif menjadi hingga 3 persen dari total pendapatan untuk pelanggaran serius — peningkatan dramatis dari batas sebelumnya yang terkait dengan pendapatan dari aktivitas yang melanggar
Peran PIPC
PIPC adalah otoritas perlindungan data terpadu, dengan kekuasaan mencakup penyelidikan, pengenaan denda, perintah korektif, dan pengungkapan publik keputusan penegakan. Sejak 2023 beroperasi sebagai lembaga tingkat Kabinet dengan sumber daya yang diperluas secara bermakna dan sikap penegakan yang lebih agresif secara nyata.
Siapa yang Diatur
PIPA berlaku untuk pemrosesan informasi pribadi penduduk Korea manapun, terlepas dari lokasi pengontrol. Penerbit berbasis AS yang melayani pengguna Korea melalui situs yang dilokalisasi, atau pembeli programatik yang menawar inventaris Korea, termasuk dalam cakupan. Jangkauan ekstrateritorial ini telah terbentuk dengan baik dalam praktik PIPC dan telah diperkuat dalam beberapa tindakan penegakan terhadap platform asing sejak 2023.
Apa yang Dihitung sebagai Informasi Pribadi
Definisi PIPA luas. Informasi pribadi mencakup informasi apa pun tentang individu yang hidup yang dapat mengidentifikasi individu tersebut, baik secara langsung maupun dengan kombinasi dengan informasi lain. PIPC secara konsisten memperlakukan seluruh rangkaian pengenal online — cookie, ID iklan, alamat IP, sidik jari perangkat, dan profil perilaku — sebagai informasi pribadi ketika dapat dikaitkan dengan individu secara langsung atau dengan cara yang wajar.
Informasi Sensitif
Hukum Korea menunjuk kategori tersendiri dari informasi sensitif (민감정보) yang memicu persyaratan persetujuan yang lebih ketat. Ini mencakup ideologi, keyakinan, keanggotaan serikat dagang atau partai politik, pendapat politik, kesehatan, kehidupan seksual, data genetik, data biometrik yang digunakan untuk identifikasi, dan riwayat kriminal. Memproses informasi sensitif memerlukan persetujuan yang terpisah dan spesifik — bukan persetujuan bundel yang mungkin mencakup informasi pribadi biasa.
Informasi Identifikasi Unik
PIPA menguraikan kategori tambahan, informasi identifikasi unik (고유식별정보), yang mencakup nomor registrasi penduduk, nomor paspor, nomor SIM, dan nomor registrasi orang asing. Pemrosesan ini sangat dibatasi dan umumnya dilarang untuk tujuan pemasaran atau periklanan.
Mengapa Ini Penting untuk Cookie
Cookie yang menyimpan pengenal sesi sederhana adalah informasi pribadi biasa dan termasuk dalam rezim persetujuan umum. Cookie yang mengisi segmen audiens yang menyentuh kategori sensitif — minat kesehatan, kecenderungan politik, afiliasi agama — masuk ke wilayah informasi sensitif dan memerlukan alur persetujuan yang terpisah dan spesifik. Penerbit yang menargetkan audiens yang tumpang tindih dengan daftar sensitif PIPA tidak boleh menjalankan segmen-segmen tersebut di bawah persetujuan iklan umum.
Persetujuan Cookie di Bawah PIPA pada 2026
Korea Selatan mengikuti model persetujuan opt-in yang ketat. Posisi PIPC tentang cookie konsisten dan telah diperkuat oleh beberapa keputusan penegakan sepanjang 2024 dan 2025.
Lima Elemen Persetujuan yang Valid
PIPA mensyaratkan bahwa persetujuan untuk cookie non-esensial dan teknologi serupa harus:
- Spesifik untuk tujuan — persetujuan payung umum tidak valid, setiap tujuan pemrosesan memerlukan persetujuannya sendiri
- Terinformasi — pengguna harus memahami data apa yang dikumpulkan, mengapa, siapa yang menerimanya, dan berapa lama
- Sukarela — penolakan harus mungkin tanpa ditolak layanan yang seharusnya berhak diterima pengguna
- Dinyatakan dengan tindakan afirmatif — kotak yang sudah dicentang, persetujuan tersirat, dan scroll-sebagai-persetujuan semuanya tidak valid
- Terpisah untuk setiap kategori tujuan — esensial, analitik, iklan, personalisasi, dan transfer lintas batas masing-masing memerlukan persetujuan yang dikumpulkan secara terpisah
Seperti Apa CMP yang Patuh
CMP yang dikonfigurasi untuk lalu lintas Korea pada 2026 harus menyajikan:
- Banner yang terlihat sebelum cookie non-esensial mana pun aktif, defaultnya dalam bahasa Korea (한국어) untuk pengguna Korea
- Tindakan Terima, Tolak, dan Kustomisasi yang terpisah dengan visibilitas visual yang setara — PIPC secara khusus menyebutkan desain banner di mana Tolak kurang terlihat dibandingkan Terima
- Kontrol granular per tujuan, termasuk toggle eksplisit untuk transfer lintas batas
- Alur yang terpisah dan berlabel jelas untuk pemrosesan informasi sensitif, dikunci di balik tindakannya sendiri
- Mekanisme yang persisten dan mudah ditemukan untuk menarik persetujuan setelah pilihan awal
- Kebijakan privasi dalam bahasa Korea (개인정보 처리방침) dengan pengungkapan lengkap
Catatan Persetujuan
Pengontrol harus menyimpan bukti persetujuan — siapa yang menyetujui, kapan, untuk apa, melalui antarmuka apa. Log persetujuan yang dapat diekspor dan diberi cap waktu adalah ekspektasi dasar, dan catatan persetujuan yang tidak memadai telah disebutkan dalam beberapa tindakan penegakan PIPC.
Transfer Lintas Batas Setelah Amandemen 2023
Rezim transfer lintas batas Korea telah direstrukturisasi lebih menyeluruh daripada hampir semua pembaruan privasi nasional pasca-2023 lainnya. Memahami kerangka baru adalah kesenjangan kepatuhan terbesar bagi penerbit asing pada 2026.
Kerangka Transfer Baru
PIPA yang diamandemen menyediakan empat jalur untuk transfer lintas batas yang sah:
- Keputusan kecukupan yang dikeluarkan oleh PIPC untuk negara atau sektor tujuan
- Sertifikasi penerima luar negeri di bawah skema sertifikasi yang diakui PIPC
- Kontrak standar yang disetujui oleh PIPC, yang berfungsi analog dengan klausul kontrak standar GDPR
- Persetujuan eksplisit yang terpisah dari subjek data untuk transfer spesifik, sebagai mekanisme sisa
Mengapa Ini Penting
Sebelum amandemen 2023, sebagian besar aliran lintas batas mengandalkan jalur keempat — persetujuan per transfer — yang menghasilkan CMP yang tebal dan kompleks serta sulit dipertahankan untuk tumpukan programatik. Kerangka 2023 memungkinkan pengontrol mengandalkan kontrak standar atau sertifikasi, mengurangi beban persetujuan dan selaras dengan praktik internasional. Penerbit yang belum memperbarui kontrak vendor mereka untuk merujuk kontrak standar PIPC masih beroperasi di bawah rezim lama secara default, yang kini merupakan kewajiban kepatuhan daripada aset.
Pendekatan Praktis 2026
Sebagian besar penerbit asing sekarang menjalankan kontrak standar PIPC dengan prosesor luar negeri mereka, mendokumentasikan mekanisme transfer dalam kebijakan privasi, dan menyimpan persetujuan-per-transfer sebagai cadangan hanya untuk kasus tepi. Ini dapat dilaksanakan, dapat dipertahankan, dan secara bermakna lebih sederhana dari sebelumnya.
Pengambilan Keputusan Otomatis dan Transparansi Algoritmik
Amandemen 2023 memperkenalkan hak untuk tidak tunduk pada keputusan yang sepenuhnya otomatis yang menghasilkan efek signifikan, dan hak untuk meminta tinjauan manusia atas keputusan tersebut. Bagi penerbit, ini paling terlihat berlaku pada kurasi konten algoritmik, penetapan harga yang dipersonalisasi, dan penargetan audiens apa pun yang menghasilkan hasil diferensial yang signifikan.
Kewajiban Pengungkapan
Pengontrol harus mengungkapkan dalam kebijakan privasi bahwa pengambilan keputusan otomatis digunakan, menggambarkan logika dasar, dan menjelaskan potensi efek signifikan. Ini tidak berarti mengungkapkan algoritma proprieter — tetapi memerlukan ringkasan bahasa sederhana yang bermakna yang dapat dipahami oleh pengguna tipikal.
Hak Tinjauan
Pengguna yang terpengaruh oleh keputusan otomatis yang signifikan dapat meminta tinjauan manusia, koreksi, atau penjelasan. Pengontrol harus menyediakan saluran untuk permintaan ini dan merespons dalam jangka waktu standar PIPA.
Hak Subjek Data
PIPA memberikan kelompok hak yang familiar, diterapkan melalui kerangka Korea:
- Hak untuk diberi tahu tentang pemrosesan
- Hak akses ke data yang diproses
- Hak untuk koreksi data yang tidak akurat
- Hak untuk penangguhan pemrosesan
- Hak untuk penghapusan ketika pemrosesan tidak lagi dijustifikasi
- Hak untuk menarik persetujuan semudah diberikan
- Hak untuk menolak pengambilan keputusan otomatis yang menghasilkan efek signifikan
- Hak untuk mengajukan keluhan kepada PIPC
Jangka Waktu Respons
Pengontrol harus merespons sebagian besar permintaan subjek data dalam 10 hari, dapat diperpanjang sekali untuk 10 hari lagi dengan pemberitahuan — secara signifikan lebih ketat daripada jendela 30 hari GDPR. Ini adalah salah satu kesenjangan operasional yang lebih umum bagi penerbit asing, yang biasanya memiliki alat dan buku pedoman yang disetel ke ritme 30 hari GDPR.
Sanksi dan Sikap Penegakan pada 2026
Aktivitas penegakan PIPC telah meningkat tajam sejak 2023, dan 2025 menghasilkan beberapa denda terbesar dalam sejarahnya — beberapa di antaranya terhadap platform dan penerbit asing.
Denda Administratif
Amandemen 2023 menaikkan tingkat denda tertinggi menjadi hingga 3 persen dari total pendapatan untuk pelanggaran paling serius. Denda tingkat lebih rendah berlaku untuk kegagalan seputar persetujuan, pemberitahuan, keamanan data, pemberitahuan pelanggaran, dan transfer lintas batas. PIPC bersedia menggunakan tingkat tertinggi pada 2025, yang bukan merupakan pola historisnya.
Pertanggungjawaban Pidana
PIPA membawa sanksi pidana — termasuk penjara — untuk pelanggaran paling egregius, seperti penjualan informasi pribadi secara tidak sah atau pelanggaran skala besar yang disengaja. Ini jarang tetapi nyata dan telah diberlakukan dalam kasus 2025.
Tema Penegakan
Tindakan PIPC 2025 mengelompok di sekitar masalah yang berulang: banner persetujuan yang tidak memadai atau ambigu, transfer lintas batas tanpa mekanisme pasca-2023 yang valid, pemberitahuan pelanggaran yang tidak memadai, dan kegagalan untuk menghormati hak subjek data dalam jendela 10 hari. Penerbit asing telah disebutkan dalam keempat kategori tersebut.
Daftar Periksa Audit untuk Lalu Lintas Korea pada 2026
- Banner CMP disajikan dalam bahasa Korea (한국어) dengan Terima, Tolak, dan Kustomisasi dengan visibilitas visual yang setara
- Tujuan persetujuan bersifat granular dan memisahkan pemrosesan informasi sensitif apa pun di balik alur persetujuan spesifiknya sendiri
- Transfer lintas batas mengandalkan kontrak standar PIPC, sertifikasi, atau kecukupan — bukan persetujuan per transfer warisan
- Kebijakan privasi (개인정보 처리방침) tersedia dalam bahasa Korea dengan pengungkapan lengkap prosesor, tujuan, retensi, dan hak, termasuk logika pengambilan keputusan otomatis jika berlaku
- Log persetujuan diberi cap waktu, dapat diekspor, dan disimpan setidaknya untuk durasi pemrosesan ditambah margin yang dapat diaudit
- Alur kerja permintaan subjek data dapat merespons dalam 10 hari end-to-end, dalam bahasa Korea
- Runbook pemberitahuan pelanggaran disetel ke jendela PIPC 72 jam
- Pengungkapan pengambilan keputusan otomatis ada dalam kebijakan privasi di mana keputusan signifikan dibuat menggunakan sistem tersebut
- Daftar vendor telah ditinjau untuk kebutuhan, dengan vendor yang tidak digunakan atau redundan dihapus
Pandangan 2026
Rezim privasi Korea Selatan telah matang dari salah satu kerangka yang lebih ketat di atas kertas di Asia menjadi salah satu rezim yang lebih ketat dalam penegakan secara global. Amandemen 2023 menghilangkan pemblokir struktural yang membuat kepatuhan mahal, dan PIPC telah menggunakan dua tahun sejak itu untuk fokus pada penegakan bagian lain dari hukum. Penerbit dengan tumpukan persetujuan tingkat GDPR memerlukan penyesuaian yang relatif kecil untuk siap di Korea: CMP dan kebijakan berbahasa Korea, kontrak standar PIPC untuk aliran lintas batas, ritme respons 10 hari, dan kehati-hatian dengan daftar informasi sensitif. Penerbit yang masih memperlakukan Korea sebagai pasar yang lebih ringan akan menemukan 2026 dan 2027 jauh lebih mahal daripada tahun-tahun sebelumnya. Kabar baiknya adalah bahwa kesenjangan tersebut bersifat operasional, bukan arsitektural, dan dapat ditutup dalam beberapa minggu jika diprioritaskan.