Оңтүстік Кореяның PIPA заңы және 2025 жылғы түзетулер: Cookie келісімі, шекара аралық деректер беру және PIPC туралы баспагерлер мен жарнама берушілерге арналған нұсқаулық (2026)
Оңтүстік Кореяның жеке ақпаратты қорғау туралы заңы (PIPA, 개인정보 보호법) 2011 жылы күшіне енгенінен бері Азиядағы ең қатаң келісім режимдерінің бірі болып тыныш сақталды. Соңғы үш жылда мәжбүрлеп орындату өзгерді. 2023 жылғы түзетулер — PIPA енгізілгенінен бері ең маңызды қайта жазылу — 2023–2024 жылдар бойы күшіне енді және шекара аралық беру ережелерін, автоматтандырылған шешімдер бойынша ашылуды және жаза шеңберін қайта құрды. Жеке ақпаратты қорғау жөніндегі комиссия (PIPC, 개인정보보호위원회) 2024–2025 жылдарды тарихтағы ең ірі айыппұлдардың бірнешеуін, соның ішінде шетелдік баспагерлер мен жаһандық платформаларға қарсы бірнешеуін шығару үшін пайдаланды. 2026 жылы Кореяға жеңіл нарық ретінде қарау — елеулі корей трафигіне қызмет ететін кез келген адам үшін енді ұстанылатын позиция емес. Бұл нұсқаулық PIPA нені талап ететінін, 2023 жылғы түзетулер нені өзгерткенін, cookie келісімінің қалай конфигурациялануы керектігін және PIPC шеңберді қазіргі уақытта қалай орындайтынын егжей-тегжейлі баяндайды.
2023 жылғы түзетулерден кейінгі PIPA құрылымы
PIPA Оңтүстік Кореядағы жеке деректер бойынша негізгі заң болып табылады және түзетілген нұсқа 2024 жылдан бастап жұмыс істейтін кез келген баспагер үшін бағдарлы нүкте болып табылады. 2023 жылға дейінгі мәтінмен жұмыс жасайтын командалар ескірген шеңберді қарайды.
2023 жылғы түзетулер нені өзгертті
2023 жылғы түзетулер бірнеше құрылымдық өзгерістер жасады:
- Барлық салалардағы деректер бақылаушысының міндеттерін біріктіріп, бұрын ақпараттық-коммуникациялық қызметтер провайдерлерін басқа бақылаушылардан өзгеше қарастырған бытыраңқы режимді жойды
- Шекара аралық беру шеңберін GDPR үлгісіне жақын жеткіліктілік пен кепілдіктер үлгілеріне қарай берудегі ашық келісімнен ауысу үшін қайта құрды
- Елеулі салдары бар толық автоматтандырылған шешімдерге бағынбауға нақты құқықты, адам тексерісін талап ету құқығымен бірге енгізді
- Міндетті бұзушылық туралы хабарлаудың уақытша терезесін GDPR стандартына сәйкес 72 сағатқа дейін қысқартты
- Елеулі бұзушылықтар үшін әкімшілік айыппұлдардың ең жоғары шегін жалпы кіріспен 3 пайызға дейін жоғарылатты — бұзушылық қызметтен алынған кірісімен байланысты бұрынғы шектерден түбегейлі өсу
PIPC рөлі
PIPC тергеу, айыппұл салу, түзетуші бұйрықтар және мәжбүрлеп орындату шешімдерін жариялауды қамтитын өкілеттіктері бар жеке деректерді қорғаудың бірыңғай органы болып табылады. 2023 жылдан бастап мағыналы тұрғыда кеңейтілген ресурстары бар және айқын агрессивті мәжбүрлеу позициясы бар кабинет деңгейіндегі орган ретінде жұмыс істеді.
Реттелетіндер кімдер
PIPA бақылаушының орналасқан жерінен тәуелсіз кез келген корей тұрғынының жеке ақпаратын өңдеуге қолданылады. Жергіліктендірілген сайт арқылы корей пайдаланушыларына қызмет ететін АҚШ-та орналасқан баспагер немесе корей тауарлы-материалдық қорлары үшін ставка жасайтын бағдарламалық сатып алушы аумақта болады. Бұл аумақтан тыс қолдану PIPC тәжірибесінде жақсы орнықты және 2023 жылдан бастап шетелдік платформаларға қарсы бірнеше мәжбүрлеу іс-шараларында бекітілді.
Жеке ақпарат ретінде нені санауға болады
PIPA анықтамасы кең. Жеке ақпарат тікелей немесе басқа ақпаратпен үйлескенде жеке тұлғаны сәйкестендіре алатын тірі жеке тұлға туралы кез келген ақпаратты қамтиды. PIPC cookie файлдары, жарнама идентификаторлары, IP мекенжайлары, құрылғы саусақ іздері және мінез-құлық профильдерін қоса алғанда онлайн сәйкестендіргіштердің толық ауқымын жеке тұлғамен тікелей немесе ақылға қонымды тәсілдермен байланыстырылуы мүмкін болған кезде жеке ақпарат ретінде дәйекті түрде қарастырды.
Сезімтал ақпарат
Корей заңы қатаңырақ келісім талаптарын тудыратын сезімтал ақпараттың (민감정보) ерекше санатын белгілейді. Бұл идеологияны, нанымдарды, кәсіподақ немесе саяси партия мүшелігін, саяси пікірлерді, денсаулықты, жыныстық өмірді, генетикалық деректерді, сәйкестендіруге пайдаланылатын биометриялық деректерді және қылмыстық тарихты қамтиды. Сезімтал ақпаратты өңдеу бөлек, нақты келісімді талап етеді — кәдімгі жеке ақпаратты қамтуы мүмкін жинақталған келісімді емес.
Бірегей сәйкестендіру ақпараты
PIPA қосымша санатты — бірегей сәйкестендіру ақпаратын (고유식별정보) — анықтайды, оған тұрғын үй тіркеу нөмірлері, паспорт нөмірлері, жүргізуші куәлік нөмірлері және шетелдіктерді тіркеу нөмірлері кіреді. Мұны өңдеу қатаң шектелген және маркетинг немесе жарнама мақсатында жалпы тыйым салынған.
Бұл cookie файлдары үшін неліктен маңызды
Қарапайым сессия идентификаторын сақтайтын cookie кәдімгі жеке ақпарат болып табылады және жалпы келісім режиміне жатады. Сезімтал санаттарды — денсаулық мүдделері, саяси бейімділіктер, діни байланыстар — қозғайтын аудитория сегментін беретін cookie сезімтал ақпарат аумағына кіреді және бөлек, нақты келісім ағынын талап етеді. PIPA сезімтал тізімімен қиылысатын аудиторияларды мақсат ететін баспагерлер бұл сегменттерді жалпы жарнама келісімі бойынша іске қоспауы керек.
2026 жылы PIPA бойынша Cookie келісімі
Оңтүстік Корея қатаң opt-in келісім үлгісін ұстанады. Cookie файлдары бойынша PIPC позициясы тұрақты болды және 2024–2025 жылдар бойы бірнеше мәжбүрлеп орындату шешімдерімен бекітілді.
Жарамды келісімнің бес элементі
PIPA маңызды емес cookie файлдары мен ұқсас технологияларға келісім мынандай болуын талап етеді:
- Мақсатқа арнайы — жалпы шатыр келісімі жарамды емес, әрбір өңдеу мақсатының өзінің келісімі болуы қажет
- Хабардар — пайдаланушы қандай деректер жиналатынын, неліктен, кім алатынын және қанша уақытқа дейін түсінуі тиіс
- Ерікті — бас тарту пайдаланушы басқа жолмен алуға құқылы болған қызметтен бас тартылмай мүмкін болуы керек
- Растаушы іс-әрекетпен білдірілген — алдын ала белгіленген ұяшықтар, астарлы келісім және айналдыру-келісім ретінде бәрі де жарамсыз
- Әрбір мақсат санаты үшін бөлек — маңызды, аналитикалық, жарнамалық, жекелендіру және шекара аралық беру келісімдерінің әрқайсысы жеке жиналған келісімді қажет етеді
Сәйкес CMP қандай болады
2026 жылы корей трафигіне арнап конфигурацияланған CMP мыналарды ұсынуы тиіс:
- Кез келген маңызды емес cookie іске қосылмас бұрын корей пайдаланушыларына корейше (한국어) әдепкі мәнмен кескінделетін баннер
- Тең визуалды көрінерлілікпен Қабылдау, Бас тарту және Теңшеу бөлек іс-әрекеттері — PIPC Бас тарту Қабылдаудан аз кескінде болатын баннер дизайндарын нақты атады
- Шекара аралық беруге арналған ашық ауыстырып-қосқышты қоса алғанда, мақсат бойынша ұсақталған басқару элементтері
- Сезімтал ақпаратты өңдеу үшін өзінің іс-әрекетінің артына жасырылған бөлек, нақты белгіленген ағын
- Бастапқы таңдаудан кейін келісімді кері қайтарып алуға арналған тұрақты, оңай табылатын механизм
- Толық ашылуы бар корейша жеке өмірге қол сұқпаушылық саясаты (개인정보 처리방침)
Келісім жазбалары
Бақылаушы келісімнің дәлелін сақтауы тиіс — кім, қашан, нені, қандай интерфейс арқылы қабылдады. Экспортталатын, уақыт белгісі бар келісім журналдары базалық күтімдер болып табылады және жеткіліксіз келісім жазбалары PIPC-тің бірнеше мәжбүрлеп орындату іс-шарасында атап өтілді.
2023 жылғы түзетулерден кейінгі шекара аралық берулер
Кореяның шекара аралық беру режимі 2023 жылғы кез келген ұлттық жеке өмірге қол сұқпаушылықты жаңартудан да мұқият қайта құрылды. Жаңа шеңберді түсіну 2026 жылы шетелдік баспагерлер үшін бірыңғай үлкен сәйкестік олқылығы болып табылады.
Жаңа беру шеңбері
Түзетілген PIPA заңды шекара аралық беру үшін төрт жол ұсынады:
- PIPC-тің тағайындалатын елдер немесе секторлар үшін шығарған жеткіліктілік туралы шешімдер
- PIPC-тің танылған сертификаттау схемасы бойынша шетелдік алушыны сертификаттау
- PIPC-тің мақұлдаған стандартты шарттары, олар GDPR стандартты шарттық тармақтарына ұқсас жұмыс істейді
- Нақты беру үшін деректер субъектісінің бөлек, ашық келісімі, қалдық механизм ретінде
Бұл неліктен маңызды
2023 жылғы түзетулерге дейін шекара аралық ағындардың көпшілігі төртінші жолға — берудегі тікелей келісімге — сүйенді, бұл жуан, күрделі CMP файлдарын шығарды және бағдарламалық стектер үшін сақтауды қиындатты. 2023 жылғы шеңбер бақылаушыларға стандартты шарттарға немесе сертификаттауға сүйенуге, келісім ауыртпалығын азайтуға және халықаралық тәжірибемен үйлесуге мүмкіндік береді. Вендор шарттарын PIPC стандартты шарттарына сілтеме жасауды жаңартпаған баспагерлер әдепкі мәнмен ескі режим бойынша жұмыс жасауды жалғастырады, ол қазір актив емес, сәйкестік міндеттемесі болып табылады.
2026 жылғы практикалық тәсіл
Шетелдік баспагерлердің көпшілігі қазір шетелдік процессорларымен PIPC стандартты шарттарын орындауда, беру механизмін жеке өмірге қол сұқпаушылық саясатында құжаттауда және бөлек-берудегі-бөлек-келісімді тек шеттік жағдайлар үшін резервтік жағдай ретінде ұстануда. Бұл орындалатын, қорғалатын және бұрынғыдан мағыналы тұрғыда қарапайым.
Автоматтандырылған шешімдер қабылдау және алгоритмдік ашық болу
2023 жылғы түзетулер елеулі салдары бар толық автоматтандырылған шешімдерге бағынбауға, сондай-ақ осындай шешімдерді адам тексерісін талап ету құқығына енгізді. Баспагерлер үшін бұл ең айқын алгоритмдік мазмұнды таңдауға, жекелендірілген бағалауға және елеулі дифференциалды нәтижелер беретін кез келген аудитория нысанасына қолданылады.
Ашу міндеттемелері
Бақылаушылар автоматтандырылған шешімдер қабылдаудың пайдаланылатынын, негізгі логиканы сипаттауды және ықтимал елеулі салдарды түсіндіруді жеке өмірге қол сұқпаушылық саясатында ашуы тиіс. Бұл меншікті алгоритмдерді ашуды білдірмейді — бірақ кәдімгі пайдаланушы түсіне алатын мағыналы қарапайым тілдегі қорытындыны талап етеді.
Тексеру құқығы
Елеулі автоматтандырылған шешімден зиян шеккен пайдаланушылар адам тексерісін, түзетуді немесе түсіндіруді талап ете алады. Бақылаушы осы сұраныс үшін арна беруі және PIPA стандартты мерзімдерінде жауап беруі тиіс.
Деректер субъектісінің құқықтары
PIPA Корея шеңбері арқылы қолданылатын таныс құқықтар кластерін береді:
- Өңдеу туралы хабардар болу құқығы
- Өңделген деректерге қол жеткізу құқығы
- Дұрыс емес деректерді түзету құқығы
- Өңдеуді тоқтата тұру құқығы
- Өңдеу енді негізделмеген жерде жою құқығы
- Берілгендей жеңілдікпен келісімді кері қайтарып алу құқығы
- Елеулі салдары бар автоматтандырылған шешімдер қабылдауға қарсы болу құқығы
- PIPC-ке шағым беру құқығы
Жауап мерзімдері
Бақылаушылар деректер субъектісінің сұраныстарының көпшілігіне 10 күн ішінде жауап беруі тиіс, хабарлама арқылы тағы 10 күнге бір рет ұзартылуы мүмкін — GDPR-дің 30 күндік терезесінен айтарлықтай қатаң. Бұл шетелдік баспагерлер үшін жиі кездесетін операциялық олқылықтардың бірі, олар әдетте 30 күндік GDPR каденсіне реттелген құралдар мен нұсқаулыққа ие.
2026 жылғы жазалар мен мәжбүрлеп орындату позициясы
PIPC-тің мәжбүрлеп орындату қызметі 2023 жылдан бастап күрт өсті, ал 2025 жыл тарихтағы ең ірі айыппұлдардың бірнешеуін берді — солардың бірнешеуі шетелдік платформалар мен баспагерлерге қарсы.
Әкімшілік айыппұлдар
2023 жылғы түзетулер ең ауыр бұзушылықтар үшін ең жоғары айыппұл деңгейін жалпы кіріспен 3 пайызға дейін жоғарылатты. Төменгі деңгейлі айыппұлдар келісім, хабарлама, деректер қауіпсіздігі, бұзушылық туралы хабарлама және шекара аралық беру бойынша сәтсіздіктерге қолданылады. PIPC 2025 жылы жоғарғы деңгейді қолдануға дайын болды, бұл оның тарихи үлгісі болмаған.
Қылмыстық жауапкершілік
PIPA жеке ақпаратты заңсыз сату немесе қасақана ауқымды бұзушылықтар сияқты ең ауыр бұзушылықтар үшін қылмыстық жазалар — тұтқынды қоса алғанда — алып жүреді. Бұлар сирек, бірақ нақты және 2025 жылғы істерде қолданылды.
Мәжбүрлеп орындату тақырыптары
PIPC-тің 2025 жылғы іс-шаралары қайталанатын мәселелер айналасында жинақталды: жеткіліксіз немесе анықсыз келісім баннерлері, 2023 жылдан кейінгі жарамды механизмсіз шекара аралық берулер, жеткіліксіз бұзушылық туралы хабарлама және 10 күндік терезе ішінде деректер субъектісінің құқықтарын орындамау. Шетелдік баспагерлер төрт санаттың бәрінде де атап өтілді.
2026 жылы корей трафигіне арналған аудит тізімі
- CMP баннері корейшеде (한국어) тең визуалды көрінерлілікпен Қабылдау, Бас тарту және Теңшеумен берілген
- Келісім мақсаттары ұсақталған және кез келген сезімтал ақпаратты өңдеу өзіндік нақты келісім ағынының артына бөлінген
- Шекара аралық берулер PIPC стандартты шартына, сертификаттауға немесе жеткіліктілікке сүйенеді — берудегі ескі тікелей келісімге емес
- Жеке өмірге қол сұқпаушылық саясаты (개인정보 처리방침) процессорлардың, мақсаттардың, сақтаудың және құқықтардың толық ашылуымен корейшеде қолжетімді, қолданылатын жерде автоматтандырылған шешімдер қабылдаудың логикасын қоса алғанда
- Келісім журналдары уақыт белгісі бар, экспортталады және ең кемінде өңдеу ұзақтығына плюс тексерілетін маржаға сақталады
- Деректер субъектісінің сұранысы жұмыс процесі 10 күн ішінде, корейшеде ұштан ұшқа дейін жауап бере алады
- Бұзушылық туралы хабарлама нұсқаулығы PIPC-тің 72 сағаттық терезесіне реттелген
- Автоматтандырылған шешімдер қабылдаудың ашылуы осындай жүйелер пайдаланылып елеулі шешімдер қабылданатын жеке өмірге қол сұқпаушылық саясатында
- Вендорлар тізімі қажеттілік тұрғысынан қаралды, пайдаланылмаған немесе артық вендорлар алынып тасталды
2026 жылғы болжам
Оңтүстік Кореяның жеке өмірге қол сұқпаушылық режимі Азиядағы қатаңырақ-қағаз-жүзінде шеңберлерінің бірінен жаһандық деңгейде мәжбүрлеп орындатуда қатаңырақ режимдердің біріне айналды. 2023 жылғы түзетулер сәйкестікті қымбат еткен құрылымдық бөгеттерді жойды және PIPC одан бері өткен екі жылды заңның қалған бөлігін мәжбүрлеп орындатуға бағыттады. GDPR деңгейлі келісім стегі бар баспагерлер Корея үшін дайын болу үшін салыстырмалы түрде аз реттеуді қажет етеді: корейшедегі CMP мен саясат, шекара аралық ағындар үшін PIPC стандартты шарттары, 10 күндік жауап каденсі және сезімтал ақпарат тізіміне назар аудару. Кореяны жеңілірек нарық ретінде қарастыруды жалғастыратын баспагерлер 2026–2027 жылдары бұрынғы жылдардан материалды тұрғыда қымбатырақ екенін табады. Жақсы жаңалық: алшақтық архитектуралық емес, операциялық, және басымдыққа ие болса апталар ішінде жабылуы мүмкін.