Struktur PIPA Selepas Pindaan 2023

PIPA adalah statut data peribadi utama di Korea Selatan, dan versi yang dipinda adalah titik rujukan bagi mana-mana penerbit yang beroperasi dari 2024 ke hadapan. Pasukan yang bekerja dari teks pra-2023 sedang melihat rangka kerja yang lapuk.

Apa yang Diubah oleh Pindaan 2023

Pindaan 2023 membuat beberapa perubahan struktur:

• Menyatukan kewajipan pengawal data merentas semua sektor, menghapuskan rejim berpecah yang sebelumnya mengendalikan pembekal perkhidmatan maklumat dan komunikasi secara berbeza daripada pengawal lain
• Menyusun semula rangka kerja pemindahan rentas sempadan untuk beralih daripada persetujuan eksplisit per pemindahan ke arah corak kecukupan dan perlindungan yang lebih hampir dengan model GDPR
• Memperkenalkan hak yang jelas untuk tidak tertakluk kepada keputusan automatik sepenuhnya yang menghasilkan kesan yang signifikan, dengan hak untuk meminta semakan manusia
• Memperketat tetingkap pemberitahuan pelanggaran mandatori kepada 72 jam, menepati standard GDPR
• Menaikkan siling denda pentadbiran kepada sehingga 3 peratus daripada jumlah hasil bagi pelanggaran serius — peningkatan dramatik daripada had terdahulu yang dikaitkan dengan hasil daripada aktiviti yang melanggar

Peranan PIPC

PIPC adalah pihak berkuasa perlindungan data yang bersatu, dengan kuasa yang merangkumi siasatan, pengenaan denda, perintah pembetulan, dan pendedahan awam keputusan penguatkuasaan. Sejak 2023 ia telah beroperasi sebagai badan peringkat Kabinet dengan sumber yang dikembangkan secara bermakna dan pendirian penguatkuasaan yang kelihatan lebih agresif.

Siapa yang Dikawal

PIPA terpakai kepada mana-mana pemprosesan maklumat peribadi penduduk Korea, tanpa mengira di mana pengawal berada. Penerbit yang berpangkalan di AS yang melayani pengguna Korea melalui tapak yang dilokalkan, atau pembeli programatik yang membida inventori Korea, adalah dalam skop. Jangkauan ekstrateritorial ini sudah mantap dalam amalan PIPC dan telah diperkukuhkan dalam pelbagai tindakan penguatkuasaan terhadap platform asing sejak 2023.

Apa yang Dikira sebagai Maklumat Peribadi

Definisi PIPA adalah luas. Maklumat peribadi termasuk mana-mana maklumat tentang individu yang masih hidup yang boleh mengenal pasti individu tersebut, sama ada secara langsung atau dengan menggabungkan dengan maklumat lain. PIPC secara konsisten menganggap rangkaian penuh pengecam dalam talian — kuki, ID iklan, alamat IP, cap jari peranti, dan profil tingkah laku — sebagai maklumat peribadi apabila ia boleh dikaitkan dengan individu secara langsung atau dengan cara yang munasabah.

Maklumat Sensitif

Undang-undang Korea menetapkan kategori berbeza maklumat sensitif (민감정보) yang mencetuskan keperluan persetujuan yang lebih ketat. Ini termasuk ideologi, kepercayaan, keahlian kesatuan sekerja atau parti politik, pendapat politik, kesihatan, kehidupan seksual, data genetik, data biometrik yang digunakan untuk pengenalan, dan sejarah jenayah. Memproses maklumat sensitif memerlukan persetujuan berasingan yang khusus — bukan persetujuan digabungkan yang mungkin meliputi maklumat peribadi biasa.

Maklumat Pengenalan Unik

PIPA mengukir kategori tambahan, maklumat pengenalan unik (고유식별정보), yang merangkumi nombor pendaftaran pemastautin, nombor pasport, nombor lesen memandu, dan nombor pendaftaran orang asing. Pemprosesan ini dihadkan dengan ketat dan umumnya dilarang untuk tujuan pemasaran atau pengiklanan.

Mengapa Ini Penting untuk Kuki

Kuki yang menyimpan pengecam sesi mudah adalah maklumat peribadi biasa dan termasuk di bawah rejim persetujuan umum. Kuki yang menyuap segmen audiens yang menyentuh kategori sensitif — minat kesihatan, kecenderungan politik, gabungan agama — melepasi ke wilayah maklumat sensitif dan memerlukan aliran persetujuan berasingan yang khusus. Penerbit yang menyasarkan audiens yang bertindih dengan senarai sensitif PIPA tidak sepatutnya menjalankan segmen tersebut di bawah persetujuan pengiklanan umum.

Persetujuan Kuki Di Bawah PIPA pada 2026

Korea Selatan mengikuti model persetujuan opt-in yang ketat. Pendirian PIPC mengenai kuki adalah konsisten dan telah diperkukuhkan oleh pelbagai keputusan penguatkuasaan sepanjang 2024 dan 2025.

Lima Elemen Persetujuan yang Sah

PIPA memerlukan persetujuan untuk kuki bukan penting dan teknologi serupa:

• Khusus untuk tujuan — persetujuan payung umum tidak sah, setiap tujuan pemprosesan memerlukan persetujuannya sendiri
• Dimaklumkan — pengguna mesti memahami data apa yang dikumpulkan, mengapa, siapa yang menerimanya, dan untuk berapa lama
• Sukarela — penolakan mesti mungkin tanpa dinafikan perkhidmatan yang pengguna berhak kepadanya
• Dinyatakan dengan tindakan afirmatif — kotak yang ditanda lebih awal, persetujuan tersirat, dan tatal sebagai persetujuan semuanya tidak sah
• Berasingan untuk setiap kategori tujuan — penting, analitik, pengiklanan, pemperibadian, dan pemindahan rentas sempadan masing-masing memerlukan persetujuan yang dikumpulkan secara berasingan

Bagaimana Rupa CMP yang Mematuhi

CMP yang dikonfigurasi untuk trafik Korea pada 2026 harus memaparkan:

• Banner yang kelihatan sebelum mana-mana kuki bukan penting diaktifkan, lalai kepada bahasa Korea (한국어) untuk pengguna Korea
• Tindakan Terima, Tolak, dan Sesuaikan berasingan dengan keutamaan visual yang sama — PIPC telah secara khusus menyebut reka bentuk banner di mana Tolak kurang kelihatan daripada Terima
• Kawalan terperinci setiap tujuan, termasuk togol eksplisit untuk pemindahan rentas sempadan
• Aliran berasingan yang berlabel jelas untuk pemprosesan maklumat sensitif, yang dilindungi di belakang tindakannya sendiri
• Mekanisme yang berterusan dan mudah ditemui untuk menarik balik persetujuan selepas pilihan awal
• Dasar privasi dalam bahasa Korea (개인정보 처리방침) dengan pendedahan penuh

Rekod Persetujuan

Pengawal mesti mengekalkan bukti persetujuan — siapa yang bersetuju, bila, kepada apa, melalui antara muka apa. Log persetujuan yang boleh dieksport dan bertanda masa adalah jangkaan asas, dan rekod persetujuan yang tidak mencukupi telah disebut dalam beberapa tindakan penguatkuasaan PIPC.

Pemindahan Rentas Sempadan Selepas Pindaan 2023

Rejim pemindahan rentas sempadan Korea telah disusun semula dengan lebih teliti daripada hampir mana-mana kemas kini privasi nasional pasca-2023. Memahami rangka kerja baharu adalah jurang pematuhan tunggal terbesar bagi penerbit asing pada 2026.

Rangka Kerja Pemindahan Baharu

PIPA yang dipinda menyediakan empat laluan untuk pemindahan rentas sempadan yang sah:

• Keputusan kecukupan yang dikeluarkan oleh PIPC untuk negara atau sektor destinasi
• Pensijilan penerima luar negara di bawah skim pensijilan yang diiktiraf PIPC
• Kontrak standard yang diluluskan oleh PIPC, yang berfungsi serupa dengan klausa kontrak standard GDPR
• Persetujuan eksplisit berasingan daripada subjek data untuk pemindahan khusus, sebagai mekanisme sisa

Mengapa Ini Penting

Sebelum pindaan 2023, kebanyakan aliran rentas sempadan bergantung pada laluan keempat — persetujuan per pemindahan — yang menghasilkan CMP yang tebal dan kompleks serta sukar untuk dikekalkan bagi timbunan programatik. Rangka kerja 2023 membolehkan pengawal bergantung pada kontrak standard atau pensijilan, mengurangkan beban persetujuan dan sejajar dengan amalan antarabangsa. Penerbit yang tidak mengemas kini kontrak vendor mereka untuk merujuk kontrak standard PIPC masih beroperasi di bawah rejim lama secara lalai, yang kini merupakan liabiliti pematuhan dan bukannya aset.

Pendekatan Praktikal 2026

Kebanyakan penerbit asing kini melaksanakan kontrak standard PIPC dengan pemproses luar negara mereka, mendokumentasikan mekanisme pemindahan dalam dasar privasi, dan menyimpan persetujuan berasingan per pemindahan sebagai sandaran hanya untuk kes tepi. Ini boleh dilaksanakan, ia boleh dipertahankan, dan ia lebih mudah secara bermakna daripada yang sebelumnya.

Membuat Keputusan Automatik dan Ketelusan Algoritmik

Pindaan 2023 memperkenalkan hak untuk tidak tertakluk kepada keputusan automatik sepenuhnya yang menghasilkan kesan yang signifikan, dan hak untuk meminta semakan manusia atas keputusan tersebut. Bagi penerbit, ini paling jelas terpakai kepada pengkurasi kandungan algoritmik, penetapan harga yang diperibadikan, dan mana-mana penargetan audiens yang menghasilkan hasil pembezaan yang signifikan.

Kewajipan Pendedahan

Pengawal mesti mendedahkan dalam dasar privasi bahawa membuat keputusan automatik digunakan, menerangkan logik asas, dan menjelaskan kesan signifikan yang berpotensi. Ini tidak bermakna mendedahkan algoritma proprietari — tetapi ia memerlukan ringkasan bahasa biasa yang bermakna yang boleh difahami oleh pengguna biasa.

Hak Semakan

Pengguna yang terjejas oleh keputusan automatik yang signifikan boleh meminta semakan manusia, pembetulan, atau penjelasan. Pengawal mesti menyediakan saluran untuk permintaan ini dan bertindak balas dalam tempoh masa PIPA standard.

Hak Subjek Data

PIPA memberikan kelompok hak yang dikenali, yang digunakan melalui rangka kerja Korea:

• Hak untuk dimaklumkan tentang pemprosesan
• Hak akses kepada data yang diproses
• Hak pembetulan data yang tidak tepat
• Hak penggantungan pemprosesan
• Hak pemadaman di mana pemprosesan tidak lagi dijustifikasikan
• Hak untuk menarik balik persetujuan semudah ia diberikan
• Hak untuk membantah membuat keputusan automatik yang menghasilkan kesan yang signifikan
• Hak untuk mengadu kepada PIPC

Garis Masa Respons

Pengawal mesti bertindak balas kepada kebanyakan permintaan subjek data dalam masa 10 hari, boleh dilanjutkan sekali selama 10 hari lagi dengan notis — jauh lebih ketat daripada tetingkap 30 hari GDPR. Ini adalah salah satu jurang operasi yang lebih biasa bagi penerbit asing, yang biasanya mempunyai alatan dan buku larian yang ditala kepada irama GDPR 30 hari.

Penalti dan Pendirian Penguatkuasaan pada 2026

Aktiviti penguatkuasaan PIPC telah meningkat dengan ketara sejak 2023, dan 2025 menghasilkan beberapa denda terbesar dalam sejarahnya — beberapa daripadanya terhadap platform dan penerbit asing.

Denda Pentadbiran

Pindaan 2023 menaikkan peringkat denda tertinggi kepada sehingga 3 peratus daripada jumlah hasil bagi pelanggaran yang paling serius. Denda peringkat lebih rendah terpakai bagi kegagalan sekitar persetujuan, notis, keselamatan data, pemberitahuan pelanggaran, dan pemindahan rentas sempadan. PIPC telah bersedia menggunakan peringkat tertinggi pada 2025, yang bukan corak sejarahnya.

Liabiliti Jenayah

PIPA membawa penalti jenayah — termasuk pemenjaraan — bagi pelanggaran yang paling teruk, seperti jualan maklumat peribadi yang menyalahi undang-undang atau pelanggaran besar-besaran yang disengajakan. Ini jarang tetapi nyata dan telah dipanggil dalam kes 2025.

Tema Penguatkuasaan

Tindakan PIPC 2025 berkelompok sekitar isu berulang: banner persetujuan yang tidak mencukupi atau samar-samar, pemindahan rentas sempadan tanpa mekanisme pasca-2023 yang sah, pemberitahuan pelanggaran yang tidak mencukupi, dan kegagalan untuk menghormati hak subjek data dalam tempoh 10 hari. Penerbit asing telah disebut dalam keempat-empat kategori.

Senarai Semak Audit untuk Trafik Korea pada 2026

• Banner CMP disajikan dalam bahasa Korea (한국어) dengan Terima, Tolak, dan Sesuaikan pada keutamaan visual yang sama
• Tujuan persetujuan adalah terperinci dan memisahkan mana-mana pemprosesan maklumat sensitif di belakang aliran persetujuan khususnya sendiri
• Pemindahan rentas sempadan bergantung pada kontrak standard PIPC, pensijilan, atau kecukupan — bukan pada persetujuan per pemindahan warisan
• Dasar privasi (개인정보 처리방침) tersedia dalam bahasa Korea dengan pendedahan penuh pemproses, tujuan, pengekalan, dan hak, termasuk logik membuat keputusan automatik jika berkenaan
• Log persetujuan bertanda masa, boleh dieksport, dan disimpan sekurang-kurangnya untuk tempoh pemprosesan ditambah margin yang boleh diaudit
• Aliran kerja permintaan subjek data boleh bertindak balas dalam 10 hari dari hujung ke hujung, dalam bahasa Korea
• Buku larian pemberitahuan pelanggaran ditala kepada tetingkap PIPC 72 jam
• Pendedahan membuat keputusan automatik ada dalam dasar privasi di mana keputusan yang signifikan dibuat menggunakan sistem sedemikian
• Senarai vendor telah disemak untuk keperluan, dengan vendor yang tidak digunakan atau berlebihan dialih keluar

Pandangan 2026

Rejim privasi Korea Selatan telah matang daripada salah satu rangka kerja yang lebih ketat di atas kertas di Asia kepada salah satu rejim yang lebih ketat dalam penguatkuasaan secara global. Pindaan 2023 menghapuskan penghalang struktur yang telah membuat pematuhan mahal, dan PIPC telah menggunakan dua tahun sejak itu untuk memberi tumpuan kepada penguatkuasaan bahagian undang-undang yang lain. Penerbit dengan timbunan persetujuan gred GDPR memerlukan pelarasan yang agak kecil untuk bersedia untuk Korea: CMP dan dasar dalam bahasa Korea, kontrak standard PIPC untuk aliran rentas sempadan, irama respons 10 hari, dan berhati-hati dengan senarai maklumat sensitif. Penerbit yang masih menganggap Korea sebagai pasaran yang lebih ringan akan mendapati 2026 dan 2027 jauh lebih mahal daripada tahun-tahun sebelumnya. Berita baiknya ialah jurang itu adalah operasi, bukan seni bina, dan boleh ditutup dalam beberapa minggu jika diutamakan.