Структура PIPA после поправок 2023 года

PIPA — основной закон о персональных данных в Южной Корее, и его изменённая версия — точка отсчёта для любого издателя, работающего с 2024 года и далее. Команды, работающие по тексту до 2023 года, смотрят на устаревший фреймворк.

Что изменили поправки 2023 года

Поправки 2023 года внесли несколько структурных изменений:

• Унифицировали обязанности контролёра данных во всех секторах, устранив фрагментированный режим, который ранее относился к поставщикам информационных и коммуникационных услуг иначе, чем к другим контролёрам
• Реструктурировали фреймворк трансграничной передачи, уходя от явного согласия на каждую передачу к паттернам адекватности и гарантий, ближе к модели GDPR
• Ввели ясное право не подвергаться полностью автоматизированным решениям, производящим значительные эффекты, с правом запросить человеческую проверку
• Ужесточили обязательное окно уведомления о нарушении до 72 часов, соответствуя стандарту GDPR
• Подняли потолок административных штрафов до 3 процентов от общего дохода за серьёзные нарушения — резкое увеличение по сравнению с прежними пределами, привязанными к доходу от нарушающей деятельности

Роль PIPC

PIPC — единый орган по защите данных с полномочиями, охватывающими расследования, наложение штрафов, корректирующие приказы и публичное раскрытие правоприменительных решений. С 2023 года он действует как орган уровня Кабинета министров со значительно расширенными ресурсами и заметно более агрессивной позицией правоприменения.

Кто регулируется

PIPA применяется к любой обработке личной информации корейских резидентов, независимо от того, где находится контролёр. Издатель из США, обслуживающий корейских пользователей через локализованный сайт, или программатик-покупатель, делающий ставки на корейский инвентарь, попадает в сферу действия. Этот экстерриториальный охват хорошо установлен в практике PIPC и был подтверждён в нескольких правоприменительных действиях против иностранных платформ с 2023 года.

Что считается личной информацией

Определение PIPA широкое. Личная информация включает любую информацию о живом человеке, которая может идентифицировать его, прямо или в сочетании с другой информацией. PIPC последовательно относил весь спектр онлайн-идентификаторов — cookie, рекламные ID, IP-адреса, отпечатки устройств и поведенческие профили — к личной информации, когда они могут быть привязаны к человеку напрямую или разумными средствами.

Чувствительная информация

Корейское право выделяет отдельную категорию чувствительной информации (민감정보), которая активирует более строгие требования к согласию. Это включает идеологию, убеждения, членство в профсоюзе или политической партии, политические взгляды, здоровье, сексуальную жизнь, генетические данные, биометрические данные, используемые для идентификации, и судимость. Обработка чувствительной информации требует отдельного, конкретного согласия — не объединённого согласия, которое может покрывать обычную личную информацию.

Уникальная идентификационная информация

PIPA выделяет дополнительную категорию, уникальную идентификационную информацию (고유식별정보), которая включает номера регистрации резидента, номера паспортов, номера водительских прав и номера регистрации иностранцев. Их обработка жёстко ограничена и, как правило, запрещена для маркетинговых или рекламных целей.

Почему это важно для cookie

Cookie, хранящий простой идентификатор сессии, — это обычная личная информация, подпадающая под общий режим согласия. Cookie, питающий сегмент аудитории, затрагивающий чувствительные категории — интересы к здоровью, политические склонности, религиозную принадлежность — переходит в область чувствительной информации и требует отдельного, конкретного потока согласия. Издателям, нацеленным на аудитории, пересекающиеся с чувствительным списком PIPA, не следует запускать эти сегменты под общим рекламным согласием.

Согласие на cookie согласно PIPA в 2026 году

Южная Корея следует строгой модели согласия opt-in. Позиция PIPC по cookie была последовательной и подкреплялась многочисленными правоприменительными решениями в течение 2024 и 2025 годов.

Пять элементов действительного согласия

PIPA требует, чтобы согласие на необязательные cookie и аналогичные технологии было:

• Конкретным для цели — общее зонтичное согласие недействительно, каждая цель обработки нуждается в своём согласии
• Информированным — пользователь должен понимать, какие данные собираются, зачем, кто их получает и на какой срок
• Добровольным — отказ должен быть возможен без отказа в услуге, на которую пользователь иначе имеет право
• Выраженным утвердительным действием — предварительно отмеченные флажки, подразумеваемое согласие и прокрутка-как-согласие — всё недействительно
• Отдельным для каждой категории целей — необходимые, аналитика, реклама, персонализация и трансграничная передача — каждое нуждается в своём отдельно собранном согласии

Как выглядит соответствующая CMP

CMP, настроенная для корейского трафика в 2026 году, должна представлять:

• Видимый баннер до срабатывания любого необязательного cookie, по умолчанию на корейском (한국어) для корейских пользователей
• Отдельные действия «Принять», «Отклонить» и «Настроить» с равной визуальной заметностью — PIPC специально упоминал дизайны баннеров, где «Отклонить» менее заметно, чем «Принять»
• Детальные элементы управления по каждой цели, включая явный переключатель для трансграничной передачи
• Отдельный, чётко помеченный поток для обработки чувствительной информации, ограниченный собственным действием
• Постоянный, легко находимый механизм отзыва согласия после первоначального выбора
• Политику конфиденциальности на корейском языке (개인정보 처리방침) с полным раскрытием

Записи о согласии

Контролёр должен поддерживать доказательства согласия — кто согласился, когда, на что, через какой интерфейс. Экспортируемые журналы согласия с временными метками — это базовое ожидание, и неадекватные записи о согласии упоминались в нескольких правоприменительных действиях PIPC.

Трансграничные передачи после поправок 2023 года

Режим трансграничной передачи Кореи был реструктурирован более тщательно, чем почти любое другое национальное обновление конфиденциальности после 2023 года. Понимание нового фреймворка — это единственный самый большой пробел в соответствии для иностранных издателей в 2026 году.

Новый фреймворк передачи

Изменённый PIPA предоставляет четыре пути для легитимной трансграничной передачи:

• Решения об адекватности, выпущенные PIPC для стран или секторов назначения
• Сертификацию зарубежного получателя по признанной PIPC схеме сертификации
• Стандартные контракты, утверждённые PIPC, которые функционируют аналогично стандартным договорным условиям GDPR
• Отдельное явное согласие от субъекта данных на конкретную передачу, как остаточный механизм

Почему это важно

До поправок 2023 года большинство трансграничных потоков опиралось на четвёртый путь — согласие на каждую передачу — что создавало громоздкие, сложные CMP и было трудно поддерживать для программатик-стеков. Фреймворк 2023 года позволяет контролёрам полагаться на стандартные контракты или сертификацию, снижая бремя согласия и приводя в соответствие с международной практикой. Издатели, которые не обновили свои контракты с поставщиками для ссылки на стандартные контракты PIPC, по-прежнему работают по старому режиму по умолчанию, что теперь является обязательством по соответствию, а не активом.

Практический подход 2026 года

Большинство иностранных издателей теперь заключают стандартные контракты PIPC со своими зарубежными обработчиками, документируют механизм передачи в политике конфиденциальности и сохраняют отдельное-согласие-на-передачу как запасной вариант только для крайних случаев. Это работоспособно, защитимо и значительно проще, чем то, что было раньше.

Автоматизированное принятие решений и алгоритмическая прозрачность

Поправки 2023 года ввели право не подвергаться полностью автоматизированным решениям, производящим значительные эффекты, и право запросить человеческую проверку таких решений. Для издателей это наиболее заметно применяется к алгоритмической курации контента, персонализированному ценообразованию и любому таргетингу аудитории, производящему значительные дифференциальные результаты.

Обязательства по раскрытию

Контролёры должны раскрывать в политике конфиденциальности, что используется автоматизированное принятие решений, описывать базовую логику и объяснять потенциальные значительные эффекты. Это не означает раскрытие проприетарных алгоритмов — но требует осмысленного резюме на простом языке, которое типичный пользователь мог бы понять.

Право на проверку

Пользователи, затронутые значительным автоматизированным решением, могут запросить человеческую проверку, исправление или объяснение. Контролёр должен предоставить канал для этого запроса и ответить в стандартные сроки PIPA.

Права субъектов данных

PIPA предоставляет знакомый кластер прав, применяемых через корейский фреймворк:

• Право быть информированным об обработке
• Право доступа к обработанным данным
• Право на исправление неточных данных
• Право на приостановку обработки
• Право на удаление, где обработка больше не оправдана
• Право отозвать согласие так же легко, как оно было дано
• Право возражать против автоматизированного принятия решений, производящего значительные эффекты
• Право пожаловаться в PIPC

Сроки ответа

Контролёры должны отвечать на большинство запросов субъектов данных в течение 10 дней, продлеваемых однократно ещё на 10 дней с уведомлением — значительно жёстче, чем 30-дневное окно GDPR. Это один из наиболее распространённых операционных пробелов для иностранных издателей, у которых обычно есть инструментарий и регламенты, настроенные на 30-дневный ритм GDPR.

Штрафы и позиция правоприменения в 2026 году

Правоприменительная активность PIPC резко возросла с 2023 года, и 2025 год произвёл одни из крупнейших штрафов в его истории — несколько из них против иностранных платформ и издателей.

Административные штрафы

Поправки 2023 года подняли верхний уровень штрафа до 3 процентов от общего дохода за наиболее серьёзные нарушения. Штрафы нижнего уровня применяются за сбои вокруг согласия, уведомления, безопасности данных, уведомления о нарушении и трансграничной передачи. PIPC был готов использовать верхний уровень в 2025 году, что не было его историческим паттерном.

Уголовная ответственность

PIPA несёт уголовные наказания — включая лишение свободы — за наиболее вопиющие нарушения, такие как незаконная продажа личной информации или умышленные крупномасштабные нарушения. Они редки, но реальны и применялись в делах 2025 года.

Темы правоприменения

Действия PIPC 2025 года группируются вокруг повторяющихся проблем: неадекватные или неоднозначные баннеры согласия, трансграничные передачи без действительного механизма после 2023 года, недостаточное уведомление о нарушении и неспособность соблюдать права субъектов данных в течение 10-дневного окна. Иностранные издатели упоминались во всех четырёх категориях.

Чек-лист аудита для корейского трафика в 2026 году

• Баннер CMP подаётся на корейском (한국어) с «Принять», «Отклонить» и «Настроить» при равной визуальной заметности
• Цели согласия детальны и отделяют любую обработку чувствительной информации за собственным конкретным потоком согласия
• Трансграничные передачи опираются на стандартный контракт PIPC, сертификацию или адекватность — а не на устаревшее согласие на каждую передачу
• Политика конфиденциальности (개인정보 처리방침) доступна на корейском с полным раскрытием обработчиков, целей, хранения и прав, включая логику автоматизированного принятия решений, где применимо
• Журналы согласия имеют временные метки, экспортируемы и хранятся как минимум на срок обработки плюс проверяемый запас
• Рабочий процесс запросов субъектов данных может ответить в течение 10 дней от начала до конца, на корейском
• Регламент уведомления о нарушении настроен на 72-часовое окно PIPC
• Раскрытие автоматизированного принятия решений присутствует в политике конфиденциальности, где значительные решения принимаются с использованием таких систем
• Список поставщиков пересмотрен на необходимость, неиспользуемые или избыточные поставщики удалены

Перспектива 2026 года

Режим конфиденциальности Южной Кореи созрел из одного из строжайших на бумаге фреймворков в Азии в один из строжайших по правоприменению режимов глобально. Поправки 2023 года устранили структурные барьеры, делавшие соответствие дорогим, и PIPC использовал последующие два года, чтобы сосредоточиться на правоприменении остальной части закона. Издателям с консент-стеком уровня GDPR нужны относительно небольшие корректировки, чтобы быть готовыми к Корее: CMP и политика на корейском языке, стандартные контракты PIPC для трансграничных потоков, 10-дневный ритм ответа и осторожность со списком чувствительной информации. Издатели, всё ещё рассматривающие Корею как более лёгкий рынок, обнаружат, что 2026 и 2027 годы существенно дороже предыдущих лет. Хорошая новость в том, что разрыв операционный, а не архитектурный, и может быть закрыт за недели при приоритизации.