جنوبی کوریا کا PIPA اور 2025 کی ترامیم: 2026 میں کوکی رضامندی، سرحد پار منتقلی اور PIPC کے بارے میں پبلشر اور اشتہاری کا رہنما
جنوبی کوریا کا ذاتی معلومات کے تحفظ کا قانون (PIPA, 개인정보 보호법) 2011 میں پہلی بار نافذ ہونے کے بعد سے خاموشی سے ایشیا کے سخت ترین رضامندی کے نظاموں میں سے ایک رہا ہے۔ گزشتہ تین سالوں میں جو بدلا وہ نفاذ ہے۔ 2023 کی ترامیم — جو اس کے آغاز کے بعد سے PIPA کی سب سے اہم نظرثانی ہے — 2023 اور 2024 کے دوران نافذ ہوئیں اور سرحد پار منتقلی کے اصولوں، خودکار فیصلہ سازی کے انکشافات اور جرمانہ ڈھانچے کو نئی شکل دی۔ ذاتی معلومات تحفظ کمیشن (PIPC, 개인정보보호위원회) نے 2024 اور 2025 کو اب تک کے سب سے بڑے جرمانے جاری کرنے کے لیے استعمال کیا، جن میں غیر ملکی پبلشرز اور عالمی پلیٹ فارمز کے خلاف بھی کئی شامل ہیں۔ 2026 میں، کوریا کو ہلکے نگرانی والے بازار کے طور پر برتنا کسی کے لیے بھی قابل عمل موقف نہیں رہا جو اہم کورین ٹریفک کو سروس دیتا ہو۔ یہ رہنما PIPA کی اصل ضروریات، 2023 کی ترامیم نے کیا تبدیل کیا، کوکی کی رضامندی کیسے ترتیب دی جانی چاہیے، اور PIPC فی الحال فریم ورک کو کیسے نافذ کر رہا ہے اس کا احاطہ کرتا ہے۔
2023 کی ترامیم کے بعد PIPA کا ڈھانچہ
PIPA جنوبی کوریا میں ذاتی ڈیٹا کا بنیادی قانون ہے، اور ترمیم شدہ ورژن 2024 سے آگے کام کرنے والے کسی بھی پبلشر کے لیے حوالہ نقطہ ہے۔ جو ٹیمیں 2023 سے پہلے کے متن سے کام کر رہی ہیں وہ پرانے فریم ورک کو دیکھ رہی ہیں۔
2023 کی ترامیم نے کیا تبدیل کیا
2023 کی ترامیم نے کئی ساختی تبدیلیاں کیں:
- تمام شعبوں میں ڈیٹا کنٹرولر کی ذمہ داریوں کو یکجا کیا، اس منقسم نظام کو ختم کیا جو پہلے معلومات اور مواصلاتی خدمات فراہم کنندگان کو دیگر کنٹرولرز سے مختلف طریقے سے برتتا تھا
- سرحد پار منتقلی کے فریم ورک کو اس طرح نئی شکل دی کہ فی منتقلی واضح رضامندی سے ہٹ کر GDPR ماڈل کے قریب مناسبیت اور حفاظتی اقدامات کے نمونوں کی طرف آئے
- اہم اثرات پیدا کرنے والے مکمل خودکار فیصلوں کے تابع نہ ہونے کا واضح حق متعارف کرایا، انسانی جائزے کی درخواست کے حق کے ساتھ
- لازمی خلاف ورزی اطلاع ونڈو کو 72 گھنٹے تک محدود کیا، GDPR معیار کے مطابق
- سنگین خلاف ورزیوں کے لیے انتظامی جرمانوں کی حد کو کل آمدنی کے 3 فیصد تک بڑھایا — خلاف ورزی کرنے والی سرگرمی سے آمدنی سے منسلک پہلے کی حدوں سے ڈرامائی اضافہ
PIPC کا کردار
PIPC ایک یکجا ڈیٹا تحفظ اتھارٹی ہے، جس کے اختیارات تحقیقات، جرمانوں، اصلاحی احکامات اور نفاذ فیصلوں کے عوامی انکشاف کا احاطہ کرتے ہیں۔ 2023 کے بعد سے یہ بامعنی طور پر بڑھے ہوئے وسائل کے ساتھ کابینہ سطح کے ادارے کے طور پر کام کر رہا ہے اور نمایاں طور پر زیادہ جارحانہ نفاذ کی پوزیشن رکھتا ہے۔
کس کو ریگولیشن کا سامنا ہے
PIPA کنٹرولر کے مقام سے قطع نظر کورین مقیمین کی ذاتی معلومات کی کسی بھی پروسیسنگ پر لاگو ہوتا ہے۔ ایک امریکی پبلشر جو لوکلائزڈ سائٹ کے ذریعے کورین صارفین کو سروس دیتا ہے، یا ایک پروگرامیٹک خریدار جو کورین انوینٹری پر بولی لگاتا ہے، دائرہ کار میں آتا ہے۔ یہ علاقائی سے باہر کا اثر PIPC عمل میں اچھی طرح قائم ہے اور 2023 کے بعد سے غیر ملکی پلیٹ فارمز کے خلاف متعدد نفاذی کارروائیوں میں تقویت پائی ہے۔
ذاتی معلومات کیا سمجھی جاتی ہیں
PIPA کی تعریف وسیع ہے۔ ذاتی معلومات میں کسی زندہ شخص کے بارے میں کوئی بھی معلومات شامل ہیں جو فرد کو براہ راست یا دیگر معلومات کے ساتھ مل کر پہچان سکتی ہیں۔ PIPC نے آن لائن شناخت کنندگان کی پوری رینج کو — کوکیز، اشتہاری IDs، IP پتے، ڈیوائس فنگر پرنٹس اور رویے کے پروفائلز — مستقل طور پر ذاتی معلومات کے طور پر برتا ہے جب انہیں براہ راست یا معقول ذرائع سے کسی فرد سے جوڑا جا سکے۔
حساس معلومات
کورین قانون حساس معلومات (민감정보) کی ایک الگ زمرہ مقرر کرتا ہے جو سخت رضامندی کی ضروریات کو متحرک کرتی ہے۔ اس میں نظریہ، عقائد، ٹریڈ یونین یا سیاسی جماعت کی رکنیت، سیاسی آراء، صحت، جنسی زندگی، جینیاتی ڈیٹا، شناخت کے لیے استعمال ہونے والا بایومیٹرک ڈیٹا اور مجرمانہ تاریخ شامل ہے۔ حساس معلومات کی پروسیسنگ کے لیے الگ، مخصوص رضامندی درکار ہے — نہ کہ وہ بنڈل شدہ رضامندی جو عام ذاتی معلومات کا احاطہ کر سکتی ہے۔
منفرد شناختی معلومات
PIPA ایک اضافی زمرہ، منفرد شناختی معلومات (고유식별정보)، کو الگ کرتا ہے، جس میں مقامی اندراج نمبر، پاسپورٹ نمبر، ڈرائیونگ لائسنس نمبر اور غیر ملکی اندراج نمبر شامل ہیں۔ ان کی پروسیسنگ سختی سے محدود ہے اور عموماً مارکیٹنگ یا اشتہاری مقاصد کے لیے ممنوع ہے۔
یہ کوکیز کے لیے کیوں اہم ہے
ایک کوکی جو ایک سادہ سیشن شناخت کنندہ محفوظ کرتی ہے وہ عام ذاتی معلومات ہے اور عام رضامندی کے نظام کے تحت آتی ہے۔ ایک کوکی جو حساس زمرہ جات کو چھونے والے سامعین کے حصے کو فیڈ کرتی ہے — صحت سے متعلق دلچسپیاں، سیاسی رجحانات، مذہبی وابستگیاں — حساس معلومات کے علاقے میں داخل ہوتی ہے اور الگ، مخصوص رضامندی کے بہاؤ کی ضرورت ہے۔ جو پبلشر PIPA حساس فہرست سے ملتے جلتے سامعین کو ہدف بناتے ہیں انہیں ان حصوں کو عام اشتہاری رضامندی کے تحت نہیں چلانا چاہیے۔
2026 میں PIPA کے تحت کوکی رضامندی
جنوبی کوریا ایک سخت opt-in رضامندی ماڈل کی پیروی کرتا ہے۔ کوکیز پر PIPC کا موقف مستقل رہا ہے اور 2024 اور 2025 کے دوران متعدد نفاذی فیصلوں سے تقویت پائی ہے۔
درست رضامندی کے پانچ عناصر
PIPA تقاضا کرتا ہے کہ غیر ضروری کوکیز اور اس جیسی ٹیکنالوجیز کے لیے رضامندی ہو:
- مقصد کے لیے مخصوص — عام چھتری رضامندی درست نہیں، ہر پروسیسنگ مقصد کو اپنی الگ رضامندی کی ضرورت ہے
- باخبر — صارف کو سمجھنا ضروری ہے کہ کون سا ڈیٹا اکٹھا کیا جاتا ہے، کیوں، کون وصول کرتا ہے اور کتنے عرصے کے لیے
- رضاکارانہ — انکار بغیر کسی سروس سے محروم ہوئے ممکن ہونا چاہیے جس کا صارف بصورت دیگر حقدار ہے
- مثبت عمل سے ظاہر — پہلے سے نشان زدہ خانے، ضمنی رضامندی، اور اسکرول-بطور-رضامندی سب غلط ہیں
- ہر مقصد کی زمرے کے لیے الگ — ضروری، تجزیاتی، اشتہاری، ذاتی سازی اور سرحد پار منتقلی میں سے ہر ایک کو اپنی الگ جمع کردہ رضامندی کی ضرورت ہے
ایک موافق CMP کیسا نظر آتا ہے
2026 میں کورین ٹریفک کے لیے ترتیب دی گئی CMP کو پیش کرنا چاہیے:
- کسی غیر ضروری کوکی کے فعال ہونے سے پہلے ایک نمایاں بینر، کورین صارفین کے لیے ڈیفالٹ طور پر کورین (한국어) میں
- یکساں بصری نمایانی کے ساتھ الگ قبول کریں، مسترد کریں اور اپنی مرضی کے مطابق بنائیں اقدامات — PIPC نے خاص طور پر ایسے بینر ڈیزائنوں کا حوالہ دیا ہے جہاں مسترد قبول سے کم نظر آتا ہے
- ہر مقصد کے لیے دانہ دار کنٹرولز، بشمول سرحد پار منتقلی کے لیے واضح ٹوگل
- حساس معلومات کی پروسیسنگ کے لیے الگ، واضح لیبل والا بہاؤ، اپنے عمل کے پیچھے محفوظ
- ابتدائی انتخاب کے بعد رضامندی واپس لینے کا مستقل، آسانی سے ملنے والا طریقہ کار
- مکمل انکشافات کے ساتھ کورین زبان کی رازداری پالیسی (개인정보 처리방침)
رضامندی کے ریکارڈز
کنٹرولر کو رضامندی کے ثبوت برقرار رکھنے ضروری ہیں — کس نے رضامندی دی، کب، کس چیز کے لیے، کس انٹرفیس کے ذریعے۔ قابل برآمد، ٹائم اسٹامپ شدہ رضامندی لاگز بنیادی توقع ہیں، اور ناکافی رضامندی ریکارڈز کا PIPC کی کئی نفاذی کارروائیوں میں حوالہ دیا گیا ہے۔
2023 کی ترامیم کے بعد سرحد پار منتقلی
کوریا کے سرحد پار منتقلی کے نظام کو 2023 کے بعد کی تقریباً کسی بھی دوسری قومی رازداری اپڈیٹ سے زیادہ مکمل طور پر نئی شکل دی گئی ہے۔ نئے فریم ورک کو سمجھنا 2026 میں غیر ملکی پبلشرز کے لیے سب سے بڑا واحد تعمیلی فرق ہے۔
نیا منتقلی فریم ورک
ترمیم شدہ PIPA جائز سرحد پار منتقلی کے لیے چار راستے فراہم کرتا ہے:
- منزل ممالک یا شعبوں کے لیے PIPC کی جانب سے جاری کردہ مناسبیت کے فیصلے
- PIPC کی تسلیم شدہ سرٹیفیکیشن اسکیم کے تحت بیرون ملک وصول کنندہ کی سرٹیفیکیشن
- PIPC کی منظور شدہ معیاری معاہدے، جو GDPR معیاری معاہداتی شقوں کی طرح کام کرتے ہیں
- مخصوص منتقلی کے لیے ڈیٹا موضوع سے الگ واضح رضامندی، بطور بقایا طریقہ کار
یہ کیوں اہم ہے
2023 کی ترامیم سے پہلے، بیشتر سرحد پار بہاؤ چوتھے راستے پر انحصار کرتے تھے — فی منتقلی رضامندی — جس نے موٹی، پیچیدہ CMPs پیدا کیں اور پروگرامیٹک اسٹیکس کے لیے برقرار رکھنا مشکل تھا۔ 2023 کا فریم ورک کنٹرولرز کو معیاری معاہدات یا سرٹیفیکیشن پر انحصار کرنے دیتا ہے، رضامندی کا بوجھ کم کرتا ہے اور بین الاقوامی عمل کے ساتھ ہم آہنگ ہوتا ہے۔ جن پبلشرز نے اپنے وینڈر معاہدات کو PIPC معیاری معاہدوں کا حوالہ دینے کے لیے اپڈیٹ نہیں کیا وہ اب بھی ڈیفالٹ طور پر پرانے نظام کے تحت کام کر رہے ہیں، جو اب ایک اثاثہ کے بجائے تعمیلی ذمہ داری ہے۔
عملی 2026 نقطہ نظر
بیشتر غیر ملکی پبلشر اب اپنے بیرون ملک پروسیسرز کے ساتھ PIPC معیاری معاہدات چلا رہے ہیں، رازداری پالیسی میں منتقلی کے طریقہ کار کو دستاویز کر رہے ہیں، اور فی منتقلی الگ رضامندی کو صرف کنارے کے معاملات کے لیے فالبیک کے طور پر رکھ رہے ہیں۔ یہ قابل عمل ہے، دفاعی ہے، اور پہلے سے بامعنی طور پر آسان ہے۔
خودکار فیصلہ سازی اور الگورتھمی شفافیت
2023 کی ترامیم نے اہم اثرات پیدا کرنے والے مکمل خودکار فیصلوں کے تابع نہ ہونے کا حق اور ایسے فیصلوں کے انسانی جائزے کی درخواست کا حق متعارف کرایا۔ پبلشرز کے لیے، یہ سب سے نمایاں طور پر الگورتھمی مواد کیوریشن، ذاتی نوعیت کی قیمت گذاری، اور کسی بھی سامعین ہدف بندی پر لاگو ہوتا ہے جو اہم تفریقی نتائج پیدا کرتی ہے۔
انکشاف کی ذمہ داریاں
کنٹرولرز کو رازداری پالیسی میں یہ ظاہر کرنا ضروری ہے کہ خودکار فیصلہ سازی استعمال کی جاتی ہے، بنیادی منطق بیان کریں، اور ممکنہ اہم اثرات کی وضاحت کریں۔ اس کا مطلب ملکیتی الگورتھم ظاہر کرنا نہیں ہے — لیکن اس کے لیے ایک بامعنی سادہ زبان کا خلاصہ درکار ہے جسے ایک عام صارف سمجھ سکے۔
جائزے کا حق
ایک اہم خودکار فیصلے سے متاثر صارفین انسانی جائزے، اصلاح یا وضاحت کی درخواست کر سکتے ہیں۔ کنٹرولر کو اس درخواست کے لیے ایک چینل فراہم کرنا ضروری ہے اور PIPA کی معیاری ٹائم لائنوں کے اندر جواب دینا ضروری ہے۔
ڈیٹا موضوع کے حقوق
PIPA کورین فریم ورک کے ذریعے لاگو حقوق کا مانوس گروپ دیتا ہے:
- پروسیسنگ کے بارے میں باخبر ہونے کا حق
- پروسیس شدہ ڈیٹا تک رسائی کا حق
- غلط ڈیٹا کی اصلاح کا حق
- پروسیسنگ کو معطل کرنے کا حق
- جب پروسیسنگ مزید جائز نہ ہو تو حذف کرنے کا حق
- رضامندی کو اتنی آسانی سے واپس لینے کا حق جتنی آسانی سے دی گئی تھی
- اہم اثرات پیدا کرنے والی خودکار فیصلہ سازی پر اعتراض کرنے کا حق
- PIPC سے شکایت کرنے کا حق
جواب کی ٹائم لائنز
کنٹرولرز کو زیادہ تر ڈیٹا موضوع کی درخواستوں کا 10 دنوں کے اندر جواب دینا ضروری ہے، ایک بار اطلاع کے ساتھ مزید 10 دنوں کے لیے قابل توسیع — GDPR کی 30 روزہ ونڈو سے نمایاں طور پر سخت۔ یہ غیر ملکی پبلشرز کے لیے زیادہ عام آپریشنل فرقوں میں سے ایک ہے، جن کے پاس عموماً 30 روزہ GDPR تال سے ہم آہنگ ٹولنگ اور رن بکس ہوتی ہیں۔
2026 میں جرمانے اور نفاذ کا موقف
PIPC کی نفاذی سرگرمی 2023 کے بعد سے تیزی سے بڑھی ہے، اور 2025 نے اس کی تاریخ کے کچھ سب سے بڑے جرمانے پیدا کیے — ان میں سے کئی غیر ملکی پلیٹ فارمز اور پبلشرز کے خلاف۔
انتظامی جرمانے
2023 کی ترامیم نے سب سے سنگین خلاف ورزیوں کے لیے ٹاپ جرمانہ درجے کو کل آمدنی کے 3 فیصد تک بڑھایا۔ رضامندی، نوٹس، ڈیٹا سیکیورٹی، خلاف ورزی اطلاع اور سرحد پار منتقلی کے حوالے سے ناکامیوں کے لیے نچلے درجے کے جرمانے لاگو ہوتے ہیں۔ PIPC 2025 میں ٹاپ درجہ استعمال کرنے پر آمادہ رہا ہے، جو اس کا تاریخی نمونہ نہیں تھا۔
مجرمانہ ذمہ داری
PIPA سب سے گھناؤنی خلاف ورزیوں کے لیے مجرمانہ سزائیں برداشت کرتا ہے — بشمول قید — جیسے ذاتی معلومات کی غیر قانونی فروخت یا جان بوجھ کر بڑے پیمانے پر خلاف ورزیاں۔ یہ نادر ہیں لیکن حقیقی ہیں اور 2025 کے مقدمات میں پیش کیے گئے ہیں۔
نفاذ کے موضوعات
PIPC کی 2025 کارروائیاں بار بار آنے والے مسائل کے گرد جمع ہوتی ہیں: ناکافی یا مبہم رضامندی بینرز، 2023 کے بعد جائز طریقہ کار کے بغیر سرحد پار منتقلی، ناکافی خلاف ورزی اطلاع، اور 10 روزہ ونڈو کے اندر ڈیٹا موضوع کے حقوق کا احترام کرنے میں ناکامی۔ غیر ملکی پبلشرز کو تمام چاروں زمرہ جات میں حوالہ دیا گیا ہے۔
2026 میں کورین ٹریفک کے لیے آڈٹ چیک لسٹ
- CMP بینر کورین (한국어) میں برابر بصری نمایانی کے ساتھ قبول کریں، مسترد کریں اور اپنی مرضی کے مطابق بنائیں کے ساتھ پیش کیا جاتا ہے
- رضامندی کے مقاصد دانہ دار ہیں اور کسی بھی حساس معلومات کی پروسیسنگ کو اپنے مخصوص الگ رضامندی بہاؤ کے پیچھے الگ رکھتے ہیں
- سرحد پار منتقلی PIPC معیاری معاہدے، سرٹیفیکیشن یا مناسبیت پر انحصار کرتی ہے — میراثی فی منتقلی رضامندی پر نہیں
- رازداری پالیسی (개인정보 처리방침) کورین میں پروسیسرز، مقاصد، برقراری اور حقوق کے مکمل انکشافات کے ساتھ دستیاب ہے، بشمول جہاں قابل اطلاق ہو خودکار فیصلہ سازی منطق
- رضامندی لاگز ٹائم اسٹامپ شدہ، قابل برآمد اور کم از کم پروسیسنگ کی مدت کے علاوہ قابل آڈٹ مارجن کے لیے برقرار رکھے گئے ہیں
- ڈیٹا موضوع درخواست ورک فلو کورین میں ابتدا سے انجام تک 10 دنوں کے اندر جواب دے سکتا ہے
- خلاف ورزی اطلاع رن بک PIPC کی 72 گھنٹے کی ونڈو کے مطابق ترتیب دی گئی ہے
- خودکار فیصلہ سازی انکشافات رازداری پالیسی میں ہیں جہاں ایسے نظام استعمال کرتے ہوئے اہم فیصلے کیے جاتے ہیں
- وینڈر فہرست کو ضرورت کے لحاظ سے جائزہ لیا گیا ہے، غیر استعمال شدہ یا غیر ضروری وینڈرز کو ہٹایا گیا ہے
2026 کا آؤٹ لک
جنوبی کوریا کا رازداری نظام ایشیا میں کاغذ پر سخت ترین فریم ورکس میں سے ایک سے عالمی سطح پر نفاذ میں سخت ترین میں سے ایک بن گیا ہے۔ 2023 کی ترامیم نے ساختی رکاوٹیں ہٹا دیں جنہوں نے تعمیل کو مہنگا بنایا تھا، اور PIPC نے دو سالوں کا استعمال قانون کے باقی حصے کے نفاذ پر توجہ مرکوز کرنے کے لیے کیا ہے۔ GDPR گریڈ رضامندی اسٹیک والے پبلشرز کو کوریا کے لیے تیار ہونے کے لیے نسبتاً کم ایڈجسٹمنٹ کی ضرورت ہے: کورین زبان CMP اور پالیسی، سرحد پار بہاؤ کے لیے PIPC معیاری معاہدات، 10 روزہ جواب تال، اور حساس معلومات کی فہرست کے ساتھ احتیاط۔ جو پبلشر ابھی بھی کوریا کو ہلکے بازار کے طور پر سمجھتے ہیں وہ 2026 اور 2027 کو پچھلے سالوں سے مادی طور پر زیادہ مہنگا پائیں گے۔ خوشخبری یہ ہے کہ فرق آپریشنل ہے، ساختی نہیں، اور ترجیح دی جائے تو ہفتوں میں بند کیا جا سکتا ہے۔