Cơ cấu PIPA sau các sửa đổi năm 2023

PIPA là đạo luật dữ liệu cá nhân cơ bản ở Hàn Quốc, và phiên bản sửa đổi là điểm tham chiếu cho bất kỳ nhà xuất bản nào hoạt động từ năm 2024 trở đi. Các nhóm làm việc với văn bản trước năm 2023 đang nhìn vào một khung đã lỗi thời.

Những gì các sửa đổi năm 2023 đã thay đổi

Các sửa đổi năm 2023 đã thực hiện một số thay đổi cơ cấu:

• Hợp nhất nghĩa vụ của người kiểm soát dữ liệu trên tất cả các lĩnh vực, loại bỏ chế độ phân mảnh vốn trước đây đối xử với các nhà cung cấp dịch vụ thông tin và truyền thông khác biệt so với các bộ kiểm soát khác
• Tái cơ cấu khung chuyển giao xuyên biên giới để thoát khỏi sự đồng ý rõ ràng cho từng lần chuyển giao sang các mô hình mức độ phù hợp và biện pháp bảo vệ gần với mô hình GDPR hơn
• Đưa ra quyền rõ ràng không bị đặt dưới các quyết định hoàn toàn tự động tạo ra các tác động đáng kể, với quyền yêu cầu xem xét của con người
• Thắt chặt cửa sổ thông báo vi phạm bắt buộc xuống 72 giờ, phù hợp với tiêu chuẩn GDPR
• Nâng trần tiền phạt hành chính lên tới 3 phần trăm doanh thu toàn bộ đối với các vi phạm nghiêm trọng — tăng đáng kể so với mức trần trước đó gắn liền với doanh thu từ hoạt động vi phạm

Vai trò của PIPC

PIPC là cơ quan bảo vệ dữ liệu thống nhất, với các quyền hạn bao gồm điều tra, áp dụng phạt tiền, lệnh khắc phục và công bố công khai các quyết định thực thi. Từ năm 2023, nó đã hoạt động như một cơ quan cấp Nội các với nguồn lực được mở rộng đáng kể và lập trường thực thi rõ ràng hung hãn hơn.

Ai bị quản lý

PIPA áp dụng cho bất kỳ việc xử lý thông tin cá nhân của cư dân Hàn Quốc nào, bất kể bộ kiểm soát ở đâu. Một nhà xuất bản có trụ sở tại Mỹ phục vụ người dùng Hàn Quốc thông qua một trang web bản địa hóa, hoặc một người mua theo lập trình đặt giá thầu cho kho hàng tại Hàn Quốc, đều nằm trong phạm vi. Phạm vi ngoài lãnh thổ này được thiết lập tốt trong thực tiễn của PIPC và đã được củng cố trong nhiều hành động thực thi chống lại các nền tảng nước ngoài kể từ năm 2023.

Những gì được tính là Thông tin Cá nhân

Định nghĩa của PIPA rất rộng. Thông tin cá nhân bao gồm bất kỳ thông tin nào về một cá nhân đang sống có thể nhận dạng cá nhân đó, trực tiếp hoặc bằng cách kết hợp với các thông tin khác. PIPC đã nhất quán coi toàn bộ các mã định danh trực tuyến — cookie, ID quảng cáo, địa chỉ IP, dấu vân tay thiết bị và hồ sơ hành vi — là thông tin cá nhân khi chúng có thể được gắn với cá nhân trực tiếp hoặc bằng các phương tiện hợp lý.

Thông tin nhạy cảm

Luật Hàn Quốc chỉ định một loại riêng biệt là thông tin nhạy cảm (민감정보) kích hoạt các yêu cầu đồng ý nghiêm ngặt hơn. Điều này bao gồm tư tưởng, tín ngưỡng, tư cách thành viên công đoàn hoặc đảng phái chính trị, quan điểm chính trị, sức khỏe, đời sống tình dục, dữ liệu di truyền, dữ liệu sinh trắc học được sử dụng để nhận dạng và tiền sử phạm tội. Xử lý thông tin nhạy cảm đòi hỏi sự đồng ý riêng biệt, cụ thể — không phải sự đồng ý gói có thể bao gồm thông tin cá nhân thông thường.

Thông tin nhận dạng duy nhất

PIPA tách ra một loại bổ sung, thông tin nhận dạng duy nhất (고유식별정보), bao gồm số đăng ký cư trú, số hộ chiếu, số bằng lái xe và số đăng ký người nước ngoài. Việc xử lý những thông tin này bị hạn chế chặt chẽ và thường bị cấm cho các mục đích tiếp thị hoặc quảng cáo.

Tại sao điều này quan trọng đối với cookie

Cookie lưu trữ mã định danh phiên đơn giản là thông tin cá nhân thông thường và thuộc chế độ đồng ý chung. Cookie cung cấp thông tin cho một phân khúc đối tượng chạm vào các danh mục nhạy cảm — sở thích sức khỏe, xu hướng chính trị, liên kết tôn giáo — bước vào lãnh thổ thông tin nhạy cảm và yêu cầu luồng đồng ý riêng biệt, cụ thể. Các nhà xuất bản nhắm mục tiêu đối tượng chồng chéo với danh sách nhạy cảm của PIPA không nên chạy các phân khúc đó dưới sự đồng ý quảng cáo chung.

Đồng ý Cookie theo PIPA năm 2026

Hàn Quốc tuân theo mô hình đồng ý opt-in nghiêm ngặt. Lập trường của PIPC về cookie đã nhất quán và được củng cố bởi nhiều quyết định thực thi trong năm 2024 và 2025.

Năm yếu tố của sự đồng ý hợp lệ

PIPA yêu cầu sự đồng ý cho cookie không thiết yếu và các công nghệ tương tự phải:

• Cụ thể theo mục đích — sự đồng ý chung theo dạng bao quát không hợp lệ, mỗi mục đích xử lý cần sự đồng ý riêng của mình
• Được thông báo — người dùng phải hiểu dữ liệu gì được thu thập, tại sao, ai nhận và trong bao lâu
• Tự nguyện — từ chối phải có thể mà không bị từ chối dịch vụ mà người dùng có quyền được hưởng
• Được thể hiện bằng hành động xác nhận — các ô được đánh dấu sẵn, đồng ý ngầm hiểu và cuộn-như-đồng ý đều không hợp lệ
• Riêng biệt cho mỗi loại mục đích — thiết yếu, phân tích, quảng cáo, cá nhân hóa và chuyển giao xuyên biên giới đều cần sự đồng ý được thu thập riêng biệt của chúng

CMP tuân thủ trông như thế nào

CMP được cấu hình cho lưu lượng truy cập Hàn Quốc vào năm 2026 nên trình bày:

• Banner hiển thị rõ ràng trước khi bất kỳ cookie không thiết yếu nào kích hoạt, mặc định tiếng Hàn (한국어) cho người dùng Hàn Quốc
• Các hành động Chấp nhận, Từ chối và Tùy chỉnh riêng biệt với độ nổi bật trực quan như nhau — PIPC đã cụ thể trích dẫn các thiết kế banner nơi Từ chối ít hiển thị hơn Chấp nhận
• Các điều khiển chi tiết theo từng mục đích, bao gồm nút bật/tắt rõ ràng cho chuyển giao xuyên biên giới
• Luồng riêng biệt, được gắn nhãn rõ ràng để xử lý thông tin nhạy cảm, được bảo vệ phía sau hành động riêng của nó
• Cơ chế liên tục, dễ tìm thấy để rút lại sự đồng ý sau lần lựa chọn ban đầu
• Chính sách quyền riêng tư bằng tiếng Hàn (개인정보 처리방침) với đầy đủ thông tin tiết lộ

Hồ sơ đồng ý

Bộ kiểm soát phải lưu giữ bằng chứng về sự đồng ý — ai đã đồng ý, khi nào, đồng ý gì, thông qua giao diện nào. Nhật ký đồng ý có thể xuất được, có dấu thời gian là kỳ vọng cơ bản, và hồ sơ đồng ý không đầy đủ đã được trích dẫn trong một số hành động thực thi của PIPC.

Chuyển giao xuyên biên giới sau các sửa đổi năm 2023

Chế độ chuyển giao xuyên biên giới của Hàn Quốc đã được tái cơ cấu kỹ lưỡng hơn gần như bất kỳ bản cập nhật quyền riêng tư quốc gia nào khác sau năm 2023. Hiểu khung mới là khoảng cách tuân thủ đơn lẻ lớn nhất đối với các nhà xuất bản nước ngoài vào năm 2026.

Khung chuyển giao mới

PIPA được sửa đổi cung cấp bốn con đường để chuyển giao xuyên biên giới hợp pháp:

• Quyết định về mức độ phù hợp do PIPC ban hành cho các quốc gia hoặc lĩnh vực đích
• Chứng nhận người nhận ở nước ngoài theo đề án chứng nhận được PIPC công nhận
• Hợp đồng tiêu chuẩn được PIPC phê duyệt, hoạt động tương tự như các điều khoản hợp đồng tiêu chuẩn của GDPR
• Đồng ý rõ ràng riêng biệt từ chủ thể dữ liệu cho việc chuyển giao cụ thể, như một cơ chế dự phòng

Tại sao điều này quan trọng

Trước các sửa đổi năm 2023, phần lớn các dòng chảy xuyên biên giới dựa vào con đường thứ tư — đồng ý theo từng lần chuyển giao — tạo ra CMP dày và phức tạp và khó duy trì cho các ngăn xếp lập trình. Khung năm 2023 cho phép bộ kiểm soát dựa vào hợp đồng tiêu chuẩn hoặc chứng nhận, giảm gánh nặng đồng ý và phù hợp với thông lệ quốc tế. Các nhà xuất bản chưa cập nhật hợp đồng với nhà cung cấp của họ để tham chiếu đến hợp đồng tiêu chuẩn của PIPC vẫn đang hoạt động theo mặc định theo chế độ cũ, đây bây giờ là nghĩa vụ tuân thủ chứ không phải tài sản.

Cách tiếp cận thực tế năm 2026

Hầu hết các nhà xuất bản nước ngoài hiện đang thực hiện hợp đồng tiêu chuẩn của PIPC với các bên xử lý ở nước ngoài, ghi lại cơ chế chuyển giao trong chính sách quyền riêng tư và chỉ giữ đồng ý riêng biệt cho từng lần chuyển giao như một phương án dự phòng cho các trường hợp ngoại lệ. Điều này khả thi, có thể biện hộ và đơn giản hơn đáng kể so với trước đây.

Ra quyết định tự động và tính minh bạch thuật toán

Các sửa đổi năm 2023 đã đưa ra quyền không bị đặt dưới các quyết định hoàn toàn tự động tạo ra các tác động đáng kể, và quyền yêu cầu xem xét của con người đối với các quyết định đó. Đối với các nhà xuất bản, điều này áp dụng rõ ràng nhất cho việc tuyển chọn nội dung theo thuật toán, định giá cá nhân hóa và bất kỳ nhắm mục tiêu đối tượng nào tạo ra kết quả khác biệt đáng kể.

Nghĩa vụ tiết lộ

Bộ kiểm soát phải tiết lộ trong chính sách quyền riêng tư rằng ra quyết định tự động được sử dụng, mô tả logic cơ bản và giải thích các tác động đáng kể tiềm ẩn. Điều này không có nghĩa là tiết lộ các thuật toán độc quyền — nhưng nó đòi hỏi một bản tóm tắt ngôn ngữ đơn giản có ý nghĩa mà người dùng thông thường có thể hiểu.

Quyền xem xét

Người dùng bị ảnh hưởng bởi một quyết định tự động đáng kể có thể yêu cầu xem xét của con người, sửa chữa hoặc giải thích. Bộ kiểm soát phải cung cấp một kênh cho yêu cầu này và trả lời trong các mốc thời gian tiêu chuẩn của PIPA.

Quyền của chủ thể dữ liệu

PIPA cấp tập hợp quyền quen thuộc, được áp dụng thông qua khung Hàn Quốc:

• Quyền được thông báo về việc xử lý
• Quyền truy cập dữ liệu đã xử lý
• Quyền sửa chữa dữ liệu không chính xác
• Quyền đình chỉ xử lý
• Quyền xóa khi việc xử lý không còn được biện minh
• Quyền rút lại sự đồng ý dễ dàng như khi được trao
• Quyền phản đối việc ra quyết định tự động tạo ra các tác động đáng kể
• Quyền khiếu nại lên PIPC

Thời hạn phản hồi

Bộ kiểm soát phải trả lời hầu hết các yêu cầu của chủ thể dữ liệu trong vòng 10 ngày, có thể gia hạn một lần thêm 10 ngày với thông báo — nghiêm ngặt hơn đáng kể so với cửa sổ 30 ngày của GDPR. Đây là một trong những khoảng cách hoạt động phổ biến hơn đối với các nhà xuất bản nước ngoài, những người thường có công cụ và sách hướng dẫn vận hành được điều chỉnh theo nhịp 30 ngày của GDPR.

Xử phạt và lập trường thực thi năm 2026

Hoạt động thực thi của PIPC đã leo thang mạnh mẽ kể từ năm 2023 và năm 2025 tạo ra một số mức phạt lớn nhất trong lịch sử của nó — một số trong đó nhắm vào các nền tảng và nhà xuất bản nước ngoài.

Tiền phạt hành chính

Các sửa đổi năm 2023 đã nâng mức phạt tầng cao nhất lên tới 3 phần trăm doanh thu toàn bộ đối với các vi phạm nghiêm trọng nhất. Tiền phạt ở tầng thấp hơn áp dụng cho các thất bại liên quan đến đồng ý, thông báo, bảo mật dữ liệu, thông báo vi phạm và chuyển giao xuyên biên giới. PIPC đã sẵn sàng sử dụng tầng cao nhất vào năm 2025, điều không phải là mô hình lịch sử của nó.

Trách nhiệm hình sự

PIPA có các hình phạt hình sự — bao gồm phạt tù — đối với các vi phạm nghiêm trọng nhất, chẳng hạn như bán trái phép thông tin cá nhân hoặc vi phạm quy mô lớn có chủ ý. Những điều này hiếm nhưng có thực và đã được viện dẫn trong các vụ án năm 2025.

Chủ đề thực thi

Các hành động năm 2025 của PIPC tập trung vào các vấn đề tái phát: banner đồng ý không đầy đủ hoặc mơ hồ, chuyển giao xuyên biên giới không có cơ chế hợp lệ sau năm 2023, thông báo vi phạm không đủ và không thực hiện quyền của chủ thể dữ liệu trong cửa sổ 10 ngày. Các nhà xuất bản nước ngoài đã được trích dẫn trong cả bốn loại.

Danh sách kiểm tra kiểm toán cho lưu lượng truy cập Hàn Quốc năm 2026

• Banner CMP được phục vụ bằng tiếng Hàn (한국어) với Chấp nhận, Từ chối và Tùy chỉnh ở độ nổi bật trực quan như nhau
• Các mục đích đồng ý có chi tiết và tách biệt bất kỳ quá trình xử lý thông tin nhạy cảm nào đằng sau luồng đồng ý cụ thể riêng của nó
• Chuyển giao xuyên biên giới dựa vào hợp đồng tiêu chuẩn của PIPC, chứng nhận hoặc mức độ phù hợp — không dựa vào đồng ý cũ theo từng lần chuyển giao
• Chính sách quyền riêng tư (개인정보 처리방침) có sẵn bằng tiếng Hàn với đầy đủ thông tin tiết lộ về bên xử lý, mục đích, lưu trữ và quyền, bao gồm logic ra quyết định tự động khi áp dụng
• Nhật ký đồng ý có dấu thời gian, có thể xuất được và được lưu giữ ít nhất trong thời gian xử lý cộng thêm biên kiểm toán được
• Quy trình làm việc yêu cầu của chủ thể dữ liệu có thể trả lời trong vòng 10 ngày từ đầu đến cuối, bằng tiếng Hàn
• Sách hướng dẫn thông báo vi phạm được điều chỉnh theo cửa sổ 72 giờ của PIPC
• Các thông tin tiết lộ về ra quyết định tự động có trong chính sách quyền riêng tư nơi các quyết định đáng kể được đưa ra bằng cách sử dụng các hệ thống đó
• Danh sách nhà cung cấp đã được xem xét về sự cần thiết, với các nhà cung cấp không sử dụng hoặc dư thừa đã được loại bỏ

Triển vọng năm 2026

Chế độ quyền riêng tư của Hàn Quốc đã trưởng thành từ một trong những khung nghiêm ngặt nhất trên giấy tờ ở châu Á sang một trong những chế độ nghiêm ngặt nhất trong thực thi trên toàn cầu. Các sửa đổi năm 2023 đã loại bỏ các rào cản cơ cấu đã làm cho việc tuân thủ tốn kém, và PIPC đã sử dụng hai năm qua để tập trung vào việc thực thi phần còn lại của pháp luật. Các nhà xuất bản có ngăn xếp đồng ý cấp GDPR cần điều chỉnh tương đối nhỏ để sẵn sàng cho Hàn Quốc: CMP và chính sách bằng tiếng Hàn, hợp đồng tiêu chuẩn của PIPC cho các dòng chảy xuyên biên giới, nhịp phản hồi 10 ngày và cẩn thận với danh sách thông tin nhạy cảm. Các nhà xuất bản vẫn coi Hàn Quốc là thị trường nhẹ hơn sẽ thấy năm 2026 và 2027 đắt hơn đáng kể so với những năm trước. Tin tốt là khoảng cách là về mặt vận hành, không phải kiến trúc, và có thể được thu hẹp trong vài tuần nếu được ưu tiên.