2023年修正案后PIPA的结构

PIPA是韩国主要的个人数据法规，修正后的版本是2024年起任何出版商的合规参考基准。依据2023年前文本开展工作的团队，所依据的框架已经过时。

2023年修正案的变化内容

2023年修正案作出了若干结构性调整：

• 统一了各行业的数据控制者义务，消除了此前将信息通信服务提供商与其他控制者区别对待的碎片化制度
• 重构了跨境传输框架，从每次传输需单独同意的模式，转向更接近GDPR模式的充分性认定与保障机制
• 明确引入了不受产生重大影响的完全自动化决策约束的权利，以及申请人工审查的权利
• 将强制性数据泄露通知期限收紧至72小时，与GDPR标准保持一致
• 将严重违规的行政罚款上限提升至总营收的3%——相比此前以违规活动所得营收为基准的上限，大幅提升

PIPC的角色

PIPC是统一的数据保护机构，拥有调查、罚款、整改令及公开执法决定等权力。2023年起，其以内阁级机构的身份运作，资源大幅扩充，执法态度明显趋于强硬。

受监管主体

PIPA适用于对韩国居民个人信息的任何处理行为，无论控制者身处何地。通过本地化网站服务韩国用户的美国出版商，或在韩国广告资源上出价的程序化买家，均在适用范围之内。这种域外管辖效力在PIPC的执法实践中已有充分确立，并通过2023年以来多起针对外国平台的执法行动得到强化。

个人信息的认定范围

PIPA对个人信息的定义较为宽泛。个人信息包括任何可直接或通过与其他信息结合来识别在世个人的信息。PIPC一贯将各类在线标识符——Cookie、广告ID、IP地址、设备指纹及行为画像——纳入个人信息范畴，前提是这些标识符可直接或通过合理手段与特定个人挂钩。

敏感信息

韩国法律专门划定了一类敏感信息（민감정보），该类别触发更严格的同意要求。涵盖意识形态、信仰、工会或政党成员身份、政治观点、健康状况、性生活、基因数据、用于识别的生物特征数据，以及犯罪记录。处理敏感信息须获得单独、专项的同意——不能以涵盖普通个人信息的捆绑式同意代替。

唯一识别信息

PIPA还专门划定了一类唯一识别信息（고유식별정보），包括居民登记号、护照号、驾照号及外国人登记号。对这类信息的处理受到严格限制，通常禁止用于营销或广告目的。

这对Cookie意味着什么

仅存储简单会话标识符的Cookie属于普通个人信息，适用一般同意机制。若Cookie涉及触及敏感类别（如健康兴趣、政治倾向、宗教信仰）的受众细分，则进入敏感信息范畴，须走单独、专项的同意流程。对受众定向涉及PIPA敏感信息列表的出版商，不应在一般广告同意框架下运行这些细分。

2026年PIPA下的Cookie同意

韩国实行严格的选择加入同意模式。PIPC对Cookie的立场始终如一，并通过2024年和2025年的多项执法决定得到强化。

有效同意的五项要素

PIPA要求对非必要Cookie及类似技术的同意须满足：

• 目的特定性——笼统的概括性同意无效，每项处理目的须单独获得同意
• 知情性——用户须了解收集哪些数据、原因、接收方及保留期限
• 自愿性——拒绝须可行，且不得因此被拒绝提供用户本应有权享有的服务
• 以积极行为表示——预先勾选框、默示同意及滚动即同意均无效
• 每项目的类别单独收集——必要、分析、广告、个性化及跨境传输各项均须单独收集同意

合规CMP的形态

为韩国流量配置的CMP在2026年应呈现：

• 在任何非必要Cookie触发前显示可见横幅，默认向韩国用户展示韩语（한국어）
• 「接受」、「拒绝」及「自定义」操作视觉权重相同——PIPC已专门点名批评「拒绝」选项不如「接受」显眼的横幅设计
• 按目的提供精细控制，包括跨境传输的明确切换开关
• 针对敏感信息处理设置单独、清晰标注的流程，须通过其专属操作才能进入
• 提供持久且易于找到的机制，允许用户在初始选择后撤回同意
• 提供包含完整披露内容的韩语隐私政策（개인정보 처리방침）

同意记录

控制者须保存同意的证明——谁在何时、就何事、通过何种界面作出了同意。可导出、有时间戳的同意日志是基本要求，同意记录不足已在多起PIPC执法行动中被明确指出。

2023年修正案后的跨境传输

韩国的跨境传输制度经历了比近年几乎任何其他国家隐私法更新都更为彻底的重构。理解新框架，是2026年外国出版商最大的合规缺口。

新传输框架

修正后的PIPA提供四条合法跨境传输路径：

• 由PIPC针对目的地国家或行业作出的充分性认定
• 在PIPC认可的认证方案下对境外接收方进行认证
• 经PIPC批准的标准合同，功能上类似于GDPR的标准合同条款
• 来自数据主体针对特定传输的单独明确同意，作为兜底机制

为何重要

2023年修正案出台前，大多数跨境数据流依赖第四条路径——逐笔传输同意——这导致CMP繁琐复杂，对程序化技术栈而言难以维护。2023年框架允许控制者依赖标准合同或认证，减轻了同意负担，并与国际实践接轨。尚未更新供应商合同以引用PIPC标准合同的出版商，在默认情况下仍在沿用旧制度，而旧制度如今已是合规负担，而非合规优势。

2026年的实操做法

目前，大多数外国出版商正在与其境外处理者签署PIPC标准合同，在隐私政策中记录传输机制，并仅将逐笔单独同意作为边缘情况下的备用方案。这一做法可行、可辩护，且比以往显著简化。

自动化决策与算法透明度

2023年修正案引入了不受产生重大影响的完全自动化决策约束的权利，以及申请对此类决策进行人工审查的权利。对出版商而言，这一权利最直接体现在算法内容策划、个性化定价，以及任何导致显著差异化结果的受众定向上。

披露义务

控制者须在隐私政策中披露使用了自动化决策，描述基本逻辑，并说明潜在的重大影响。这并不意味着须披露专有算法——但确实要求提供普通用户能够理解的有意义的白话摘要。

审查权

受重大自动化决策影响的用户，可申请人工审查、纠正或获取说明。控制者须提供提交此类申请的渠道，并在PIPA规定的标准期限内作出答复。

数据主体权利

PIPA授予了一系列常见权利，通过韩国框架加以实施：

• 获知处理情况的权利
• 查阅已处理数据的权利
• 更正不准确数据的权利
• 暂停处理的权利
• 在处理不再具有正当依据时请求删除的权利
• 以同样便捷的方式撤回同意的权利
• 对产生重大影响的自动化决策提出异议的权利
• 向PIPC投诉的权利

答复期限

控制者须在10天内答复大多数数据主体请求，可附带通知再延长一次10天——明显短于GDPR的30天窗口。这是外国出版商最常见的运营缺口之一，因为其工具和操作手册通常按30天GDPR节奏设置。

2026年的处罚与执法态势

PIPC的执法活动自2023年以来大幅升级，2025年开出了有史以来最高的几笔罚款——其中多笔针对外国平台和出版商。

行政罚款

2023年修正案将最高罚款档次提升至针对最严重违规行为最高总营收的3%。较低档次的罚款适用于同意、告知、数据安全、泄露通知及跨境传输方面的违规。PIPC在2025年已动用最高档次，这在其历史上并不常见。

刑事责任

PIPA对最严重的违规行为规定了刑事处罚——包括监禁——例如非法出售个人信息或故意大规模泄露数据。此类情况罕见但确实存在，2025年的案例中已有援引。

执法重点

PIPC 2025年的执法行动集中于几个反复出现的问题：同意横幅不足或表述模糊、跨境传输缺乏有效的2023年后机制、泄露通知不充分，以及未能在10天窗口内履行数据主体权利。外国出版商在上述四类问题中均有被点名。

2026年韩国流量审计清单

• CMP横幅以韩语（한국어）提供，「接受」、「拒绝」及「自定义」视觉权重相同
• 同意目的细化，敏感信息处理通过其专属专项同意流程单独处理
• 跨境传输依据PIPC标准合同、认证或充分性认定——不依赖遗留的逐笔同意
• 隐私政策（개인정보 처리방침）提供韩语版本，完整披露处理者、目的、保留期限及权利，并在适用时披露自动化决策逻辑
• 同意日志有时间戳、可导出，并至少保留处理期限加可审计余量
• 数据主体请求工作流能够在10天内端到端以韩语完成答复
• 泄露通知操作手册已按72小时PIPC窗口设置
• 在使用此类系统作出重大决策的情况下，自动化决策披露已纳入隐私政策
• 供应商列表已审查必要性，已移除未使用或冗余的供应商

2026年展望

韩国隐私制度已从亚洲纸面上最严格的框架之一，演变为全球执法层面最严格的制度之一。2023年修正案消除了使合规成本高昂的结构性障碍，PIPC利用此后两年着力推进其余法律条款的执法。拥有GDPR级别同意技术栈的出版商只需相对较小的调整即可满足韩国合规要求：韩语CMP和隐私政策、用于跨境数据流的PIPC标准合同、10天答复节奏，以及对敏感信息列表的谨慎处理。仍将韩国视为较宽松市场的出版商，将发现2026年和2027年的代价远高于往年。好消息是，差距在于运营层面，而非架构层面，若将其列为优先事项，数周内即可弥合。