2023年修正案後PIPA的架構

PIPA係韓國主要的個人數據法規，修正後的版本係2024年起任何出版商的合規參考基準。依據2023年前文本開展工作的團隊，所依據的框架已經過時。

2023年修正案的變化內容

2023年修正案作出了若干結構性調整：

• 統一了各行業的數據控制者義務，消除了此前將信息通信服務提供商與其他控制者區別對待的碎片化制度
• 重構了跨境傳輸框架，從每次傳輸需單獨同意的模式，轉向更接近GDPR模式的充分性認定與保障機制
• 明確引入了不受產生重大影響的完全自動化決策約束的權利，以及申請人工審查的權利
• 將強制性數據洩露通知期限收緊至72小時，與GDPR標準保持一致
• 將嚴重違規的行政罰款上限提升至總營收的3%——相比此前以違規活動所得營收為基準的上限，大幅提升

PIPC的角色

PIPC係統一的數據保護機構，擁有調查、罰款、整改令及公開執法決定等權力。2023年起，其以內閣級機構的身份運作，資源大幅擴充，執法態度明顯趨於強硬。

受監管主體

PIPA適用於對韓國居民個人信息的任何處理行為，無論控制者身處何地。透過本地化網站服務韓國用戶的美國出版商，或在韓國廣告資源上出價的程序化買家，均在適用範圍之內。呢種域外管轄效力喺PIPC的執法實踐中已有充分確立，並透過2023年以來多起針對外國平台的執法行動得到強化。

個人信息的認定範圍

PIPA對個人信息的定義較為寬泛。個人信息包括任何可直接或透過與其他信息結合來識別在世個人的信息。PIPC一貫將各類在線標識符——Cookie、廣告ID、IP地址、設備指紋及行為畫像——納入個人信息範疇，前提係呢些標識符可直接或透過合理手段與特定個人掛鈎。

敏感信息

韓國法律專門劃定了一類敏感信息（민감정보），該類別觸發更嚴格的同意要求。涵蓋意識形態、信仰、工會或政黨成員身份、政治觀點、健康狀況、性生活、基因數據、用於識別的生物特徵數據，以及犯罪記錄。處理敏感信息須獲得單獨、專項的同意——唔可以以涵蓋普通個人信息的捆綁式同意代替。

唯一識別信息

PIPA還專門劃定了一類唯一識別信息（고유식별정보），包括居民登記號、護照號、駕照號及外國人登記號。對呢類信息的處理受到嚴格限制，通常禁止用於營銷或廣告目的。

這對Cookie意味著什麼

僅存儲簡單會話標識符的Cookie屬於普通個人信息，適用一般同意機制。若Cookie涉及觸及敏感類別（如健康興趣、政治傾向、宗教信仰）的受眾細分，則進入敏感信息範疇，須走單獨、專項的同意流程。對受眾定向涉及PIPA敏感信息列表的出版商，唔應喺一般廣告同意框架下運行呢些細分。

2026年PIPA下的Cookie同意

韓國實行嚴格的選擇加入同意模式。PIPC對Cookie的立場始終如一，並透過2024年和2025年的多項執法決定得到強化。

有效同意的五項要素

PIPA要求對非必要Cookie及類似技術的同意須滿足：

• 目的特定性——籠統的概括性同意無效，每項處理目的須單獨獲得同意
• 知情性——用戶須了解收集哪些數據、原因、接收方及保留期限
• 自願性——拒絕須可行，且不得因此被拒絕提供用戶本應有權享有的服務
• 以積極行為表示——預先勾選框、默示同意及滾動即同意均無效
• 每項目的類別單獨收集——必要、分析、廣告、個性化及跨境傳輸各項均須單獨收集同意

合規CMP的形態

為韓國流量配置的CMP喺2026年應呈現：

• 在任何非必要Cookie觸發前顯示可見橫幅，默認向韓國用戶展示韓語（한국어）
• 「接受」、「拒絕」及「自定義」操作視覺權重相同——PIPC已專門點名批評「拒絕」選項唔及「接受」顯眼的橫幅設計
• 按目的提供精細控制，包括跨境傳輸的明確切換開關
• 針對敏感信息處理設置單獨、清晰標注的流程，須透過其專屬操作才能進入
• 提供持久且易於找到的機制，允許用戶喺初始選擇後撤回同意
• 提供包含完整披露內容的韓語隱私政策（개인정보 처리방침）

同意記錄

控制者須保存同意的證明——誰喺何時、就何事、透過何種界面作出了同意。可導出、有時間戳的同意日誌係基本要求，同意記錄不足已喺多起PIPC執法行動中被明確指出。

2023年修正案後的跨境傳輸

韓國的跨境傳輸制度經歷了比近年幾乎任何其他國家隱私法更新都更為徹底的重構。理解新框架，係2026年外國出版商最大的合規缺口。

新傳輸框架

修正後的PIPA提供四條合法跨境傳輸路徑：

• 由PIPC針對目的地國家或行業作出的充分性認定
• 在PIPC認可的認證方案下對境外接收方進行認證
• 經PIPC批准的標準合同，功能上類似於GDPR的標準合同條款
• 來自數據主體針對特定傳輸的單獨明確同意，作為兜底機制

為何重要

2023年修正案出台前，大多數跨境數據流依賴第四條路徑——逐筆傳輸同意——呢一做法導致CMP繁瑣複雜，對程序化技術棧而言難以維護。2023年框架允許控制者依賴標準合同或認證，減輕了同意負擔，並與國際實踐接軌。尚未更新供應商合同以引用PIPC標準合同的出版商，喺默認情況下仍在沿用舊制度，而舊制度如今已係合規負擔，而非合規優勢。

2026年的實操做法

目前，大多數外國出版商正喺與其境外處理者簽署PIPC標準合同，喺隱私政策中記錄傳輸機制，並僅將逐筆單獨同意作為邊緣情況下的備用方案。呢一做法可行、可辯護，且比以往顯著簡化。

自動化決策與算法透明度

2023年修正案引入了不受產生重大影響的完全自動化決策約束的權利，以及申請對此類決策進行人工審查的權利。對出版商而言，呢一權利最直接體現喺算法內容策劃、個性化定價，以及任何導致顯著差異化結果的受眾定向上。

披露義務

控制者須喺隱私政策中披露使用了自動化決策，描述基本邏輯，並說明潛在的重大影響。呢並唔意味著須披露專有算法——但確實要求提供普通用戶能夠理解的有意義的白話摘要。

審查權

受重大自動化決策影響的用戶，可申請人工審查、糾正或獲取說明。控制者須提供提交此類申請的渠道，並喺PIPA規定的標準期限內作出答覆。

數據主體權利

PIPA授予了一系列常見權利，透過韓國框架加以實施：

• 獲知處理情況的權利
• 查閱已處理數據的權利
• 更正不準確數據的權利
• 暫停處理的權利
• 喺處理不再具有正當依據時請求刪除的權利
• 以同樣便捷的方式撤回同意的權利
• 對產生重大影響的自動化決策提出異議的權利
• 向PIPC投訴的權利

答覆期限

控制者須喺10天內答覆大多數數據主體請求，可附帶通知再延長一次10天——明顯短於GDPR的30天窗口。呢係外國出版商最常見的運營缺口之一，因為其工具和操作手冊通常按30天GDPR節奏設置。

2026年的處罰與執法態勢

PIPC的執法活動自2023年以來大幅升級，2025年開出了有史以來最高的幾筆罰款——其中多筆針對外國平台和出版商。

行政罰款

2023年修正案將最高罰款檔次提升至針對最嚴重違規行為最高總營收的3%。較低檔次的罰款適用於同意、告知、數據安全、洩露通知及跨境傳輸方面的違規。PIPC喺2025年已動用最高檔次，呢喺其歷史上並不常見。

刑事責任

PIPA對最嚴重的違規行為規定了刑事處罰——包括監禁——例如非法出售個人信息或故意大規模洩露數據。此類情況罕見但確實存在，2025年的案例中已有援引。

執法重點

PIPC 2025年的執法行動集中於幾個反覆出現的問題：同意橫幅不足或表述模糊、跨境傳輸缺乏有效的2023年後機制、洩露通知不充分，以及未能喺10天窗口內履行數據主體權利。外國出版商喺上述四類問題中均有被點名。

2026年韓國流量審計清單

• CMP橫幅以韓語（한국어）提供，「接受」、「拒絕」及「自定義」視覺權重相同
• 同意目的細化，敏感信息處理透過其專屬專項同意流程單獨處理
• 跨境傳輸依據PIPC標準合同、認證或充分性認定——唔依賴遺留的逐筆同意
• 隱私政策（개인정보 처리방침）提供韓語版本，完整披露處理者、目的、保留期限及權利，並喺適用時披露自動化決策邏輯
• 同意日誌有時間戳、可導出，並至少保留處理期限加可審計餘量
• 數據主體請求工作流能夠喺10天內端到端以韓語完成答覆
• 洩露通知操作手冊已按72小時PIPC窗口設置
• 喺使用此類系統作出重大決策的情況下，自動化決策披露已納入隱私政策
• 供應商列表已審查必要性，已移除未使用或冗餘的供應商

2026年展望

韓國隱私制度已從亞洲紙面上最嚴格的框架之一，演變為全球執法層面最嚴格的制度之一。2023年修正案消除了使合規成本高昂的結構性障礙，PIPC利用此後兩年著力推進其餘法律條款的執法。擁有GDPR級別同意技術棧的出版商只需相對較小的調整即可滿足韓國合規要求：韓語CMP和隱私政策、用於跨境數據流的PIPC標準合同、10天答覆節奏，以及對敏感信息列表的謹慎處理。仍將韓國視為較寬鬆市場的出版商，將發現2026年和2027年的代價遠高於往年。好消息係，差距在於運營層面，而非架構層面，若將其列為優先事項，數週內即可彌合。