韩国 PIPA：数据保护合规指南

韩国的个人信息保护法（PIPA — 개인정보 보호법）被广泛认为是世界上最严格的数据保护法之一。 PIPA 范围全面，技术要求详细，并由个人信息保护委员会（PIPC — 개인정보보호위원회）积极执行，对于在韩国高度数字化市场运营或服务的任何企业都具有重大影响。

PIPA 于 2011 年颁布，并于 2023 年进行了大幅修订，现在与包括欧盟 GDPR 在内的国际标准更加紧密地结合在一起，同时保留了独特的韩国特色，例如强制加密要求、具体技术标准以及韩国通信委员会 (KCC) 和韩国互联网安全局 (KISA) 隐私执法职责整合后 PIPC 下的统一执法结构。

要点

• PIPA 适用于在韩国处理个人信息的所有公共和私人实体，具有域外范围
• 敏感信息（生物识别、健康、犯罪记录、位置等）需要明确同意——同意标准比大多数其他司法管辖区更严格
• 隐私政策必须公开发布并获得 PIPC 年度审计指南的批准
• 需要在 72 小时内（某些事件为 5 天）向 PIPC 发出数据泄露通知
• 未经同意、合同保障或充分性确定，禁止跨境转移
• PIPC 可处以最高总收入 3% 的罚款；刑事处罚最高可达5年监禁
• 强制性技术标准：特定加密算法（针对敏感数据的 AES-256）、访问控制要求、假名化指南
• 拥有韩国用户的海外运营商必须指定当地代表

---

PIPA 框架和范围

覆盖范围

PIPA 适用于：

• 个人信息处理者：出于商业目的处理个人信息的任何公共机构、公司、组织或个人
• 公共部门（政府机构）和私营部门实体
• 海外运营商：未在韩国设立、向韩国居民提供商品或服务或监控韩国居民行为的实体（第2条和第39-11条）

2023 年修正案中添加的这一域外范围反映了 GDPR 第 3(2) 条，并要求海外运营商指定一名韩国代表。

个人信息定义

PIPA 下的个人信息 (개인정보) 是指有关在世个人的、可识别该个人的信息（包括与其他信息的组合），包括：

• 姓名、注册号码 (주민등록번호)、照片
• 可以轻松与其他信息结合以识别个人身份的信息

假名信息 (і명정보)：经过处理的个人信息，如果没有附加信息，就无法进行身份识别。未经同意，可用于统计编制、研究和归档，但须遵守特定限制。

匿名信息：在任何情况下都无法重新识别的信息——不再是个人信息且超出 PIPA 范围。

---

敏感信息

PIPA 将敏感信息 (민감정보) 定义为需要明确同意才能收集和使用，但有少数例外情况。类别包括：

• 意识形态、信仰
• 加入或退出工会或政党
• 政治观点
• 健康和医疗信息
• 性生活和性取向
• 过去的犯罪记录（犯罪和处罚）
• 可以识别个人身份的生物识别信息
• 种族或民族背景
• 财务信息（账号、卡号——归类为需要特殊处理的唯一识别信息）

居民登记号码（주민등록번호 — 韩国国民身份证）：受到最高保护。除非法律明确允许，否则一般禁止收集。处理和向第三方提供受到严格监管。这是全球最严格的国家身份证号码保护之一。

---

处理个人信息的法律依据

PIPA 第 15 条规定了收集和使用个人信息的五种法律依据：

1. 数据主体事先同意
2. 法律的特殊规定，或为遵守法律义务所必需的
3. 无法获得事先同意的数据主体或第三方的明确且重大的利益（重大利益） 4.事业单位履行法律、法规赋予的任务所必需的
4. 个人信息处理者的合法利益——在合理范围内，处理对于处理者的合法利益来说显然是必要的

同意要求：

• 知情：必须告知数据主体所收集的项目、目的、保留期限以及拒绝同意的权利及后果
• 自愿：不能以同意可选处理为条件提供商品/服务
• 具体：针对每个目的单独同意
• 书面证明：保留同意证据

---

隐私政策要求

第 30 条要求个人信息处理者制定并公开发布隐私政策 (개인정보 처리방침)。所需内容：

• 处理的个人信息项目
• 处理目的
• 保存期限（销毁期限）
• 如果提供给第三方，则第三方的详细信息、提供的项目、目的和保留期限
• 委托加工（加工者）相关事宜
• 数据主体的权利和义务及其行使方式
• 确保个人信息安全所采取的措施
• 个人信息保护官员的姓名和联系信息（PIPO — 개인정보 보호책임자）
• 处理数据主体权利请求的部门
• 任何海外转账信息
• 自动收集装置（cookies）

隐私政策更新：如有变更，必须提前通知。 PIPC 提供了示范隐私政策指南和年度评估——得分低于最低标准的公司将收到改进建议。

---

个人信息保护官 (PIPO)

第 31 条要求所有个人信息处理者指定个人信息保护官 (개인정보 보호책임자)。 PIPO 必须：

• 成为对隐私有权力和责任的高级管理人员
• 接收有关个人信息处理的投诉并进行处理
• 监控合规性
• 管理培训和意识
• 进行隐私风险评估

PIPO 的标准： 必须在组织中拥有实质性权力——而不仅仅是名义上的任命。 PIPO 必须有权指导技术措施、访问所有个人信息系统并直接与领导层沟通。

海外运营商：必须在韩国指定一名国内代表负责 PIPO 职能。

---

技术和安全要求

PIPA 及其实施条例（个人信息安全措施标准 — 개인정보의 안전성 확보조치 기준）规定了详细的技术要求，属于全球最规范的技术要求：

加密要求：

• 密码：必须使用单向加密算法进行加密；禁止纯文本存储
• 居民登记号码、生物特征、财务信息：必须使用 AES-256 或同等协议进行加密
• 传输加密：所有通过网络传输的个人信息都需要TLS/SSL
• 移动设备存储：移动设备上的个人信息需要加密

访问控制要求：

• 唯一的用户ID；禁止共享帐户
• 基于任务必要性的访问控制（最小权限）
• Web 服务闲置最多 30 分钟后会话超时
• 登录尝试失败 5 次后帐户被锁定
• 对个人信息系统的管理访问需要双因素身份验证

访问日志管理：

• 必须记录对个人信息数据库的所有访问
• 日志必须包括：访问 ID、日期和时间、操作类型（创建、读取、更新、删除）
• 日志必须保留至少 1 年（敏感信息和健康信息为 3 年）
• 必须保护日志不被篡改；实施异常检测

网络分离：

• 对于处理超过 100,000 个人的个人信息或处理敏感信息的处理者，需要将面向互联网的系统与内部个人信息系统进行网络隔离
• 必须记录防火墙配置

漏洞管理：

• 在供应商发布操作系统和主要软件后 6 个月内应用安全补丁
• 至少每年进行一次安全漏洞评估

---

数据主体权利

PIPA 授予数据主体必须在指定期限内履行的权利：

---

跨境数据传输

第 28-8 条（2023 年修正案）管辖国际数据传输：

允许的机制：

1. 同意：披露后明确的事先同意：接收者信息、转让目的、转让的物品、保留期限和有关拒绝权的信息
2. 充分性确定：转移到 PIPC 指定的具有充分保护的国家
3. 标准合同条款：与海外接收者一起使用经 PIPC 批准的 SCC
4. 具有约束力的公司规则：经PIPC批准可进行集团内转让
5. 合同必要性：与数据主体签订合同所需的传输
6. 法律义务：条约或国际协议要求

PIPC 充足名单：PIPC 正在制定其充足国家名单。目前，欧盟与韩国之间存在着充分的互惠关系。日本正在讨论中。

基于同意的转让的通知要求：在获得同意之前强制披露包括：外国名称、接收者姓名和联系方式、转让目的、转让的物品、保留/使用期限以及有关拒绝同意和后果的信息。

---

违规通知

第三十四条要求在发现个人信息丢失、被盗或者泄露时进行通知：

向 PIPC 发出通知（第 34(3) 条）：当发生个人信息丢失、被盗或泄露时，需要在 72 小时内进行通知，涉及以下事件：

• 1,000 名或更多数据主体
• 敏感信息或唯一识别信息
• 任何涉嫌系统性违规的金额

对于其他事件：在 5 个工作日内通知数据保护机构（KISA 代表 PIPC 运营报告门户）。

单独通知（第 34(1) 条）：发生丢失、被盗或泄漏时，不得无故拖延。必须包括：

• 丢失、被盗或泄露的个人信息
• 事件发生时间（如果已知）
• 数据主体可以采取的行动
• 个人信息处理者的联系信息

通知 PIPC：使用 PIPC/KISA 事件报告门户 (privacy.go.kr)。

---

PIPC 执法和处罚

个人信息保护委员会 (PIPC) 作为一个独立委员会在 2020 年得到加强，并在 2023 年修正案中得到进一步授权。

行政处罚：

• 对于涉及未经合法依据收集个人信息或未经授权向第三方提供个人信息的违规行为，最高可处以总销售额/收入3%的罚款
• 对严重违反技术保护措施的行为处以最高销售额3%的罚款
• 纠正命令：PIPC 可以命令操作变更、数据销毁、公告

刑事处罚（第 70-74 条）：

• 未经同意收集个人信息：最高 5 年监禁 + 最高 5,000 万韩元罚款
• 未经同意向第三方提供：最高 5 年监禁 + 最高 5,000 万韩元罚款
• 违反居民登记号码处理禁令：最高 5 年监禁 + 最高 1 亿韩元罚款
• 数据经纪人违规行为：最高 10 年监禁

近期执法：PIPC 因未经同意收集敏感信息而于 2022 年对 Meta 处以 67 亿₩（500 万美元）罚款。三星电子收到多项 PIPC 指导行动。 Kakao 的数据处理实践受到调查。执法工作正在积极开展并不断扩大。

---

PIPA 合规检查表

• PIPA适用性已确认，包括海外运营商身份
• [ ]指定韩国代表（海外运营商）
• [ ]个人信息清查完成，包括敏感信息识别
• 评估居民登记号码的使用情况 — 除非法律要求，否则取消收集
• 记录每项处理活动的法律依据
• 审查同意书：具体、知情、自愿、每个目的分开
• 在网站上发布的隐私政策，包含所有必需的元素
• PIPO 指定：具有适当权力的高级管理人员
• 实施访问控制：唯一 ID、会话超时（30 分钟）、5 次失败后锁定
• 实施加密：针对敏感/生物识别/财务数据的 AES-256；用于传输的 TLS；单向密码
• 启用并配置访问日志（至少保留 1 年，敏感数据保留 3 年）
• 如果处理超过 100,000 个人，则实施网络分离
• 数据主体权利程序：访问/更正/暂停的 10 天响应
• 海外转账的跨境转账机制
• 向 PIPC 提供 72 小时违规通知程序
• 记录个人违规通知程序
• 已完成 PIPA 义务员工培训
• 年度漏洞评估已安排

---

常见问题

为何 PIPA 被视为全球最严格的数据保护法之一？

PIPA 结合了全面的范围（适用于包括小型企业在内的所有实体）、严格的同意要求（明确的、特定目的的、自愿的）、规定性的技术标准（强制性的加密算法、特定的访问日志要求、网络分离）、强有力的执行（刑事处罚最高 10 年、行政罚款收入的 3%）以及禁止使用国民居民登记号码——这是世界上最严格的国民身份保护之一。 PIPC 已表现出对国内外主要企业进行罚款的意愿。此外，与 GDPR 基于原则的框架相比，PIPA 详细的实施法规为替代合规方法留下的空间较小。

PIPA 下的具体加密要求是什么？

PIPA实施条例（个人信息安全措施标准）规定：（1）密码必须使用单向哈希函数（bcrypt、Argon2或批准的算法）存储——禁止明文或可逆加密； （2）敏感信息、居民登记号码、生物识别信息、金融账号等必须至少使用AES-128（推荐AES-256）加密存储； (3) 所有通过网络传输的个人信息都必须使用TLS 1.2或更高版本； （4）移动设备上的个人信息必须加密； (5) 对于基于云的系统，建议采用端到端加密。

2023 年 PIPA 修正案规定的假名信息是什么？

2020 年修正案（2023 年生效）中引入了假名信息 (і명정보)，作为个人信息和匿名信息之间的类别。它是指经过处理，在不使用附加信息的情况下无法识别特定个人的个人信息，并采取安全措施单独保存。无需同意即可使用假名信息进行统计编制、科学研究或公共记录保存，从而实现数据分析，同时降低隐私风险。处理者必须： 单独且安全地保存附加信息（映射表）；禁止重新识别尝试；保存假名记录；落实技术和行政安全措施。

PIPA的“合法权益”基础如何运作？

2023 年修正案引入了 PIPA 下的合法利益基础（第 15(1)(6) 条）。它允许在维护处理者合法利益明显必要的情况下进行处理，而不会凌驾于数据主体的权利之上。这反映了 GDPR 的合法利益，但应用范围较窄——PIPA 的立法历史表明，这应该用于附带的补充处理，而不是作为取代同意的通用基础。处理者必须记录合法利益，评估其是否凌驾于数据主体的利益之上，并实施保障措施。敏感信息不能在合法利益的情况下收集/使用——它需要明确同意或特定的法律授权。

什么构成数据泄露，需要 72 小时通知 PIPC？

72 小时通知要求适用于以下情况： (1) 1,000 名或以上数据主体受到丢失、被盗或泄露的影响； (2) 涉及敏感信息或唯一识别信息（居民登记号码、护照号码、驾驶执照号码、外国人登录号码）的泄露； (3) 该漏洞似乎是系统性的（表明存在更广泛的漏洞）。其他违规行为（影响少于 1,000 名拥有非敏感数据的个人）需要在 5 个工作日内发出通知。通知必须通过 PIPC/KISA 报告门户 (privacy.go.kr) 提交。无论规模大小，都需要在发现违规行为后立即发出单独通知。

---

后续步骤

韩国的 PIPA 是一个要求严格的合规框架，需要对组织流程和技术基础设施进行投资。对于进入韩国市场或扩大现有韩国业务的企业来说，从一开始就将 PIPA 合规性纳入您的系统架构（尤其是加密要求和访问日志记录）比改造要高效得多。

ECOSIRE 的技术实施团队可以帮助设计符合 PIPA 的架构、实施所需的具体技术标准，并构建适合韩国市场的隐私管理流程。

了解更多：ECOSIRE 服务

免责声明：本指南仅供参考，不构成法律建议。 PIPA 已进行了重大修改并继续发展。请咨询合格的韩国法律顾问，获取针对您的组织的具体建议。