自从2018年欧盟发布《通用数据保护条例》（General Data Protection Regulation，简称“GDPR”）以来，仿佛打开了潘多拉的魔盒，时机成熟或不成熟、立法储备丰富或不丰富的国家纷纷立法对各类数据（尤其是个人信息）进行严管。

    时至今日，各国纷繁复杂、合理或不合理的各类数据相关规定，已经成为悬在各家跨境电商头上的利剑，不时落下。

    今天飒姐团队就结合近期令人瞩目的跨境数据传输被处罚事件，为大家解析韩国对于个人信息保护的相关规定，以期帮助各家跨境电商做好数据合规。

01 详解

韩国20亿罚款大单

    可以说，自改革开放以来，韩国这位近邻与我国之间的跨境贸易就没有差过，而随着互联网的发展，两国之间的商业贸易更加频繁紧密。

1

猫厂、真香厂已拿下韩国电商半壁江山

    根据韩国统计厅在2024年2月发布的数据：今年第2季度韩国跨境电商网购（海淘）规模统计为2.0149万亿韩元（约合人民币106亿元），同比增长25.6%，创单季最高纪录。中国是韩国海淘产品最大来源国，自华海淘规模达1.2373万亿韩元，同比大增64.8%，在整体海淘规模中占比61.4%。

    山大韩国研究中心认为，该数据实际上得益于全球速卖通（AliExpress）、Temu等来自中国的跨境电商平台在韩国的迅速发展。第三方数据分析平台Wise App Retail Goods的数据能够印证该观点：截至今年6月，猫厂旗下的全球速卖通和真相厂旗下的Temu，韩国用户人数分别为836.828万名和823.3827万名，环比增长0.8%和3.3%，已成为韩国第二大和第三大电商平台。

2

生意红火但遭大罚单突袭

数据跨境哪个环节触了监管霉头？

    也许是“人红是非多”，2024年7月24日韩国个人信息保护委员会（PIPC）决定对猫厂旗下全球速卖通的运营法人实体Alibaba.com Singapore E-Commerce Private Limited开出近20亿韩元的罚金。理由是，速卖通的相关业务违反了韩国《个人信息保护法》（Personal Information Protection Act，简称“PIPA”）以及韩国《个人信息保护法实施指令》（Enforcement Decree of the Information Protection Act），未经许可，跨境传输用户个人信息。

    韩国个人信息保护委员会认为，当用户在速卖通平台购买商品时，卖家因需要配送商品，所以速卖通会将消费者的个人信息跨境传输给发货工厂。在该商业模式下，韩国个人信息保护委员会已查实超过18万韩国用户的个人信息被提供给了中国的卖家。

    据此韩国个人信息保护委员会决定对速卖通开出19亿7800万韩元的大罚单并附加780万韩元的滞纳金，总计约人民币1000万元。

    另外，针对真香厂Temu的数据保护案件也已经不远，韩国个人信息保护委员会准备在下次会议中进行审议，极有可能对真香厂也开出大额罚单。

02

韩国个人信息跨境规定为何

猫厂是否违反？

    韩国《个人信息保护法》于2011年9月30 日开始实施，是韩国个人信息保护领域的一般性法律规定。该法明确了个人信息保护的原则、数据主体的权利、国家和政府的职责、收集、利用和保护个人信息的规则。

    2011年9月30日实施的这一版《个人信息保护法》并没有“个人信息跨境传输”的相关规定，最早见于韩国2021年新修订的《个人信息保护法》第三章第四节中，具体规定在2023年实施的《个人信息保护法实施指令》中得到进一步细化和明确。

    韩国与个人信息跨境传输相关的具体规定如下：

注：《个人信息保护法》（2023版）和韩国《个人信息保护法实施指令》（2023版）相关法条中文版均为飒姐团队从网络公开渠道获得，相关法条表述可能存在偏差，应以韩国法律原文为准，

    据此，猫厂旗下全球速卖通的业务具体在以下几个方面违反了韩国个人信息保护的相关法律、法规的规定：

1.  违反个人信息跨境传输规定（将用户数据传输出境时，未能告知用户传输目的、接收者信息等，未能取得用户的知情同意，导致用户数据被非法传输出境）；
2. 未遵守在跨境传输个人信息时应采取的保护措施（在与用户的合同内容中缺乏明确的安全性保障措施）；
3. 未公开在韩国的代理人信息，违反透明度要求；
4. 未提供或未明确告知用户行使权利的正确方式和程序（个人信息侵犯的投诉处理以及纠纷解决等相关页面不明显且使用英文显示，增加了韩国用户行使权力的门槛）。

03

哪些业务需要遵守韩国数据「游戏规则」？

    实际上，除了跨境电商业务以外，在2024年4月4日韩国个人信息保护委员会发布《海外经营者个人信息保护法适用指南》，且该规范即时生效后，韩国就将大量的跨境业务纳入了其规制范围内，堪称“沾边就管”。

    相关业务是否受到韩国《个人信息保护法》《个人信息保护法实施指令》等数据相关法律法规规定的管辖，判断关键在于“是否对韩国提供服务”。

    根据《个人信息保护法实施指令》的规定，具体如下：

（1）将韩国指定为业务支持的国家和地区。

（2）使用单独的韩国域名。（例如，URL写成ko-kr.xxx.com、ko-kr等）

（3）在韩国应用市场发布或者在全球应用市场发布时，将基础语言设置为韩语

（4）虽然声称只适用特定国家的法律，但仅以韩语提供服务

（5）其他可能让公司知道“这是个韩国用户”的行为。（这个就较为复杂了，实践中，例如为用户提供韩语客服、页面可翻译为韩语等其他任何能够让公司觉得“这可能是个韩国人在用我们的服务”的情况。）

04

写在最后

    一个冷知识，在数据存储方面，世界上仅有韩国和印尼采取“绝对本地化存储”策略。韩国《网络利用及信息保护法》第51条（2001年1月）明确规定：IT网络利用及信息保护法规定的“特定通信服务提供商记录”，必须存放在韩国本地的数据中心。韩国《空间数据法》第16条、21条（2014年6月）规定：空间数据法规范的“地图数据”，必须存放在韩国本地的数据中心。

    可见，总体而言，韩国作为数据安全保护和个人信息保护最为严格的国家之一，在方方面面都设置了苛刻、细化的管理规定，同时，由于其在2024年修法后，对于其公民个人信息的管辖范围又非常宽泛，这就导致各家在韩有业务的公司，随时都可能遭到韩国个人信息保护委员会的铁锤。

    但是，毕竟韩国作为一个发达邻国，有着庞大且成熟的用户市场，中国企业近些年来做的游戏、服装等产品也在该国广受好评，如因数据合规而放弃蛋糕，实属不智，毕竟，韩国数据合规虽严格，但其规定明确且具有较强可操作性，这就意味着，韩国数据合规对于中国出海企业而言，并非不可“攻克”的难题。