- 保密网

来源：保密网作者：康凯杰发布时间：2026-05-22 23:39:44 浏览次数：次

韩国个人信息保护法PIPA

韩国个人信息保护法于2011年制定，2012年全面生效，是亚洲数据保护立法中较早综合性法律之一。2023年，韩国国会通过了PIPA全面修订案并于2024年生效，这是PIPA自制定以来规模较大的一次修订，涉及数据主体权利扩展、数据控制者义务强化以及域外管辖的国际接轨。

PIPA的立法设计覆盖了数据保护全领域。该法适用于收集、使用或提供个人数据的个人数据控制者，包括公共机构和私营实体。PIPA不适用于通过邮件、电话等方式收集的家庭或个人事务中的个人数据，以及因国家安全需要收集的个人数据。2023年修订后，PIPA加强了域外管辖条款，在韩国境内提供商品或服务的境外企业需遵守PIPA。

数据处理原则在PIPA下有着明确规定。公开收集原则要求个人数据控制者在收集个人数据时，需向数据主体告知收集目的、收集项目、保留和使用期限以及拒绝同意的后果。适当收集原则要求数据的收集需为实现特定目的所需范围，不得超出必要范围。目的内使用原则要求收集的个人数据应在原定目的范围内使用，未经数据主体同意或法律特别规定不得超出目的范围。保障正确性原则要求个人数据需保持准确且最新。安全管理原则要求采取技术、管理和物理保护措施。

信息主体权利是PIPA下个人数据保护的核心。知情权保障信息主体有权了解其个人数据的处理情况。同意权保障信息主体对个人数据的收集和使用具有决定权。查阅请求权允许信息主体要求查阅其个人数据。更正请求权允许信息主体要求更正不准确的个人信息。删除请求权允许信息主体要求删除其个人数据。停止处理请求权允许信息主体在特定条件下要求停止对其个人数据的处理。

个人信息保护委员会的独立性是韩国数据保护体系的突出特征。PIPC是为确保个人信息保护政策有效执行而设立的专门机构，具有独立于行政部门的地位。PIPC的职责包括制定个人信息保护政策、审查和裁决有关个人数据处理的投诉和纠纷、对个人数据控制者进行监督和检查以及对违规行为进行处罚。PIPC还有权就个人数据保护相关事项向总统提出意见和建议。

数据跨境转移在PIPA下有专门规定。个人数据控制者向境外第三方提供个人数据时，需取得信息主体的同意，并告知信息主体接收方名称、联系方式、转移目的、转移项目和保留期限。PIPA也允许在特定例外情形下进行跨境转移，例如为履行合同义务所需。2023年修订前，韩国实行跨境数据转移的事先申报制度。2023年后，该制度调整为更加灵活的合规机制。控制者可在取得同意或采取适当保护措施后向境外转移数据。

数据主体同意的具体规则在PIPA中有详细安排。控制者需在收集敏感数据时取得数据主体的单独同意。敏感数据的范围包括思想、信仰、政治观点、犯罪记录、健康信息等。由基因信息和指纹等生物识别信息处理的同意要求也适用单独同意规则。2023年修订后，PIPA对AI和画像等自动化决策的同意要求进行了补充，要求控制者在进行自动化决策时告知数据主体并取得同意。

隐私政策披露是PIPA合规的基础性要求。个人信息控制者需制定并公开隐私政策。隐私政策的必备内容包括收集和使用个人信息的项目、处理目的、保留和使用期限、个人信息处理相关的投诉和咨询联系方式、网络环境下自动收集信息装置的使用情况以及拒绝相关装置运作时的服务受限情况。控制者更改隐私政策的，需及时通知信息主体或公开发布。

个人信息保护官是PIPA合规的重要角色。个人数据控制者需指定个人信息保护官。保护官的职责包括建立和运行个人信息保护管理系统、调查和处理个人信息相关投诉、定期检查个人数据处理状况、实施员工培训、调查个人信息泄露事件并采取应对措施。2023年修订后，对保护官的资格和专业性要求有所加强。

数据保护影响评估在部分情形下具有强制要求。公共机构和个人数据控制者在处理可能对信息主体权利造成重大影响的个人信息时，需进行影响评估。影响评估的对象包括可能对信息主体隐私有重大影响的个人数据处理项目，以及涉及敏感数据、独特识别数据和大量个人数据的处理项目。评估结果需提交PIPC。

数据泄露通知是PIPA的明确要求。控制者在发现个人数据泄露时需立即向PIPC报告。如果泄露可能对数据主体造成损害，控制者还需及时通知受影响的信息主体。通知内容需包括泄露项目、发生时间、原因、已采取的措施和数据主体可选择的对策等。控制者需制定数据泄露应急计划并定期演练。

2023年PIPA修订的主要变化集中在多个维度。域外管辖的强化借鉴了GDPR的立法思路。罚款上限从之前的较低标准提高至相当规模，以增强法律的威慑力。数据主体权利的扩展增加了数据可携权等新的权利类型。跨境传输规则的调整使合规路径更加多元。对AI和自动化决策的规制回应了技术发展的需要，为企业AI业务设定了合规基准。

北京企密安提供PIPA合规服务。服务包括PIPA合规差距分析、信息处理记录编制、隐私政策审查与改写、跨境数据传输方案设计、个人信息保护官支持以及PIPC应对咨询。如需进一步信息，欢迎联系北京企密安：010-63711822，或访问baomiwang.com了解更多。

FAQ

问：2023年PIPA修订的关键变化是什么？答：关键变化包括域外管辖条款强化、罚款上限提高至更高水平、引入数据可携权、调整跨境数据传输制度以及增加AI自动化决策的规制条款。

问：PIPA是否要求设立个人信息保护官？答：是的。所有个人数据控制者需指定个人信息保护官，负责管理个人信息处理活动的合规运行、处理相关投诉和调查泄露事件。