观韬解读│数海灯塔：企业出海数据合规实务要点Q&A（韩国篇）

作者：王渝伟 刘红

随着人工智能、平台经济与跨境数字服务的持续发展，韩国凭借成熟的数字产业生态、较高的企业数字化应用水平以及稳定的外资吸引力，已成为中国企业布局东亚市场的重要目的地。与仍处于数字基础设施扩张阶段的部分经济体不同，韩国数字经济的特点更体现在技术的深度应用与规则治理的同步完善。根据韩国科学技术信息通信部援引OECD《Digital Economy Outlook 2024》发布的数据，韩国企业在物联网、人工智能和大数据分析应用率方面位居OECD成员国前列，云计算采用率亦达到较高水平[i]，这意味着企业在韩国经营过程中更容易频繁触及个人信息处理、数据流转与平台治理等合规议题。

从投资环境看，韩国市场对外资仍保持较强吸引力。韩国产业通商资源部公布的数据显示，2024年韩国申报外商直接投资金额达到346亿美元[ii]。对于中国企业而言，无论是在先进制造、消费零售、平台服务还是数字内容等领域，韩国都具有较强的商业布局价值；但与此同时，随着当地监管持续强化，企业在进入韩国市场时，也必须同步关注数据处理、跨境传输及内部治理等合规要求。

在制度层面，韩国已形成以《个人信息保护法》（PIPA）为核心、由个人信息保护委员会（PIPC）统一执法协调的数据保护框架。欧盟委员会已就韩国数据保护制度作出充分性认定[iii]，韩国监管机构亦于2024年发布《个人信息保护法适用于外国经营者指南》，明确境外企业在处理韩国个人信息时，同样可能受到韩国法约束[iv]。对于拟进入或已布局韩国市场的中国企业而言，数据合规已不只是一般性的后台支持问题，而是关系到业务落地、持续运营与风险控制的重要议题。基于此，本文将结合企业实务场景，以Q&A的形式对韩国数据合规框架中的核心问题进行梳理与解析，为相关企业建立基础合规认知提供参考。

Q1：韩国立法中主要的数据保护法律法规有哪些？

A1：韩国已构建起以PIPA为核心、多层次且全面的数据保护法律体系，具体如下：

（1）以PIPA为核心的数据保护法律

《个人信息保护法》（Personal Information Protection Act,PIPA）作为核心与基础性一般法，于2011年正式生效，并经多次修订，适用范围最广泛，覆盖所有领域的个人信息处理者。法律全面规定了个人信息处理的原则、合法性基础、数据主体权利、控制者义务、跨境传输规则及法律责任等核心内容，由个人信息保护委员会（PIPC）作为主要监管和执行机构。

PIPA之外还有一些针对特定领域的法律，具体法律包括但不限于《信息通信网络利用促进和信息保护法》（主要规范互联网公司、电信运营商等信息通信服务提供者的数据处理行为）《信用信息使用和保护法》（专门规范信用信息公司及金融机构对个人信用信息的处理）等。虽然这些特定法律面向特定领域，但仍应该与PIPA结合在一起理解，当出现冲突或不一致时，针对特定领域的法律必须遵守PIPA规定的一般性原则和要求[v]。

（2）配套规则及指南

为确保各项核心法律有效落地，以个人信息保护委员会（PIPC）为核心的监管机构发布了大量实操性极强的配套规则和执法指南，包括《个人信息保护法执行令》《个人信息处理综合指南》《面向外国营业者的个人信息保护法适用指南》《个人信息处理政策编写指南》《人工智能个人信息保护自查清单》《关于个人信息影响评估的通知》《个人信息安全保障标准》等，覆盖合规全流程。

（3）国际协作规则

韩国积极参与全球数据治理合作，通过加入《亚太经合组织跨境隐私规则体系》（APEC CBPR）、遵循《区域全面经济伙伴关系协定》（RCEP）中的电子商务条款等国际协定，衔接国际数据保护规则，其相关规则对跨国企业在韩国的数据处理行为形成约束与指引。

Q2：韩国的数据监管机构是什么？

A2：韩国的数据监管机构以个人信息保护委员会（PIPC）为核心，并辅以特定领域监管机构，如韩国通信委员会（KCC）、韩国互联网安全厅（KISA）、金融服务委员会（FSC）、科学与信息通信技术部（MSIT）等。

PIPC系根据PIPA设立的韩国数据保护领域的中央主管机关，具有较高独立性，主要负责执行PIPA，承担法规制定与解释、统一监督、处理投诉与纠纷、调查与处罚等职能。

Q3：PIPA何时会适用于位于韩国境外的实体？

A3：根据《个人信息保护法适用于外国经营者指南》，对于位于韩国境外的实体，若其满足以下任一条件，需适用PIPA的规定：

（1）向韩国数据主体提供商品或服务；

（2）从事影响韩国数据主体的个人数据处理活动；

（3）在韩国境内设有营业场所。

Q4：PIPA中与个人数据保护相关的定义有哪些？

A4：以下是PIPA中的一些重要定义，

(1)个人信息（personal information）：指与在世个人相关的下列各类信息：

a.  可通过姓名、居民登记号、肖像等识别特定个人的信息；

b.  虽单独无法唯一识别个人，但与其他信息结合后可轻易唯一识别个人的信息。此种情形下，结合的难易程度应综合考量识别个人所需的时间、成本、技术及其他信息的获取可能性等因素；

c.  经假名化处理后，若不使用或结合复原信息则无法唯一识别个人的上述a、b项信息。

(2)假名化（pseudonymization）：指通过部分删除、全部或部分替换个人信息的方式，对个人信息进行处理，使得无额外信息则无法唯一识别个人的程序；

(3)处理（processing）：指对个人信息进行收集、生成、关联、联动、记录、存储、留存、增值处理、编辑、检索、输出、更正、恢复、使用、提供、公开及销毁等相关行为；

(4)信息主体（data subject）：指可通过被处理的信息识别身份，且为该信息所指向的个人；

(5)个人信息处理者（personal information controller）：指为开展业务，直接或间接处理个人信息并运营个人信息档案的公共机构、法人、组织、个人等；

(6)固定视觉信息处理设备（fixed visual data processing device）：指总统令规定的，安装于固定场所，可持续或定期拍摄人物、事物等，并通过有线或无线网络传输拍摄画面的设备；

(7)移动视觉信息处理设备（mobile visual data processing device）：指总统令规定的，可供个人穿戴、携带，或可附着、安装于移动物体上，用于拍摄人物、事物等，并通过有线或无线网络传输拍摄画面的设备；

Q5：PIPA中针对首席隐私官（Privacy Officer）的任命有哪些要求？

A5：根据PIPA第三十一条的要求，个人信息处理者原则上应当指定首席隐私官，由其全面监督和管理个人信息处理相关工作。未指定首席隐私官的，由该个人信息处理者的所有人或者法定代表人担任首席隐私官。若个人信息控制者的员工人数、营业额等符合总统令规定的标准，则无需指定首席隐私官。

首席隐私官履行下列职责：

(1)制定并实施个人信息保护计划；

(2)定期调查个人信息处理现状与实务情况，并改进存在的不足；

(3)处理与个人信息处理相关的投诉、申诉及损害赔偿事宜；

(4)建立防止个人信息泄露、滥用、误用的内部控制体系；

(5)制定并实施个人信息保护教育计划；

(6)对个人信息文件进行保护、管控与管理；

(7)总统令规定的、为妥善处理个人信息所需的其他工作。

Q6：PIPA中数据处理的合法性基础有哪些？

A6：根据PIPA的规定，个人信息处理者具有下列情形之一的，可收集个人信息，并在收集目的范围内使用：

(1)取得信息主体同意的，同时告知以下事项，相关事项发生变更的，亦应履行告知义务：a.个人信息的收集与使用目的；b.拟收集的个人信息具体内容；c.个人信息的留存与使用期限；d.信息主体有权拒绝同意，以及拒绝同意可能产生的不利后果。

(2)其他法令有特别规定，或因履行法令义务而不可避免的；

(3)公共机构为履行法令规定的管辖职责而不可避免的；

(4)在与信息主体订立、履行合同过程中，应信息主体请求采取相关措施而必要的；

(5)为保护信息主体或第三方的生命、身体、财产利益，避免紧急危险而显属必要的；

(6)为实现个人信息处理者的合法利益，且该利益明显优于信息主体权利的。此种情形下，仅允许在与处理者合法利益实质相关且未超出合理范围的限度内处理；

(7)为公共安全、公共卫生等紧急需要的。

除上述内容外，PIPA对敏感信息、可识别个人信息及居民登记号的处理也作出一系列详细规定。

Q7：PIPA中与数据收集、处理相关的义务有哪些？

A7:PIPA第四章规定了一系列个人信息安全保障要求，列举如下：

(1) 安全保障义务：个人信息处理者应当采取制定内部管理方案、留存访问记录等总统令规定的必要技术、管理及物理措施，防止个人信息丢失、被盗、泄露、伪造、篡改或毁损；

(2) 制定隐私政策：个人信息处理者应当制定包含各类处理个人信息方针的隐私政策；

(3) 指定首席隐私官：个人信息处理者应当指定一名首席隐私官，全面监督和管理个人信息处理相关业务；但员工人数、营业额等符合总统令规定标准的个人信息处理者，无需指定首席隐私官；

(4) 指定国内代理人：在大韩民国无住所或营业所，且考虑销售额、留存个人信息规模等因素由总统令规定的个人信息处理者，应当指定一人作为国内代理人；

(5) 个人信息档案的登记与公布：公共机构负责人在运营个人信息档案时，应当将部分事项向个人信息保护委员会登记。登记事项发生变更的，亦同；

(6) 个人信息保护认证：个人信息保护委员会可对个人信息处理者的数据处理及其他数据保护相关行为是否符合本法等规定进行认证；

(7) 隐私影响评估：运营符合总统令规定标准的个人信息档案，存在信息主体个人信息泄露风险的，公共机构负责人应当开展分析风险因素并加以改进的评估，并将评估结果提交个人信息保护委员会；

(8) 告知个人信息泄露：个人信息处理者知悉个人信息丢失、被盗或泄露时，应当告知信息主体；但是，信息主体的联络方式不明或者有其他正当理由的，可以依照总统令规定采取替代通知措施；

(9) 公开暴露个人信息的删除与屏蔽：个人信息处理者应当切实防止可识别个人信息、账户信息、信用卡信息等个人信息通过信息通信网络向公众暴露。对于向公众暴露的个人信息，个人信息处理者应个人信息保护委员会或总统令指定的专业机构请求，应当采取删除或屏蔽相关信息等必要措施。

其中2025年修订的国内代理人制度最广为热议，本次修订的核心是将代理人资格从“可由自然人或第三方机构担任”收紧为“必须是在韩境内法人实体”，若外国企业在韩已有当地实体，则必须指定该实体；明确了境外企业对代理人的管理监督义务；将代理人职责聚焦于投诉处理、泄露通知报告及向PIPC提交材料等核心合规事项，剔除了原代行首席隐私官的一般工作；此外，新增了专项处罚机制，对违规指定代理人、未履行管理义务等行为最高可处2000万韩元罚款，对未按要求披露代理人信息最高可处1000万韩元罚款，整体强化了对境外企业的监管力度，确保数据主体权利救济的有效性。

Q8：PIPA对于数据跨境传输的规定？

A8：根据PIPA的要求，个人信息处理者不得进行个人信息的跨境传输；但有下列情形之一的，允许进行个人信息跨境传输：

(1)另行取得信息主体同意的；

(2)法律、大韩民国缔结的条约或其他国际公约中对个人信息跨境传输有特别规定的；

(3)为与信息主体订立并履行合同，需委托处理个人信息且需留存该信息的，符合下列任一情形：(a)下列各事项已在相应的隐私政策中披露的；(b)已通过电子邮件等总统令规定的方式，向信息主体告知下列各事项的；

(4)个人信息接收方已取得个人信息保护委员会确定并公示的认证（如个人信息保护认证），且已采取下列全部措施的：(a)保护个人信息所需的安全措施及保障信息主体权利所需的措施；(b)在个人信息接收国落实认证相关事项所需的措施；

(5)个人信息保护委员会认定，个人信息接收国或国际组织的个人信息保护体系、信息主体权利保障范围及损害救济程序等，与本法规定的个人信息保护水平实质相当的。

个人信息处理者依据上述“（1）”取得同意时，应提前向信息主体告知下列事项：

(1)拟传输的个人信息具体内容；

(2)个人信息的传输目的地国、传输日期及传输方式；

(3)个人信息接收方名称（接收方为法人的，指法人名称及法人联系方式）；

(4)接收方使用个人信息的目的及个人信息的留存与使用期限；

(5)拒绝个人信息传输的方式、程序及拒绝的效力。

Q9：违反PIPA的规定可能会面临什么样的处罚？

A9:PIPA中规定的违法后果主要包括以下四类：

（1）民事责任：

受到损害的数据主体可以对违法处理其个人信息的个人信息处理者提起民事赔偿请求。赔偿包括损害赔偿，以及在法定情形下的惩罚性赔偿。

（2）刑事处罚：

对于某些严重违法行为，相关责任人可能承担刑事责任。根据违法行为的性质和严重程度，最高可处10年以下有期徒刑或1亿韩元以下罚金，或并处；此外，PIPA还规定了5年、3年、2年等不同层级的刑事处罚。

（3）行政制裁：

监管机构可以对违法行为人采取行政制裁措施，包括纠正措施命令、课征金、行政罚款以及暂停跨境传输命令。其中，行政罚款最高可达5,000万韩元；对于某些严重违法行为，还可依法征收课征金。

（4）其他行政监管措施：PIPA还规定了其他行政监管措施，例如向侦查机关提出告发、建议对责任人员作纪律处分。

Q10：韩国数据保护立法与欧盟GDPR的区别？

A10：PIPA与GDPR在众多层面有较高一致性，但与欧盟GDPR相比，韩国PIPA在主要法律制度上更强调本地监管可控性和形式化合规要求，具体而言：在跨境传输机制上，GDPR采用从充分性决定到适当保障措施，再到例外情形的逻辑框架，而PIPA更倾向于“原则禁止、例外允许”并允许监管机关直接下令暂停跨境传输；在同意规则上，GDPR将同意作为多项合法处理基础之一，PIPA虽也承认多元合法基础，但在同意细节上，PIPA的要求更为具体和严格；在境内代表制度上，GDPR的代表更偏向联络接口，PIPA的国内代理人更像嵌入本地执法体系的责任节点。

[i]https://www.msit.go.kr/eng/bbs/view.do?bbsSeqNo=42&mId=4&mPid=2&nttSeqNo=993&sCode=eng&searchOpt=ALL&utm，最后访问于：2026/03/12。

[ii]https://www.korea.net/Government/Briefing-Room/Press-Releases/view?articleId=7780&type=O&utm，最后访问于：2026/03/12。

[iii]https://ec.europa.eu/commission/presscorner/api/files/document/print/en/qanda_21_6916/QANDA_21_6916_EN.pdf?，最后访问于：2026/03/12。

[iv]https://m.pipc.go.kr/np/cop/bbs/selectBoardArticle.do?bbsId=BS217&mCode=D010030000&nttId=10059&utm，最后访问于：2026/03/12。

[v]https://docs.meritas.org/Public_Resources/Asia_Data_Protection_Guide2023.pdf#page=41，最后访问于，最后访问于：2026/03/12。