近日,韩国个人信息保护委员会(PIPC)对跨境电商平台 Temu 处以13.69亿韩元(约710万人民币)的罚款,并责令其整改。此次处罚直击跨境数据流动中的合规漏洞,为中国出海企业敲响警钟。
一、事件回顾:Temu 为何被罚?
Temu 是一个电子商务平台,允许卖家销售商品并从中抽取一定比例的佣金作为手续费。与其他开放市场不同,Temu 直接从其中转仓库将卖家商品发货给买家,因此不会向卖家提供用户的个人信息。
- 违规跨境转移个人信息
Temu 在业务运营中,将韩国用户的个人信息委托给中国、新加坡、日本等国的企业处理,以满足物流、支付等需求。然而,Temu 既未在隐私政策中明确披露这一跨境传输行为,也未通过邮件或其他显著方式告知用户。此做法直接违反了韩国《个人信息保护法》第26条,该条款要求企业在委托第三方处理数据时,必须向用户公开受托方的身份、数据处理目的及所在国家。
这违规行为的本质在于,企业往往将数据跨境视为技术流程的一部分,而忽略了法律对透明度的硬性要求。PIPC 的处罚表明,即使数据跨境传输是基于业务必要性(如履行合同),企业仍需确保用户充分知情,否则将面临严厉处罚。
- 未指定国内代理人
韩国《个人信息保护法》要求,在韩国境内无实体的海外企业必须指定“国内代理人”,以负责处理用户的数据权利请求、监管沟通及纠纷解决。然而,尽管 Temu 日均服务290万韩国用户,却长期未履行这一义务。值得注意的是,韩国对“国内代理人”的要求比欧盟 GDPR 的代表更为严格——代理人必须是韩国本地法人,而非简单的第三方服务机构。PIPC在处罚决定中特别建议Temu将其韩国子公司指定为代理人,以强化责任归属。这一要求预示着,未来在韩运营的海外企业必须更严格地落地本地化合规架构,而非仅依赖总部远程管理。
- 过度收集身份数据与用户权利阻碍
招募韩国卖家入驻平台时,Temu要求卖家必须通过6个步骤上传身份证、面部视频及居民登记号等身份数据,尽管Temu在调查过程中销毁了相关信息,但PIPC认定这些数据的收集缺乏法律依据,违反了“最小必要原则”。此外,Temu将会员退出流程设计为7个步骤,远超合理范围,变相阻碍用户行使删除权。这一做法违反了韩国法律对“用户权利便利性”的要求,即企业必须确保用户能够便捷地访问、更正或删除其数据。
二、数据跨境合规的挑战
Temu 的案例并非孤例。2024年7月,PIPC 曾对 AliExpress 处以19.78亿韩元罚款,原因同样涉及数据跨境违规,详细的分析可以参考我们之前的文章https://mp.weixin.qq.com/s/OqLPaJijr1kzkQRZEnZxCQ。
这些案例反映出企业在全球化运营中面临的共同挑战:
- 忽视目标市场的特殊要求 许多企业基于展业的需求和成本的综合考量,在数据跨境合规层面仅满足本国或欧盟 GDPR 的要求,一定程度上忽略了韩国、东南亚等市场的特殊规定。例如,韩国不仅要求数据跨境时告知用户,还要求企业定期审计受托方的安全管理措施,而这一细节常被忽视。
- 业务扩张优先,合规架构滞后 互联网企业往往追求快速扩张,将数据合规视为“后续优化项”。然而,PIPC 的处罚表明,监管机构不再容忍“先扩张后整改”的模式,即使在调查过程中及时整改,仍可能受到处罚。企业必须在进入市场前,就建立符合当地要求的隐私政策、数据传输机制及代理人制度。
- 第三方合作的风险传导 在跨境业务中,企业常依赖本地物流、支付等合作伙伴处理数据,但若未在合同中明确数据安全责任,或未进行定期监督,违规风险将直接传导至自身。Temu 因未对受托方进行安全管理而被罚,正是这一问题的体现。
三、合规启示
从 Temu 案例可见,韩国对数据跨境流动的监管重点在于:
- 透明度与告知义务:企业需在隐私政策中明确列明数据接收方、处理目的及国家,并通过显著方式(如邮件)告知用户。委托第三方处理时,须定期监督其安全管理措施(如教育、审计)。
- 国内代理人的强制要求:根据韩国修订的《个人信息保护法》第31条之2(2025年10月生效),海外企业必须在韩指定国内法人作为代理人,负责数据主体权利响应及监管沟通。虽然关于指定国内代理人的条款暂未正式生效,但PIPC 明确建议 Temu 将韩国子公司指定为国内代理人,并将该要求纳入此次执法范围。
- 最小化与便利性原则:禁止超范围收集敏感信息(如居民号、生物识别数据)。用户权利行权路径(如查询、删除、退出)必须简洁高效。
PIPC 为了使海外业务者能够保护韩国公民的个人信息并严格遵守保护法,继在24年4月发布《海外业务者的个人信息保护法应用指南》英文版之后,以此次 Temu 处分为契机,为进入韩国市场的中国业务者准备了中文版(可在24.4指南发布界面下载),企业可以利用它来理解和遵守韩国数据保护法。
当前,全球主要经济体的数据保护立法(如欧盟 GDPR、韩国《个人信息保护法》、中国《个人信息保护法》)均以“原则上禁止跨境传输”为基调,仅允许在特定条件下进行。常见的例外情形包括:充分性认定、标准合同条款(SCCs)、用户明示同意等。然而,各国对例外情形的解释与执行存在显著差异。例如,韩国要求企业跨境传输数据时不仅需获得用户同意,还需在隐私政策中详细披露接收方信息及处理目的;欧盟则进一步要求企业对高风险传输开展“补充措施”评估(如数据加密、本地化存储)。Temu 的违规恰恰源于其对韩国特殊要求的忽视 —— 尽管其数据传输可能基于合同履行必要性,但未履行透明化告知义务,导致合规框架失效。PIPC 的处分决定为出海韩国的企业指明了未来合规的几大要点:
- 前置化研究:在进入市场前,梳理个人数据出境场景,明确接收方及安全义务;深度分析当地数据跨境规则,如韩国对本国代理人的要求;
- 动态化适配:建立合规追踪机制,及时响应立法。更新隐私政策,公开跨境细节并通过多渠道通知用户;收集和处理个人信息时坚持最小必要原则;确保用户行权便利有效;
- 生态化协同:与专业合规服务三方机构、行业协会合作,将合规要求转化为业务流程的默认设置。
Kaamel 的应对
Kaamel 始终站在隐私保护的前沿,我们坚信通过技术驱动的方式帮助企业识别和解决隐私合规风险。创新的 Kaamel AI 检测引擎 依托主流法规和监管判例,可以帮助企业快速、全面识别自身的隐私合规风险。Kaamel 也为企业提供全方位的隐私合规解决方案。助力企业在出海业务经营中更加有效地应对监管和用户需求,减轻隐私风险与合规隐患,在国际化市场建立隐私信任。
