【法“滬”百川·“楊”帆起航】出海韓國，你必知的跨境數據合規指南

根據國際貨幣基金組織（IMF）的數據，2024年韓國名義GDP總量為1.79萬億美元，全球排名第十三位。中韓兩國地理位置相近，文化相通，使得韓國成為中國企業“走出去”戰略中的重要目標市場之一。本期，我們將從兩則中國頭部跨境電商平臺在韓罰單，一起探究跨境數據出海韓國的“紅線”在哪里？

中國企業反復踩坑？

韓國跨境數據合規的“五大禁區”

2024年7月，韓國個人信息保護委員會（PIPC）認定阿里巴巴旗下的速賣通（AliExpress）違反韓國《個人信息保護法》（PIPA）關于個人數據跨境傳輸的規定，對其處以19.78億萬韓元的巨額罰款。2025年5月，PIPC又因同類違規行為，對拼多多旗下跨境平臺TEMU處以13.69億韓元罰單。兩則巨額罰單的背后折射出中國電商企業對于韓國數據合規風險認識不足，同時也暴露出在韓國市場快速擴張進程中出現的嚴重合規缺陷。

禁區1：違反跨境數據傳輸規定

PIPC指出，AliExpress及Temu未能遵守PIPA關于跨境傳輸個人信息的告知和同意要求，在其隱私政策中未明確告知用戶，亦未取得用戶單獨同意的情況下，將其韓國用戶的個人信息傳輸至中國、新加坡和日本等地進行處理或存儲。

禁區2：未指定或未披露韓國國內代理人

根據PIPA的規定，日均用戶量超過一定閾值的外國信息通信服務提供商，需要指定國內代理人，以便處理韓國用戶的投訴和配合監管機構的調查。PIPC認為Temu日均用戶超百萬卻未指定韓國境內代理人，導致用戶投訴無門、監管溝通滯后。AliExpress雖指定了國內代理人，但未披露國內代理人基本信息。

禁區3：會員退出流程復雜

PIPC指出Temu設置了多達七個步驟的復雜會員退出流程，這使得用戶難以行使其數據主體權利。AliExpress則是在賬戶刪除頁面僅提供英文版本，增加了用戶行使個人信息權利的難度。兩家公司實質上均阻礙了用戶行使數據刪除權。

禁區4：過度采集“敏感信息”

為推廣本地化服務，Temu在沒有法律依據的情況下收集了韓國賣家的身份證件、面部視頻以及包含RRN（韓國居民登記號碼）的信息。其行為遠超業務必要范圍。

禁區5：未能有效監督受委托的數據處理方相關行為

PIPA要求數據控制者對受托處理個人信息的第三方進行充分的管理和監督，以確保數據安全。而Temu將數據處理外包給海外承包商，卻未提供必要的安全培訓或監督措施，放任數據泄露風險蔓延。

中國企業破解之道？

為您送上韓國跨境數據合規指南

這兩則罰單也為其他跨境電商企業提供了深刻教訓。在全球化布局進程中，企業務必將合規經營放在首位，深入研究目標市場的法律法規，建立健全完善的內部合規管理體系，避免因小失大。在此，來自楊浦現代物流律企協同體的楊小律幫你畫出以下重點：

Tips1

明確告知+獲取同意=制定透明的隱私政策

在韓跨境電商企業應制定公開透明的隱私政策，明確告知用戶其數據的被收集目的、使用方式、存儲期限、共享對象等信息。隱私政策建議針對韓國市場定制，而非直接翻譯全球通用版本，確保用戶能夠充分了解自己的數據如何被處理。在收集用戶數據前，以明確、透明的方式告知數據使用情況，并獲得用戶明示同意。

Tips2

僅收集必要數據+定期審查數據收集=遵循數據最小化原則

在韓跨境電商企業遵循數據最小化原則，僅收集實現業務目標所需的最少數據。避免收集不必要的敏感信息或個人隱私數據，除非確有必要。對已不再使用的用戶數據應及時進行刪除，避免長期存儲帶來的安全隱患。同時，定期審查數據收集和使用情況，確保數據收集的必要性和合法性，避免過度收集用戶數據、非法使用等違規行為。

Tips3

簽訂數據保護合同+限定數據使用目的=嚴格管理第三方數據共享

在韓跨境電商企業如需與第三方合作伙伴共享數據，應當與第三方建立嚴格的合同協議，明確數據保護責任，確保第三方遵守相應的安全與隱私保護要求。在合同中定義共享數據的使用目的，限制第三方只能按明確目的使用數據。同時確保數據主體明確同意數據共享，并了解數據將與哪些第三方共享，保障數據主體的知情權和選擇權。

Tips4

定期安全風險評估+建立應急響應機制=保障跨境數據傳輸安全

在數據傳輸前，在韓跨境電商企業應進行充分的風險評估，包括數據出境的合法性、數據接收方的安全性以及數據傳輸過程中的加密措施等，確保跨境數據傳輸的合法性和安全性。同時，建立快速反應機制，一旦發生數據泄露或遭受網絡攻擊，能夠迅速啟動應急預案，最大程度地降低損失。

Tips5

指定國內代理人+簡化用戶權利行使程序=保護用戶權利

根據韓國公平交易委員會的要求，一定規模以上的海外企業應在韓國國內指定代理人，以便更好地履行消費者保護義務和應對監管要求。在韓跨境電商企業應按照相關規定，確保指定代理人能夠有效履行職責，積極配合韓國監管部門的工作，及時處理消費者的投訴和糾紛，維護企業的合法權益和市場聲譽。同時，建立有效的用戶請求處理機制，簡化會員退出程序，確保用戶能夠便捷地行使個人信息權利，如刪除賬戶、撤回同意等。以透明、易懂的方式公開個人信息處理流程，并及時更新，方便用戶了解和管理自己的信息。

（相關文案由上海航博律師事務所主任張念宏撰寫，并經中山大學法學院副教授、中山大學涉外法治研究院研究員宮廷審校）