撰文、编辑 / Kaamel Labs
本文亦发表在 Kaamel 官网博客中,点击文末 阅读原文 可查看相关内容。
7月24日,韩国个人信息保护委员会(以下简称PIPC)因阿里巴巴新加坡电子商务私人有限公司(Alibaba.com Singapore E-Commerce Private Limited,以下简称“阿里”)违反韩国《个人信息保护法》跨境转移用户个人信息,决定对其处以19.78亿韩元的罚款(折合约143万美元),并责令其整改。![]()
案件背景
阿里向卖家提供了一个名为“全球速卖通”(AliExpress)的电商平台,使得入驻卖家可以通过该平台向全球多个国家和地区的消费者销售商品,阿里从中抽取一定比例的销售额作为中介费。目前,全球速卖通已成为全球最大的电商平台之一,其在韩国的业务也在不断扩张,据悉,截至今年二季度末该平台的韩国用户数量已达841万。
境外电商平台的快速崛起也引发了韩国对于个人隐私问题的担忧,PIPC自去年10月起开始对相关平台开展调查。根据PIPC调查结果,在用户购买商品后,全球速卖通会将用户的个人信息提供给国外卖家以便其配送商品,并且已有超过18万个中国卖家接收了韩国用户的个人信息,然而阿里并未按照韩国《个人信息保护法》的要求向用户提供相关信息,也没有采取相应保护措施。
执法分析
PIPC认定,阿里违反了韩国《个人信息保护法》第28-8条关于跨境转移个人信息告知义务的规定,以及《个人信息保护法实施令》第29-10条关于跨境转移个人信息保护措施的规定。具体而言:韩国《个人信息保护法》第28-8条第1款规定,仅在特定情况下可以跨境转移个人信息,这些特定情况包括数据主体单独同意、法律或条约规定、为与数据主体签订合同或向其履行合同义务、接收者获PIPC认证、以及接受国经PIPC认定与韩国个人信息保护水平相当。第2款规定,在获得数据主体同意的情况,应事先告知数据主体:(1)将转移的个人信息具体内容;(2)转移的国家、日期和方法;(3)接收者名称及联系方式;(4)接收者使用个人信息的目的以及个人信息的保存期限;(5)拒绝个人信息转移的方式以及拒绝的影响。本案中,阿里仅能依据数据主体单独同意将用户的个人信息转移给境外的卖家,但是,其并未按照上述第2款的要求向用户告知转移的国家、接收者名称及联系方式等法定告知事项。韩国《个人信息保护法实施令》第29-10条规定,跨境转移个人信息的,应按照规定采取安全性保障措施、处理个人信息泄露的投诉和解决争议的措施、以及为保护个人信息所需的其他保护措施,这些保护措施应当体现在与个人信息接收者的合同中。本案中,阿里与卖家(即个人信息接收者)的合同并未体现上述条款规定的保护措施。![]()
此外,PIPC还发现,全球速卖通平台的会员退会页面不易找到,且账户删除页面以英文显示,导致用户行使权利困难。在调查过程中,阿里已自行采取了整改措施,例如按照法定要求取得了用户对跨境转移个人数据的同意,并对个人信息处理政策作出修订,以符合韩国《个人信息保护法》的要求。![]()
合规启示
各国立法几乎都对数据跨境转移作出了严格的规定,出海企业应当对此予以特别关注。通常,数据跨境转移原则上被禁止,仅在少数例外情况下被允许。常见的例外情况有接受国被认定为具有同等或更高数据保护水平、双方签署标准合同条款(SCCs)、以及临时少量的传输并经数据主体同意,但各国对此的规定差异较大,并可能针对不同情况规定有不同的义务。此次阿里被罚,可能就是因为其对韩国法律的研判不足、没有采取有针对性的合规措施,因此对于数据跨境转移,出海企业必须谨慎对待、关注各国立法差异、确保符合当地规定。对于数据主体的同意,各国立法一般都规定了在数据主体在知情、自愿情况下作出的明确、具体的同意方为有效,因此在获取用户同意的场合,企业必须确保已向用户提供了充分的信息,且同意的内容是具体的。对于交互界面,尤其是在涉及用户重要权利时,企业应尽量将其设计得简洁、易于理解和操作,以保证用户能够行使其权利或者接受相关服务。此外,PIPC对阿里的建议也值得出海韩国的企业参考:(1)尽可能以透明、易懂的方式公开个人信息处理流程,并及时保持更新;(2)除了在韩国国内指定代理人,还应投入实质性努力以保护个人信息,例如制定并实施处理相关投诉及救济的具体方案;(3)收集和处理个人信息时坚持最小必要原则,参与韩国电子商务企业运营的公私合作自律规范、或提供相应水平的个人信息保护。Kaamel 的应对
Kaamel 始终站在隐私保护的前沿,我们坚信通过技术驱动的方式帮助企业识别和解决隐私合规风险。创新的 Kaamel AI 检测引擎 依托主流法规和监管判例,可以帮助企业快速、全面识别自身的隐私合规风险。Kaamel 也为企业提供全方位的隐私合规解决方案。助力企业在出海业务经营中更加有效地应对监管和用户需求,减轻隐私风险与合规隐患,在国际化市场建立隐私信任。
法规研究|面向未来的治理:全球首个人工智能法案即将生效,你需要知道些什么?
![]()
