阿里因违规跨境传输用户信息被罚约20亿韩元

韩国个人信息保护委员会（以下简称“PIPC”）在7月24日（星期三）举行的第13次全体会议上，决定对违反个人信息保护法规跨境传输用户个人信息的Alibaba.com Singapore E-Commerce Private Limited（前面这串是一个公司名，以下简称“阿里”）处以19亿7800万韩元的罚款和780万韩元（合计约人民币一千万元）的滞纳金，以及责令整改并提出改进建议。

此外，PIPC还决定在下次全体会议上，在进行额外的事实关系确认和要求补充提交材料之后，处理涉及Temu（拼多多海外版）的数据保护案件。

01 相关背景

阿里提供了一个平台速卖通（AliExpress），允许入驻卖家向用户销售商品，并从中收取一定比例的销售金额作为中介费，这是典型的“开放市场（open market）”模式。

根据韩国媒体2023年底的报道，之前一直位于韩国跨境电商榜单第一名的速卖通，已经正式进入韩国主流电商平台，10月月度用户已超越本土电商巨头 Gmarket，首次跻身韩国综合电商前三名。从籍籍无名到连连打破韩国电商纪录，速卖通只用了半年时间。

随着海外直购服务的激增，韩国公民个人信息被侵犯风险很大的媒体报道也日益增加，韩国相关部门自2023年10月起一直在进行相关调查。

在欧洲，速卖通（AliExpress）于2023年4月25日被指定为《数字服务法案》下的超大型在线平台并于2024年3月14日被发起调查，涉及风险管理、内容审查、广告透明度、推荐系统透明度、商家追溯性和数据获取等多个方面。

出海电商，合规不易。

02 调查情况

PIPC指出当用户购买商品时，卖家会配送商品，并在此过程中将消费者的个人信息跨境传输给发货工厂，经查实已有超过18万韩国用户的个人信息被提供给了中国卖家。

以该种方式跨境传输个人信息很难采法律规定的适当保护措施。韩国《个人信息保护法》要求企业必须在信息主体明确知晓的情况下获得其同意，并在与用户的合同内容中反映安全性保障措施、个人信息侵犯的投诉处理以及纠纷解决等相关措施。

然而，阿里并未向用户告知“个人信息转移的国家”、“接收个人信息的个人或法人的姓名（公司名称）及联系方式”等根据个人信息保护法规定的应告知事项，也未在卖家须知中反映保护个人信息所需的措施。

此外，阿里还通过使会员退出菜单难以查找、将账户删除页面以英文显示等方式，增加了用户行使个人信息权利权利的难度。

03 处罚结果

因此，PIPC决定对阿里违反个人信息保护法中有关个人信息境外转移的规定等行为，具体包括：

• 违反个人信息跨境传输规定；

• 未遵守在跨境传输个人信息时应采取的保护措施；

• 未公开在韩国的代理人信息，违反透明度要求；

• 未提供或未明确告知用户行使权利的正确方式和程序。

处罚相关的法条翻译如下：

第28条第8款（个人信息的境外转移）

①个人信息处理者不得将个人信息提供至境外（包括被查询的情况）、委托处理或存储（以下简称“转移”）。但是，符合下列任一条件时，个人信息可以转移到境外：

1、从信息主体获得关于境外转移的单独同意。

④个人信息处理者在根据第1款规定以外的其他条款将个人信息转移到境外时，必须遵守本法其他相关规定，包括第17条至第19条的规定以及第五章的规定，并应采取总统令规定的保护措施。

韩国《个人信息保护法》

第29条第10款（境外转移个人信息时的保护措施等）

①个人信息处理者在根据法律第28条第8款第1款规定以外的其他条款将个人信息转移到境外时，必须根据该条第4款采取以下保护措施：

1、根据第30条第1款规定的个人信息保护安全保障措施；

2、对个人信息侵犯的投诉处理及纠纷解决措施；

3、其他为保护信息主体的个人信息所必需的措施。

②个人信息处理者在根据《个人信息保护法》第28条第8款第1款规定以外的其他条款将个人信息转移到境外时，必须就第1款各事项与接收方事先协商，并将其反映在合同内容等中。

韩国《个人信息保护法施行令》

基于上述违规行为，处罚如下：

• 罚款19亿7800万韩元；

• 处以滞纳金780万韩元；

• 责令其采取措施防止个人信息被接收方（如国外卖家等）滥用，此类措施应反映在合同等文件中。同时，应简化会员退出程序等，以便用户能够更容易地行使自己的权利；

• 提出改进建议。

在调查过程中，阿里已采取自愿整改措施，包括：

• 满足了法律规定的条件，获得了用户对于个人信息跨境传输的同意，从而为合法转传输提供了法律依据；

• 针对国内代理人公开的不足之处进行了改进；

• 修订了个人信息处理政策，以符合《个人信息保护法》的要求。

04 相关建议

PIPC提出相关建议，旨在促使其改善个人信息处理流程，提高个人信息保护水平，尽管这些建议可能不具有法律强制力。

此外，PIPC为了提高国内用户的个人信息保护水平，提出以下建议：

1、应将个人信息处理流程尽可能透明化、易懂化，并向信息主体公开，一旦有变化，应迅速更新相关文本确保一致性；

2、不应仅指定韩国国内代理人，投入实质性努力保护个人信息，尤其是要制定并实施具体的方案，以解决与个人信息处理相关的投诉和救济损害；

3、根据个人信息保护法原则，收集的个人信息应最小化，并建议电子商务企业参与或提供与政府合作的自律规约相等水平的个人信息保护。

PIPC计划持续检查整改命令和改进建议的执行情况，以确保韩国公民的个人信息不被侵犯。

此次调查和处理明确指出，即使是海外电子商务企业，只要其服务对象是韩国用户，就属于韩国《个人信息保护法》的调整对象，并且要求达到国内企业同等的个人信息保护和管理水平。

特别是当个人信息传输到国外时，必须严格履行韩国《个人信息保护法》规定的义务，同时在与入驻卖家等的协议中明确应采取适当的保护和安全措施，以充分保障个人信息主体的自主决定权。

声明：本文来自数据何规，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。