安盛保险面临2亿罚单：韩国PIPC指其滥用客户数据

当地时间12月12日，韩国个人信息保护委员会（PIPC）宣布，因AXA General Insurance Co.Ltd.（法国安盛集团，以下简称“AXA”）违反《个人信息保护法》（PIPA）的相关规定，对其处以27.15亿韩元（约合189万美元）的罚款。

PIPC于2023年8月启动对AXA的调查，重点关注其在收集和使用客户个人信息方面的潜在不当行为，尤其是在提供汽车保险销售服务时，AXA收集了大量用户数据，包括居民登记号码、手机号码等敏感信息。

经调查，PIPC发现AXA通过弹出窗口的方式诱导用户更改同意设置，尽管弹窗“有效”征集了用户同意，但未明确告知用户其个人信息将用于营销目的，导致用户未充分了解其个人信息的使用情况。此外，PIPC还注意到，因AXA将客户数据用于营销目的，产生了548件垃圾邮件投诉。

进一步调查显示，AXA在实施弹窗前并未咨询公司数据保护官（DPO），这同样违反了相关的合规要求。与此同时，PIPC还指出，尽管用户已停止使用保险服务或与AXA签订保险合同超过一年，AXA仍未按规定销毁其客户数据。

基于上述调查结果，PIPC认定AXA违反了PIPA第15条、第21条和第31条的相关规定，决定对其处以27.15亿韩元的罚款，以示惩戒。

AXA被罚事件并非个例。近年来，PIPC陆续对多家国际科技巨头开出了巨额罚单。2024年5月，PIPC宣布，针对Kakao公司在用户个人信息泄露事件中的失职行为，决定对其处以高达151亿韩元（约合1100万美元）的罚款。据悉，此次处罚创下韩国国内公司受到的最高罚款纪录。

PIPC在审慎调查后确认，Kakao未能采取适当的措施来保障用户数据的安全，特别是在用户数据的审查、保护措施及数据处理流程上的失职，导致大约65000名用户的个人信息被非法泄露。此次泄露的用户数据包含了大量敏感信息，涉及的用户群体广泛，严重侵犯了用户隐私权和数据安全权。

2024年7月，PIPC宣布对阿里巴巴旗下的跨境电商平台速卖通（AliExpress）处以19亿7800万韩元的罚款，并追加滞纳金780万韩元。这一处罚源于速卖通在处理韩国用户个人信息时，未能按照韩国PIPA的规定，合法、透明地进行跨境数据传输。

速卖通进入韩国市场后，迅速成为本土消费者青睐的跨境电商平台。然而，随着市场的扩展，涉及用户个人信息的合规问题也随之暴露。PIPC的调查显示，速卖通平台上的商家在处理订单时，将大量韩国用户的个人信息未经充分告知和授权地传输至中国的发货方。调查结果表明，超过18万名韩国消费者的个人信息被传输至中国。在此过程中，阿里巴巴未按照法律要求，明确告知用户个人信息将被传送到哪个国家、接收方的身份是什么。

根据韩国PIPA第8款，跨境传输个人信息必须在用户知情并同意的基础上进行，企业也需要告知用户信息传输至的国家和接收方的具体信息。同时，韩国《个人信息保护法实施令》第二十九条第10款明确要求，跨境数据传输必须确保接收方采取足够的数据保护措施，以防信息泄露或滥用。

此外，PIPC还针对美国互联网公司Meta的违法行为作出了严厉处罚。2024年11月，在第18次全体会议上，PIPC审议并决定对Meta处以超过216亿韩元（约合人民币1.12亿元）的行政罚款。调查发现，Meta在其旗下社交平台脸书的“个人简介”功能中，未经用户明确同意，擅自收集了约98万名韩国用户宗教观、政治观、性取向等敏感信息。值得一提的是，Meta不仅违规收集了用户敏感信息，还将其擅自提供给了约4000家广告商用于投放有针对性的广告。

此外，Meta还拒绝用户查阅个人信息请求，且未对已停用或处于未激活状态的网站采取必要的安全措施，导致10名韩国用户的个人信息被泄露。尽管Meta在后续采取了部分整改措施，但PIPC仍然认定其存在违法事实，并依法进行了处罚。

随着数字化时代的深入发展，个人信息保护已成为全球范围内的重要议题。PIPC对AXA、速卖通、Kakao及Meta等企业的处罚案例，突出体现了PIPA在保障公民个人信息安全与隐私权方面的关键作用。韩国的个人信息保护法实施，反映了全球个人信息保护立法的共同趋势。随着数字化与全球化的推进，个人信息保护已成为国际社会的重点关注领域。

目前，全球已有超过100个国家和地区制定了与个人信息保护相关的法律法规，《中华人民共和国个人信息保护法》《欧盟通用数据保护条例》（GDPR）以及《加州隐私权法案》（CPRA）等法规已经具备全球影响力。此外，像加拿大、日本、俄罗斯、巴西、印度和新加坡等主要经济体也相继出台了相关法律。

在亚洲，中国、韩国、日本、新加坡等国家逐步完善个人信息保护法律体系，逐步形成了统一的立法和监管框架。国家通过立法确立了个人信息保护的基本原则，加强了对个人数据处理的监管，并设立专门监管机构确保法律的有效执行。

全球范围内的个人信息保护立法呈现出共同趋势，即强调数据的合法、透明处理，并保护数据主体的基本权利。这些法律要求企业在处理个人信息时必须获得用户的明确同意，并赋予用户访问、更正和删除其个人信息的权利。此外，许多国家的法律对跨境数据流动设置了严格的规定，要求跨境数据传输必须确保接收方采取足够的数据保护措施，防止信息泄露或滥用。

总体而言，全球范围内个人信息保护法的实施，不仅体现了对个人隐私和数据安全日益重视的趋势，也反映了国际社会在数字经济时代共同承诺保护个人信息的决心。随着技术的发展和全球数据流动的加剧，个人信息保护将持续成为全球立法和监管的核心议题。

参考来源 | 环球网、界面新闻，dataguidance、互联网公开信息

声明：本文来自赛博研究院，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。