Kaamel隱私合規洞察：Temu在韓被罰事件分析

? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?Kaamel隱私合規與數據安全團隊分析報告

韓國個人信息保護委員會（PIPC）對中國電子商務巨頭Temu處以巨額罰款，原因是其嚴重違反了用戶數據保護法律。核心違規行為包括未經適當披露或用戶同意非法跨境傳輸數據、未能指定當地代表、賬戶注銷流程復雜以及未經授權收集賣家敏感個人信息。此次罰款金額接近100萬美元（或13.7億至13.9億韓元）。這一事件凸顯了國際公司在數據保護法律嚴格的司法管轄區運營時，遵守當地法規的重要性。

PIPC對Temu這樣的大型企業采取迅速行動并處以巨額罰款，這表明韓國堅定致力于執行數據隱私法規。PIPC于去年4月開始對Temu和AliExpress進行調查，并在相對較短的時間內對兩者進行了調查和罰款。對Temu處以近100萬美元的罰款表明，監管機構愿意對不遵守規定的行為施加嚴厲的經濟處罰，這向其他國際運營商發出了明確的信息。

違規行為的具體性質（跨境傳輸、當地代表、用戶權利、敏感數據收集）突顯了PIPC關注的關鍵領域，并因此強調了在韓國運營的企業必須遵守的關鍵合規要求。PIPC詳細列出了Temu的多項違規行為，涵蓋了合法數據傳輸的基本原則到用戶權利（如賬戶注銷）以及賣家敏感個人信息的處理 4 等更細致的方面。這一系列全面的違規行為表明，PIPC期望對數據保護采取全面的方法，涵蓋韓國《個人信息保護法》（PIPA）的各個方面。

引言：全球電子商務中數據隱私的重要性日益增長

Temu、Shein和AliExpress等電子商務平臺近年來在全球范圍內迅速發展，它們以極低的價格提供各種各樣的產品，從而在全球范圍內獲得了巨大的歡迎。這些平臺處理大量的個人數據，包括存儲在多個國家/地區的用于交付目的的用戶數據，甚至包括從賣家那里收集的身份證和面部視頻等敏感數據，這使得它們成為監管機構重點關注的對象。與此同時，消費者對數據隱私和安全的全球意識和關注度也在不斷提高，越來越多的消費者行使數據主體訪問權，并日益要求數據透明化 13。為了應對這一趨勢，全球范圍內的數據保護法規也在不斷增加，目前已有超過160個國家/地區制定了隱私法 16，并且全球隱私法規正在經歷新一輪的加強 17，這為國際企業創建了一個復雜的合規環境。

中國電子商務平臺在全球范圍內的普及以及日益嚴格的監管審查，為這些企業帶來了機遇和挑戰，這突顯了制定穩健合規戰略的必要性。相關報道指出，Temu在韓國的用戶基數龐大，2023年日均用戶數達到290萬 1。如此龐大的用戶群體產生了大量的數據，使得Temu成為PIPC的重要監管目標。此次罰款本身就是一個直接的挑戰，正如Temu發言人所提到的，需要調整以符合當地要求 1，這表明企業需要持續努力才能實現合規。

韓國對Temu的罰款并非孤立事件，此前，另一家全球性企業AliExpress也因非法向海外傳輸韓國用戶數據而受到韓國監管機構的罰款 1，社交媒體巨頭Meta也因不正當收集和處理敏感用戶信息而面臨巨額罰款 1。PIPC明確指出，外國電子商務運營商與韓國國內企業一樣，必須遵守相同的法律要求 10。這種一致的立場強調了所有在韓國運營的外國企業都必須優先考慮數據隱私合規性。
解讀韓國對Temu的罰款
3.1. 罰款詳情

韓國主要的數據保護監管機構PIPC 1 于2025年5月15日星期四宣布對中國電子商務平臺Temu處以罰款 1。此次經濟處罰金額約為13.7億至13.9億韓元 1，折合美元接近100萬 1。Businesskorea報道稱罰款金額為13.69億韓元 7。此前，監管機構于去年4月對Temu和另一家中國在線零售商AliExpress展開調查，這表明在發布罰款之前，監管機構對這兩家公司進行了持續的審查 4。對Temu的處罰有所延遲，原因是該公司未能及時提交計算罰款所需的銷售數據 4。
3.2. 違反《個人信息保護法》（PIPA）的核心行為

**非法跨境數據傳輸：**PIPC認定，Temu非法將韓國用戶的個人數據傳輸至包括中國、新加坡和日本在內的多個海外實體 1，且未在其隱私政策中適當披露這些傳輸行為，也未獲得用戶的明確同意 1。這違反了PIPA第28-8條第1款，該條款規定了跨境數據傳輸的明確同意和保障措施 9。

PIPC特別指出，Temu未在其隱私政策中披露將個人數據委托給海外實體的行為，也未直接通知用戶這些傳輸行為 1。這強調僅僅在隱私政策中包含一般的數據處理實踐是不夠的；關于跨境傳輸的具體細節，包括接收實體的名稱和位置，對于合規至關重要。這也表明Temu在理解或實施PIPA的透明度要求方面可能存在不足。

**未能指定當地代表：**盡管Temu在韓國擁有龐大的用戶群，截至2023年底，日均用戶數達到290萬 1，但該公司未能按照韓國數據保護法律的要求在韓國指定當地代表 1。這項義務旨在確保在韓國境內有一個聯系點，供監管機構和用戶處理與數據保護相關的問題。

要求指定當地代表突顯了韓國政府旨在確保問責制并便利與在其管轄范圍內運營的外國公司進行溝通的意圖。缺乏當地代表可能阻礙了PIPC有效監督Temu的數據處理實踐并及時解決潛在用戶疑慮的能力。這也意味著外國公司不能僅僅遠程運營，而必須在韓國境內建立正式機構或指定代理人以符合法律規定。

**賬戶注銷流程復雜：**PIPC批評Temu實施了復雜的七步會員注銷流程，使得用戶難以行使其刪除賬戶和控制個人信息的權利 1。這表明監管機構關注確保數據主體能夠輕松行使PIPA賦予的權利，包括刪除權。

PIPC對賬戶注銷流程的審查突顯了用戶權利的重要性以及企業需要提供便捷機制供用戶管理其數據（包括刪除數據）的必要性。繁瑣的刪除流程可能被視為故意阻礙用戶行使其數據權利，這違反了PIPA的原則。這表明用戶在管理隱私設置方面的體驗是合規的關鍵考慮因素。

**未能監督海外數據處理：**PIPC指出，Temu未能充分監督委托處理和存儲韓國用戶個人信息的海外公司，包括位于中國、新加坡和日本的公司 1。這包括未能提供數據保護方面的培訓，也未能妥善檢查其個人信息的處理情況，違反了PIPA關于跨境數據傳輸保障措施的第28-8條第4款 9。

這一違規行為強調，外包數據處理的公司仍然有責任確保其合作伙伴遵守PIPA規定的相同數據保護標準。這表明Temu可能與其海外合作伙伴之間缺乏關于數據保護的充分合同協議，或者未能實施有效的監控和審計機制，以確保其整個數據處理鏈的合規性。這突顯了在國際數據傳輸背景下，健全的供應商管理實踐的必要性。

**未經法律依據收集賣家敏感個人信息：**PIPC還發現，2025年2月，Temu在其“本地到本地”服務試點項目中，向韓國賣家收集了身份證和面部視頻記錄，該服務旨在韓國境內直接銷售和交付產品，但Temu并未獲得處理居民登記號碼的法律依據 4。由于PIPA對敏感個人信息的處理有更嚴格的要求，因此這構成了違規行為。
這突顯了對身份證和面部生物識別等敏感個人信息的收集和處理進行更嚴格的審查，這需要PIPA明確的法律依據。居民登記號碼是韓國的唯一標識符，其收集尤其敏感，通常是被禁止的，除非法律明確允許。Temu未能為此類收集建立法律依據，表明其對韓國關于敏感個人信息的具體法規缺乏理解或盡職調查。
3.3. PIPC聲明的原因和擔憂

PIPC在其聲明中強調，Temu“未在其隱私政策中披露或通知用戶個人數據將委托給海外實體” 1。監管機構指出，截至2023年，Temu在韓國的日均用戶數達到290萬，這突顯了所涉及的個人數據量巨大以及違規行為的潛在影響 1。PIPC旨在確保外國電子商務運營商在向韓國數據主體提供商品或服務時，也必須遵守PIPA的法律要求，并強調他們需要努力確保數據保護和管理水平與國內企業相當 9。委員會計劃“密切監控該公司是否妥善執行這些糾正命令” 4，并將“嚴格監控”糾正命令和建議的執行情況 8。PIPC還表示，隨著越來越多的中國公司進入韓國市場，它打算通過雙邊論壇和當地宣傳活動加強對中國運營商PIPA的指導，這表明監管機構采取了積極主動的方式來防止未來發生違規行為 4。這包括創建并分發中文版的《海外經營者個人信息保護法適用指南》7。
韓國數據保護概況

4.1. 《個人信息保護法》（PIPA）概述

《個人信息保護法》（PIPA）是韓國主要的個人數據隱私法律，于2011年9月30日頒布實施，并提供了全球最嚴格的個人信息保護要求 22。它規制政府或私營實體以及個人對個人數據的收集、使用、披露和其他處理行為，涵蓋各種使用類型和行業，并延伸至對韓國個人數據的境外處理 22。個人數據的定義廣泛，包括任何與在世個人相關的信息，通過姓名、注冊號碼或圖像等可以直接或無困難地與其他數據結合識別該個人的信息 27。主要原則包括在收集、使用或共享個人數據之前獲得數據主體的明確同意 22，確保個人信息的準確性和安全性 23，并賦予數據主體對其個人信息的權利，如訪問、更正、刪除和暫停處理等 22。PIPA于2023年進行了修訂，其中大部分修訂于2023年9月15日生效 23，進一步加強了數據主體的權利，并簡化了線上和線下業務的法規 23。

PIPA的持續發展，以及旨在加強數據主體權利并與GDPR等國際標準接軌的最新修正案 22，突顯了在韓國運營的企業需要不斷監測和調整其合規策略。線上和線下實體法規的統一 23 對于像Temu這樣主要在線運營的電子商務平臺尤為重要。

PIPA還規制跨境數據傳輸，通常要求獲得數據主體的同意，并確保接收國提供充分的個人數據保護 22。在某些情況下，組織可能還需要獲得PIPC的批準 28。

個人信息保護委員會（PIPC）是韓國主要的個人數據保護監管機構，負責執行PIPA 22。

4.2. PIPA項下外國企業的具體義務

向韓國數據主體提供商品或服務、處理其數據或在韓國境內設有機構的外國實體均受PIPA約束 19。PIPC評估語言、貨幣、網站域名和服務提供方式等因素以確定適用性 19。外國企業需要制定并披露符合PIPA要求的韓語隱私政策，包括明確區分第三方提供和外包個人信息處理，并單獨披露跨境傳輸詳情 31。在韓國境外處理韓國數據主體個人信息時，外國運營商必須以書面形式明確披露詳細信息，包括涉及的國家和實體名稱 19。他們還必須區分向第三方“提供”和“委托”數據 19。處理超過一定數量數據主體個人信息或處理敏感信息的外國企業需要指定韓國境內的國內代理人 1。PIPC建議，如果外國企業在韓國設有公司，最好指定該韓國公司作為國內代表 19。發生個人數據泄露（泄露）時，必須在72小時內通知受影響的數據主體和PIPC（或KISA），尤其是在涉及大量個人、敏感信息或非法外部訪問的情況下 19。外國企業必須制定程序，供韓國數據主體行使其權利（訪問、更正、刪除、暫停、撤回同意），并以韓語提供指導，提供電子郵件或電話等便捷方式 19。

PIPC已積極發布題為《外國經營者個人信息保護法適用指南》的全面指南，以幫助外國公司理解和遵守PIPA項下的義務 19。這些指南闡明了法律義務，提供了評估PIPA適用性的因素，并根據與專家和已在韓國運營的外國公司舉行的聽證會提供了教育性案例 19。這表明PIPC明確致力于促進國際企業遵守規定。

4.3. PIPC近期執法行動

去年7月，PIPC對阿里巴巴新加坡電子商務有限公司（“AliExpress”）處以19.78億韓元（約合143萬美元）的罰款，并處以行政罰款，原因是其違反了PIPA關于跨境傳輸個人信息的規定 1。違規行為包括在沒有適當保障措施或告知買家賣家數據的情況下，向其他國家（主要是中國）的賣家提供客戶信息 10。2024年11月，Meta Platforms Inc.因違反PIPA被處以216億韓元（約合1560萬美元）的罰款，原因是其未經同意不正當收集和使用約98萬用戶的敏感個人數據，拒絕訪問請求并發生數據泄露 1。此前在2024年，中國人工智能應用程序DeepSeek因未經授權收集用戶數據而被政府暫時禁止下載 1。這些案例以及對Temu的罰款表明，PIPC積極主動地針對不同行業的外國公司執行PIPA，以應對各種數據隱私侵權行為，尤其是在跨境數據傳輸、同意和處理敏感信息方面 9。

針對不同行業（電子商務、社交媒體、人工智能）主要國際公司的一再罰款凸顯了PIPC廣泛而一致的執法策略。這表明PIPC并非針對特定的國籍或行業，而是專注于確保所有處理韓國公民個人數據的公司，無論其來源如何，都遵守PIPA的要求。對AliExpress和Temu等中國平臺的日益嚴格的審查 4 也可能反映了更廣泛的地緣政治考量以及對數據安全的擔憂。
全球數據隱私法規與執法的趨勢

5.1. 全球對數據保護的關注日益增強

全球范圍內加強數據隱私法規已成為一個明顯的趨勢，截至2024年底，已有144個國家/地區頒布了國家數據隱私法律，高于2017年的120個 32。這使得全球約82%的人口受到某種形式的國家數據隱私立法的保護 32。歐盟的《通用數據保護條例》（GDPR）12 和《加州消費者隱私法案》（CCPA）12 等法規已成為有影響力的典范，并啟發了世界其他司法管轄區的類似法律 42。許多國家正在積極修訂或替換其現有的數據隱私法律，以與這些國際標準接軌，例如馬來西亞修訂的《個人數據保護法》和秘魯修訂的法律，兩者都納入了GDPR的要素 32。

全球范圍內廣泛采納并不斷加強數據隱私法律表明，人們對個人數據的權利的認可和保護正在發生根本性的轉變。“布魯塞爾效應”是指GDPR影響了歐盟以外的數據隱私法律 32，這是這一趨勢的重要驅動因素。這種全球趨同表明，在國際上運營的企業將越來越面臨不同司法管轄區類似的數據保護義務。

5.2. 跨境數據傳輸合規與數據主權日益受到重視

跨境數據傳輸日益受到嚴格監管，許多司法管轄區對向境外傳輸個人數據施加了條件，通常需要同意、充分性決定或適當的保障措施 17。數據主權的概念日益突出，各國政府對其公民產生和共享的在線數據主張更大的控制權，導致一些地區出現了數據本地化要求等趨勢 17。美國司法部的一項新規（“防止相關國家或人員獲取美國敏感個人數據和政府相關數據”）對向中國等相關國家進行某些數據傳輸施加了嚴格的禁止和合規措施 46。中國自身也實施了跨境數據流動管理規定 48。

對跨境數據傳輸法規和數據主權日益重視反映了與個人信息國際流動相關的國家安全和隱私擔憂日益增長。這一趨勢表明，企業需要仔細考慮跨境傳輸數據的法律和政治影響，并可能需要在某些市場探索數據本地化策略。美國司法部將于2025年4月生效的規則突顯了國家安全與數據保護之間日益增長的交叉點。

5.3. 不合規的風險和成本不斷攀升

不遵守數據保護法規可能導致巨額經濟處罰，Temu因其近100萬美元的罰款以及其他眾多案例（例如，截至2024年11月，GDPR的罰款總額已超過53億歐元）12 可見一斑。根據GDPR，罰款金額最高可達2000萬歐元或全球年營業額的4% 40。除了罰款外，不合規還可能導致嚴重的聲譽損害，侵蝕客戶信任，并可能引發長期的負面影響，損害公司的業務成功 40。受影響個人的法律糾紛和賠償要求也是重要的風險 52。全球范圍內的監管機構正采取更嚴格的執法立場，對違規行為進行更嚴格的審查并處以更高的罰款 41。

與數據隱私不合規相關的巨額罰款和聲譽損害突顯了全球運營企業采取積極主動的合規措施至關重要。日益增多的執法行動和處罰的嚴厲程度清楚地表明，監管機構期望企業優先考慮數據保護并投資于健全的合規計劃。這也突顯了未能履行這些義務的公司可能面臨嚴重的財務和運營中斷。
對企業的啟示:?

Temu被罰事件清楚地表明，全球電子商務平臺在遵守韓國PIPA等復雜且嚴格的數據隱私法規方面面臨著重大挑戰。盡管Temu在韓國擁有數百萬用戶，但其違規行為表明，該公司可能對當地的數據保護要求缺乏充分的理解或執行。這一事件為其他公司敲響了警鐘，強調了遵守數據隱私法規的重要性，并提供了以下關鍵經驗教訓：
- 跨境數據傳輸的復雜性： Temu因未能適當披露或獲得用戶同意而受到處罰，這凸顯了與跨境數據傳輸相關的復雜性。公司必須清楚地了解相關法規，并在將數據傳輸到其他國家之前獲得必要的同意。
- 當地代表的重要性： 未能指定當地代表是Temu面臨的另一個重大違規行為。這表明，公司需要在其運營的每個司法管轄區都有一個指定的聯系人，以便監管機構和用戶能夠解決數據保護問題。
- 用戶權利： Temu因實施復雜的賬戶注銷流程而受到處罰，這表明公司需要尊重用戶的權利，并提供易于使用的機制來管理其個人信息。
- 敏感數據的處理： 未經授權收集敏感的個人信息是另一個重大違規行為。公司必須謹慎處理此類數據，并確保其擁有處理此類信息的法律依據。
- 全球合規的必要性： Temu被罰事件是全球數據隱私法規日益嚴格的又一個例子。公司必須采取積極主動的方法來實現合規性，并投資于能夠幫助它們駕馭復雜的數據隱私環境的解決方案。
結論：駕馭不斷發展的全球數據隱私格局

Temu被罰事件是一個重要且及時的提醒，表明監管機構對數據隱私實踐的審查日益嚴格，尤其是在快速發展的全球電子商務領域運營的國際企業。有效駕馭復雜且不斷發展的全球數據隱私格局，及其多樣化的法規和嚴格的執法機制，需要專業的知識、積極主動的合規策略以及對韓國PIPA等當地法律要求的深刻理解。公司必須優先考慮數據隱私合規性，以減輕巨額罰款和聲譽損害的風險，并在日益注重隱私的世界中與客戶建立持久的信任。