阿里因违规跨境传输用户信息被罚约20亿韩元

03

处罚结果

因此，PIPC决定对阿里违反个人信息保护法中有关个人信息境外转移的规定等行为，具体包括：

• 违反个人信息跨境传输规定；

• 未遵守在跨境传输个人信息时应采取的保护措施；

  
  

• 未公开在韩国的代理人信息，违反透明度要求；

  
  

• 未提供或未明确告知用户行使权利的正确方式和程序。

第28条第8款（个人信息的境外转移） 
①个人信息处理者不得将个人信息提供至境外（包括被查询的情况）、委托处理或存储（以下简称“转移”）。但是，符合下列任一条件时，个人信息可以转移到境外： 
1、从信息主体获得关于境外转移的单独同意。 
④个人信息处理者在根据第1款规定以外的其他条款将个人信息转移到境外时，必须遵守本法其他相关规定，包括第17条至第19条的规定以及第五章的规定，并应采取总统令规定的保护措施。

韩国《个人信息保护法》

第29条第10款（境外转移个人信息时的保护措施等） 
①个人信息处理者在根据法律第28条第8款第1款规定以外的其他条款将个人信息转移到境外时，必须根据该条第4款采取以下保护措施： 
1、根据第30条第1款规定的个人信息保护安全保障措施；
2、对个人信息侵犯的投诉处理及纠纷解决措施；
3、其他为保护信息主体的个人信息所必需的措施。
②个人信息处理者在根据《个人信息保护法》第28条第8款第1款规定以外的其他条款将个人信息转移到境外时，必须就第1款各事项与接收方事先协商，并将其反映在合同内容等中。

韩国《个人信息保护法施行令》

基于上述违规行为，处罚如下：

• 罚款19亿7800万韩元；

  
  

• 处以滞纳金780万韩元；

  
  

• 责令其采取措施防止个人信息被接收方（如国外卖家等）滥用，此类措施应反映在合同等文件中。同时，应简化会员退出程序等，以便用户能够更容易地行使自己的权利；

• 提出改进建议。

04

相关建议

PIPC提出相关建议，旨在促使其改善个人信息处理流程，提高个人信息保护水平，尽管这些建议可能不具有法律强制力。

此外，PIPC为了提高国内用户的个人信息保护水平，提出以下建议：

1、应将个人信息处理流程尽可能透明化、易懂化，并向信息主体公开，一旦有变化，应迅速更新相关文本确保一致性；

2、不应仅指定韩国国内代理人，投入实质性努力保护个人信息，尤其是要制定并实施具体的方案，以解决与个人信息处理相关的投诉和救济损害；

3、根据个人信息保护法原则，收集的个人信息应最小化，并建议电子商务企业参与或提供与政府合作的自律规约相等水平的个人信息保护。

PIPC计划持续检查整改命令和改进建议的执行情况，以确保韩国公民的个人信息不被侵犯。

此次调查和处理明确指出，即使是海外电子商务企业，只要其服务对象是韩国用户，就属于韩国《个人信息保护法》的调整对象，并且要求达到国内企业同等的个人信息保护和管理水平。