阿里全球速卖通因泄露韩国用户信息被罚款近19.8亿韩元

7月25日，韩国个人信息监管机构对阿里巴巴旗下电商平台全球速卖通（AliExpress）处以近19.8亿韩元（约合人民币1030万元）罚款，原因是该平台在未通知韩国用户的情况下向约18万海外卖家泄露了他们的个人信息。据悉，韩国个人信息保护委员会还决定在下次全体会议上处理另一起涉及Temu（拼多多海外版）的数据保护案件。

韩国个人信息保护委员会在全体会议上通过了这一决定，这是该机构首次对非法向海外转移个人信息的行为处以罚款。该机构表示，据调查，全球速卖通将韩国客户的个人信息提供给其注册卖家，用于运送订购的产品。

在此过程中，超过18万海外卖家收到了韩国消费者的个人信息。

韩国个人信息保护委员会表示，对于信息传输，全球速卖通没有向用户提供有关接收其个人信息的国家、姓名和联系电话的必要通知，也没有在其销售条款中包括必要的数据保护措施。此外，其在线页面的组织方式使得用户很难取消其会员资格，而删除他们帐户的页面是用英文编写的，这使得韩国用户难以访问。

韩国《个人信息保护法》要求用户同意将个人信息转移到海外，并要求在条款和条件中包含有关消费者投诉解决程序的信息。

韩国个人信息保护委员会决定，对全球速卖通的母公司阿里巴巴处以近19.8亿韩元的罚款，并要求其实施海外信息转移保护措施，简化会员取消程序。

韩国个人信息保护委员会还决定在下次全体会议上处理另一起涉及Temu（拼多多海外版）的数据保护案件。

处罚相关的法条翻译如下：

韩国《个人信息保护法》第28条第8款（个人信息的境外转移）

①个人信息处理者不得将个人信息提供至境外（包括被查询的情况）、委托处理或存储（以下简称“转移”）。但是，符合下列任一条件时，个人信息可以转移到境外：

1）从信息主体获得关于境外转移的单独同意。

④个人信息处理者在根据第1款规定以外的其他条款将个人信息转移到境外时，必须遵守本法其他相关规定，包括第17条至第19条的规定以及第五章的规定，并应采取总统令规定的保护措施。

——韩国《个人信息保护法》

韩国《个人信息保护法施行令》第29条第10款（境外转移个人信息时的保护措施等）

①个人信息处理者在根据法律第28条第8款第1款规定以外的其他条款将个人信息转移到境外时，必须根据该条款第4款采取以下保护措施：

1）根据第30条第1款规定的个人信息保护安全保障措施；

2）对个人信息侵犯的投诉处理及纠纷解决措施；

3）其他为保护信息主体的个人信息所必需的措施。

②个人信息处理者在根据《个人信息保护法》第28条第8款第1款规定以外的其他条款将个人信息转移到境外时，必须就第1款各事项与接收方事先协商，并将其反映在合同内容等中。

——韩国《个人信息保护法施行令》

扩展阅读

2021年11月1日，《中华人民共和国个人信息保护法》正式施行。企业在处理个人信息时必须遵循合法、正当、必要的原则，并确保个人信息的安全。对于跨境数据上，强调了对个人单独同意的要求，在跨境数据传输前，企业必须告知个人相关信息并取得其单独同意。对于关键信息基础设施运营商和处理大量个人信息的企业，这些规定更为严格，只能选择通过国家网信部门组织的安全评估作为跨境传输途径。

2022年9月1日，《数据出境安全评估办法》正式实施，其中提到如果企业需要向境外提供超过一定数量（如100万人以上）的个人信息，必须通过国家网信部门组织的安全评估。

企业可以与境外接收方签订标准合同，明确双方的权利和义务，同时需获得国家网信部门的认可。企业也可以通过获得国家认可的专业机构颁发的个人信息保护认证来满足合规要求。

2024年3月22日，国家网信办出台了《促进和规范数据跨境流动规定》，其中明确了无需申报数据出境安全评估的情形，例如国际贸易、学术合作等活动中产生的且不包含个人信息的出境数据，以及跨境购物、跨境汇款等情形。

来源：“数据要素社”微信公众号