Kaamel隐私合规洞察：Temu在韩被罚事件分析

Kaamel隐私合规与数据安全团队分析报告

韩国个人信息保护委员会（PIPC）对中国电子商务巨头Temu处以巨额罚款，原因是其严重违反了用户数据保护法律。核心违规行为包括未经适当披露或用户同意非法跨境传输数据、未能指定当地代表、账户注销流程复杂以及未经授权收集卖家敏感个人信息。此次罚款金额接近100万美元（或13.7亿至13.9亿韩元）。这一事件凸显了国际公司在数据保护法律严格的司法管辖区运营时，遵守当地法规的重要性。

PIPC对Temu这样的大型企业采取迅速行动并处以巨额罚款，这表明韩国坚定致力于执行数据隐私法规。PIPC于去年4月开始对Temu和AliExpress进行调查，并在相对较短的时间内对两者进行了调查和罚款。对Temu处以近100万美元的罚款表明，监管机构愿意对不遵守规定的行为施加严厉的经济处罚，这向其他国际运营商发出了明确的信息。

违规行为的具体性质（跨境传输、当地代表、用户权利、敏感数据收集）突显了PIPC关注的关键领域，并因此强调了在韩国运营的企业必须遵守的关键合规要求。PIPC详细列出了Temu的多项违规行为，涵盖了合法数据传输的基本原则到用户权利（如账户注销）以及卖家敏感个人信息的处理 4 等更细致的方面。这一系列全面的违规行为表明，PIPC期望对数据保护采取全面的方法，涵盖韩国《个人信息保护法》（PIPA）的各个方面。

引言：全球电子商务中数据隐私的重要性日益增长

Temu、Shein和AliExpress等电子商务平台近年来在全球范围内迅速发展，它们以极低的价格提供各种各样的产品，从而在全球范围内获得了巨大的欢迎。这些平台处理大量的个人数据，包括存储在多个国家/地区的用于交付目的的用户数据，甚至包括从卖家那里收集的身份证和面部视频等敏感数据，这使得它们成为监管机构重点关注的对象。与此同时，消费者对数据隐私和安全的全球意识和关注度也在不断提高，越来越多的消费者行使数据主体访问权，并日益要求数据透明化 13。为了应对这一趋势，全球范围内的数据保护法规也在不断增加，目前已有超过160个国家/地区制定了隐私法 16，并且全球隐私法规正在经历新一轮的加强 17，这为国际企业创建了一个复杂的合规环境。

中国电子商务平台在全球范围内的普及以及日益严格的监管审查，为这些企业带来了机遇和挑战，这突显了制定稳健合规战略的必要性。相关报道指出，Temu在韩国的用户基数庞大，2023年日均用户数达到290万 1。如此庞大的用户群体产生了大量的数据，使得Temu成为PIPC的重要监管目标。此次罚款本身就是一个直接的挑战，正如Temu发言人所提到的，需要调整以符合当地要求 1，这表明企业需要持续努力才能实现合规。

韩国对Temu的罚款并非孤立事件，此前，另一家全球性企业AliExpress也因非法向海外传输韩国用户数据而受到韩国监管机构的罚款 1，社交媒体巨头Meta也因不正当收集和处理敏感用户信息而面临巨额罚款 1。PIPC明确指出，外国电子商务运营商与韩国国内企业一样，必须遵守相同的法律要求 10。这种一致的立场强调了所有在韩国运营的外国企业都必须优先考虑数据隐私合规性。
解读韩国对Temu的罚款
3.1. 罚款详情

韩国主要的数据保护监管机构PIPC 1 于2025年5月15日星期四宣布对中国电子商务平台Temu处以罚款 1。此次经济处罚金额约为13.7亿至13.9亿韩元 1，折合美元接近100万 1。Businesskorea报道称罚款金额为13.69亿韩元 7。此前，监管机构于去年4月对Temu和另一家中国在线零售商AliExpress展开调查，这表明在发布罚款之前，监管机构对这两家公司进行了持续的审查 4。对Temu的处罚有所延迟，原因是该公司未能及时提交计算罚款所需的销售数据 4。
3.2. 违反《个人信息保护法》（PIPA）的核心行为

**非法跨境数据传输：**PIPC认定，Temu非法将韩国用户的个人数据传输至包括中国、新加坡和日本在内的多个海外实体 1，且未在其隐私政策中适当披露这些传输行为，也未获得用户的明确同意 1。这违反了PIPA第28-8条第1款，该条款规定了跨境数据传输的明确同意和保障措施 9。

PIPC特别指出，Temu未在其隐私政策中披露将个人数据委托给海外实体的行为，也未直接通知用户这些传输行为 1。这强调仅仅在隐私政策中包含一般的数据处理实践是不够的；关于跨境传输的具体细节，包括接收实体的名称和位置，对于合规至关重要。这也表明Temu在理解或实施PIPA的透明度要求方面可能存在不足。

**未能指定当地代表：**尽管Temu在韩国拥有庞大的用户群，截至2023年底，日均用户数达到290万 1，但该公司未能按照韩国数据保护法律的要求在韩国指定当地代表 1。这项义务旨在确保在韩国境内有一个联系点，供监管机构和用户处理与数据保护相关的问题。

要求指定当地代表突显了韩国政府旨在确保问责制并便利与在其管辖范围内运营的外国公司进行沟通的意图。缺乏当地代表可能阻碍了PIPC有效监督Temu的数据处理实践并及时解决潜在用户疑虑的能力。这也意味着外国公司不能仅仅远程运营，而必须在韩国境内建立正式机构或指定代理人以符合法律规定。

**账户注销流程复杂：**PIPC批评Temu实施了复杂的七步会员注销流程，使得用户难以行使其删除账户和控制个人信息的权利 1。这表明监管机构关注确保数据主体能够轻松行使PIPA赋予的权利，包括删除权。

PIPC对账户注销流程的审查突显了用户权利的重要性以及企业需要提供便捷机制供用户管理其数据（包括删除数据）的必要性。繁琐的删除流程可能被视为故意阻碍用户行使其数据权利，这违反了PIPA的原则。这表明用户在管理隐私设置方面的体验是合规的关键考虑因素。

**未能监督海外数据处理：**PIPC指出，Temu未能充分监督委托处理和存储韩国用户个人信息的海外公司，包括位于中国、新加坡和日本的公司 1。这包括未能提供数据保护方面的培训，也未能妥善检查其个人信息的处理情况，违反了PIPA关于跨境数据传输保障措施的第28-8条第4款 9。

这一违规行为强调，外包数据处理的公司仍然有责任确保其合作伙伴遵守PIPA规定的相同数据保护标准。这表明Temu可能与其海外合作伙伴之间缺乏关于数据保护的充分合同协议，或者未能实施有效的监控和审计机制，以确保其整个数据处理链的合规性。这突显了在国际数据传输背景下，健全的供应商管理实践的必要性。

**未经法律依据收集卖家敏感个人信息：**PIPC还发现，2025年2月，Temu在其“本地到本地”服务试点项目中，向韩国卖家收集了身份证和面部视频记录，该服务旨在韩国境内直接销售和交付产品，但Temu并未获得处理居民登记号码的法律依据 4。由于PIPA对敏感个人信息的处理有更严格的要求，因此这构成了违规行为。
这突显了对身份证和面部生物识别等敏感个人信息的收集和处理进行更严格的审查，这需要PIPA明确的法律依据。居民登记号码是韩国的唯一标识符，其收集尤其敏感，通常是被禁止的，除非法律明确允许。Temu未能为此类收集建立法律依据，表明其对韩国关于敏感个人信息的具体法规缺乏理解或尽职调查。
3.3. PIPC声明的原因和担忧

PIPC在其声明中强调，Temu“未在其隐私政策中披露或通知用户个人数据将委托给海外实体” 1。监管机构指出，截至2023年，Temu在韩国的日均用户数达到290万，这突显了所涉及的个人数据量巨大以及违规行为的潜在影响 1。PIPC旨在确保外国电子商务运营商在向韩国数据主体提供商品或服务时，也必须遵守PIPA的法律要求，并强调他们需要努力确保数据保护和管理水平与国内企业相当 9。委员会计划“密切监控该公司是否妥善执行这些纠正命令” 4，并将“严格监控”纠正命令和建议的执行情况 8。PIPC还表示，随着越来越多的中国公司进入韩国市场，它打算通过双边论坛和当地宣传活动加强对中国运营商PIPA的指导，这表明监管机构采取了积极主动的方式来防止未来发生违规行为 4。这包括创建并分发中文版的《海外经营者个人信息保护法适用指南》7。
韩国数据保护概况

4.1. 《个人信息保护法》（PIPA）概述

《个人信息保护法》（PIPA）是韩国主要的个人数据隐私法律，于2011年9月30日颁布实施，并提供了全球最严格的个人信息保护要求 22。它规制政府或私营实体以及个人对个人数据的收集、使用、披露和其他处理行为，涵盖各种使用类型和行业，并延伸至对韩国个人数据的境外处理 22。个人数据的定义广泛，包括任何与在世个人相关的信息，通过姓名、注册号码或图像等可以直接或无困难地与其他数据结合识别该个人的信息 27。主要原则包括在收集、使用或共享个人数据之前获得数据主体的明确同意 22，确保个人信息的准确性和安全性 23，并赋予数据主体对其个人信息的权利，如访问、更正、删除和暂停处理等 22。PIPA于2023年进行了修订，其中大部分修订于2023年9月15日生效 23，进一步加强了数据主体的权利，并简化了线上和线下业务的法规 23。

PIPA的持续发展，以及旨在加强数据主体权利并与GDPR等国际标准接轨的最新修正案 22，突显了在韩国运营的企业需要不断监测和调整其合规策略。线上和线下实体法规的统一 23 对于像Temu这样主要在线运营的电子商务平台尤为重要。

PIPA还规制跨境数据传输，通常要求获得数据主体的同意，并确保接收国提供充分的个人数据保护 22。在某些情况下，组织可能还需要获得PIPC的批准 28。

个人信息保护委员会（PIPC）是韩国主要的个人数据保护监管机构，负责执行PIPA 22。

4.2. PIPA项下外国企业的具体义务

向韩国数据主体提供商品或服务、处理其数据或在韩国境内设有机构的外国实体均受PIPA约束 19。PIPC评估语言、货币、网站域名和服务提供方式等因素以确定适用性 19。外国企业需要制定并披露符合PIPA要求的韩语隐私政策，包括明确区分第三方提供和外包个人信息处理，并单独披露跨境传输详情 31。在韩国境外处理韩国数据主体个人信息时，外国运营商必须以书面形式明确披露详细信息，包括涉及的国家和实体名称 19。他们还必须区分向第三方“提供”和“委托”数据 19。处理超过一定数量数据主体个人信息或处理敏感信息的外国企业需要指定韩国境内的国内代理人 1。PIPC建议，如果外国企业在韩国设有公司，最好指定该韩国公司作为国内代表 19。发生个人数据泄露（泄露）时，必须在72小时内通知受影响的数据主体和PIPC（或KISA），尤其是在涉及大量个人、敏感信息或非法外部访问的情况下 19。外国企业必须制定程序，供韩国数据主体行使其权利（访问、更正、删除、暂停、撤回同意），并以韩语提供指导，提供电子邮件或电话等便捷方式 19。

PIPC已积极发布题为《外国经营者个人信息保护法适用指南》的全面指南，以帮助外国公司理解和遵守PIPA项下的义务 19。这些指南阐明了法律义务，提供了评估PIPA适用性的因素，并根据与专家和已在韩国运营的外国公司举行的听证会提供了教育性案例 19。这表明PIPC明确致力于促进国际企业遵守规定。

4.3. PIPC近期执法行动

去年7月，PIPC对阿里巴巴新加坡电子商务有限公司（“AliExpress”）处以19.78亿韩元（约合143万美元）的罚款，并处以行政罚款，原因是其违反了PIPA关于跨境传输个人信息的规定 1。违规行为包括在没有适当保障措施或告知买家卖家数据的情况下，向其他国家（主要是中国）的卖家提供客户信息 10。2024年11月，Meta Platforms Inc.因违反PIPA被处以216亿韩元（约合1560万美元）的罚款，原因是其未经同意不正当收集和使用约98万用户的敏感个人数据，拒绝访问请求并发生数据泄露 1。此前在2024年，中国人工智能应用程序DeepSeek因未经授权收集用户数据而被政府暂时禁止下载 1。这些案例以及对Temu的罚款表明，PIPC积极主动地针对不同行业的外国公司执行PIPA，以应对各种数据隐私侵权行为，尤其是在跨境数据传输、同意和处理敏感信息方面 9。

针对不同行业（电子商务、社交媒体、人工智能）主要国际公司的一再罚款凸显了PIPC广泛而一致的执法策略。这表明PIPC并非针对特定的国籍或行业，而是专注于确保所有处理韩国公民个人数据的公司，无论其来源如何，都遵守PIPA的要求。对AliExpress和Temu等中国平台的日益严格的审查 4 也可能反映了更广泛的地缘政治考量以及对数据安全的担忧。
全球数据隐私法规与执法的趋势

5.1. 全球对数据保护的关注日益增强

全球范围内加强数据隐私法规已成为一个明显的趋势，截至2024年底，已有144个国家/地区颁布了国家数据隐私法律，高于2017年的120个 32。这使得全球约82%的人口受到某种形式的国家数据隐私立法的保护 32。欧盟的《通用数据保护条例》（GDPR）12 和《加州消费者隐私法案》（CCPA）12 等法规已成为有影响力的典范，并启发了世界其他司法管辖区的类似法律 42。许多国家正在积极修订或替换其现有的数据隐私法律，以与这些国际标准接轨，例如马来西亚修订的《个人数据保护法》和秘鲁修订的法律，两者都纳入了GDPR的要素 32。

全球范围内广泛采纳并不断加强数据隐私法律表明，人们对个人数据的权利的认可和保护正在发生根本性的转变。“布鲁塞尔效应”是指GDPR影响了欧盟以外的数据隐私法律 32，这是这一趋势的重要驱动因素。这种全球趋同表明，在国际上运营的企业将越来越面临不同司法管辖区类似的数据保护义务。

5.2. 跨境数据传输合规与数据主权日益受到重视

跨境数据传输日益受到严格监管，许多司法管辖区对向境外传输个人数据施加了条件，通常需要同意、充分性决定或适当的保障措施 17。数据主权的概念日益突出，各国政府对其公民产生和共享的在线数据主张更大的控制权，导致一些地区出现了数据本地化要求等趋势 17。美国司法部的一项新规（“防止相关国家或人员获取美国敏感个人数据和政府相关数据”）对向中国等相关国家进行某些数据传输施加了严格的禁止和合规措施 46。中国自身也实施了跨境数据流动管理规定 48。

对跨境数据传输法规和数据主权日益重视反映了与个人信息国际流动相关的国家安全和隐私担忧日益增长。这一趋势表明，企业需要仔细考虑跨境传输数据的法律和政治影响，并可能需要在某些市场探索数据本地化策略。美国司法部将于2025年4月生效的规则突显了国家安全与数据保护之间日益增长的交叉点。

5.3. 不合规的风险和成本不断攀升

不遵守数据保护法规可能导致巨额经济处罚，Temu因其近100万美元的罚款以及其他众多案例（例如，截至2024年11月，GDPR的罚款总额已超过53亿欧元）12 可见一斑。根据GDPR，罚款金额最高可达2000万欧元或全球年营业额的4% 40。除了罚款外，不合规还可能导致严重的声誉损害，侵蚀客户信任，并可能引发长期的负面影响，损害公司的业务成功 40。受影响个人的法律纠纷和赔偿要求也是重要的风险 52。全球范围内的监管机构正采取更严格的执法立场，对违规行为进行更严格的审查并处以更高的罚款 41。

与数据隐私不合规相关的巨额罚款和声誉损害突显了全球运营企业采取积极主动的合规措施至关重要。日益增多的执法行动和处罚的严厉程度清楚地表明，监管机构期望企业优先考虑数据保护并投资于健全的合规计划。这也突显了未能履行这些义务的公司可能面临严重的财务和运营中断。
对企业的启示:

Temu被罚事件清楚地表明，全球电子商务平台在遵守韩国PIPA等复杂且严格的数据隐私法规方面面临着重大挑战。尽管Temu在韩国拥有数百万用户，但其违规行为表明，该公司可能对当地的数据保护要求缺乏充分的理解或执行。这一事件为其他公司敲响了警钟，强调了遵守数据隐私法规的重要性，并提供了以下关键经验教训：
- 跨境数据传输的复杂性： Temu因未能适当披露或获得用户同意而受到处罚，这凸显了与跨境数据传输相关的复杂性。公司必须清楚地了解相关法规，并在将数据传输到其他国家之前获得必要的同意。
- 当地代表的重要性： 未能指定当地代表是Temu面临的另一个重大违规行为。这表明，公司需要在其运营的每个司法管辖区都有一个指定的联系人，以便监管机构和用户能够解决数据保护问题。
- 用户权利： Temu因实施复杂的账户注销流程而受到处罚，这表明公司需要尊重用户的权利，并提供易于使用的机制来管理其个人信息。
- 敏感数据的处理： 未经授权收集敏感的个人信息是另一个重大违规行为。公司必须谨慎处理此类数据，并确保其拥有处理此类信息的法律依据。
- 全球合规的必要性： Temu被罚事件是全球数据隐私法规日益严格的又一个例子。公司必须采取积极主动的方法来实现合规性，并投资于能够帮助它们驾驭复杂的数据隐私环境的解决方案。
结论：驾驭不断发展的全球数据隐私格局

Temu被罚事件是一个重要且及时的提醒，表明监管机构对数据隐私实践的审查日益严格，尤其是在快速发展的全球电子商务领域运营的国际企业。有效驾驭复杂且不断发展的全球数据隐私格局，及其多样化的法规和严格的执法机制，需要专业的知识、积极主动的合规策略以及对韩国PIPA等当地法律要求的深刻理解。公司必须优先考虑数据隐私合规性，以减轻巨额罚款和声誉损害的风险，并在日益注重隐私的世界中与客户建立持久的信任。