10%營業額罰款的背后：數據監管，已經進入董事會層面

2026年3月10日，韓國對《個人信息保護法》進行了新一輪修訂。

這次修法并不是一次孤立的制度調整，而是發生在一個非常具體的背景之下——過去幾年，韓國持續出現大規模數據泄露事件，涉及金融、電信、電商等多個行業，監管執法強度也在同步上升。在這樣的現實壓力下，原有以滿足合規要求為導向的制度，已經越來越難以支撐監管預期。

也正是在這個背景中，本輪修法呈現出一個非常值得關注的變化：它沒有簡單通過“增加更多義務”來強化監管，而是開始調整一個更底層的問題——企業究竟如何對待數據風險。

一方面，規則被前移。通過引入在達到法定風險標準時即需履行通知義務的機制，合規不再以“事件已經發生”為起點，而被提前至風險識別階段；另一方面，責任被上移。通過強化企業負責人責任、引入最高可達相關營業額10%的罰款機制，并將個人信息保護負責人納入董事會層面的決策與報告體系，數據保護被正式拉入公司治理框架之中。

如果把這些制度變化與近期一系列典型執法案件放在一起看，會發現一個比監管趨嚴更值得注意的轉向：監管關注的核心，正在從企業“是否已經合規”，轉向企業內部是否有人在為數據風險作出判斷，并承擔后果。

修法前后，韓國連續出現多起具有代表性的數據泄露事件。有金融機構將居民登記號以明文形式寫入日志系統，最終導致數百萬用戶信息泄露；也有品牌因訪問控制與認證機制薄弱，被攻擊者直接獲取客戶數據；還有平臺型企業由于基礎安全措施缺失，造成更大范圍的數據外泄。

這些事件在表面上都有一個共同標簽——“被攻擊”。但如果沿著監管的復盤邏輯往下看，就會發現問題并不在攻擊本身。

真正的問題在于——企業在關鍵環節缺乏最基本的風險判斷能力。什么數據需要更高等級保護、系統中哪些環節存在結構性漏洞、異常行為出現時是否能夠被及時識別——這些本應在日常運營中被持續處理的問題，在很多案例中都處于缺位狀態。

因此，這些案件所暴露的，并不是單一的安全事故，而是企業在風險識別、內部控制和響應機制上的系統性失靈。

從制度設計上看，一個最直觀的變化，是通知義務的前移。

在多數法域中，數據合規的基本邏輯仍然圍繞事件發生之后。一旦確認泄露，企業需要在規定時間內向監管機構和用戶進行通報。這是一種典型的事后響應機制。

韓國這次的調整，則刻意打破了這一時間順序。

根據修訂后的第34條，在滿足特定條件的情況下，即便尚未確認發生泄露，只要已經存在達到法定標準的風險，企業就需要啟動通知。這意味著，企業不能再以“尚未發生”為理由延遲決策，而必須在不確定狀態下完成判斷。

與此同時，通知本身也不再只是告知發生了什么。企業還需要明確說明用戶可以采取的法律行動路徑，包括損害賠償、法定賠償以及爭議解決方式等。這使得通知從信息披露行為，轉變為一個帶有法律后果的合規動作。

但如果僅把這理解為義務前移，其實還是停留在表層。更重要的是，這一變化在倒逼企業具備一項能力——在風險尚未完全坐實時，做出判斷。

相比義務前移，更值得關注的是責任結構的變化。

本輪修法并沒有直接規定對企業所有者或代表人的個人罰款或刑事責任，但通過一系列制度安排，已經把數據保護責任明確嵌入到公司治理結構之中。企業經營者或代表人不再只是最終責任人的抽象表述，而需要通過資源配置、制度建設等方式，對安全措施的有效性承擔實質責任。同時，個人信息保護負責人被納入董事會決策與報告體系，其任命、變更以及履職情況，都需要在公司治理層面被持續關注。

在這樣的制度安排下，數據合規已經很難再被理解為一個可以由單一部門完成的職能，或者說，它本來就不該只是某一個部門獨立完成的事項。

數據處理天然貫穿產品設計、技術架構、運營流程、商業決策乃至外部合作等多個環節，其風險也并不是集中發生在某一個單點，而是以鏈條化、系統化的方式分布在整個業務運行過程中。正因為如此，數據合規從一開始就不只是法務、合規或技術團隊的局部工作，而應當被理解為一項需要企業投入資源、由專業人員牽頭并推動多部門協同的整體性工作。

過去之所以在不少公司中仍然被當作某個單一職能來處理，更多反映的是管理層對這項工作的性質和重要性認識不足，而不是它本身適合被這樣切割。也正因此，當通知義務被前移、風險判斷需要在不確定狀態下完成、資源投入本身開始成為監管評價因素時，這些問題最終都不可避免地指向同一個層級——管理層。

10%的罰款上限無疑是本輪修法中最具沖擊力的部分。但如果只看到更重，反而容易忽略它真正的作用方式。

修訂后的規則將高額罰款與特定情形掛鉤，例如重復發生重大違規、因故意或重大過失導致大規模數據泄露，或在未落實整改要求的情況下再次發生事故等。同時，制度也明確，在企業已就個人信息保護投入充分資源（包括人員、預算及技術措施）的情況下，可以酌情減輕處罰。

這實際上在引入一種更具針對性的評價邏輯，即監管不再只問結果如何，而開始追問——在結果發生之前，企業是否作出了合理判斷，并為此配置了相應資源。

也正是在這一點上，處罰開始與前文所提到的責任結構發生聯動。罰款不再只是對結果的懲罰，而是在倒逼一個更具體的問題——這些決策是誰作出的，又是否具備充分依據。

換句話說，處罰的指向，正在從結果本身，轉向決策過程。

如果把上述變化放在一起看，可以看到一個更深層的轉向。

這次修法，并不是簡單提高了合規門檻，而是在改變企業處理數據問題的方式。數據保護不再只是一個需要“滿足”的合規事項，而逐漸成為一個需要被持續判斷、持續投入資源的經營議題。

企業需要面對的，不再只是規則本身，而是在規則尚未完全明確、風險尚未完全發生的情況下，如何作出決策，以及這些決策由誰承擔。也正是在這一過程中，數據風險開始進入企業的日常經營邏輯。它不再只是事后被動應對的問題，而是前置到業務推進過程中，需要被持續評估、權衡和管理的變量。

因此，“誰來負責”并不是一個額外提出的問題，而是在決策被前移之后自然浮現的結果——當風險判斷成為日常經營的一部分，這一責任也不可能停留在執行層，而必然落在具備資源配置與決策權的管理層。

這一變化，對出海企業的影響是非常現實的。

很多企業——尤其是出海企業——既缺乏成體系的內部機制，也缺乏穩定的資源投入與專業支撐。數據合規往往被分散在法務、技術、產品或安全團隊之間，日常各自為戰，風險發生后再臨時拼湊應對方案。這樣的狀態，在過去或許尚可維持，但在當前監管邏輯下，已經越來越難以支撐。

因為現在被持續追問的，已經不僅只是“制度是否存在”“文件是否完備”，而是企業在面對不確定風險時，能否及時識別問題、形成判斷，并推動跨部門協同，將這些判斷轉化為可以被監管接受的處理結果。對于大多數出海企業而言，這并不是一項可以依靠內部自然演進就迅速具備的能力。

問題的關鍵，也因此發生了轉移——難點不再只是主觀上的是否重視，而在于如何將這種重視轉化為一套可以持續運行的機制。哪些風險需要被優先識別，哪些問題需要上升至管理層決策，業務、技術與合規之間如何形成有效協同，以及在規則不斷變化的情況下，如何保持判斷的一致性與可解釋性。

從實踐來看，能夠較快建立起上述能力的企業，往往并非依賴內部逐步摸索，而是通過更成熟的經驗框架，對既有結構進行系統性梳理與重構，使原本分散的職責、模糊的邊界和滯后的響應，轉變為一套可以持續運轉的治理機制。

因此，這一輪變化帶來的現實影響，并不在于企業是否做了合規，而在于能否盡快補齊這一能力缺口，并使相關責任在組織結構中被真實承載。

類似的趨勢在中國亦有所體現。個人信息保護負責人制度的發展，本質上同樣是在推動責任向具備資源調配能力的層級集中。不同法域在具體制度設計上存在差異，但其背后的邏輯正在趨同。

對于企業而言，這一輪變化真正提出的問題，其實非常具體：

在數據風險尚未發生、規則尚未完全明確的情況下，企業內部是否有人能夠作出判斷，并為此承擔后果。

如果這個問題無法被回答，那么是否合規本身已經不再構成真正的風險邊界。真正決定企業風險暴露程度的，是其是否具備在不確定性中作出判斷的能力，以及這些判斷，是否被放在了正確的層級上。