10%营业额罚款的背后：数据监管，已经进入董事会层面

2026年3月10日，韩国对《个人信息保护法》进行了新一轮修订。

这次修法并不是一次孤立的制度调整，而是发生在一个非常具体的背景之下——过去几年，韩国持续出现大规模数据泄露事件，涉及金融、电信、电商等多个行业，监管执法强度也在同步上升。在这样的现实压力下，原有以满足合规要求为导向的制度，已经越来越难以支撑监管预期。

也正是在这个背景中，本轮修法呈现出一个非常值得关注的变化：它没有简单通过“增加更多义务”来强化监管，而是开始调整一个更底层的问题——企业究竟如何对待数据风险。

一方面，规则被前移。通过引入在达到法定风险标准时即需履行通知义务的机制，合规不再以“事件已经发生”为起点，而被提前至风险识别阶段；另一方面，责任被上移。通过强化企业负责人责任、引入最高可达相关营业额10%的罚款机制，并将个人信息保护负责人纳入董事会层面的决策与报告体系，数据保护被正式拉入公司治理框架之中。

如果把这些制度变化与近期一系列典型执法案件放在一起看，会发现一个比监管趋严更值得注意的转向：监管关注的核心，正在从企业“是否已经合规”，转向企业内部是否有人在为数据风险作出判断，并承担后果。

修法前后，韩国连续出现多起具有代表性的数据泄露事件。有金融机构将居民登记号以明文形式写入日志系统，最终导致数百万用户信息泄露；也有品牌因访问控制与认证机制薄弱，被攻击者直接获取客户数据；还有平台型企业由于基础安全措施缺失，造成更大范围的数据外泄。

这些事件在表面上都有一个共同标签——“被攻击”。但如果沿着监管的复盘逻辑往下看，就会发现问题并不在攻击本身。

真正的问题在于——企业在关键环节缺乏最基本的风险判断能力。什么数据需要更高等级保护、系统中哪些环节存在结构性漏洞、异常行为出现时是否能够被及时识别——这些本应在日常运营中被持续处理的问题，在很多案例中都处于缺位状态。

因此，这些案件所暴露的，并不是单一的安全事故，而是企业在风险识别、内部控制和响应机制上的系统性失灵。

从制度设计上看，一个最直观的变化，是通知义务的前移。

在多数法域中，数据合规的基本逻辑仍然围绕事件发生之后。一旦确认泄露，企业需要在规定时间内向监管机构和用户进行通报。这是一种典型的事后响应机制。

韩国这次的调整，则刻意打破了这一时间顺序。

根据修订后的第34条，在满足特定条件的情况下，即便尚未确认发生泄露，只要已经存在达到法定标准的风险，企业就需要启动通知。这意味着，企业不能再以“尚未发生”为理由延迟决策，而必须在不确定状态下完成判断。

与此同时，通知本身也不再只是告知发生了什么。企业还需要明确说明用户可以采取的法律行动路径，包括损害赔偿、法定赔偿以及争议解决方式等。这使得通知从信息披露行为，转变为一个带有法律后果的合规动作。

但如果仅把这理解为义务前移，其实还是停留在表层。更重要的是，这一变化在倒逼企业具备一项能力——在风险尚未完全坐实时，做出判断。

相比义务前移，更值得关注的是责任结构的变化。

本轮修法并没有直接规定对企业所有者或代表人的个人罚款或刑事责任，但通过一系列制度安排，已经把数据保护责任明确嵌入到公司治理结构之中。企业经营者或代表人不再只是最终责任人的抽象表述，而需要通过资源配置、制度建设等方式，对安全措施的有效性承担实质责任。同时，个人信息保护负责人被纳入董事会决策与报告体系，其任命、变更以及履职情况，都需要在公司治理层面被持续关注。

在这样的制度安排下，数据合规已经很难再被理解为一个可以由单一部门完成的职能，或者说，它本来就不该只是某一个部门独立完成的事项。

数据处理天然贯穿产品设计、技术架构、运营流程、商业决策乃至外部合作等多个环节，其风险也并不是集中发生在某一个单点，而是以链条化、系统化的方式分布在整个业务运行过程中。正因为如此，数据合规从一开始就不只是法务、合规或技术团队的局部工作，而应当被理解为一项需要企业投入资源、由专业人员牵头并推动多部门协同的整体性工作。

过去之所以在不少公司中仍然被当作某个单一职能来处理，更多反映的是管理层对这项工作的性质和重要性认识不足，而不是它本身适合被这样切割。也正因此，当通知义务被前移、风险判断需要在不确定状态下完成、资源投入本身开始成为监管评价因素时，这些问题最终都不可避免地指向同一个层级——管理层。

10%的罚款上限无疑是本轮修法中最具冲击力的部分。但如果只看到更重，反而容易忽略它真正的作用方式。

修订后的规则将高额罚款与特定情形挂钩，例如重复发生重大违规、因故意或重大过失导致大规模数据泄露，或在未落实整改要求的情况下再次发生事故等。同时，制度也明确，在企业已就个人信息保护投入充分资源（包括人员、预算及技术措施）的情况下，可以酌情减轻处罚。

这实际上在引入一种更具针对性的评价逻辑，即监管不再只问结果如何，而开始追问——在结果发生之前，企业是否作出了合理判断，并为此配置了相应资源。

也正是在这一点上，处罚开始与前文所提到的责任结构发生联动。罚款不再只是对结果的惩罚，而是在倒逼一个更具体的问题——这些决策是谁作出的，又是否具备充分依据。

换句话说，处罚的指向，正在从结果本身，转向决策过程。

如果把上述变化放在一起看，可以看到一个更深层的转向。

这次修法，并不是简单提高了合规门槛，而是在改变企业处理数据问题的方式。数据保护不再只是一个需要“满足”的合规事项，而逐渐成为一个需要被持续判断、持续投入资源的经营议题。

企业需要面对的，不再只是规则本身，而是在规则尚未完全明确、风险尚未完全发生的情况下，如何作出决策，以及这些决策由谁承担。也正是在这一过程中，数据风险开始进入企业的日常经营逻辑。它不再只是事后被动应对的问题，而是前置到业务推进过程中，需要被持续评估、权衡和管理的变量。

因此，“谁来负责”并不是一个额外提出的问题，而是在决策被前移之后自然浮现的结果——当风险判断成为日常经营的一部分，这一责任也不可能停留在执行层，而必然落在具备资源配置与决策权的管理层。

这一变化，对出海企业的影响是非常现实的。

很多企业——尤其是出海企业——既缺乏成体系的内部机制，也缺乏稳定的资源投入与专业支撑。数据合规往往被分散在法务、技术、产品或安全团队之间，日常各自为战，风险发生后再临时拼凑应对方案。这样的状态，在过去或许尚可维持，但在当前监管逻辑下，已经越来越难以支撑。

因为现在被持续追问的，已经不仅只是“制度是否存在”“文件是否完备”，而是企业在面对不确定风险时，能否及时识别问题、形成判断，并推动跨部门协同，将这些判断转化为可以被监管接受的处理结果。对于大多数出海企业而言，这并不是一项可以依靠内部自然演进就迅速具备的能力。

问题的关键，也因此发生了转移——难点不再只是主观上的是否重视，而在于如何将这种重视转化为一套可以持续运行的机制。哪些风险需要被优先识别，哪些问题需要上升至管理层决策，业务、技术与合规之间如何形成有效协同，以及在规则不断变化的情况下，如何保持判断的一致性与可解释性。

从实践来看，能够较快建立起上述能力的企业，往往并非依赖内部逐步摸索，而是通过更成熟的经验框架，对既有结构进行系统性梳理与重构，使原本分散的职责、模糊的边界和滞后的响应，转变为一套可以持续运转的治理机制。

因此，这一轮变化带来的现实影响，并不在于企业是否做了合规，而在于能否尽快补齐这一能力缺口，并使相关责任在组织结构中被真实承载。

类似的趋势在中国亦有所体现。个人信息保护负责人制度的发展，本质上同样是在推动责任向具备资源调配能力的层级集中。不同法域在具体制度设计上存在差异，但其背后的逻辑正在趋同。

对于企业而言，这一轮变化真正提出的问题，其实非常具体：

在数据风险尚未发生、规则尚未完全明确的情况下，企业内部是否有人能够作出判断，并为此承担后果。

如果这个问题无法被回答，那么是否合规本身已经不再构成真正的风险边界。真正决定企业风险暴露程度的，是其是否具备在不确定性中作出判断的能力，以及这些判断，是否被放在了正确的层级上。