2025年11月27日,韩国个人信息保护委员会(PIPC)宣布,因星巴克公司(Starbucks Corporation)及其承包商Elevate Hong Kong Holdings Limited(Elevate)在个人信息收集与处理方面存在超范围行为,违反韩国旧《个人信息保护法》(旧 PIPA),已向两家公司发出整改命令及改进建议。同时,因Umanle S.R.L.(Namuwiki 的运营主体)拒绝配合资料提交要求,PIPC已向调查机关提起刑事控告。
案件背景
PIPC根据2023年2月的媒体报道及民众投诉,对星巴克关联企业启动调查,指其在韩国向供应商员工过度索取个人信息。争议核心涉及“道德采购(Ethical Sourcing)计划”,该计划由星巴克公司管理,并曾委托Elevate在韩国执行,旨在评估员工健康、安全、权利、工时、薪酬及环境保护等事项。
PIPC 的调查认定
PIPC认定星巴克、Elevate和Umanle违反旧版PIPA,主要问题如下:
1. 违反旧PIPA第26条
星巴克未就个人信息处理委托签订包含必要条款的合同,也未对受托方Elevate进行有效监督与教育,确保其遵守个人信息保护规定,特别是在处理供应商员工的人事记录、工资记录及工时记录等敏感信息方面存在失职。
2. 违反旧PIPA第24-2条第1款
Elevate在无合法依据的情况下,过度收集并处理不必要的个人信息,包括收集居民身份证号码,并将大量供应商员工的人事文件转移至供应商场所之外,超出合理必要范围。
3. 违反旧PIPA第63条
Umanle S.R.L.作为Namuwiki的运营方,明显面向韩国用户提供服务,但多次拒绝PIPC提出的资料提交要求,拒不配合调查,构成违法行为。
处理结果
- 星巴克公司:被责令在委托处理个人信息时严格遵守PIPA规定,强化对受托方的管理与监督,并需落实改进建议。
- Elevate:被要求立即停止无合法依据的个人信息处理行为,并接受整改建议。
此外,PIPC已就Umanle S.R.L.拒不配合的行为,依法向检察机关提起刑事控告。
