关键词:委托处理、过度收集、居民身份证号码
2025年11月26日,韩国个人信息保护委员会(PIPC)因星巴克总部及其受托方Elevate Hong Kong Holdings Limited(下称“Elevate”)违反旧韩国《个人信息保护法》(PIPA),对其下达了纠正命令及改进建议(为方便参考,本文将同时列出所涉旧PIPA的法条以及现行对应的新PIPA的法条)。
调查发现,星巴克在委托处理业务时疏于管理,而受托方Elevate则在没有法律依据的情况下非法收集包含居民身份证号码在内的敏感个人信息。虽然星巴克韩国与本次违规无直接关联,但监管机构仍建议其向总部及供应商提供合规协助。
一、背景信息
本次调查源于2023年2月的媒体报道及民事投诉,指控星巴克在韩国开展业务时,过度要求其供应商的员工提供个人信息,包括人事资料、工资记录及考勤时间表等高敏感度信息。
PIPC调查发现,星巴克总部运营着一项名为“道德采购项目”(Ethical Sourcing Program),项目目的在于追求与供应商的共同成长并确保产品采购符合道德标准,主要评估供应商工人的健康安全、权利保障、工作时间、薪酬体系及环境保护等指标,具体涉及对工人年龄、法定工时合规性及最低工资保障的审查。
在2023年相关问题曝光时,星巴克总部已将韩国境内的“道德采购项目”的执行工作全权委托给了外部机构Elevate负责。
二、违法事实详情
根据PIPC的调查结果,星巴克总部作为委托方,对个人信息处理业务的管理监督严重缺失;而受托方Elevate则实施了不必要且过度的个人信息处理行为。具体的违法行为主要集中在以下两个方面:
1. 违反委托合同法定要求及监督义务(针对星巴克总部):
星巴克总部在将“道德采购评估”这一涉及大量个人信息处理的业务委托给Elevate时,未按法律规定在委托合同中包含关于个人信息安全管理、再委托限制、受托人教育及监督等必要事项。尽管Elevate在评估过程中需要处理供应商员工的人事资料、工资记录及考勤时间表等高敏感度信息,星巴克总部却未履行应尽的教育与监督义务,违反了旧PIPA关于委托处理限制的规定(旧保护法第26(1),(4)条,对应新PIPA第26(1),(4)条)。
2. 无合法依据收集敏感信息及过度处理(针对Elevate):
作为受托方的Elevate在执行评估业务时,被确认存在严重的违规操作。首先,Elevate将包含供应商员工人事资料在内的多个个人信息文件传输至供应商外部,属于不必要的过度收集和处理。此外,Elevate在没有法律依据的情况下,收集并处理了韩国法律严格保护的“居民身份证号码”(Resident Registration Number),违反了PIPA关于限制处理唯一识别信息的规定(旧PIPA第24-2(1)条,对应新PIPA第24-2(1)条)。
三、处罚与整改结果
为解决上述违规问题,PIPC对两家公司发出了整改令,要求星巴克总部必须在今后委托个人信息处理业务时,严格遵守PIPA第26条第1项的规定(完善合同条款),并切实履行对受托方遵守法律情况的教育与监督职责;Elevate必须立即停止在没有法律依据的情况下处理个人信息(特别是居民身份证号码)的行为。
PIPC将持续监测上述纠正命令的履行情况。如果两家公司未能履行该命令,监管部门将依法处以罚款等进一步的行政处分。
此外,PIPC还特别建议,星巴克韩国虽然未直接涉案,但也应向星巴克总部、Elevate及相关供应商积极宣传PIPA的合规要求并提供必要的协助,以防止类似事件再次发生。
*本文作者:黄竞一
*向下滑动以查看更多*
魏冬冬
汇业律师事务所 合伙人
weidongdong@huiyelaw.com
业务领域:个人数据保护合规,人工智能合规,国际国内网络数据领域争议解决,国际数据隐私认证咨询,主要聚焦于中国企业出海全球的数据隐私合规。
深度研究:
北美:
欧洲:
东亚:
中东:
东南亚:
南亚:
南美:
非洲:
澳洲:
特别声明
本文仅代表作者本人观点,不代表汇业律师事务所任何律师所出具的法律意见或是对法律的解读。
如需转载,请联系我们获取授权。