本文来自微信公众号: Internet Law Review ,作者:Kyoungsic Min
当韩国电商巨头Coupang因数据泄露面临天价赔偿和国会质询时,外界看到的是一个对数据安全“零容忍”的严厉监管形象。然而,就在同一片土壤上,监管机构却正悄然为AI数据的“合法开采”铺设一条快车道——将“假名化”从单纯的技术防护手段,重塑为开启数据价值的核心法律闸门。
许多出海或面临类似严格监管的中国科技企业,对于大量数据常陷入“要么不用,要么违规”的窘境。韩国模式展示了一条中间路径:通过满足“假名化”这一结构性条件,企业可以在无需逐项获取用户同意的情况下,将数据用于AI训练与科学研究。韩国的实践,本质上是在测试隐私保护红线的“弹性限度”——在不放弃核心原则的前提下,法律框架能被多大程度地主动解释,以容纳AI驱动的创新。
将昨天发布的《Coupang数据泄露启示录:风险传导链与“立体化危机”》与本文并置阅读,价值会加倍凸显。前者是“破”的案例,展示了越界者将付出何等代价;后者是“立”的蓝图,指明了在边界内开拓的合法空间。一破一立,完整勾勒出韩国数据治理的战略全景。
各国监管机构都在探索如何在不损害数据保护的前提下支持人工智能发展的不同途径。韩国采取了一条尤为独特的道路。2026年3月31日,韩国个人信息保护委员会发布了修订后的《假名化信息处理指南》,此举标志着韩国在正式维护数据保护核心原则的前提下,尝试探索数据保护边界的拓展空间。
韩国并未放松数据保护框架,而是将假名化转变为监管门槛——一种允许在未经同意的情况下使用某些数据的法律条件。这种转变并非仅由立法驱动。通过近期出台的监管指导意见和最高法院的一项重要判决,韩国正在构建一个假名化功能远不止于降低风险的体系:它还决定了谁可以使用数据、在何种条件下以及出于何种目的。
一、假名化作为一种内置的法律途径
要理解这种转变,必须考察韩国法律中关于假名化的规定。韩国《个人信息保护法》允许在“未经同意”的情况下使用假名化数据,用于统计、科学研究和公共利益记录等目的,并围绕假名化构建了数据整合框架。
至关重要的是,在韩国,假名化不仅仅是建立在独立法律基础之上的一项保障措施,而是作为一项前提条件嵌入法律之中,使得二次使用成为可能。
这与欧盟《通用数据保护条例》(GDPR)下的实践存在关键区别。在欧盟,尤其是在人工智能训练领域,首要问题是能否确立合法依据(例如合法利益),而假名化则作为一种支持该依据的措施。相比之下,在韩国,假名化则成为进入某种法律体系的入口,该体系允许在未经同意的情况下进行某些类型的数据处理。
2026年指南的意义不在于创建这一结构,而在于将已存在的法律设计付诸实施,并将其转化为适用于现实世界数据使用(包括人工智能开发)的框架。
二、PIPC:从法律设计到运营框架
2026年指南的核心特点是转向基于风险的、情境化的假名方法。该指南没有通过固定的技术阈值来定义它,而是强调诸如处理环境、访问控制、预期用途和残余的再识别风险等因素。
这使得假名化不再仅仅是一种技术状态,而成为一种可控状态。同时,它也指明了一个明确的管理方向:通过结构化地使用假名化数据来促进人工智能的发展。
重要的是,该指南明确地将这一框架与人工智能开发的实际情况相结合。指南阐明,当人工智能开发和服务改进涉及假设设定、数据分析、验证和迭代改进时,即可被视为“科学研究”。指南还提供了具体示例,包括欺诈检测系统、医学影像分析、聊天机器人和智能闭路电视监控系统。
此外,该指南允许组织为同一数据集的密切相关的下游用途定义可扩展的目的,这反映了人工智能模型开发的迭代和累积性质。
这些进展建立在早期监管工作的基础上。2024年,韩国个人数据保护委员会(PIPC)明确指出,在特定情况下,公开可用的个人数据可根据合法利益条款用于人工智能开发。2025年,该委员会发布了关于生成式人工智能开发和部署的指导意见,旨在降低企业在使用大型语言模型时面临的不确定性。
此次修订的时机也颇具深意。2024年版指南设想的审查周期为三年,预计修订时间在2027年左右,但2026年的更新却比预期提前到来——这表明监管机构对人工智能发展的需求做出了更快、更积极的回应。
综合来看,这些措施表明,韩国PIPC不仅仅是在解释现行法律,而是在积极塑造该法律在实践中的运作方式,以促进人工智能数据的使用。
三、最高法院:限制事前抵抗
司法解释也强化了这一趋势。2025年7月,韩国最高法院裁定,就数据主体请求暂停处理的权利而言,假名化不构成“处理”。
韩国法院强调,假名化本质上是一种旨在降低识别风险的措施,并提及了促进人工智能、云计算和物联网等新兴领域数据使用的立法目的。
实际效果显而易见。法院将假名化排除在该权利的适用范围之外,从而缩小了数据主体在早期阶段阻止数据使用的一种潜在途径。
这样做,司法部门也为更广泛的转变做出了贡献:以一种减少数据使用摩擦并支持数据驱动创新的方式来解释假名化框架。
四、一种新型的隐私治理
但这并不意味着安全保障措施就此消失。韩国假名化数据仍然受到监管,核心义务依然适用。
但实际上,一旦数据被合法收集,假名化就为在人工智能开发中无需额外同意即可重复使用这些数据开辟了一条广阔的道路——而且,根据2025年最高法院的裁决,数据主体实际上很难事先阻止这种情况。
韩国模式的独特性在此得以凸显。立法设计、监管指导和司法解释正朝着共同的方向发展:将假名化不仅视为一种保障措施,更视为一种促进和规范合法数据使用的机制,并限制数据主体在实践中的干预空间。
韩国正朝着一种积极解读法律框架以支持人工智能训练的模式发展——在隐私法框架内测试数据使用的界限。
韩国并没有通过削弱人工智能与隐私之间的任何一方来解决二者之间的矛盾,而是在探索如何扩展现有的法律框架以适应数据驱动的创新。机遇显而易见,风险也同样突出。随着假名化从一种保护措施演变为合法化的途径,它开始重塑数据保护本身的架构。