核心摘要
- 韩国个人信息保护委员会(PIPC)于 2026 年 6 月 24 日对加密交易所 Bithumb 处以 2.1 亿韩元(约 15.1 万美元)罚款,并下达整改命令。
- 处罚分两部分:订单簿共享违规 1.2 亿韩元(用户同意数据传至 Stellar,实际流向 bingx.com);AML 提币信息转移 9000 万韩元(向 13 家海外交易所提供转账人/收款人姓名与钱包地址,未获单独同意)。
- 同一调查中,Upbit 运营方 Dunamu 未被认定违规——PIPC 确认其订单簿共享未违反跨境转移规定,未受处分。
- PIPC 同步发布《区块链服务个人信息保护指南》,针对区块链透明性、去中心化、不可篡改性三大技术特征提出个人数据处理标准。
- Bithumb 2026 年 3 月已被 FIU 处以 368 亿韩元(约 2,460 万美元)AML/KYC 罚款,叠加 2026 年 9 月即将生效的 PIPA 修订(最高可罚营收 10% + CEO 个人问责),韩国加密交易所数据合规压力进入临界点。
📑 文章目录
- 事件概述:两笔罚款的具体违规事实 — 订单簿共享误导 + AML 信息转移未获同意
- 与 Upbit 的差异化处理 — 同一调查、不同结论的合规启示
- Bithumb 的多重监管压力 — FIU 368 亿罚款 + 9 月 PIPA 修订的叠加冲击
- 区块链服务个人信息保护指南 — PIPC 首份针对区块链技术特征的专项指南
本文由 Aiying 艾盈合规团队原创,转载需授权。
2026 年 6 月 24 日,韩国个人信息保护委员会(Personal Information Protection Commission, PIPC)在首尔政府大楼召开全体会议,决议对加密交易所 Bithumb 处以 2.1 亿韩元罚款,并下达整改命令,要求其合法满足《个人信息保护法》(Personal Information Protection Act, PIPA)下的跨境转移要求。这是韩国数据监管机构首次因订单簿共享与加密资产转移中的个人信息跨境问题对持牌交易所作出正式处罚(Seoul Economic Daily,2026-06-25)。
一、事件概述:两笔罚款的具体违规事实
违规一:订单簿共享中的误导性同意(1.2 亿韩元)
调查源于 2025 年国会审计期间提出的疑议——Bithumb 在订单簿共享过程中涉嫌非法向海外转移个人信息。PIPC 调查确认:2025 年 9 月至 11 月期间,Bithumb 在 USDT 市场与海外交易所共享订单簿时,告知用户个人信息将传输至特定交易所(Stellar)并获得单独同意,但实际却将会员编号和订单信息发送至另一交易所(bingx.com)运营的系统。
这一行为构成对 PIPA 跨境转移条款的违反。PIPC 指出,跨境个人信息转移「与数据主体的自决权密切相关」,法律要求与程序必须严格遵守(Yonhap,2026-06-25)。对此部分违规,PIPC 处以 1.2 亿韩元罚款。
违规二:AML 背景下的信息转移未获单独同意(9000 万韩元)
第二项处罚针对 Bithumb 的加密资产提币流程。当用户将虚拟资产提现至海外交易所时,Bithumb 基于反洗钱(AML)目的,向 13 家海外交易所提供了转账人与收款人的姓名及钱包地址,但未就该等个人信息跨境转移取得数据主体的单独同意。
PIPC 承认反洗钱场景下提供信息的必要性,但强调「跨境转移个人信息与数据主体自决权密切相关」,即使出于合规目的,法律程序亦不可绕过。最终对此部分处以 9000 万韩元罚款(吴说区块链/CBS,2026-06-25)。
除罚款外,PIPC 还要求 Bithumb 在其个人信息处理政策中明确披露并解释跨境转移的相关细节,确保用户知情权。
二、与 Upbit 的差异化处理
同一调查、不同结论
PIPC 的调查范围不仅限于 Bithumb。韩国最大交易所 Upbit 的运营方 Dunamu 同样因订单簿共享中的个人信息跨境问题被纳入调查。然而,PIPC 最终认定 Upbit 与 Upbit APAC 之间的订单簿共享未违反跨境转移规定,Dunamu 未受任何处分。
这一差异化处理揭示了韩国加密交易所数据合规的核心分水岭:问题不在「是否共享数据」,而在「共享方式是否满足 PIPA 标准」。Bithumb 的违规本质上是告知与实际传输目标不符——用户以为数据流向 Stellar,实则是 bingx.com,构成了对同意机制的破坏。Upbit 则显然在告知与实质一致性上通过了合规审查(Seoul Economic Daily,2026-06-25)。
三、Bithumb 的多重监管压力
368 亿韩元 AML/KYC 前置罚款
此次 PIPC 罚款并非 Bithumb 2026 年面临的唯一监管打击。2026 年 3 月,韩国金融信息分析院(FIU)以反洗钱及客户身份识别(KYC)违规为由,对 Bithumb 处以368 亿韩元(约 2,460 万美元)罚款——这是韩国加密行业有史以来金额最高的 AML 处罚之一。FIU 在调查中识别出约 665 万项独立的 AML/KYC 合规缺陷(Crypto Briefing,2026-06-25)。
回顾 Bithumb 的合规记录:2017 年因客户数据泄露被罚 5,850 万韩元;2026 年 3 月 FIU 罚 368 亿韩元;2026 年 6 月 PIPC 再罚 2.1 亿韩元。十年间,同一交易所反复因数据处理问题被罚,指向系统性合规能力不足。
2026 年 9 月 PIPA 修订:罚则质的飞跃
更严峻的挑战即将到来。韩国《个人信息保护法》修订案将于 2026 年 9 月生效,新规带来两项根本性变化:
- 罚款上限大幅提高:严重违规可处企业总营收 10% 的罚款。以 Bithumb 的交易规模推算,这一数字将远超当前 2.1 亿韩元的量级。
- CEO 个人问责:企业管理层可因公司数据合规失败承担个人法律后果,包括刑事责任。
对于已背负 FIU 与 PIPC 双重处罚记录的 Bithumb 而言,9 月新规意味着合规窗口期仅剩约 3 个月(Crypto Briefing,2026-06-25)。
四、区块链服务个人信息保护指南
首次针对区块链技术特征的专项规则
在此次调查过程中,PIPC 同步制定了《区块链服务个人信息保护指南》,针对区块链技术的三大固有特征提出数据处理标准:
- 透明性风险:链上信息(记录在网络上的数据)的公开可见性可能导致个人信息泄露与追踪——指南要求服务方采取技术措施防止链上信息的过度暴露。
- 去中心化挑战:多个参与方之间的信息共享机制需要明确的管理边界,参与者之间的数据流动必须符合 PIPA 的同意与告知要求。
- 不可篡改性问题:鉴于区块链上数据的不可删除性,指南对个人信息的销毁义务提出了替代合规路径。
PIPC 官员表示:「我们将继续对违反保护法的行为(包括个人信息跨境转移)作出严格回应,并计划持续制定相关标准,使个人信息保护与安全利用在新科技环境中实现协调。」(Seoul Economic Daily,2026-06-25)
这份指南的发布时机表明:PIPC 并非单纯处罚,而是在建立适用于区块链行业的系统性合规标准。对于所有在韩国运营或与韩国用户交互的加密交易所而言,这已不再是可观望的软性指引,而是具有执法参照意义的硬性框架。
常见问题(FAQ)
Bithumb 被罚的核心违规是什么?
两项违规均涉及 PIPA 下的个人信息跨境转移未获单独同意。其一:订单簿共享中告知用户数据流向 Stellar,实际发送至 bingx.com,构成误导性同意。其二:在 AML 框架下向 13 家海外交易所提供转账人与收款人姓名及钱包地址,未就信息跨境转移取得数据主体的单独同意。
韩国加密交易所合规的紧迫性何在?
2026 年 9 月即将生效的 PIPA 修订将罚款上限提升至企业总营收的 10%,并引入 CEO 个人问责机制。对于已积累 FIU(368 亿韩元)与 PIPC(2.1 亿韩元)双重处罚记录的交易所而言,留给系统性数据合规改造的时间窗口不足三个月。
来源
- Seoul Economic Daily — Bithumb Fined 210 Million Won for Unauthorized Overseas Data Transfers(2026-06-25)
- Yonhap via Korean Vibe — Privacy watchdog fines Bithumb 210 mln won(2026-06-25)
- Crypto Briefing — Bithumb fined 210M won for user data transfer violations(2026-06-25)
- 吴说区块链/CBS — Bithumb 因未获同意向海外转移用户数据被罚 2.1 亿韩元(2026-06-25)