2025年2月5日,韩国电商平台Coupang披露,其去年11月确认的用户个人信息外泄事件实际波及范围远超预期。这场超过3300万韩国用户的个人信息泄露事件,将电商巨头Coupang推上舆论风口。此次数据泄露覆盖韩国近三分之二人口,堪称该国近年来最严重的信息安全危机事件之一。

本该加密封存的用户姓名、手机号、家庭住址、完整订单等个人信息,被未回收权限的离职员工非法窃取,在暗网公然流通,直接引发全国性精准诈骗狂潮,导致民众财产受损、人心惶惶。这件事经过发酵、舆论轰炸,平台才仓促回应,妄图用“系统漏洞”、“员工个人操作”草草搪塞。

更可怕的是,这并不是个例——数据隐私在发展的历程中,不乏重大事件推动国家立法的修订。今天小编带大家看看中、日、韩三个国家数据隐私的前世今生,了解数据隐私在不同的互联网时期,是如何变化发展的,并且在信息科技时代,我们应该如何保护个人数据隐私[7]。

第一部分:数据隐私立法的发展与对比

我们先来看看三个国家对于数据隐私发展的过程:

中国:在2004年中国正式启动隐私保护法草案起草工作——2017年正式实施《网络安全法》——2021年颁布《个人信息保护法》与《数据安全法》,三部核心法律共同构成中国数据三法[3]。

(中国的三部核心法律)

日本:1980年起民众对隐私保护有初步认识——随着欧盟《数据保护指令》的出台,正式推进综合性个人信息保护立法的筹备工作——2003年正式颁布《个人信息保护法》——因欧盟《通用数据保护条例》的修订,于2015年修改法案并与国际接轨——2020 年再次修订,直到2022年正式生效[1]。

韩国:随欧盟《数据保护指令》的出台,韩国颁布首部针对公共机构的隐私保护专门法律——2010年起正式颁布《个人信息保护法》——2023年、2025年、2026年分别再次修订《个人信息保护法》,持续优化个人信息保护规则体系[4]。

总的来说,日本数据隐私立法起步时间最早,与国际标准联系最紧密;韩国、中国专项立法相对较晚。在发展全球数据治理的背景下,三国都通过分阶段立法、多次修订,逐步建成体系化的个人信息保护法律体系[5]。

既然三个国家对于数据隐私的法律的发展时间有所不同,那么他们法律涉及的范围是否有所不同呢?小编对于三国的法律条文进行了收集与分析,并得出以下结论:

(中日韩个人信息保护法律差异[5])

正因为各个国家侧重点不同,恰恰说明,数据隐私保护法在发展的道路上从来没有完整的“标准答案”。三个国家对各自法律的界定,本质上是各国在数字经济时代下,对社会需求、数据安全和个人隐私的重视。这种差异并非对立,它既体现了各国在数位时代维护自身主权与利益的关系,也证明了“和而不同”才是数据治理走向成熟的必经之路[2]。

第二部分:互联网技术的演进脉络

互联网对于大多数人而言,无非是打开计算机或手机,甚至滑动手表就可以轻松使用。从只能看网页,到能发朋友圈、拍视频,再到如今的去中心化、数据所有权等,其实背后隐藏着互联网三代的历史变革。

(网络时代趋势WEB1.0-3.0)

Web 1.0时期——

时间:约1990年–2004年

核心特征:“唯读”网络

特征:互联网内容主要由记者、机构等专业人士来创建和发布,其中网站以固定页面为主,功能简单,主要用于信息展示。使用者只能被动浏览、检索信息,无法互动或创作内容。

代表:网景(Netscape)、雅虎(Yahoo)等早期门户网站

web2.0时期——

时间:约2004年–2006年起至今(目前仍为主流)

核心特征:“读写”网络互动与使用者生成内容

特征:互联网从“唯读”升级为“可写”,使用者成为内容创造者,社交媒体视频平台、博客的兴起,将重点转向用户的互动与体验。移动互联网与智慧手机的普及进一步推动了Web 2.0的发展。

代表:Facebook、Twitter、YouTube、TikTok等平台

Web 3.0时期——

时间:2006年提出,2014年开始加速发展,2021年关注度爆发

核心特征:“读写拥有” 、去中心化、使用者拥有所有权

特征:有两种主要定义

1.语义网(蒂姆·伯纳斯-李提出),通过人工智能和语义互联,实现更智慧、跨平台的数据联系。2. 区块链驱动的Web3(加文·伍德等提出),利用区块链、智慧合约和加密货币构建去中心化网络,使用者真正拥有自己的数据、身份和数位资产。

核心突破:重新定义“数字所有权”,减少对中心化平台的依赖。目前行业常用缩写 “Web3”多指基于区块链的版本。

我们可以看到,从只能被动看信息的唯读时代,到人人能发内容、互动社交的读写时代,再到如今追求数据自主的拥有时代,每一次技术升级,都在深刻改变我们的生活,也不断带来新的隐私与安全问题。

第三部分:技术-社会互构之下的数据隐私

技术在变,社会风险也在变,但法律与规则,是在技术与社会的互相影响中之间逐渐成型的,这也对应着新闻传播学的技术-社会互构理论[19]。

那什么是技术-社会互构理论?通俗来说就是技术与社会之间,从来不是谁决定谁的关系,而是在不断实践过程中相互塑造、共同成长。那么就对技术改变一切的技术决定论和社会决定技术的社会构建论进行质疑,对于这两种单向的认识,双向的认识更具有时代推动力[18]。

小编制作了一个简图带大家理解:

(技术-社会互构理论)

web1.0时代,数据隐私风险主要来自公权力,中日韩都处在隐私保护启蒙阶段。对于国际技术环境——全球数据流程动导致三个国家的社会或民众对数据隐私的立法愈发强烈。也正是这些早期社会反应,为之后的数据隐私的立法进行铺垫。

事件:1970年代,日本发生了“国民总编号制度”争议事件[10],政府计划推行统一国民编号系统,引发全社会对“国家监控”的恐惧与大规模抗议。这是民众推动法律的发展,也是最先开始对数据隐私的重视,成为后续日本推进隐私保护立法的重要社会基础,体现了社会诉求对技术发展的约束[1]。

1994年和1999年,韩国发布两部法律构成双轨制立法,既是电子政府的建设,也是信息产业的技术发展需求,更是国家预见性立法的需求。构建了国家产业与行政的规划需要,体现了技术发展对立法的前置性推动[4]。

(韩国发布两部法律构成双轨制立法)

中国尚未对数据隐私有系统立法,无大规模数据获取和隐私维权,数据隐私保护主要依赖《民法通则》中的隐私权概念,并且公众隐私意识薄弱。这一阶段技术萌芽的滞后,导致社会层面的隐私保护需求尚未形成,立法也处于空白状态,体现了技术发展对社会需求的基础性影响。

这是一个“唯读”的早期互联网时代,是一个用户被动浏览、数据获取受限的时代。受全球数据流动的影响,日本因国民编号事件推动隐私意识觉醒,韩国为电子政务与产业发展提前立法,中国公众意识薄弱,并且依赖民法。这些早期社会与立法实践,也为后续的数据隐私治理埋下伏笔。

web2.0时代,互联网经济的不断崛起,数据成为核心要素。科技时代之下的数据隐私越发重要,技术不断造福人类,也随之带来隐私风险。通过法律的不断修订,加强保护民众数据隐私安全。

事件:2002年,日本政府强制推行“Juki-Net”系统,引发民众大规模的隐私抗议。这是民众对数据隐私重视的体现,对“Juki-Net”系统技术的质疑,其本质是公众否定技术的盲目推进,平衡技术发展和公民权利。推动日本加快《个人信息保护法》的立法筹备,体现了社会诉求对技术发展的矫正,以及对立法的直接推动[1]。

2011年,韩国SK通讯、三星等巨头接连泄露数千万使用者信息,暴露双轨制的缺点,导致全民陷入信任危机,反映了民众对技术的不满。这一社会诉求直接推动了韩国隐私保护法的进一步修订,通过强化私营企业的数据保护责任[14],促进立法体系的完善。

(韩国SK通讯、三星等巨头接连泄露数千万使用者信息)

2013年,中国用户朱烨起诉百度用Cookie进行精准广告推送,侵犯了个人隐私,在二审时最终败诉。这一事件的发生,启蒙了公众权利意识,是技术的发展和社会的认识推动对个人隐私的关注,是技术和社会相互协调的结果,为立法奠定社会基础[12]。

作为“可读写使用者生产内容” 的互联网时代,以移动互联网普及、大数据技术广泛应用以及平台大规模收集使用者数据为核心技术特征。这种技术重塑社会发展,使得中日韩三国都出现平台数据泄露、过度采集等数据隐私安全事件,这些事件直接推动各国加快隐私立法进程,对数据加密、规范使用等技术进一步升级。

Web3.0时代,大数据、人工智能的普及,催生了更隐蔽的算法滥用、隐私暴露等数据风险,随着智慧技术持续迭代,社会环境的不断变化,加强数据隐私法律的升级[16]。

事件:2019年,日本瑞可利公司未经求职者同意,用AI分析其浏览数据,并出售“离职倾向预测评分”,这既是AI技术的发展催生了新型算法滥用,又推动社会对“算法公平”的需求升级,实现技术发展与社会公平的双向合作[13]。导致日本在 2020 年修订《个人信息保护法》时,新增对算法处理个人信息的规范条款,规范了了技术创新带来的新型风险,推动社会需求升级与立法的精细化规制[11]。

(2019年的日本Rikunabi事件)

2025年,韩国Coupang内部泄露使用者信息、Kakao Pay违规跨境传数据、Upbit交易所遭黑客攻击,这三件事件都是技术发展带来数据隐私的侵袭,社会对隐私安全的强烈诉求,推动韩国进一步完善《个人信息保护法》,强化对跨境数据传输、虚拟资产平台数据保护的监管,体现了技术发展带来的风险升级,推动立法对新场景、新领域的覆盖[17]。

(韩国Coupang大规模泄露案)

2021年,在中国的人脸识别第一案中,消费者郭兵因动物园强制刷脸入园起诉,最终胜诉。该案的背景是人脸识别技术在各场景的广泛应用,技术的普及带来了 “强制生物信息采集” 的隐私风险,而民众对个人生物信息隐私的清晰认知,让法院作出了有利于原告的判决。这一案例推动中国在 2021 年实施的《个人信息保护法》中,专门新增对生物识别信息的严格保护条款,体现了技术应用与社会隐私诉求的相互制约,进而推动立法对特殊敏感性数据的重点保护[8]。

在“读写拥有、去中心化”的互联网时代,以人工智能、算法分析、数据所有权为核心特征,这些技术重塑社会数据的发展,但也容易造成算法滥用、隐私暴露等更隐蔽的隐私数据危险,然而这些危险共同推动数据隐私法律不断完善,约束技术应用行为,引导技术在合规框架内发展,平衡技术创新与数据隐私保护[16]。

纵观这三个时代,从Web1.0的启蒙,到Web2.0的立法推进,再到Web3.0的规制平衡,中日韩三国的数据隐私治理,始终围绕“技术塑造社会、社会推动立法、立法反塑技术”的方式展开,而技术与社会的双向发展,也成为各国应对数据隐私挑战、实现技术创新的发展途径[18]。

第四部分:Web 3.0+时代的数据归属与治理挑战

现如今,科技发展让我们步入web3.0+时代,使用者主权与数据确权成为重中之重。技术和社会的平衡发展成为这一时代重要课题,更对三个国家的“数据处理者”为中心的法律框架构成根本性挑战。

所谓Web3.0+时代并非是对Web3.0时代的否定,而是基于Web3.0时代的技术体系有了更高层次的飞跃。中国秉持“拥抱创新、防范风险”的审慎监管态度,以国家主导构建社会体系,服务于国家战略发展;日本则聚焦“可信数据流程通”,基于个人信息保护下,通过匿名化技术创新,为数据利用开辟合规空间[15];韩国将传统数据保护的“强监管”基因,平移到虚拟资产、元宇宙等新场景[2],规范数据与资产的重要体现。

中日韩三国基于自身的社会需求与发展战略,在数据归属问题上走出了不同的探索路径,每一种路径都是技术塑造社会需求、社会需求反塑技术发展与立法探索的直接体现。但技术与社会在互构关系下,也带来了诸多挑战。

首先,去中心化让 “数据处理者” 难以界定。传统隐私监管的对象是企业、平台等主体,去中心化后,监管主体分散模糊,原有监管体系失去作用。其次,数据资产化模糊了个人信息与数据资产的边界。传统立法以保护个人可识别信息为核心,数据变成可交易资产后,难以在保护隐私与数据价值之间取得平衡。最后,跨境匿名数据流程动冲击境内监管体系。传统立法都以境内监管为主,对跨境数据的监管有一定要求,但数据支援匿名化、全球化后,数据主权的监管面临新的压力[6]。因此,未来的立法与监管,必须紧跟技术新特征、回应社会新需求,在动态调整中不断完善。

第五部分:总结与反思

中日韩三国的数据隐私治理,核心就围绕一件事:技术在变,我们对隐私的需求在变,法律也跟着不断完善。从最早Web1.0的隐私启蒙,到Web2.0时代的立法推进,再到现在Web3.0时代应对新挑战,最后到web3.0+时代技术的更新,每一次互联网升级,都会带来新的隐私风险,但也正是这些风险和我们的诉求,推动三国走出了不同的隐私保护之路。三国侧重点的不同,但核心都是平衡社会与技术之间的关系,遵循“技术塑造社会、社会推动立法、立法反塑技术”的螺旋式上升发展。

在最后,小编想对大家提出三点保护个人数据隐私的方法:一是谨慎授权,非必要不向APP、网站开放隐私权限,不泄露核心敏感信息;二是规范操作,及时更新系统和APP,设置安全密码,警惕可疑连结与诈骗;三是主动维权,发现信息泄露及时保留证据、投诉反馈,运用法律维护自身权益[9]。

参考资料:

张红. (2020). 大数据时代日本个人信息保护法探究. 财经法学, 3, 150-160.

彭岳. (2022). 数据隐私规制模式及其贸易法表达. 法商研究, 39(5), 102-117.

张平. (2017). 大数据时代个人信息保护的立法选择. 北京大学学报 (哲学社会科学版), 54(3), 143-151.

陈美. (2021). 韩国开放政府数据的隐私风险控制研究. Information studies: Theory & Application, 44(8), 181.

Lim, S. and Oh, J. (2025). Navigating Privacy: A Global Comparative Analysis of Data Protection Laws. Iet Information Security, 2025(1). https://doi.org/10.1049/ise2/5536763

个人数据跨境流动——中日韩合作规制进路探析[J]. 山东科技大学学报(社会科学版), 2021, 23(04): 55-63 DOI:10.16452/j.cnki.sdkjsk.2021.04.007

汇业律师事务所https://www.huiyelaw.com/news-4134.html

最高人民法院https://baijiahao.baidu.com/s?id=1696624594399118105&wfr=spider&for=pc

汉江中级人民法院http://www.hjzy.hbfy.gov.cn/DocManage/ViewDoc?docId=40f1a13a-cafb-4a25-9f8d-e0210b9dcb3d

天衡联合律师事务所https://www.tenetlaw.com/legal-detail?id=334

日本总务省https://www.soumu.go.jp/main_sosiki/jichi_gyousei/c-gyousei/zairyu/chi_kan/index.html

知乎《关于cookie 隐私,一审选了用户,二审投了百度》王融https://zhuanlan.zhihu.com/p/37817772

在 Recruit/Rikunabi DMP 事件後,如何平衡治理與挑戰https://www.works-i.com/works/special/no187/organizational_fraud-13.html

新华财经https://www.cnfin.com/world-xh08/a/20121226/1096095.shtml

中国法院网《日本数据跨境流动的治理规则》https://www.chinacourt.cn/article/detail/2024/08/id/8090581.shtml

张一帆. 智媒体时代数据隐私的法律保护研究[J]. 法学, 2023, 11(6): 5512-5518.

中国法院网韩国《人工智能基本法》概述https://www.chinacourt.cn/article/detail/2025/07/id/8909453.shtml

張寧,高鵬程.生成式人工智能情感模擬的倫理風險與治理路徑:基於技術—社會互構理論框架的分析[J].科學決策,2025,(02):123-134.

张燕, & 邱泽奇. (2009). 技术与组织关系的三个视角. #i{社会学研究}(2),16.

(作者信息:戴利鸿、林依晴、李安童、温舒雯、吴泽松、殷瑜禧、张郑平。香港教育大学新媒体与社交媒体专业硕士生,排名顺序按姓氏A-Z进行)