Южная Корея наложила штраф на Bithumb в размере 210 миллионов вон за два нарушения трансграничной передачи персональных данных.

Южнокорейская Комиссия по защите персональной информации (PIPC) 25 июня объявила о наложении штрафа в размере 210 миллионов корейских вон на криптовалютную биржу Bithumb. Причиной стало нарушение правил передачи персональных данных за рубеж в соответствии с Законом о защите персональной информации в двух сценариях: обмен книгами ордеров и передача виртуальных активов. Штраф за нарушение при обмене книгами ордеров составил 120 миллионов вон, за нарушение при передаче виртуальных активов в целях ПОД — 90 миллионов вон.

Штраф за обмен книгами ордеров — 120 миллионов вон: согласие было на Stellar, а данные фактически передавались на BingX

Расследование PIPC началось после вопросов, поднятых в ходе парламентского аудита в прошлом году (2025). Выяснилось, что в период с сентября по ноябрь 2025 года в процессе обмена книгами ордеров рынка Tether (USDT) с зарубежными биржами Bithumb осуществляла трансграничную передачу персональных данных.

Конкретное нарушение заключалось в следующем: пользователей просили дать отдельное согласие на передачу персональных данных бирже Stellar, однако по результатам расследования выяснилось, что номера участников и информация об ордерах фактически передавались в систему, управляемую другой биржей (bingx.com), а не тому лицу, которое было указано в согласии. За это нарушение PIPC наложила штраф в размере 120 миллионов вон.

Нарушение при передаче виртуальных активов в целях ПОД: предоставление персональных данных 13 зарубежным биржам без получения отдельного согласия

В ходе расследования также было установлено, что Bithumb в целях выполнения обязательств по противодействию отмыванию денег (ПОД) при переводе пользователями виртуальных активов на зарубежные биржи предоставляла 13 зарубежным биржам имена отправителей и получателей, адреса кошельков и другие подробные сведения, но при этом не в полной мере соблюдала требования Закона о защите персональной информации в части передачи за рубеж, включая получение отдельного согласия субъекта данных. За это нарушение PIPC наложила штраф в размере 90 миллионов вон.

PIPC заявила: «Хотя мы признаём необходимость предоставления персональных данных для борьбы с отмыванием денег, передача персональных данных за рубеж тесно связана с правом субъекта данных на самоопределение, поэтому необходимо строго соблюдать требования и процедуры, установленные законом».

Комиссия по защите персональной информации опубликовала «Рекомендации по защите персональных данных в блокчейн-сервисах»

На основе данного расследования PIPC разработала «Рекомендации по защите персональных данных в блокчейн-сервисах», учитывающие особенности технологии блокчейн. Рекомендации охватывают меры защиты по трём технологическим характеристикам: меры по предотвращению утечки и отслеживания информации в цепочке из-за прозрачности; меры по управлению обменом информацией между участниками из-за децентрализации; а также пути соблюдения требований по уничтожению персональных данных с учётом неизменности данных.

Часто задаваемые вопросы

В чём конкретно заключалось нарушение Bithumb при обмене книгами ордеров?

В период с сентября по ноябрь 2025 года при обмене книгами ордеров рынка USDT Bithumb указал в запросе на отдельное согласие, что передача за рубеж осуществляется бирже Stellar, однако расследование показало, что номера участников и информация об ордерах фактически передавались в систему, управляемую bingx.com, что не соответствовало указанному в согласии лицу. PIPC наложила за это штраф в размере 120 миллионов вон.

Освобождает ли цель выполнения требований ПОД от соблюдения требований к передаче за рубеж по Закону о защите персональной информации?

Согласно данному решению PIPC, цель выполнения требований ПОД не освобождает автоматически от необходимости соблюдения законности передачи за рубеж. PIPC чётко указала, что даже при предоставлении персональных данных для борьбы с отмыванием денег необходимо строго соблюдать соответствующие требования и процедуры Закона о защите персональной информации, включая получение отдельного согласия субъекта данных.

Для каких трёх технологических характеристик блокчейна разработаны меры защиты в «Рекомендациях по защите персональных данных в блокчейн-сервисах»?

Рекомендации направлены на три основные технологические характеристики блокчейна: (1) прозрачность — предотвращение утечки и отслеживания информации, раскрытой в цепочке; (2) децентрализация — регулирование механизмов обмена информацией между участниками; (3) неизменность — установление путей законного уничтожения персональных данных.