Південна Корея оштрафувала Bithumb на 210 мільйонів вон за два порушення передачі персональних даних за кордон.

Південнокорейська Комісія із захисту персональних даних (PIPC) 25 червня оголосила про накладення штрафу на криптобіржу Bithumb у розмірі 210 мільйонів вон за порушення правил передачі персональних даних за кордон згідно із Законом про захист персональних даних у двох бізнес-сценаріях: спільне використання книги ордерів та переказ віртуальних активів. Штраф за порушення спільного використання книги ордерів становить 120 мільйонів вон, а за порушення AML-переказу віртуальних активів — 90 мільйонів вон.

Штраф за спільне використання книги ордерів у 120 мільйонів вон: згода надана Stellar, але дані фактично передано BingX

Розслідування PIPC було ініційоване на основі питань, порушених під час парламентського аудиту минулого року (2025). Розслідування показало, що у період з вересня по листопад 2025 року Bithumb під час спільного використання книги ордерів ринку Tether (USDT) із закордонною біржею здійснювала транскордонну передачу персональних даних.

Конкретне порушення полягало в тому, що користувачів просили надати окрему згоду на передачу їхніх персональних даних біржі Stellar, однак результати розслідування показали, що номери членів та інформація про ордери фактично передавалися системі, керованій іншою біржею (bingx.com), а не зазначеному в формі згоди отримувачу. За це порушення PIPC наклала штраф у 120 мільйонів вон.

Порушення AML-переказу віртуальних активів: передача даних 13 закордонним біржам без окремої згоди

Розслідування також виявило, що для виконання зобов'язань з боротьби з відмиванням коштів (AML) під час переказу віртуальних активів користувачами на закордонні біржі Bithumb передавала 13 закордонним біржам імена відправників та отримувачів, адреси гаманців та інші деталі, не дотримавшись повністю вимог Закону про захист персональних даних щодо транскордонної передачі, зокрема не отримавши окремої згоди суб'єктів даних. PIPC наклала за це порушення штраф у 90 мільйонів вон.

PIPC заявила: «Хоча ми визнаємо необхідність надання персональних даних для боротьби з відмиванням грошей, транскордонна передача персональних даних тісно пов'язана з правом суб'єктів даних на самовизначення, тому необхідно суворо дотримуватися законодавчих вимог і процедур».

Комісія із захисту персональних даних публікує «Керівництво із захисту персональних даних у блокчейн-сервісах»

На основі цього розслідування PIPC, враховуючи особливості технології блокчейн, розробила «Керівництво із захисту персональних даних у блокчейн-сервісах», яке охоплює заходи захисту для трьох технологічних характеристик: запобігання витоку та відстеженню ончейн-інформації через прозорість; управління спільним використанням інформації між учасниками через децентралізацію; та визначення відповідного шляху знищення персональних даних через неможливість зміни.

Поширені запитання

У чому конкретно полягало порушення спільного використання книги ордерів Bithumb?

З вересня по листопад 2025 року Bithumb, ділячись книгою ордерів ринку USDT, вимагала від користувачів окремої згоди на передачу даних біржі Stellar, однак розслідування показало, що номери членів та інформація про ордери фактично передавалися системі, керованій bingx.com, що не відповідало зазначеному в формі згоди отримувачу. PIPC наклала за це штраф у 120 мільйонів вон.

Чи звільняє мета AML від вимог Закону про захист персональних даних щодо транскордонної передачі?

Відповідно до цього рішення PIPC, мета AML автоматично не звільняє від вимог законності транскордонної передачі. PIPC чітко заявила, що навіть надання персональних даних для боротьби з відмиванням грошей все одно вимагає суворого дотримання відповідних законодавчих вимог і процедур Закону про захист персональних даних, включаючи отримання окремої згоди суб'єкта даних.

Для яких трьох технологічних характеристик блокчейну «Керівництво із захисту персональних даних у блокчейн-сервісах» передбачає заходи захисту?

Керівництво орієнтоване на три основні технологічні характеристики блокчейну: (1) прозорість — запобігання витоку та відстеженню через публічність ончейн-інформації; (2) децентралізація — регулювання механізмів обміну інформацією між учасниками; (3) неможливість зміни — визначення шляхів законного знищення персональних даних.