韩国

Bithumb因未获同意跨境传输用户数据被韩国罚款2.1亿韩元——同一调查中被确认违规的只有Bithumb,Upbit未被认定违规

Posted on by Pony
25
6 月

Aiying 艾盈一家专注加密资产合规咨询服务机构,本文为团队原创,转载需授权。

6月24日,韩国个人信息保护委员会(PIPC)召开第12次全体会议,决定对加密交易所 Bithumb 处以2.1亿韩元罚款(约合人民币110万元),并下达整改命令(NoCut News, 2026-06-25)。PIPC 调查认定,Bithumb 在订单簿共享和虚拟资产转移两个环节中,未取得用户单独同意即向境外传输个人信息,违反韩国《个人信息保护法》(Personal Information Protection Act)的跨境转移条款。

Bithumb 到底做了什么?

订单簿共享:告诉用户是”Stellar”,实际发给了 bingx.com

2025年9月至11月,Bithumb 在 USDT 市场与海外交易所共享订单簿。期间 Bithumb 告知用户其个人信息将转移至”Stellar 交易所”并据此取得了用户的单独同意——但 PIPC 调查发现,实际的接收方是另一家交易所 bingx.com 运营的系统。被传输的数据包括会员编号(member numbers)和订单信息(order information)。PIPC 就此环节单独开出1.2亿韩元罚单Seoul Economic Daily, 2026-06-25)。

虚拟资产转移:以反洗钱为由向13家海外交易所提供用户信息

在用户将虚拟资产提取至海外交易所时,Bithumb 以反洗钱(AML)为由,向13家海外交易所提供了发送人和接收人的姓名、钱包地址、出生日期等信息。PIPC 承认反洗钱目的下提供信息存在必要性,但指出跨境个人信息转移与数据主体的自我决定权密切相关,法律要件和程序必须严格遵守。Bithumb 在未取得用户单独同意的情况下完成了这些跨境传输,因此被追加处罚9000万韩元

对比:Upbit 为什么没事?

PIPC 同时对 Upbit 的订单簿共享行为进行了调查——Upbit 与 Upbit APAC(其亚太关联公司)之间的订单簿共享未被认定存在违规。PIPC 官员向 Digital Asset 确认,Upbit 运营方 Dunamu 未发现违反跨境转移规定的情形。关键区别在于:Upbit 的订单簿共享对象是其自身的关联实体,且在数据传输流程中合规处置了用户的知情同意权——而 Bithumb 的核心违规不在于”共享了数据”,而在于告知的内容与实际操作不符

为什么这个案例对加密行业很重要?

个人信息跨境转移:加密交易所的合规盲区

全球加密交易所出于流动性和反洗钱目的进行跨司法管辖区数据共享,是行业常态。但大多数交易所在这一环节的合规基础设施严重不足——用户协议中的通用数据条款通常不足以满足 GDPR、韩国 PIPA 等法律对“单独同意”(separate consent)的严格要求。Bithumb 被罚的核心不是”共享数据”本身,而是告知与实操之间的断裂:告诉用户数据去 A,实际去了 B。这种合规漏洞在其他司法管辖区同样存在。

韩国 PIPC 在树立一个明确信号

PIPC 在本次调查中同步制定了《区块链服务个人信息保护指南》,针对性提出三项措施:针对区块链透明性——防止链上信息披露与追踪;针对去中心化——管理参与者间的信息共享;针对不可篡改性——提供个人信息的销毁方法。PIPC 声明将继续对违反个人信息保护法的行为做出严格回应,”以确保公众的信息自我决定权不受侵犯”。这释放了一个明确信号:区块链的技术特性不是逃避数据保护义务的理由

加密行业的 AML 合规与隐私保护的张力

Bithumb 案暴露了加密行业一个深层次的合规矛盾:反洗钱(AML)要求信息共享,但数据保护法要求取得用户同意。在传统金融体系中,银行间的 SWIFT 报文传输、KYC 信息共享都有成熟的法律基础。加密交易所的跨境 AML 数据共享缺乏同等级的法律基础设施。PIPC 承认反洗钱的必要性,但给出的答案是”程序必须合规”——这暗示未来的方向可能是建立标准化的跨境数据共享协议和监管沙盒,而非豁免数据保护义务。

怎么看

  • Bithumb 罚单的真正教训不是”不要共享数据”,而是”不要撒谎”:告诉用户数据去 Stellar 实际去了 bingx.com——这比未经同意共享数据本身更致命。PIPC 对虚假告知的容忍度为零
  • Upbit 的免罚为行业提供了一个合规样本:关联实体间的订单簿共享,如果流程设计得当,是可以满足数据保护法要求的。关键不在于”能不能共享”,而在于”以什么方式共享、是否获得了有效同意”
  • 2.1亿韩元的罚款金额本身不是主要威慑:对于一个头部交易所来说,这个金额不大。但 PIPC 同步发布的区块链隐私指南和”信息自我决定权”的叙事框架,才是未来执法的风向标
  • 亚太地区的加密监管正在从”牌照框架”延伸到”数据合规”:日本、韩国、新加坡、香港都在加密数据保护方面加强执法。交易所如果只关注金融牌照而忽视数据保护合规,下一个 Bithumb 可能就是自己

一句话总结

Bithumb 被罚不是因为共享了用户数据,而是因为告诉用户数据去了 A、实际去了 B——在个人信息保护的时代,合规不能靠”差不多”。韩国的这个判例,值得所有做跨境业务的加密交易所认真读一遍。

来源:NoCut News (CBS, 2026-06-25)Seoul Economic Daily (2026-06-25)Digital Today (2026-06-25)CoinNess (2026-06-25)吴说区块链 (2026-06-25)

Pony

Pony Young,艾盈(Aiying)合伙人,专注亚太加密资产合规咨询。拥有香港/新加坡金融牌照法律实务经验,为超过 100 家加密及传统金融机构提供 VASP 牌照、反洗钱合规、加密基金架构、加密支付牌照、MiCA 合规等服务。运营 aiying.cc 加密合规资讯平台,致力于搭建亚太加密合规知识体系。