韩国政府高度重视数字经济,大力促进5G网络建设、人工智能人才培养、“数据大坝”、人工智能政府、智能医疗基础设施等领域发展。此外,韩国在电子商务、网络社交软件、互联网游戏等领域均已取得显著成就。在数字经济的推动下,韩国已具备成熟的数据保护法律体系,也成为数据监管最为严格的国家之一。
数据保护法律体系概况
韩国数据保护法律体系主要包括《个人信息保护法》(Personal Information Protection Act,以下简称 “ PIPA ”)、《信用信息使用和保护法》、《信息通信网络利用促进和信息保护法》,称为“数据三法”。其中,《信用信息使用和保护法》主要规范信用信息公司的数据处理行为,《信息通信网络利用促进和信息保护法》主要规范信息通信服务提供者的数据处理行为。因PIPA适用于所有领域的个人信息处理者,因此本文介绍在PIPA项下的数据合规。
除PIPA之外,韩国的个人信息保护委员会(Personal Information Protection Committee,以下简称“PIPC”)颁布了《个人信息保护法实施令》(Enforcement Decree of the Personal Information Protection Act)、《标准个人信息保护指南》(Standard Personal Information Protection Guidelines)、《个人信息保护指南》(Personal Information Protection Guidelines)、《违反个人信息保护法的处罚标准》(Standards for Imposition of Penalties for Violation of Personal Information Protection Act)、《关于个人信息影响评估的通知》(Notice on Personal Information Impact Assessment)、《个人信息技术和行政保护措施标准》(Standards for Technical and Administrative Protection of Personal Information)、《确保个人信息安全措施的标准》(Standards for Measures to Ensure the Safety of Personal Information)等。
适用范围
PIPA未明确一般个人信息处理者的域外适用范围,但对于符合以下条件的且在韩国没有地址或营业所的信息和通信服务提供者应指定国内代理人:(1)上一营业年度销售收入为一万亿韩元以上;(2)上一营业年度在信息通信服务领域的销售额达到100亿韩元以上;(3)上一年度末前三个月平均每天存储和管理100万以上用户个人信息;(4)违反PIPA规定,已发生或可能发生个人信息侵害事件或事故时,而被要求提交相关材料。
处理合法性基础
韩国关于数据处理合法性基础与《个人信息保护法》存在相似之处,可以对标《个人信息保护法》第13条进行交叉理解。
中国 | 韩国 |
1. 取得个人的同意; 2. 为订立、履行个人作为一方当事人的合同所必需,或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需; 3. 为履行法定职责或者法定义务所必需; 4. 为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需; 5. 为公共利益实施新闻报道、舆论监督等行为,在合理的范围内处理个人信息; 6. 依照本法规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息; 7. 法律、行政法规规定的其他情形。 | 1. 取得数据主体的同意; 2. 法律明确规定; 3. 必须履行法律义务; 4. 为履行法律法规等规定的职责; 5. 当不可避免地需要与数据主体签订和执行合同时; 6. 当数据主体或其法定代表人因地址不明等原因无法表达意愿或无法事先征得同意时; 7. 数据控制者为实现合法利益所必需的且数据控制者明确优先于数据主体的权利的情况。但是,在这种情况下,仅限于与数据控制者的合法利益有重大关系且不超出合理范围内; 8. 对公共安全和福祉(例如公共卫生)是迫切需要的。 |
数据控制者义务
PIPA规定了数据控制者的多项义务,具体如下:
序号 | 义务类型 | 义务内容 |
1 | 同意义务 | 数据控制者在收集、处理个人信息前应取得数据主体的同意。 |
2 | 目的限制义务 | 数据控制者应明确处理个人信息的目的,并仅在为此目的所需的范围内合法地收集最少量的个人信息。 |
3 | 通知义务 | 数据控制者必须通知收集和使用个人信息的目的、收集的个人信息项目、个人信息的保留和使用期限等。 |
4 | 准确性义务 | 数据控制者应在处理个人信息的必要范围内确保个人信息的准确性、完整性和最新性。 |
5 | 保护义务 | 数据控制者应根据个人信息的处理方式、种类,考虑到侵犯数据主体权利的可能性和相关风险的严重程度,对个人信息进行安全管理。 |
6 | 保留限制义务 | 当个人信息不再需要时,如保留期限届满或达到处理个人信息的目的,数据控制者应立即销毁个人信息。但是,根据其他法律需要保存的除外。数据控制者销毁个人信息时,应采取措施防止恢复或复制。 |
7 | 数据转移限制义务 | 除非符合PIPA修正案规定的要求,否则数据控制者不得将个人数据转移到韩国以外的国家/地区。 |
8 | 制定个人信息处理政策 | 数据控制者应以易于理解的方式表述条款,应说明处理个人信息的目的、个人信息的处理和保留期限、个人信息保护负责人的姓名或履行个人信息保护相关职责并处理相关申诉的部门的名称、电话号码等。 |
9 | 数据泄漏义务 | 数据控制者得知个人信息泄露时,应立即通知数据主体,PIPA规定了通知的事项和时间要求。 |
10 | 个人信息保护负责人 | 数据控制者应指定个人信息保护负责人,负责个人信息的整体处理。 |
11 | 隐私影响评估 | 事业单位以外的数据控制者在操作个人信息档案过程中,如存在数据主体个人信息侵权风险的,应当主动开展个人隐私影响评估。 |
数据主体权利与保护
韩国数据保护法律体系下的数据主体权利、行权及数据控制者行权响应详见下表:
数据主体权利 |
1. 知情权 数据主体具有被告知处理此类个人信息的权利。 2. 访问权 数据主体有权访问数据控制者处理的个人信息。 3. 更正权 数据主体有权请求更正个人信息,数据控制者应及时响应。 4. 反对权 数据主体可以要求数据控制者暂停处理其个人信息。 5. 删除权 数据主体具有要求删除其个人信息的权利,数据控制者删除个人信息时,应采取防止恢复或复制的措施。 6. 获得赔偿权 数据控制者因违反法律规定的行为而使数据主体遭受损害的,数据主体可以要求数据控制者损害赔偿。除非数据控制者证明没有故意或过失,否则不能免除责任。 |
数据主体行权 |
1. 行权方式 (1) 以书面、电话、电子邮件、互联网等数据主体容易利用的方式提供; (2) 至少可以通过与收集个人信息的窗口或方法相同的方式行权,除非有正当理由,例如难以继续操作收集个人信息的窗口; (3) 运营互联网主页的数据控制者应当公开请求的方法和程序。 2. 响应时间要求 数据控制者收到数据主体要求时,一般应在10日内处理。 3. 拒绝响应 若拒绝响应,数据控制者应将反对的理由告知数据主体。 |
数据跨境传输
PIPA规定了数据控制者向第三方提供个人信息的要求以及信息通信服务提供者个人信息出境的保护要求,暂未正式生效的PIPA修正案规定了数据跨境转移的要求。根据PIPA修正案,数据控制者不得将个人信息转移至境外。但在下列情况下,个人信息可能会转移到境外:
法律要求 | 具体内容 |
被视为满足跨境传输要求的情况 | 1. 取得数据主体的海外转移单独同意的情况; 2. 法律、大韩民国加入的条约或其他国际协定对个人信息的海外传输有特殊规定的情况; 3. 为与数据主体订立和执行合同而需要委托处理和存储个人信息; 4. 当个人信息被转移到国外的人已获得PIPC指定的证明; 5. 向PIPC认可的与PIPA规定的个人信息保护水平实质相当的国家或国际组织进行海外传输时。 |
法律责任承担
PIPA规定了数据控制者违法违规处理个人信息的法律责任:
处罚:以下情况可处10年以下有期徒刑或1亿韩元以下罚金:
- 以干扰事业单位个人信息处理业务为目的,更改、删除事业单位处理的个人信息,造成事业单位业务暂停、瘫痪等严重干扰的;
- 以欺诈或其他不正当手段或方法获取第三方处理的任何个人信息并为营利或不正当目的提供给第三方,以及教唆或安排此类行为。
个人责任:
对于数据控制者违法处理行为,在业务中违反规定的法人代表、代理人、雇员可能也会受到处罚,最高罚款为7000万韩元。
没收违法所得:数据控制者可能会被没收违法所得。
以上为我们对韩国数据合规的重点解读,出海韩国企业除关注PIPA、《个人信息保护法实施令》以及PIPC颁布的其他法规之外,还需要特别关注韩国本土企业的数据合规实践,避免行政处罚的风险。