1.前言
韩国的主要数据安全法律法规是《个人信息保护法》(2020年修订)(“PIPA”)及其实施条例,其规定了政府、私人实体及个人在收集、使用、披露时的要求。韩国的数据保护法在处理个人数据的整个生命周期中提供了非常规范的具体要求。根据这些法律,原则上几乎总是需要数据主体的同意才能处理其个人数据。
1.1.主要法案、法规、指令
韩国的数据保护法在处理个人数据的整个生命周期中提供了非常规范的具体要求,并且由于法律规定的事先通知和选择同意的要求以及相对较重的制裁,它是世界上最严格的数据保护法之一。韩国数据保护由一部普通法和几部适用于某些特定行业部门的行业法组成。
个人信息保护法
2020年2月4日,国民议会通过了PIPA的几项修正案(“2020年修正案”),该修正案于2020年8月5日生效。修正案包括对假名和匿名处理的相关要求、限制和处罚。
韩国个人信息保护委员会(PIPC)于2021年1月6日拟议的修正案引入了数据可携带权和拒绝自动化决策的权利,增加了向海外传输个人数据的方法,并将假名数据纳入要求销毁的范围。
行业法
韩国有专门的法律规范某些特定行业的个人数据处理,最值得注意的是2009年《信用信息使用和保护法》('UPCIA').
1.2.指南
数据保护机构还发布了与个人数据保护相关的各种指南,包括:
-
PIPC发布的个人信息保护法解释指南(“PIPC指南”); -
个人数据去识别化指南,由政府政策协调办公室、内政和安全部、韩国通信委员会、金融服务委员会、科学和信息通信技术部以及卫生和福利部联合指导发布; -
PIPC发布的个人数据假名化指南; -
金融部门个人数据假名化和匿名化手册; -
生物识别保护指南(“生物识别保护指南提案”)。
1.3.判例法
2.适用范围
2.1.个人范围
2.2.地域范围
3.数据保护机构 | 监管机构
3.1.数据保护的主要监管机构
-
个人信息保护委员会(PIPC); -
韩国通信委员会(KCC); -
韩国互联网与安全局(KISA); -
金融服务委员会(FSC)。
3.2.主要权力、职责和责任
-
执行PIPA; -
解决有关正式解释的问题; -
处以行政罚款、附加罚款、责令改正等行政处分; -
制定数据保护政策; -
评估与个人信息保护有关的法律和行政措施的制定/修改情况。 KCC的主要职能是:
-
执行ICNA; -
解决有关正式解释的问题;和 -
处以行政罚款、附加罚款、责令改正等行政处分。
-
执行UPCIA; -
解决有关正式解释的问题。
4.关键定义
-
数据控制者: PIPA下的数据处理者类似于GDPR中数据控制者的概念。 -
个人数据: PIPA对个人数据有广泛的定义,即与在世自然人相关的任何数据: -
通过姓名、居民登记号码('RRN')、图像等识别特定个人; -
即使它本身不能识别特定个人,也可以很容易地与其他信息结合以识别特定个人(在这种情况下,信息是否可以“容易结合”应通过合理考虑时间、成本来确定,以及用于识别个人身份的技术,例如获取其他信息的可能性)。 -
敏感数据: 是指关于个人的意识形态、信仰、工会或政党成员身份、政治观点、健康状况、性取向的个人信息以及其他可能导致重大隐私泄露的个人信息,还包括遗传信息、犯罪记录、生物识别数据(例如面部、指纹、虹膜和笔迹样本)以及种族/民族数据。 -
匿名信息: 定义为在合理考虑时间、成本、技术等因素后,即使与其他信息结合也无法识别特定个人的信息,不受PIPA约束。 -
个人数据的处理: “收集、生成、记录、存储、保留、处理、编辑、搜索、输出、更正、恢复、使用、提供、披露或销毁个人数据” 等行为。 -
数据保护官: PIPA中没有“数据保护官”的定义。但是,PIPA第31条将“隐私官员”(DPO)称为全面负责个人信息处理的个人。 -
隐私影响评估 | 数据保护影响评估: PIPA中没有“PIA”的定义。但是,PIPA将PIA确立为分析和改进与个人数据操作相关的风险因素的评估(PIPA第33条)。
5.法律依据
5.1.同意
-
在获得用户同意的情况下,以清晰易懂的方式告知收集的个人数据类型以及收集此类信息的原因; -
根据PIPA第22条获得明确同意(禁止数据处理者获得所有处理类型的全面同意,要求数据处理者区分必需/可选同意)。
5.2.与数据主体签订合同
5.3.法律义务
5.4.数据主体的利益
5.5.公共利益(不适用)
5.6.数据控制者的合法权益
5.7.其他情况下的法律依据
6.原则
-
告知目的,合法公平地处理; -
目的限制; -
准确、完整; -
对个人数据进行安全管理; -
披露隐私政策,保障用户权利; -
尽量通过假名化/匿名化方式处理。
7.控制者和处理者的义务
-
以尽量减少对数据主体隐私侵犯的方式处理个人数据,并尽可能匿名化或假名化。 -
数据处理者需要采取必要的技术、管理和物理措施来确保个人数据的安全。PIPA有一份在这方面要采取的最低限度措施的规定清单。 -
数据处理者在处理个人数据时还必须提供通知。 -
处理特定身份数据(即RRN、护照号码、驾照号码、外国人登记号码和敏感数据)的同意必须彼此分开,并且与任何其他同意分开。
7.1.数据处理通知
公共机构负责人必须将个人数据的处理通知MOIS(PIPA第32(1)条)。
7.2.数据传输
7.3.数据处理记录
7.4.数据保护影响评估
-
要处理的个人信息的数量; -
此类信息是否由第三方提供; -
此类处理侵犯数据主体权利的可能性和此类风险的程度;和 -
总统令规定的其他事项。
7.5.数据保护官任命
-
企业的所有者或代表董事;或者 -
执行官,但是,如果没有执行官,则为负责处理个人数据的部门的负责人。
-
制定和实施数据保护计划; -
定期完成对个人信息处理现状和做法的调查,改进不足之处; -
处理与个人信息处理相关的申诉和补救性赔偿; -
建立防止个人信息泄露、滥用和误用的内部控制制度; -
准备和实施数据保护教育计划; -
保护、控制和管理个人信息档案;和 -
承担该法令规定的适当处理个人信息的任何其他职能。
7.6.数据泄露通知
7.7.数据保留
7.8.儿童资料
此外,作为ICSP的数据处理者需要:
-
在通知儿童与处理个人信息有关的事项时,以易于理解的形式进行交流,并使用清晰明了的语言;和 -
如果ICSP收集、使用或提供未满14周岁儿童的个人数据需要征得法定代表人的同意,并确认法定代表人是否同意以法定方式处理儿童的个人信息。
7.9.特殊类别的个人数据
原则上,未经数据主体明确同意,禁止处理敏感数据/特定身份数据。对处理特定身份数据或敏感数据的同意必须分别获得,并与任何其他同意分开获得。特别是,对于RRN,数据处理者不得收集或使用RRN,除非PIPA规定有例外情况。
7.10.控制器和处理器合同
-
禁止数据处理者出于执行外包任务以外的任何目的处理个人数据的条款; -
为保护个人数据而实施的技术和行政保障措施;和 -
PIPA执行法令为安全管理个人数据而规定的任何其他事项。
8.数据主体权利
8.1.知情权
-
收集和使用个人数据的目的; -
收集和使用个人数据的类型; -
保留和使用个人数据的期限; -
数据主体有权拒绝同意,并概述这种拒绝可能带来的任何不利条件(如果有)。
-
第三方接收者的具体名称; -
要共享的个人数据类型; -
第三方接收者的使用目的; -
第三方接收者的保留和使用期限;和 -
数据主体有权拒绝同意,并概述这种拒绝可能带来的不利条件(如果有)。
8.2.访问权
-
法律禁止或限制此类访问;或者 -
可能对第三方的生命或身体造成损害,或不当侵犯第三方的财产和其他利益。
-
有关的个人数据类型; -
收集/使用个人数据的目的; -
个人数据的保留和使用期限; -
向第三方提供任何个人数据的状态; -
数据主体同意数据处理者处理个人数据的事实。 -
PIPA规定必须按照数据处理者确定的程序提出请求。该程序应满足以下要求: -
数据主体在提出请求时可用的方法必须对数据主体友好,例如书面、电话或电子邮件,或通过互联网; -
数据主体必须能够通过收集个人信息的同一窗口或相同方式请求访问,除非存在正当理由(例如难以连续操作此类窗口);和 -
有关行使请求访问权的方式和程序的详细信息应发布在数据处理者运营的网站上。
8.3.更正权
8.4.删除权
PIPA执行法令规定,必须按照数据处理者确定的程序提出请求(同访问权)。
8.5.反对/退出的权利
8.6.数据可移植权
-
为数据主体行使其作为数据主体的权利提供支持(例如数据可移植权、请求细读权、请求更正/删除权、暂停处理权); -
整合/管理他们的个人信息。
8.7.不受制于自动决策的权利
9.处罚
9.1执行决定
2020年11月25日,PIPC对一家国际社交媒体公司处以67亿韩元(约合490万欧元)的附加罚款,原因是其未经数据主体同意向第三方经营者提供个人信息。
2021年8月25日,PIPC发布了一项纠正令,对未经数据主体同意生成和使用个人可识别面部图像的社交媒体平台处以64.4亿韩元(约合470万欧元)的附加罚款。同一天,PIPC发布了一项纠正令,对一家在完成会员申请流程之前收集个人信息(属于未经数据主体同意)的国际互联网服务提供商处以2.2亿韩元(约合160,445欧元)的附加罚款。
精彩推荐
原文始发于微信公众号(FreeBuf):韩国数据保护要求
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论