韩国数据保护要求

1.前言

韩国的主要数据安全法律法规是《个人信息保护法》（2020年修订）（“PIPA”）及其实施条例，其规定了政府、私人实体及个人在收集、使用、披露时的要求。韩国的数据保护法在处理个人数据的整个生命周期中提供了非常规范的具体要求。根据这些法律，原则上几乎总是需要数据主体的同意才能处理其个人数据。

 1.1.主要法案、法规、指令 

韩国的数据保护法在处理个人数据的整个生命周期中提供了非常规范的具体要求，并且由于法律规定的事先通知和选择同意的要求以及相对较重的制裁，它是世界上最严格的数据保护法之一。韩国数据保护由一部普通法和几部适用于某些特定行业部门的行业法组成。

个人信息保护法

2020年2月4日，国民议会通过了PIPA的几项修正案（“2020年修正案”），该修正案于2020年8月5日生效。修正案包括对假名和匿名处理的相关要求、限制和处罚。

韩国个人信息保护委员会（PIPC）于2021年1月6日拟议的修正案引入了数据可携带权和拒绝自动化决策的权利，增加了向海外传输个人数据的方法，并将假名数据纳入要求销毁的范围。

行业法

韩国有专门的法律规范某些特定行业的个人数据处理，最值得注意的是2009年《信用信息使用和保护法》（'UPCIA').

 1.2.指南 

数据保护机构还发布了与个人数据保护相关的各种指南，包括：

• PIPC发布的个人信息保护法解释指南（“PIPC指南”）；
• 个人数据去识别化指南，由政府政策协调办公室、内政和安全部、韩国通信委员会、金融服务委员会、科学和信息通信技术部以及卫生和福利部联合指导发布；
• PIPC发布的个人数据假名化指南；
• 金融部门个人数据假名化和匿名化手册；
• 生物识别保护指南（“生物识别保护指南提案”）。

尽管此类指南不具有约束力的法律效力，但它们可以作为有用的参考资料，了解在实践中可能如何解释法律法规。

1.3.判例法

韩国的主要法律权威来源是立法，而不是普通法管辖区的判例法。然而，法院发布的几项重要判决可能会在实践中的解释提供有用的参考。

在2017年4月最高法院判决的决定中，韩国最高法院宣布从数据主体获得的同意无效，因为被告在数据主体难以清楚理解他们同意的情况下收集了个人信息，即使他们提供的同意符合法律规定的手续，即通知的字体大小为1毫米。

在首尔高等法院于2019年5月3日作出的判决中，裁定韩国制药信息中心未经同意向第三方提供敏感的个人信息，即患者的处方数据，违反了PIPA。同时，高等法院指出，如果个人信息已经采取了适当的去身份识别措施，例如加密，这使得无法识别特定的个人，那么未经数据主体同意向第三方提供此类去身份识别数据不应被视为违反PIPA。

2.适用范围

2.1.个人范围

PIPA适用于数据处理者，无论是公共机构、法人、组织还是个人，自行或通过第三方处理个人数据。

2.2.地域范围

PIPA适用于韩国境内的所有数据处理者和外包处理者，但PIPA并未明确规定其地域范围。PIPA并未提及其域外范围，但在实践中，在决定外国实体是否受PIPA约束时会考虑多个因素（例如，公司是否提供针对韩国人的服务，或者公司是否从在韩国开展业务产生收入）。

3.数据保护机构 | 监管机构

3.1.数据保护的主要监管机构

主要的数据保护机构是：

• 个人信息保护委员会（PIPC）；
• 韩国通信委员会（KCC）;
• 韩国互联网与安全局（KISA）；
• 金融服务委员会（FSC）。

3.2.主要权力、职责和责任

PIPC的主要权力是：

• 执行PIPA；
• 解决有关正式解释的问题；
• 处以行政罚款、附加罚款、责令改正等行政处分；
• 制定数据保护政策；
• 评估与个人信息保护有关的法律和行政措施的制定/修改情况。

  
  

  
  

  KCC的主要职能是：
  

• 执行ICNA；
• 解决有关正式解释的问题；和
• 处以行政罚款、附加罚款、责令改正等行政处分。

FSC的主要职责是：

• 执行UPCIA；
• 解决有关正式解释的问题。

4.关键定义

• 数据控制者：
  PIPA下的数据处理者类似于GDPR中数据控制者的概念。
• 个人数据：
  PIPA对个人数据有广泛的定义，即与在世自然人相关的任何数据：
1. 通过姓名、居民登记号码('RRN')、图像等识别特定个人；
2. 即使它本身不能识别特定个人，也可以很容易地与其他信息结合以识别特定个人（在这种情况下，信息是否可以“容易结合”应通过合理考虑时间、成本来确定，以及用于识别个人身份的技术，例如获取其他信息的可能性）。
• 敏感数据：
  是指关于个人的意识形态、信仰、工会或政党成员身份、政治观点、健康状况、性取向的个人信息以及其他可能导致重大隐私泄露的个人信息，还包括遗传信息、犯罪记录、生物识别数据（例如面部、指纹、虹膜和笔迹样本）以及种族/民族数据。
• 匿名信息：
  定义为在合理考虑时间、成本、技术等因素后，即使与其他信息结合也无法识别特定个人的信息，不受PIPA约束。
• 个人数据的处理：
  “收集、生成、记录、存储、保留、处理、编辑、搜索、输出、更正、恢复、使用、提供、披露或销毁个人数据” 等行为。
• 数据保护官：
  PIPA中没有“数据保护官”的定义。但是，PIPA第31条将“隐私官员”（DPO）称为全面负责个人信息处理的个人。
• 隐私影响评估 | 数据保护影响评估：
  PIPA中没有“PIA”的定义。但是，PIPA将PIA确立为分析和改进与个人数据操作相关的风险因素的评估（PIPA第33条）。

5.法律依据

5.1.同意

数据处理者在处理个人数据时必须发出通知。除某些例外情况外，在收集、使用和向第三方提供个人信息之前通常需要明确同意。

供参考，PIPC指南规定数据处理者应该：

• 在获得用户同意的情况下，以清晰易懂的方式告知收集的个人数据类型以及收集此类信息的原因；
• 根据PIPA第22条获得明确同意(禁止数据处理者获得所有处理类型的全面同意，要求数据处理者区分必需/可选同意)。

此外，PIPC指南规定，PIPA要求的收集和使用个人数据的同意应该是自愿选择同意（通过书面签名、口头确认或在线复选框）并且可以清楚地验证。

5.2.与数据主体签订合同

PIPA规定，当与数据主体订立并履行合同时，数据处理者可以在未经数据主体额外同意的情况下收集和使用个人数据。但请注意，这一法律依据不适用于向第三方提供个人资料。

5.3.法律义务

PIPA规定，当其他适用法律要求数据处理者履行义务时，或其他适用法律法规特别要求或允许时，数据处理者可以在未经数据主体同意的情况下收集、使用和/或提供个人数据。

5.4.数据主体的利益

PIPA规定，当有明确且迫切的需要保护数据主体或第三方的生命、身体或经济利益，且不能以普通方式获得对个人信息处理的同意时，数据处理者可以在未经数据主体同意的情况下收集、使用和/或提供数据主体的个人数据。

5.5.公共利益（不适用）

未经数据主体同意，PIPA不承认公共利益是处理个人数据的合法依据。

5.6.数据控制者的合法权益

PIPA规定，如果收集和使用对于实现数据处理者的合法利益是必要的，并且此类合法利益明显凌驾于数据主体的权利。

请注意，考虑到PIPA的特定语言和PIPC的指导方针，“合法利益”理由仅在非常有限的情况下得到承认。此外，未经数据主体同意，不得将“合法权益”作为向第三方提供个人数据的依据。

5.7.其他情况下的法律依据

直接营销

根据ICNA，通过电子媒介（例如电话、手机、传真、电子邮件等）传输营利性广告需要获得接收者的明确事先同意。

保留个人数据的有效期

如果适用ICSP的特殊规定，为了保护一年内不使用信息和通信服务的用户个人数据，ICSP必须在上述时间段后立即销毁不活跃用户的个人数据，或者将非活动用户的个人数据与其他用户的个人数据分开存储和管理。

6.原则

PIPA列出了适用于数据处理者的八项关键原则：

• 告知目的，合法公平地处理；
• 目的限制；
• 准确、完整；
• 对个人数据进行安全管理；
• 披露隐私政策，保障用户权利；
• 尽量通过假名化/匿名化方式处理。

7.控制者和处理者的义务

数据处理者（相当于GDPR中的控制者）义务

• 以尽量减少对数据主体隐私侵犯的方式处理个人数据，并尽可能匿名化或假名化。
• 数据处理者需要采取必要的技术、管理和物理措施来确保个人数据的安全。PIPA有一份在这方面要采取的最低限度措施的规定清单。
• 数据处理者在处理个人数据时还必须提供通知。
• 处理特定身份数据（即RRN、护照号码、驾照号码、外国人登记号码和敏感数据）的同意必须彼此分开，并且与任何其他同意分开。

数据处理受托人（相当于GDPR中的处理者）义务

由于数据处理受托人可能被视为数据处理者，因此数据处理受托人通常会承担与数据处理者相同的法律义务。如果数据处理者（即外包服务提供商）违反PIPA，则数据处理者将被视为数据处理者的雇员，数据处理者将承担替代责任。

7.1.数据处理通知

数据控制者和数据处理者没有法律义务将其数据处理活动通知任何监管机构。
公共机构负责人必须将个人数据的处理通知MOIS（PIPA第32(1)条）。

7.2.数据传输

PIPA要求数据处理者在向海外第三方提供服务时必须获得数据主体的事先同意。

欧盟委员会于2021年12月17日公布了其关于韩国充分保护个人数据的决定，允许将个人数据从欧盟成员国转移到韩国，而无需完成任何额外的程序或证明（例如标准合同条款）。该决定将在其生效后三年内接受欧盟委员会的审查，此后至少每四年审查一次。

PIPC发布了《个人信息保护法关于传输到韩国的个人信息处理的解释和适用补充规定》，自欧盟委员会充分性决定生效之日起生效。

7.3.数据处理记录

PIPA要求数据处理者管理和存储登录记录，即“个人数据处理者”（即在指导和监督下处理个人数据的官员、雇员、工人等）对数据处理系统的访问，记录至少保存一年。此类登录记录应包含访问详情，包括ID、访问日期和时间、识别访问人员的信息以及个人数据处理者在连接到处理系统时执行的任务。

7.4.数据保护影响评估

根据PIPA，只有公共机构有义务进行数据保护影响评估（“DPIA”）（PIPA第33(8)条）。但是，请注意，对PIPA的拟议修正案可能会扩大PIA的范围，要求私营公司和机构进行PIA。

PIA必须涵盖：

• 要处理的个人信息的数量；
• 此类信息是否由第三方提供；
• 此类处理侵犯数据主体权利的可能性和此类风险的程度；和
• 总统令规定的其他事项。

7.5.数据保护官任命

根据PIPA，所有数据处理者都必须任命合格的官员作为隐私官，负责他们处理个人数据的所有方面。数据处理者必须指定满足以下任一条件的人作为其隐私官：

• 企业的所有者或代表董事；或者
• 执行官，但是，如果没有执行官，则为负责处理个人数据的部门的负责人。

DPO的主要职责包括：

• 制定和实施数据保护计划；
• 定期完成对个人信息处理现状和做法的调查，改进不足之处；
• 处理与个人信息处理相关的申诉和补救性赔偿；
• 建立防止个人信息泄露、滥用和误用的内部控制制度；
• 准备和实施数据保护教育计划；
• 保护、控制和管理个人信息档案；和
• 承担该法令规定的适当处理个人信息的任何其他职能。

DPO必须在发现任何违反PIPA的行为时，立即采取纠正措施，并在必要时将此类纠正措施报告给机构本身的负责人或相关组织（PIPA第31条第（4）款）。

7.6.数据泄露通知

数据处理者意识到个人数据遭到泄露时，必须立即通知受影响的数据主体。此外，如果数据泄露涉及1,000名或更多数据主体，则数据处理者还必须向PIPC或PIPA指定的专业机构报告数据泄露，并在其互联网主页上披露规定的的信息，如果它没有互联网主页，则披露在其营业场所的显着位置至少7天。

7.7.数据保留

如果韩国法律或法规要求在通知数据主体并征得其同意的保留期限后保留个人数据，则此类个人数据将需要与任何其他个人数据分开保存。

保留个人数据的有效期

如果适用ICSP特别规定，为了保护一年内不使用信息和通信服务的用户的个人数据，ICSP必须在上述时间段后立即销毁不活跃用户的个人数据，或者单独非活动用户的个人数据与其他用户的个人数据分开存储和管理。

7.8.儿童资料

PIPA规定，当PIPA需要同意处理14岁以下儿童的个人信息时，数据处理者必须征得数据主体法定代表人的同意。

此外，作为ICSP的数据处理者需要：

• 在通知儿童与处理个人信息有关的事项时，以易于理解的形式进行交流，并使用清晰明了的语言；和
• 如果ICSP收集、使用或提供未满14周岁儿童的个人数据需要征得法定代表人的同意，并确认法定代表人是否同意以法定方式处理儿童的个人信息。

7.9.特殊类别的个人数据

PIPA定义了一类特殊的个人数据，即“特定身份数据”，包括RRN、护照号码、驾照号码和外国人登记号码。

原则上，未经数据主体明确同意，禁止处理敏感数据/特定身份数据。对处理特定身份数据或敏感数据的同意必须分别获得，并与任何其他同意分开获得。特别是，对于RRN，数据处理者不得收集或使用RRN，除非PIPA规定有例外情况。

7.10.控制器和处理器合同

将个人数据处理外包给第三方数据处理者需要书面协议，其中必须包括：

• 禁止数据处理者出于执行外包任务以外的任何目的处理个人数据的条款；
• 为保护个人数据而实施的技术和行政保障措施；和
• PIPA执行法令为安全管理个人数据而规定的任何其他事项。

8.数据主体权利

数据处理者必须确保个人数据准确、完整和最新，以达到处理目的所必需的程度，数据主体可以行使其访问、更正、暂停使用和删除其个人数据的权利数据。为此，PIPA还制定了规范性的程序规则，以确保数据主体行使此类权利。

同时，根据修改后的UPCIA，征信主体享有数据可携权，即有权要求征信提供者/征信者将其掌握的征信主体个人征信信息传输给征信主体本人或征信信息指定的其他人。

8.1.知情权

根据PIPA，数据处理者在获得数据主体同意时，必须提供以下事项的通知：

• 收集和使用个人数据的目的；
• 收集和使用个人数据的类型；
• 保留和使用个人数据的期限；
• 数据主体有权拒绝同意，并概述这种拒绝可能带来的任何不利条件（如果有）。

数据处理者和ICSP在向第三方提供个人数据时，必须告知以下事项并征得用户同意：

• 第三方接收者的具体名称；
• 要共享的个人数据类型；
• 第三方接收者的使用目的；
• 第三方接收者的保留和使用期限；和
• 数据主体有权拒绝同意，并概述这种拒绝可能带来的不利条件（如果有）。

通过隐私政策通知

PIPA有一份隐私政策中必须包含的信息的规定清单，包括但不限于使用目的、保留期限、提供和外包信息以及个人数据的处置。数据处理者必须公开披露其隐私政策，使数据主体能够随时检查这些隐私政策的条款，包括对其所做的任何修订。

8.2.访问权

数据主体可以请求访问其个人数据。PIPA规定只有在以下情况下才能限制或拒绝访问权：

• 法律禁止或限制此类访问；或者
• 可能对第三方的生命或身体造成损害，或不当侵犯第三方的财产和其他利益。

PIPA执行法令规定数据主体可以请求数据处理者访问以下任何信息：

• 有关的个人数据类型；
• 收集/使用个人数据的目的；
• 个人数据的保留和使用期限；
• 向第三方提供任何个人数据的状态；
• 数据主体同意数据处理者处理个人数据的事实。
• PIPA规定必须按照数据处理者确定的程序提出请求。该程序应满足以下要求：
• 数据主体在提出请求时可用的方法必须对数据主体友好，例如书面、电话或电子邮件，或通过互联网；
• 数据主体必须能够通过收集个人信息的同一窗口或相同方式请求访问，除非存在正当理由（例如难以连续操作此类窗口）；和
• 有关行使请求访问权的方式和程序的详细信息应发布在数据处理者运营的网站上。

数据处理者必须在收到请求后十天内回复请求访问的数据主体。回应应该是授予访问权限（如果请求被接受），或者访问权限已被搁置，在这种情况下，必须解释延迟的理由。一旦延迟的原因不再存在，必须立即授予访问权限。

8.3.更正权

PIPA规定了数据主体向数据处理者更正其个人信息的权利。

8.4.删除权

PIPA规定了数据主体向数据处理者删除其个人信息的权利。但是，当其他法律要求收集个人信息或数据处理者拒绝数据主体的访问权时，不允许删除。
PIPA执行法令规定，必须按照数据处理者确定的程序提出请求（同访问权）。

8.5.反对/退出的权利

作为ICSP的数据处理者必须允许数据主体随时撤回同意。数据处理者必须响应数据主体暂停处理其个人信息的请求。

8.6.数据可移植权

当前的PIPA不承认数据可移植性的权利。但是，PIPC于2021年1月6日发布的PIPA修正案征询公众意见，明确规定了数据主体对其数据可移植性的权利。

为了能够行使这项权利，修正案还引入了专业数据管理机构的概念，该机构将负责：

• 为数据主体行使其作为数据主体的权利提供支持（例如数据可移植权、请求细读权、请求更正/删除权、暂停处理权）；
• 整合/管理他们的个人信息。

8.7.不受制于自动决策的权利

PIPA未规定不受自动决策制约的权利。但是，上述PIPA的拟议修正案明确规定了数据主体不受自动决策制约的权利。

9.处罚

PIPC、KCC和FSC等监管机构可以对违反各自法律法规的行为实施各种行政处罚，例如纠正令、行政罚款和附加罚款。

检察官也可以对任何应受到刑事处罚的违法行为进行调查。数据处理者可能对因此类违规行为而遭受损害的数据主体承担民事责任。

9.1执行决定

KCC和PIPC对相关违规行为处以大量罚款。

2020年7月15日（修正案生效前），KCC发布纠正令，对一家国际媒体平台运营商收集未满10周岁未成年人个人信息的行为处以1.8亿韩元（约合131,280欧元）的罚款（14岁以下需经其监护人同意）。

2020年11月25日，PIPC对一家国际社交媒体公司处以67亿韩元（约合490万欧元）的附加罚款，原因是其未经数据主体同意向第三方经营者提供个人信息。

2021年8月25日，PIPC发布了一项纠正令，对未经数据主体同意生成和使用个人可识别面部图像的社交媒体平台处以64.4亿韩元（约合470万欧元）的附加罚款。同一天，PIPC发布了一项纠正令，对一家在完成会员申请流程之前收集个人信息（属于未经数据主体同意）的国际互联网服务提供商处以2.2亿韩元（约合160,445欧元）的附加罚款。

精彩推荐

原文始发于微信公众号（FreeBuf）：韩国数据保护要求