韩国的数据保护法在处理个人数据的整个生命周期中提供了非常规范的具体要求,并且由于法律规定的事先通知和选择同意的要求以及相对较重的制裁,它是世界上最严格的数据保护法之一。韩国数据保护由一部普通法和几部适用于某些特定行业部门的行业法组成。
个人信息保护法
2020年2月4日,国民议会通过了PIPA的几项修正案(“2020年修正案”),该修正案于2020年8月5日生效。修正案包括对假名和匿名处理的相关要求、限制和处罚。
韩国个人信息保护委员会(PIPC)于2021年1月6日拟议的修正案引入了数据可携带权和拒绝自动化决策的权利,增加了向海外传输个人数据的方法,并将假名数据纳入要求销毁的范围。
行业法
韩国有专门的法律规范某些特定行业的个人数据处理,最值得注意的是2009年《信用信息使用和保护法》('UPCIA').
数据保护机构还发布了与个人数据保护相关的各种指南,包括:
尽管此类指南不具有约束力的法律效力,但它们可以作为有用的参考资料,了解在实践中可能如何解释法律法规。
韩国的主要法律权威来源是立法,而不是普通法管辖区的判例法。然而,法院发布的几项重要判决可能会在实践中的解释提供有用的参考。
在2017年4月最高法院判决的决定中,韩国最高法院宣布从数据主体获得的同意无效,因为被告在数据主体难以清楚理解他们同意的情况下收集了个人信息,即使他们提供的同意符合法律规定的手续,即通知的字体大小为1毫米。
在首尔高等法院于2019年5月3日作出的判决中,裁定韩国制药信息中心未经同意向第三方提供敏感的个人信息,即患者的处方数据,违反了PIPA。同时,高等法院指出,如果个人信息已经采取了适当的去身份识别措施,例如加密,这使得无法识别特定的个人,那么未经数据主体同意向第三方提供此类去身份识别数据不应被视为违反PIPA。
PIPA适用于数据处理者,无论是公共机构、法人、组织还是个人,自行或通过第三方处理个人数据。
PIPA适用于韩国境内的所有数据处理者和外包处理者,但PIPA并未明确规定其地域范围。PIPA并未提及其域外范围,但在实践中,在决定外国实体是否受PIPA约束时会考虑多个因素(例如,公司是否提供针对韩国人的服务,或者公司是否从在韩国开展业务产生收入)。
主要的数据保护机构是:
PIPC的主要权力是:
FSC的主要职责是:
数据处理者在处理个人数据时必须发出通知。除某些例外情况外,在收集、使用和向第三方提供个人信息之前通常需要明确同意。
供参考,PIPC指南规定数据处理者应该:
此外,PIPC指南规定,PIPA要求的收集和使用个人数据的同意应该是自愿选择同意(通过书面签名、口头确认或在线复选框)并且可以清楚地验证。
PIPA规定,当与数据主体订立并履行合同时,数据处理者可以在未经数据主体额外同意的情况下收集和使用个人数据。但请注意,这一法律依据不适用于向第三方提供个人资料。
PIPA规定,当其他适用法律要求数据处理者履行义务时,或其他适用法律法规特别要求或允许时,数据处理者可以在未经数据主体同意的情况下收集、使用和/或提供个人数据。
PIPA规定,当有明确且迫切的需要保护数据主体或第三方的生命、身体或经济利益,且不能以普通方式获得对个人信息处理的同意时,数据处理者可以在未经数据主体同意的情况下收集、使用和/或提供数据主体的个人数据。
未经数据主体同意,PIPA不承认公共利益是处理个人数据的合法依据。
PIPA规定,如果收集和使用对于实现数据处理者的合法利益是必要的,并且此类合法利益明显凌驾于数据主体的权利。
请注意,考虑到PIPA的特定语言和PIPC的指导方针,“合法利益”理由仅在非常有限的情况下得到承认。此外,未经数据主体同意,不得将“合法权益”作为向第三方提供个人数据的依据。
直接营销
根据ICNA,通过电子媒介(例如电话、手机、传真、电子邮件等)传输营利性广告需要获得接收者的明确事先同意。
保留个人数据的有效期
如果适用ICSP的特殊规定,为了保护一年内不使用信息和通信服务的用户个人数据,ICSP必须在上述时间段后立即销毁不活跃用户的个人数据,或者将非活动用户的个人数据与其他用户的个人数据分开存储和管理。
PIPA列出了适用于数据处理者的八项关键原则:
数据处理者(相当于GDPR中的控制者)义务
数据处理受托人(相当于GDPR中的处理者)义务
由于数据处理受托人可能被视为数据处理者,因此数据处理受托人通常会承担与数据处理者相同的法律义务。如果数据处理者(即外包服务提供商)违反PIPA,则数据处理者将被视为数据处理者的雇员,数据处理者将承担替代责任。
数据控制者和数据处理者没有法律义务将其数据处理活动通知任何监管机构。 公共机构负责人必须将个人数据的处理通知MOIS(PIPA第32(1)条)。
PIPA要求数据处理者在向海外第三方提供服务时必须获得数据主体的事先同意。
欧盟委员会于2021年12月17日公布了其关于韩国充分保护个人数据的决定,允许将个人数据从欧盟成员国转移到韩国,而无需完成任何额外的程序或证明(例如标准合同条款)。该决定将在其生效后三年内接受欧盟委员会的审查,此后至少每四年审查一次。
PIPC发布了《个人信息保护法关于传输到韩国的个人信息处理的解释和适用补充规定》,自欧盟委员会充分性决定生效之日起生效。
PIPA要求数据处理者管理和存储登录记录,即“个人数据处理者”(即在指导和监督下处理个人数据的官员、雇员、工人等)对数据处理系统的访问,记录至少保存一年。此类登录记录应包含访问详情,包括ID、访问日期和时间、识别访问人员的信息以及个人数据处理者在连接到处理系统时执行的任务。
根据PIPA,只有公共机构有义务进行数据保护影响评估(“DPIA”)(PIPA第33(8)条)。但是,请注意,对PIPA的拟议修正案可能会扩大PIA的范围,要求私营公司和机构进行PIA。
PIA必须涵盖:
根据PIPA,所有数据处理者都必须任命合格的官员作为隐私官,负责他们处理个人数据的所有方面。数据处理者必须指定满足以下任一条件的人作为其隐私官:
DPO的主要职责包括:
DPO必须在发现任何违反PIPA的行为时,立即采取纠正措施,并在必要时将此类纠正措施报告给机构本身的负责人或相关组织(PIPA第31条第(4)款)。
数据处理者意识到个人数据遭到泄露时,必须立即通知受影响的数据主体。此外,如果数据泄露涉及1,000名或更多数据主体,则数据处理者还必须向PIPC或PIPA指定的专业机构报告数据泄露,并在其互联网主页上披露规定的的信息,如果它没有互联网主页,则披露在其营业场所的显着位置至少7天。
如果韩国法律或法规要求在通知数据主体并征得其同意的保留期限后保留个人数据,则此类个人数据将需要与任何其他个人数据分开保存。
保留个人数据的有效期
如果适用ICSP特别规定,为了保护一年内不使用信息和通信服务的用户的个人数据,ICSP必须在上述时间段后立即销毁不活跃用户的个人数据,或者单独非活动用户的个人数据与其他用户的个人数据分开存储和管理。
PIPA规定,当PIPA需要同意处理14岁以下儿童的个人信息时,数据处理者必须征得数据主体法定代表人的同意。
此外,作为ICSP的数据处理者需要:
PIPA定义了一类特殊的个人数据,即“特定身份数据”,包括RRN、护照号码、驾照号码和外国人登记号码。
原则上,未经数据主体明确同意,禁止处理敏感数据/特定身份数据。对处理特定身份数据或敏感数据的同意必须分别获得,并与任何其他同意分开获得。特别是,对于RRN,数据处理者不得收集或使用RRN,除非PIPA规定有例外情况。
将个人数据处理外包给第三方数据处理者需要书面协议,其中必须包括:
数据处理者必须确保个人数据准确、完整和最新,以达到处理目的所必需的程度,数据主体可以行使其访问、更正、暂停使用和删除其个人数据的权利数据。为此,PIPA还制定了规范性的程序规则,以确保数据主体行使此类权利。
同时,根据修改后的UPCIA,征信主体享有数据可携权,即有权要求征信提供者/征信者将其掌握的征信主体个人征信信息传输给征信主体本人或征信信息指定的其他人。
根据PIPA,数据处理者在获得数据主体同意时,必须提供以下事项的通知:
数据处理者和ICSP在向第三方提供个人数据时,必须告知以下事项并征得用户同意:
通过隐私政策通知
PIPA有一份隐私政策中必须包含的信息的规定清单,包括但不限于使用目的、保留期限、提供和外包信息以及个人数据的处置。数据处理者必须公开披露其隐私政策,使数据主体能够随时检查这些隐私政策的条款,包括对其所做的任何修订。
数据主体可以请求访问其个人数据。PIPA规定只有在以下情况下才能限制或拒绝访问权:
PIPA执行法令规定数据主体可以请求数据处理者访问以下任何信息:
数据处理者必须在收到请求后十天内回复请求访问的数据主体。回应应该是授予访问权限(如果请求被接受),或者访问权限已被搁置,在这种情况下,必须解释延迟的理由。一旦延迟的原因不再存在,必须立即授予访问权限。
PIPA规定了数据主体向数据处理者更正其个人信息的权利。
PIPA规定了数据主体向数据处理者删除其个人信息的权利。但是,当其他法律要求收集个人信息或数据处理者拒绝数据主体的访问权时,不允许删除。 PIPA执行法令规定,必须按照数据处理者确定的程序提出请求(同访问权)。
作为ICSP的数据处理者必须允许数据主体随时撤回同意。数据处理者必须响应数据主体暂停处理其个人信息的请求。
当前的PIPA不承认数据可移植性的权利。但是,PIPC于2021年1月6日发布的PIPA修正案征询公众意见,明确规定了数据主体对其数据可移植性的权利。
为了能够行使这项权利,修正案还引入了专业数据管理机构的概念,该机构将负责:
PIPA未规定不受自动决策制约的权利。但是,上述PIPA的拟议修正案明确规定了数据主体不受自动决策制约的权利。
PIPC、KCC和FSC等监管机构可以对违反各自法律法规的行为实施各种行政处罚,例如纠正令、行政罚款和附加罚款。
检察官也可以对任何应受到刑事处罚的违法行为进行调查。数据处理者可能对因此类违规行为而遭受损害的数据主体承担民事责任。
KCC和PIPC对相关违规行为处以大量罚款。
2020年7月15日(修正案生效前),KCC发布纠正令,对一家国际媒体平台运营商收集未满10周岁未成年人个人信息的行为处以1.8亿韩元(约合131,280欧元)的罚款(14岁以下需经其监护人同意)。
2020年11月25日,PIPC对一家国际社交媒体公司处以67亿韩元(约合490万欧元)的附加罚款,原因是其未经数据主体同意向第三方经营者提供个人信息。
2021年8月25日,PIPC发布了一项纠正令,对未经数据主体同意生成和使用个人可识别面部图像的社交媒体平台处以64.4亿韩元(约合470万欧元)的附加罚款。同一天,PIPC发布了一项纠正令,对一家在完成会员申请流程之前收集个人信息(属于未经数据主体同意)的国际互联网服务提供商处以2.2亿韩元(约合160,445欧元)的附加罚款。
精彩推荐