韩国国会于2023年2月27日通过个人信息保护法修订案。修订后的韩国个人信息保护法(下称“新法”)修改要点包括:(1)为强化信息主体权利,新增了个人信息传送请求权、对自动化决策请求提供说明的权利及拒绝权;(2)强化个人信息处理的法律依据;(3)将个人信息跨境提供方式多样化的同时扩大监管机关权限,例如赋予个人信息保护委员会责令停止个人信息跨境提供的权限;(4)增设可移动影像信息处理设备的法律依据;(5)将部分违法行为的处罚金额标准提高至“总销售额”。此外,新法删除了针对通信服务提供者的特殊适用情形,将相关内容扩展为一般适用情形,此举并非与信息通信网法进行的形式合并,而是通过本次修订实质性整合为真正意义上的个人信息保护法,具有重要意义。
韩国国务会议通过决议的新法于3月14日颁布并于6个月之后的9月14日开始施行。但是,关于个人信息管理专属部门、针对自动化意思决策的请求说明权及拒绝权等相关规定将于新法颁布届满1年之日起开始施行、关于个人信息输送请求权的规定将于新法颁布届满1年之日至颁布2年之日内另行颁布的施行令所定之日起开始施行(附则第1条)。
新法的主要修改事项如下。
I. 强化信息主体权利
1. 传输请求权
新法新增规定,信息主体有权要求将信息主体本人相关信息传输给本人、“个人信息管理专属部门”或“第三方”(第35条之2第1款、第2款)。个人信息管理专属部门的职能包括协助行使个人信息传输请求权、为协助信息主体行使权利搭建个人信息传输系统并使其标准化、为协助信息主体行使权利对个人信息进行管理及分析、以协助信息主体有成效地行使权利为目的通过施行令规定的其他职能(第35条之3)。接收传输信息的“第三方”应当履行采取安全措施的义务并满足将通过施行令规定的设备及技术标准(第35条之2)。
另外,信息主体有权要求传输的个人信息仅限于已取得个人信息处理者同意或在签订及履行合同过程中为履行信息主体所要求之措施而从信息主体收集并使用的个人信息,而个人信息处理者对所收集的信息进行分析、加工后另行生成的信息不属于前述可请求传输的信息(第35条之2第1款)。如果信息主体请求传输信息,个人信息处理者应通过电脑等信息处理设备以可处理的形态传输(第35条之2第3款)。
2. 应对自动化决策的相关权利
新法新增规定,如果个人信息处理者实施了“通过全自动系统(人工智能技术系统)处理个人信息所形成的决策(下称“自动化决策”)”,则赋予信息主体就该等决策“要求提供说明等”的权利(第37条之2第2款);如果自动化决策对信息主体的权利或义务产生重大影响,信息主体有权“拒绝”该等决策(第37条之2第1款)。
此外,在信息主体拒绝自动化决策或要求对此进行说明时,个人信息处理者无正当事由应当拒绝适用自动化决策,或采取通过人为介入重新处理、进行说明等必要措施(第37条之2第3款)。个人信息处理者应将自动化决策的标准及措施、个人信息处理的方式等公开,以使信息主体能够易于确认(第37条之2第4款)。
II. 个人信息处理的依据合理化
现行个人信息保护法规定因签订及履行合同“不可避免地”需要收集、使用个人信息的,可以免予征得信息主体的同意。新法将前述豁免事由修订为“履行与信息主体签订的合同或签订合同的过程中,为履行信息主体要求之措施所必须之情形”,使个人信息处理的依据得以合理化(第15条第 1款第1项)。
另外,关于个人信息处理依据之一的“正当利益”,现行个人信息保护法规定,应当在信息主体或其法定代表人无法作出意思表示或因地址不明等原因无法取得其事前同意的情形下,能够认定属于为了信息主体或第三方紧急的生命、身体、财产利益而确有必要的,可以收集个人信息;但现行规定缺少针对“无法作出意思表示或因地址不明等原因无法取得其事前同意的情形”的具体解释(例如,应如何处理能够联络的正在挟持人质的恐怖分子的个人信息)。就此,新法明确规定为了信息主体或第三方的紧急的生命、身体或财产利益,可在必要情形下收集个人信息(第15条第1款第1项)。
III. 个人信息跨境提供方式多样化
根据现行个人信息保护法,个人信息处理者向境外第三方提供个人信息的,原则上应告知信息主体相关事项并征得其同意。但新法允许个人信息处理者在如下情形向境外第三方提供个人信息:(1)另行征得信息主体同意的;(2)个人信息保护委员会认定跨境接收个人信息的国家或国际机构已达到个人信息保护法所规定的个人信息保护水准的(第28条第1款第5项);(3)“接收个人信息”的第三方已获得本法第32条之2规定的其他个人信息保护认证等个人信息保护委员会将通过公告确认的认证,并且已采取为保护个人信息所必需的安全措施及保障信息主体权利所必需的措施等的(第28条之8第1款第4项)。
同时,新法规定在下列情形下个人信息保护委员会有权责令停止跨境提供个人信息:(1)个人信息处理者违反法律跨境提供个人信息的(第28条之9第1款第1项);或(2)接收个人信息的主体或国家保护个人信息的水平不足以按韩国个人信息保护法项下的保护水平提供保护,对信息主体造成损害或可能造成损害的(第28条之9款第1款第2项)。
IV. 增设可移动影像信息处理设备规制条款
现行个人信息保护法仅规定了CCTV等固定型影像信息处理设备,而新法新增了针对无人机、自动驾驶汽车等移动型影像信息处理设备的规制条款(第25条之2)。新法原则上禁止在公开场所因业务用途使用移动型影像信息处理设备进行拍摄,但作为例外情形,新法规定在“已征得个人信息主体同意”等个人信息保护法第15条第1款所规定的任一情形下,或即便已通过灯光、声音等方式明确表明其拍摄事实但信息主体未表示拒绝拍摄等情形下,可以进行拍摄(第25条之2第1款、第3款)。
V. 处罚金额标准提高至“总销售额”
现行个人信息保护法规定,处罚金额不得超过“违法行为相关销售额”的3%,但新法规定可以处以相当于“总销售额”3%以下的处罚金额,即处罚金额标准被大幅上调(第64条之2第2款)。但为确保比例原则,保护委员会在实际计算处罚金额时,会将“销售总额中与违法行为无关的销售额排除在外”(第64条之2第2款)。另外,新法规定,个人信息处理者无正当理由拒绝提交销售额计算资料或提交虚假资料的,应当按照该个人信息处理者的总销售额为基准计算处罚金额,同时可以依据与该个人信息处理者规模相当的个人信息处理者所拥有的个人信息规模、财务报表等会计资料、商品及劳务价格等营业状况资料推定其销售额。
VI. 其他
1. 删除针对通信服务提供者等主体的特殊适用情形
新法对所有个人信息处理者均适用相同规制原则,将原本单独适用于信息通信服务提供者的个人信息使用明细通知制度、损害赔偿补偿制度、国内代理人指定制度、罚款等条款转换为一般性规定,使其适用于所有个人信息处理者。但原有特例中所规定的针对信息通信服务提供者适用的个人信息有效期制度(即1年未使用的用户个人信息应当销毁)已被删除。
2. 对个人信息处理方针的管理权限、个人信息侵害行为调查及制裁力度加强
新法增设条款规定,个人信息保护委员会有权对个人信息处理方针1)是否通俗易懂;2)是否遵守制定方针;3)是否已公开等进行评估并建议改进(第30条之2款第1款),同时,新法通过删除作为个人信息保护委员会有权责令改正的要件之一的“可能导致无法恢复的损失”扩大了委员会责令改正的权限(第64条第1款)。
3. 个人信息争议调解制度的义务参与及强制调查
现行个人信息保护法规定,收到争议调解通知后,如无特殊事由,对争议负有调解义务的主体仅限于公共机关;但新法将前述义务的承担主体扩展至所有个人信息处理者(第43条3款)。此外,新法规定争议调解委员会需要核查事实时,有权出入涉案场所调查或查阅相关资料(第45条第2款),从而使争议调解委员会被赋予了对事实进行强制调查的权利。
4. 转委托须经原委托方同意
关于受托方转委托的相关事项,现行个人信息保护法仅规定应由委托方与受托方通过合同进行约定,并未要求应当就转委托事宜征得委托方同意。而新法要求受托方拟将其受托的个人信息处理义务转委托给其他主体时,必须征得委托人同意(第26条第6款)。
5. 提高损害赔偿金上限
新法将个人信息遗失、被盗、泄露、伪造、变造或损毁情形下的损害赔偿责任限额从原先的3倍上调至5倍(第39条第3款)。
6. 增设资料提交命令及保密命令条款依据
新法规定在因违反新法提起的损害赔偿请求诉讼中,法院可以根据当事人申请命令要求提交资料,且满足一定条件时,法院可以依当事人申请责令保密或取消该保密命令(第39条之3至第39条之5)。
7. 调整处罚金额规定
新法规定未实施个人信息影响评价或未向个人信息保护委员会提交个人信息影响评价的,应处3千万以下韩元的过失性罚款(第75条第2款第16项)。此外,新法对过失性罚款作出了调整,例如删除了“为履行损害赔偿责任,个人信息处理者应加入保险或共济、或缴存准备金;对违反前述义务的个人信息处理者应当处以过失性罚款”(删除了第75条第3款第1项)的现行法规定。
VII. 评析
- 1) 可以期待个人信息传输请求权制度将激发数据市场蓬勃发展。虽然还有诸多问题,例如如何将新法适用于信息通信、国土交通、流通、教育、文化休闲等各个具体领域、非典型数据的传送标准化问题、个人信息管理专门机构的作用、认证和识别体系的构建及混合数据结合、个人信息传送支援平台的作用等问题待商讨,但可预见后续即将颁布的施行令、告示等仍会侧重于强化信息主体权利。此外,我们建议个人信息处理者提前确认传输请求权对公司产生的影响、通过传输请求权应当传输或可以接收的信息包括哪些、应当搭建的API等系统有哪些等问题,且必须遵循即将颁布的施行令、告示等开展相关准备工作,以在合法范围内开拓新业务。
- 2) 新法旨在强化信息主体权利,虽然与如欧洲的资料搜集(profiling)制度有所不同,但新法特别针对人工智能等全自动化系统规定了处理规则及透明性原则,在为人工智能相关规定奠定基础的角度具有重要意义。据此,个人信息处理者可以从人工智能视角审视个人信息处理的生命周期,考虑引入识别和应对风险的人工智能合规体系。
- 3) 随着新法明确规定了个人信息处理的合法依据,过去一概要求征得个人信息主体同意的局面已被打破,个人信息处理者确认合理、合法的个人信息处理法律依据后,可以构建适用于相关依据的基础。当然,即便如此,个人信息处理者仍有必要确保能够充分阐明其适用特定个人信息处理法律依据的理由或合理性。
- 4) 韩国与欧盟间个人信息保护法充分决定(adequacy decision)确立后,期待韩国能够针对热议的个人信息出境构建包括同意、通过ISMS-P等认证的数据出境、取决于数据接收国的数据出境等丰富的个人信息跨境提供体系,构建符合韩国地位的具有国际水准的个人信息出境规制体系,并通过中止命令措施实质保障跨境提供信息的信息主体的权利。今后个人信息处理者可以通过数据流确认跨境提供的服务器位置、跨境项目及目的等事项选择适当的数据出境方式。
- 5) 针对此前存在法律适用空白的移动影像信息处理设备领域,此次修订为影像信息的收集、匿名化处理等个人信息处理提供了法律依据。建议从事自动驾驶、无人机业务的企业以相关规定为根据,在合法依据范围内针对影像信息处理设置相关流程。
- 6) 此外,新法放宽刑事处罚的同时提高了经济制裁标准,其构建的涵盖线上与线下的综合性个人信息保护法体系具有重要意义。
综上所述,本次修订实现了个人信息保护相关法律规定的实质性整合,新增了传输请求权、个人信息处理依据等诸多具有行业影响力的内容。个人信息处理者应当关注个人信息保护法修订案及即将颁布的相关配套施行令与告示,按照个人信息处理依据、个人信息跨境提供、传输请求权、全自动系统相关规制等新修订规定检查内部系统及服务是否合规,为迎接崭新的数据经济时代做好准备。