查看原文
其他

域外观察 | 韩国迎来《个人信息保护法》颁布以来的首次全面修订

信通院互联网法律研究中心 CAICT互联网法律研究中心 2023-01-22

全文共计约4000字,细读时间约13分钟

文| 杨婕 信通院互联网法律研究中心研究员


数字经济的核心是通过大数据、云计算、人工智能等技术,实现数据驱动下数字化、网络化、智能化发展。而数据价值释放与数据安全风险之间的矛盾将深刻影响着一国未来数字经济的走向。个人信息作为最有价值的一类数据,成为各国抢占新一轮经济竞争制高点的重要抓手,各国纷纷建立、完善个人信息保护的相关国内规则,并积极推动、参与国际规则的制定。2021年9月28日,韩国个人信息保护委员会向国会提交了《个人信息保护法(修正案)》。此次修正案意义重大,是韩国自2011年颁布《个人信息保护法》以来,首次由政府主导,并结合产业界、市民团体以相关部门等多方意见而撰写的兼具全面性和实质性的修正案。

一、保障公民权利,推动数字经济时代立法转型



(一)引入个人信息可携权及对自动化决策的拒绝权关于个人信息可携权。可携权最早是由欧盟《通用数据保护条例》(以下简称GDPR)正式确定,包括个人数据副本获取权以及个人数据移转权。具体是指,数据主体有权获取其提供给数据控制者的个人数据,所获取的个人数据应当是结构化的、通用的和机器可读的,且能够不受障碍地将这些数据传输给其他数据控制者。不仅GDPR,我国《个人信息保护法》中也规定了可携权。韩国个人信息保护委员会同样认为,随着数字经济的发展,公民的个人信息被大量收集并广泛流通,但个人却丧失了对其个人信息移转与再利用行为的把控。为推动人工智能等新技术发展,强化个人信息主体的权利,此次也将个人信息可携权纳入到《个人信息保护法》中。韩国个人信息保护委员会还指出,可携权的引入能够促进目前只在金融、公共等部分领域推进的My Data模式推广至各个数据产业,同时可以一定程度上解决个人信息集中到部分平台或企业而引发的数据垄断现象。My Data,也称为本人数据管理,是指个人不仅对自己的信息积极地进行管理和控制,同时还把该信息用到信贷和资产管理的一系列流程。通过MyData,个人可以一次性地确认分散在各机构和企业的本人信息;并通过向企业提供本人的信息来获得商品或服务的推荐。My Data行业在美国、欧盟和英国都有开展,政府大力支持,创业公司积极尝试,韩国政府率先通过立法来促进My Data产业发展。[1]

关于对自动化决策拒绝的权利。欧盟GDPR第22条最早规定了“免于自动化决策权”规定,即数据主体不受对个人有法律影响或重大影响的纯粹自动化决策(包括画像)的限制和制约。根据GDPR的立法文件,免于自动化决策权设定的立法目的一方面是避免数据控制者逃避审查和决策责任,对自动化决策结果机械全盘接收;另一方面是避免歧视、避免对极度敏感隐私的侵犯以及对个体自主权的影响。我国《个人信息保护法》也有类似规定,通过自动化决策方式作出对个人权益有重大影响的决定,个人有权要求个人信息处理者予以说明,并有权拒绝个人信息处理者仅通过自动化决策的方式作出决定。韩国个人信息保护委员会也认为,人工智能等新技术对公民日常生活产生巨大影响,信用、税务、司法、福利等领域的完全自动化决策可能会使公民的权利和义务受到重大影响,通常与人身权利、公正、秩序、非歧视等价值关系重大。因此,修正案规定了个人对于自动化决策的拒绝权,以防止可能对个人基本权利的侵犯。


(二)设置弹性化的规则,防止知情同意制度僵化

知情同意制度源自个人信息自决权与隐私权理论,在各国的个人信息保护法律中均有所体现。但在大数据时代下,个人信息在商业分析、决策支持等方面具有重要价值。仅依靠知情同意作为处理个人信息的唯一合法性基础,显然已经不符合时代趋势和技术要求。为使各方利益均能得到充分主张和合理分配,有效实现个人信息权益保护和个人信息合理利用之间的动态平衡,拓展个人信息处理的合法性基础也成为全球基本共识。例如,我国《个人信息保护法》规定了除个人同意以外,其余六项的个人信息处理合法性基础。韩国个人信息保护委员会同样认为,过度强调知情同意会导致企业机构等个人信息处理者在合理处理和利用个人信息方面受到制约;而且个人也因复杂的告知事项和程序难以实质性地作出同意,或出现“胁迫同意”的情形。为此,有必要采取弹性化的规则取代当前复杂僵化的知情同意制度。修正案规定,为促进企业合理收集和利用个人信息,签订和履行服务合同所必需时,无需信息主体同意也可以收集使用个人信息,降低了此前规定的不可避免地需要收集个人信息的程度要求,还将基于公共卫生、公共安全需要处理个人信息也纳入到了个人处理的合法性基础之中。特别是规定,对于不满14周岁未成年人的个人信息,如果仅收集法律规定最低限度的个人信息,可以不经法定代理人的同意,直接从不满十四周岁未成年人处收集个人信息。虽然,修正案一定程度上放宽个人信息收集的事前要求,但引入了评价制度,通过加强对于个人信息处理活动的事后控制,形成宽进严出的制度体系,以实现对于个人权利的有效保护。

二、形成个人信息保护一元化规则体系,为新技术发展奠定基础



(一)整合信息通信领域的特殊规定,从二元化迈向一元化规制韩国目前在信息通信领域形成了《个人信息保护法》《信息通信网利用促进及信息保护法》《信用信息的利用及保护法》三法分立的局面,给个人信息主体和企业带来法律适用上的混乱。此外,《关于促进信息通信网使用及信息保护等的法律》中对于信息通信领域规定了个人信息保护的特殊要求,也引发了规则适用重叠的问题。为此,修正案进行制度整合,废除信息通信领域个人信息保护的特殊规定,明确《个人信息保护法》适用于所有个人信息处理者,并将法律的适用范围扩大至所有领域。

(二)建立移动型影像仪器处理个人信息的相关规则当前,韩国法律只对固定型影像仪器处理个人信息的行为进行了规范,而对于移动型影像仪器的个人信息保护要求并不明确。移动型影像仪器主要是指可穿戴式设备,或者可以放置于可移动物体之上,通过有线或者无线网拍摄影响的设备,例如无人机或者自动驾驶汽车上的影像仪器。为此,修正案增加了移动型影像设备处理个人信息的限制,在公开场所拍摄图像必须“以合理目的”为前提,而且应当通过灯光、声音、指示牌等提示方式让个人清楚了解拍摄事实,且不得对个人产生超出合理限度的不当侵犯。个人信息处理者不得在不特定多数人使用的洗手间、更衣室等私生活场所内,使用移动型影像设备拍摄与个人有关的影像,但紧急情况等法律另有规定的情况除外。

三、与全球个人信息保护立法态势保持一致



(一)实现个人信息跨境流动方式的多样化随着经济全球化、数字化的不断推进,个人信息跨境流动日益频繁,但由于遥远的地理距离以及不同国家法律制度、保护水平之间的差异,个人信息跨境流动风险更加难以控制,世界各国都在探索建立有效的个人信息跨境流动机制。韩国个人信息保护委员会认为,当前法律规定个人信息向境外转移前,需经过信息主体的同意,引发了企业合规负担。但同时,只要获得信息主体的同意,就可以不受限制地转移个人信息,甚至将个人信息转移至保护水平薄弱的地区,会引发个人信息泄露等安全风险。为促进与国际规则的接轨,推动数字经济发展,修正案为个人信息跨境流动设置了多样化的途径,包括基于国际条约、协定、认证、达到本法规定的个人信息保护水平的国家或地区,为签订或者履行合同需要等,特别还增加了违反规定将个人信息转移到国外,或者个人信息没有得到有效保护时,个人信息保护委员会有权中止个人信息继续向境外转移。个人信息处理者在接到转移中止命令后,可以在7日内向个人信息保护委员会提出异议。此外,如果任何国家或者地区在个人信息保护方面对韩国采取歧视性的禁止、限制或者其他类似措施,韩国可以根据实际情况对该国家或者地区对等采取措施。

(二)从以刑罚为中心向转变为处罚为中心韩国个人信息保护法律责任体系与大部分国家不同,不是以实施处罚为中心,而是以对相关人员个人刑罚为中心。为了改变这一问题,修正案建议在放宽对个人刑罚的同时,向强化企业经济责任的方向进行转变。将罚款的上限调整为与全球处罚力度比较一致的水平,即上一年度全球营业额的3%以下,营业额计算存在困难的,可以处20亿韩元以下的罚款。在进行处罚时,应结合违法行为的程度、持续时间、次数、取得的经济利益等因素综合判断,做到罚当其罪。对于情节较为轻微的违法行为,罚款数额则分别设置为一千万、二千万、三千万以及五千万以下韩元。修正案还增加了保险金以及积累储备金等赔偿制度,还规定对于小型工商业者可以免于相应的处罚。当发生个人信息泄露等安全事件时,如果企业此前已经做足了充分的安全措施,并履行了通知义务,则不属于被处罚情形。此外,修正案还删除了只适用于信息通信服务提供者的刑罚规定及个人信息泄露时的相关刑罚规定。

四、构建个人信息保护生态体系,形成良好的社会氛围



(一)强化个人信息保护行业自律随着数据量的激增、云技术的普遍应用,个人信息泄露及侵权现象也呈“指数”式增长。韩国个人信息保护委员会认为,个人信息保护仅靠政府主导进行规制的作用有限,需要推动行业机构开展个人信息保护自律工作,鼓励企业通过行业组织凝聚规则共识,探索建立各行业个人信息保护规范。修正案规定自律性团队可以开展个人信息保护的宣传和教育活动、培养个人信息保护专业人才、制定自律规章等工作。

(二)引入调查机制,推进纠纷调解中的事实认定韩国《个人信息保护法》规定当公民个人信息权利受到侵害时,可以通过个人信息纠纷调解委员会的调解机制进行救济。但现行法律中,调解机构有权调查的对象仅限于公共机构,而且缺乏对于案件事实的调查权,使得公民权利难以得到及时救济。为此,修正案将无特殊原因应当参与调解的对象从公共机构扩展到所有的个人信息处理者,并赋予个人信息纠纷调解委员会对案件事实的调查权,即有权进入与案件有关的场所,查阅、复制案件有关的资料,并可以要求个人信息处理者给予必要的协助。

[1]刘新海:《他山之石:征信立法与时俱进可促进数字经济健康发展》,载经济观察网,2021年1月21日http://www.eeo.com.cn/2021/0121/459687.shtml






往期精彩回顾



域外观察 | 聚焦四大问题,日本更新《个人信息保护法》指南问答中心会议| 第六届“网络法治三十人论坛”成功举办
中心解读|《个人信息保护法》正式出台——中国走出第三条路(后附历次审议稿修改对照表)中心解读|《个人信息保护法》与GDPR的个人信息权利对比
中心研究|十问十答看懂我国个人信息去标识化规则中心研究 | 透视“数字守门人”制度:对大型平台的事前监管机制
中心研究|美国打压我国科技公司的政策工具梳理
中心研究|关于APP与关联方共享个人信息问题研究
中心会议|《个人信息保护法(草案二次审议稿)》研讨会顺利召开中心研究|商务部《阻断办法》解读与“国际阻断立法”比较研究
中心研究|数据治理 |数据价值演变下的个人信息保护:反思与重构
域外观察|数字市场秩序 | 欧盟公布《数字服务法案》和《数字市场法案》,单一数字市场促进举措大力推进
中心研究|数据跨境流动 |RCEP迈出全球数据跨境流动规则体系构建重要一步
中心研究|未成年网络保护 | 《未成年人保护法》修订:十大制度亮点推动未成年人网络保护进入新阶段
域外观察|欧洲议会发表了《欧洲数字主权》报告
中心研究|关于美国实体清单制裁事件有关情况的梳理
全文翻译|新加坡发布《个人数据保护法(修订)》草案
全球跨境数据流动国际规则及立法趋势观察和思考
域外观察│美国制裁华为相关法律问题梳理中心研究│个人信息保护中的“用户同意”规则:问题与解决


您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存