牛建军 中国工商银行首尔分行总经理 

汤志贤 中国工商银行首尔分行贸易融资部主管 

原文载于《中国金融》2021 年第九期 本文不代表作者供职机构立场和观点，欢迎个人转发，谢绝媒体、公众号或网站未经授权转载

2020年，中共中央、国务院发布《关于构建更加完善的要素市场化配置体制机制的意见》，提出加快培育数据要素市场，明确将个人数据认定为生产要素，并归入分配制度。党的十九届五中全会将“加强个人信息保护”纳入国民经济和社会发展十四五规划和二〇三五年远景目标建议。如何更有效地加强个人信息保护成为我国社会、经济金融发展中的重要议题之一。本文从韩国个人信息保护法律制度出发，结合实践和具体案例，力图为我国个人信息保护立法、个人信息处理方安全、稳健经营提供有益借鉴。

一、韩国个人信息保护实践案例

2020年11月，韩国个人信息保护委员会发布一份针对知名社交网络公司Facebook的罚款声明，提及其通过调查发现Facebook在部分用户不知情的情况下，将用户的个人信息分享至其它第三方。基于调查结果及Facebook在调查过程中的不良表现，韩国个人信息保护委员会对Facebook 进行67亿韩元罚款（约合3980万人民币），并计划将关联主体移交刑事调查。

个人信息保护在韩国并非新生事物，针对违反个人信息保护相关法律的企业罚款也屡有发生。上述案例是韩国个人信息保护领域较新一则的判例，较全面反映出韩国对个人信息保护的重视以及监管理念。

二、韩国个人信息保护法律体系及重要规定

韩国个人信息保护法律体系建设可以追溯到20世纪80年代。早在1989年，出于对政府普及电子政务可能侵犯公民个人隐私权的担忧，韩国制定了《个人信息保护法草案》，并在两年后正式出台《电子处理个人信息管理条例》，此后韩国持续完善不同细分领域的法律规范，先后出台《信用信息使用及保护法》、《电气通信事业法》、《金融实名往来及秘密保障法》等法律法规，与之同步的，还有以总统名义颁发的相关“施行令”，对法律条款、罚则等内容进行全面细化，以便于执法和遵守。

2020年1月，韩国国会通过《个人信息保护法》、《信息通信网使用促进和信息保护法》、《信用信息使用及保护法》三部法律修订案，并颁布相关施行令，构成新时代韩国个人信息保护的基本法律框架，最终建立起以总统直辖的个人信息保护委员会和个人信息纷争调停委员会为管理核心的、涵盖面广的、规定详细的个人信息保护法律体系。该体系包括行政管理制度、诉讼机制、救济制度，充分考虑了个人信息保护相关的事前稽核预防、事中监控、事后处罚，无论是公共部门还是私营部门，都必须统一遵守。总体看，韩国个人信息保护法律制度体系包含以下重要规定。

一是提出固有信息概念，广泛的将个人信息纳入保护范围。根据韩国《个人信息保护法》及施行令，个人固有信息是指能够直接识别具体自然人的信息，即如居民身份证号码、护照号、驾驶证号码等，个人信息不仅包括身份证号码、姓名、个人影像等能够直接识别具体自然人的信息，也包括虽然本身不能识别具体自然人、但结合其他信息，能够轻易识别具体自然人的个人信息。

二是明确最小范围收集原则，限制个人信息处理方收集信息的范围，企业不应收集和业务没有关系的个人信息。

三是强调个人信息使用不能逾界，韩国个人信息保护法律体系并不反对加强对个人信息的利用，但也强调个人信息利用与个人信息保护的平衡，个人信息处理方只能在既定框架内对个人信息进行处理。

四是重视个人信息管理，个人信息处理方必须具备相应的信息管理能力，如物理隔离能力、存储和备份能力，制定内部管理计划，防止个人信息被盗、被修改、遗失等，处理或使用个人信息的全过程必须充分考虑如何避免损害个人的权益。

五是禁止第三方使用信息，除遵守法律规定或满足政府要求等特定情形外，个人信息处理方不得给第三方分享自身持有的个人信息。

六是个人固有信息不能出境。

七是提出个人信息保护责任人制度，个人信息处理方应设立专门的个人信息保护责任人（个人信息保护官），独立牵头本机构的个人信息保护相关事务，并履行报告职责。

八是对违法者进行严厉处罚，如法律规定可以判处违法者监禁；再如按违法次数进行罚款，根据韩国《个人信息保护法施行令》，对应加密信息而未加密情形的，违规一次罚款600万韩币，两次1200万韩币，三次及以上是2400万韩币。

而根据韩国《个人信息保护法》，执法部门罚款时应考虑违规的程度、违规的数量、非法所得总额的情况进行罚款，因此对于管理大量个人信息的机构，如银行、保险公司、购物平台等，每天处理成千上万条信息，发现一条个人信息管理不当基本就意味着存在多次违规嫌疑，罚款金额可能就巨额数字，且韩国要求限期整改、限期缴纳罚金，否则会加重处罚。

三、韩国企业在个人信息保护领域的具体实践

在严苛的法律体系下，韩国企业对收集、使用、管理客户个人信息均非常慎重，个人信息被认为不仅是业务资源，也是责任和包袱。

制度建设方面，韩国企业普遍将本机构个人信息管理规定作为重要事项对待，制定详细的个人信息处理制度、报告制度、信息保护官制度，并张贴在企业官方网页。

个人信息收集方面，考虑到收集过多的个人信息将增大自身管理难度，增加管理成本，同时管理不善将带来一系列严重后果，韩国企业普遍严格根据业务需要和最小化原则来收集客户信息，不收集必要信息以外的个人信息数据。

个人信息使用方面，对固有信息进行遮挡使用，同一集团不同机构之间、同一企业不同部门之间不随意共享，只有在法律允许的情况下，才会对外提交或共享个人信息。如银行办理公司贷款业务过程中，信贷审查人员在信用分析环节，并不需要企业个人身份信息，因此也不进行调阅。

个人信息管理方面，企业普遍投入大量人力成本、时间成本进行系统建设和加密处理，配备与企业所管理的个人信息量一致的IT管理系统，做好备份管理、传输管理、遮挡管理，防止个人信息泄漏。其他国家企业在韩国成立的分支机构，也往往严格遵守固有信息不能出境的规定。以外资银行为例，在集团内部审查、集团信息共享、协同营销、系统投产过程中，会确保本机构的掌握的客户个人固有信息不会转移出境，即使是集团全球集中系统处理业务，个人信息传回母国也是进行加密处理。

四、中国个人信息保护最新进展与不足

中国对个人信息保护的关注和重视由来已久，法律制度建设在近年亦有明显加速和大幅改进，如2020年我国相继颁发或出台《中华人民共和国民法典》（下称“民法典”）、《中华人民共和国数据安全法（草案）》、《中华人民共和国个人信息保护法（草案）》（下称“草案”）等一系列与个人信息保护密切相关的重要法律文件。如民法典以国家根本大法的形式，明确自然人的个人信息受法律保护，并对处理个人信息作出限制性规定，为我国个人信息保护事业的未来发展发挥了关键的作用。

但也应该看到，一些个人信息处理方在收集、存储、使用、传输、分享个人信息等方面存在一定误区，与国际通行标准存在一定脱节。以个人信息采集和使用为例，部分企业认为采集的个人信息越多越好，越多越有利于发掘业务机会，没有充分意识到管理个人信息本身的责任重大，管理不善需要接受法律制裁；部分企业认为其采集的个人信息就是企业自身财产，进行几乎毫无节制的过度使用、越界使用。再以个人信息跨境传输和跨境使用为例，不少企业在实践中没有进行严密保护。实际上，个人信息不仅是自然人的重要的权益之一，特定个人信息也是国家的重要财产和重要资源，处理个人信息必须按照国家法律要求进行。总之，我国个人信息保护领域还存在诸多有待改进之处。

五、对韩国个人信息保护运行机制的借鉴

韩国个人信息保护实践本质上是以立法和行政管理为基础，推动企业、科研机构、非赢利团体等个人信息处理方自觉遵法，使其主动按照法律规章制度，参与到个人信息保护中去，最终形成较好的个人信息保护氛围和机制，这对我国未来加强个人信息保护具有较强的借鉴意义。

（一）立法先行，确保个人信息保护法制建设与时俱进

应考虑尽快正式出台《中华人民共和国个人信息保护法》及更为详细的施行条例和罚则，使个人信息保护更有法可依；对个人信息定义进行进一步完善，考虑设立固有信息概念并进行从严管理，重要的个人信息，应上升到国家财产的高度，严格限制跨境转移。从长远看，需根据不同时期的时代特点、社会发展需求，对各类相关法律制度进行及时跟新以确保有效性，以韩国《信用信息使用及保护法》为例，自1995年颁发以来，已据实际需要修订接近40次，确保该法走在时代前沿，持续保护个人信息所有主体的合法权益。

（二）重视监督渠道、救济渠道搭建，建立信息保护官制度，充分保障个人合法权益

在特定类型企业推行信息保护官制度，对企业使用个人信息履行内部监督、受理内部投诉、独立向监管报告等职能，如果信息保护官未履行自我监督或未如实向监管进行报告，就涉嫌职务犯罪。建立不同层级的投诉受理部门、救济机构，使个人信息所有主体在合法权益受到侵害的情况下，有专门投诉和申诉对象。韩国为解决个人信息所有主体维权难问题，成立有专门的个人信息纷争调停委员会，专门负责个人信息保护相关的救济调解事宜。

（三）坚持全周期监管，事先稽核预防、事中监控、事后处罚并重，重视从重处罚的负面激励效果

例如在事先预防环节，监管机构和执法部门可以直接对个人信息处理方管理个人信息的能力进行监管，检查是否配备足够的存储系统、是否建立有风险隔离机制、其收集的信息应是否与其管理能力相匹适等。

再例如在事后处罚环节，韩国重视处罚的负面激励作用，加大处罚力度，有效震慑了企业违法行为。虽然《中华人民共和国个人信息保护法草案》也有罚则，如“没收违法所得,并处五千万元以下或者上 一年度营业额百分之五以下罚款”、“对直接负责的主管人员和其他直接责任人员处十万元以上一 百万元以下罚款”。但对比看，我国目前适用的罚则总体详细程度和严厉程度仍可一定提升空间，如对个人信息泄露按条数或次数进行处罚，形成监管“高压线”，部分网络科技公司、金融机构等可能收集并管理了数亿条个人信息，按条罚款使得每条信息都很宝贵，相关企业自然不敢疏于管理导致个人信息以低成本贱卖或泄露出去。

（四）强调行业自律，端正个人信息处理方业务理念

相关机构需意识到，收集的个人信息既可能带来业务机会与财富，也蕴含巨大的法律风险、赔偿责任、声誉风险，应该按照非必要原则减少采集，非业务关联人不应接触个人信息，杜绝过度使用和超范围使用。同时，随着国家出台《个人信息保护法》，可以预见未来执法部门对个人信息保护相关的违规行为会趋于从严处理，企业管理不当可能招致重罚，因此相关机构要有“与时间赛跑”意识，尽快提高个人信息管理能力和系统处理能力。

再以国际化水平较高的企业为例，在很多国家，若企业对客户个人信息管理不善，不仅可能遭受罚款，也可能关系到其能否继续被监管当局允许经营，因此在跨境经营中，应对收集、使用、管理个人信息存有敬畏之心，深刻意识到收集业务必要信息以外的个人数据、与第三方共享信息等行为，需要担负额外的管理责任，承担更多的风险，因尽量少采集个人信息。

（五）个人信息管理和系统设计要有前瞻性

以跨境经营的中资机构为例，在开发全球统一营运系统前，需要充分考虑到境外个人信息保护规定，全球统一营运系统开发、外围系统功能设计、档案管理、资料跨境调阅和查询须符合境外法律对本国个人信息出境、集团共享等方面的规定，提前设计加密系统或部署本地服务器，未雨绸缪，做到与国际接轨，避免出现水土不服导致声誉、经济受损的情况。