域外观察 | 韩国迎来《个人信息保护法》颁布以来的首次全面修订

全文共计约4000字，细读时间约13分钟

关于对自动化决策拒绝的权利。欧盟GDPR第22条最早规定了“免于自动化决策权”规定，即数据主体不受对个人有法律影响或重大影响的纯粹自动化决策（包括画像）的限制和制约。根据GDPR的立法文件，免于自动化决策权设定的立法目的一方面是避免数据控制者逃避审查和决策责任，对自动化决策结果机械全盘接收；另一方面是避免歧视、避免对极度敏感隐私的侵犯以及对个体自主权的影响。我国《个人信息保护法》也有类似规定，通过自动化决策方式作出对个人权益有重大影响的决定，个人有权要求个人信息处理者予以说明，并有权拒绝个人信息处理者仅通过自动化决策的方式作出决定。韩国个人信息保护委员会也认为，人工智能等新技术对公民日常生活产生巨大影响，信用、税务、司法、福利等领域的完全自动化决策可能会使公民的权利和义务受到重大影响，通常与人身权利、公正、秩序、非歧视等价值关系重大。因此，修正案规定了个人对于自动化决策的拒绝权，以防止可能对个人基本权利的侵犯。

知情同意制度源自个人信息自决权与隐私权理论，在各国的个人信息保护法律中均有所体现。但在大数据时代下，个人信息在商业分析、决策支持等方面具有重要价值。仅依靠知情同意作为处理个人信息的唯一合法性基础，显然已经不符合时代趋势和技术要求。为使各方利益均能得到充分主张和合理分配，有效实现个人信息权益保护和个人信息合理利用之间的动态平衡，拓展个人信息处理的合法性基础也成为全球基本共识。例如，我国《个人信息保护法》规定了除个人同意以外，其余六项的个人信息处理合法性基础。韩国个人信息保护委员会同样认为，过度强调知情同意会导致企业机构等个人信息处理者在合理处理和利用个人信息方面受到制约；而且个人也因复杂的告知事项和程序难以实质性地作出同意，或出现“胁迫同意”的情形。为此，有必要采取弹性化的规则取代当前复杂僵化的知情同意制度。修正案规定，为促进企业合理收集和利用个人信息，签订和履行服务合同所必需时，无需信息主体同意也可以收集使用个人信息，降低了此前规定的不可避免地需要收集个人信息的程度要求，还将基于公共卫生、公共安全需要处理个人信息也纳入到了个人处理的合法性基础之中。特别是规定，对于不满14周岁未成年人的个人信息，如果仅收集法律规定最低限度的个人信息，可以不经法定代理人的同意，直接从不满十四周岁未成年人处收集个人信息。虽然，修正案一定程度上放宽个人信息收集的事前要求，但引入了评价制度，通过加强对于个人信息处理活动的事后控制，形成宽进严出的制度体系，以实现对于个人权利的有效保护。

[1]刘新海：《他山之石：征信立法与时俱进可促进数字经济健康发展》，载经济观察网，2021年1月21日http://www.eeo.com.cn/2021/0121/459687.shtml