韩国个人信息保护法律制度概况(DPO社群成员观点)
一、立法概况
韩国较早开始立法对个人信息予以保护。1994年1月7日制定了《公共机关个人信息保护法》,就公共电脑,以及在公共场所的视频监控等设备处理个人信息事宜进行立法规制(公共机关类似中国的行政机关)。与此同时,还有《信息网络通信利用促进及信息保护法》,对商业信息通讯服务领域中的个人信息进行了立法规制。
韩国国是全球第一个全面施行网络实名制的国家,2002年就开始要求政府网站上实施实名制,2008年影星崔真实因网络暴力自杀,普遍认为是网络实名制执行不到位所导致,当年韩国国会通过了法律修正案,要求全面落实网络实名制,否则网络经营者将遭受巨额的罚款。
网络实名制的落地同时,也带来了个人信息安全保护方面的重大隐患。产生了不法商家滥用个人信息疯狂电话营销、垃圾广告邮件、窃取隐私等,特别是2011年韩国的主流网络社交平台NATE等被黑客攻击,3500万人的姓名、生日、电话、住址、邮箱等详尽信息被泄露,造成了韩国史无前例的安全危机,而当时韩国总人口不过5000多万。
为了应对愈演愈烈的个人信息安全,政府开始重新检讨网络实名制的要求并考虑立法加强对个人信息的保护。2011年开始分阶段废除了网络实名制,韩国国会在2011年3月通过了《个人信息保护法》并于同年9月30日正式实施,同时还就该法律的执行细则颁布了《个人信息保护法施行令》和《个人信息保护法施行规则》(注:施行令是总统颁布的执行法律的命令,一般还包括任命法律的执法机关。施行细则类似我国的常见的行政法规中的实施细则,对立法中条款进行细化和解释)。同步废止了原有的《公共机关个人信息保护法》,将原来行政机关、商业机构区别处理的二元式个人信息保护法律体系整合在一部统一的《个人信息保护法》之下。
二、个人信息相关定义
个人信息:与中国或者欧盟的GDPR大同小异,韩国《个人信息保护法》第二条规定的个人信息是指与存活个人相关的信息,是通过姓名、居民身份证号码及影像等可以对个人进行识别的信息。
处理:指对个人信息进行收集、生成、联系、联动、记录、存储、持有、加工、编辑、检索、输出、更正、恢复、利用、提供、公开、销毁及之外的其他行为。
个人信息主体:是指根据信息可以识别出的人。
个人信息处理者:较欧盟的GDPR定义狭窄,是指为了运用个人信息文件,自行或者通过他人对个人信息进行处理的公共机关、法人、团队或个人。类似于GDPR上的个人信息控制者。但GDPR上划分了个人信息控制者和处理者:①控制者是单独或者联合决定个人数据处理目的或方式;②处理者是代表控制者处理个人数据。韩国并没有采用GDPR的划分方式。
三、个人信息保护的原则
基本原则:与中国网安法和EU的GDPR大同小异,都是合法、正当、最小必要原则。
个人信息处理者应保障个人信息的准确性、完整性和最新性,保护个人信息安全。
查阅权:个人信息主体应披露个人信息处理政策等个人信息处理相关事项,保障信息主体的请求查阅权等权利。
匿名权:个人信息处理者应当尽可能以匿名方式处理个人信息。这与中国和欧盟的脱敏、标签化要求基本类似。
四、个人信息主体的权利
《个人信息保护法》上列举了个人信息主体所拥有的5项权利,主要是:
知情权:个人信息主体有权获取与个人信息处理相关情况的权利;
选择权:个人信息主体有权选择是否同意处理个人信息,及同意的范围等。
确认权:个人信息主体有权要求确认其个人信息是否被处理,以及查阅个人信息。
终止权:个人信息主体有权要求对其个人信息终止处理,更正、删除和销毁。
获得救济权:个人信息主体有权因为对其个人信息处理而发生的损害,根据快速而公正的程序获得救济。
五、个人信息处理的主要要求
1、 同意及例外
在对个人信息进行收集、利用、提供等处理时都应取得个人信息主体的同意。未经同意处理信息的,有可能构成刑事犯罪被处以有期徒刑或者巨额罚款。以下情形,可以未经同意进行个人信息处理,但是相关的举证责任,由个人信息处理者承担:
法律有特殊规定或者为遵守法定义务所必须;
公共机构为履行法令等义务所必须;
与信息主体签订和履行合同所必须;
信息主体或其法定的代理人(类似中国法上法定监护人)不能做出意思表示,或地址不明无法事先获得同意,且被明确认为是为了信息主体或者第三人紧急的生命、身体、财产利益所必须;
为事先个人信息处理者的合法利益而必要,且明确优先于信息主体的权利。这种情况下,仅限于个人信息处理者的合法利益有相当的关联性,且不超过合理范围。
2、 同意的具体要求
个人信息处理者应当将每个需要同意的事项进行区分,并清晰、明确的告知信息主体,就每个事项分别取得个人信息主体的同意。
收集、利用和提供的具体要求:应通知信息主体收集和利用个人信息的目的,拟收集的个人信息项目,个人信息的持有和利用期间,享有拒绝同意的权利以及拒绝的不利后果或内容,在前述事项发生任何一项变更时,应及时告知信息主体并获得同意。
3、 来源告知义务
信息处理者从信息主体以外收集的个人信息的情况下,若信息主体提出要求,信息处理者应当将个人信息收集的来源、处理个人信息的目的予以告知。但一些特殊情况下这种告知义务可以豁免,比如收集的信息中没有包括联系方式的,因告知可能对他人的生命、身体造成损害的,给他人的财产或者其他利益造成不当损害的。
4、 个人信息处理的限制
禁止处理的信息:不得对政治观点(包括思想、信念)、工会的加入与退出、政党的加入与退出、整治观点、健康、性生活等信息,以及其他明显侵害个人私生活的信息进行处理。对总统令规定的用来区分识别特定个体的特定识别信息,未经特别规定不得处理。
对身份证信息处理的特别限制:原则上个人信息处理者不得处理个人身份证号码,信息处理者应当为个人信息主体提供不需要使用居民身份证号码即可成为网站会员的方法。
影像信息的限制:原则上任何人不得在公共场所设置、运营影像处理设备。在法律有特殊规定允许设置时,应当明示安装的目的和地点、拍摄范围和时间、管理负责人的姓名和联系方式。
六、个人信息保护相关机构及其职责
1、行政安全部的个人信息保护职责主要有:
检查权:对个人信息处理者对特别识别信息的处理进行定期检查,包括处理的个人信息类型、数量、从业人员数和销售额,检查是否采取了符合总统令规定标准的个人信息安全保护措施。行政安全部长官可以将检查的部分权限授权给指定的专门机关。
标准制定权:行政安全部长官可以制定有关个人信息的处理标准,个人信息侵害类型及预防措施等相关标准,并建议个人信息处理者遵守其标准。
2、个人信息保护委员会进行个人信息保护政策的制定及评价
个人信息保护委员会是根据《个人信息保护法》成立的,直属总统的机构,主要负责以下事项,但该委员会没有执法权,不能够进行调查、检查,进行处罚:
改进与保护个人信息有感的政策、制度和法律;
协调各公共机关之间个人信息处理意见的冲突;
解释个人信息保护的法律法规;
根据公共机关的请求,对该公共机关制定的涉及个人信息处理的政策和制度的个人信息侵害因素进行评价;
与有关中央机关协商,每三年制定个人信息基本保护计划;
审议并表决中央行政机关每年制定的个人信息保护实施方案。
注:现任的个人信息保护委员会的常任委员(相当于负责人)김일재是韩国行政安全部政府组织室的室长,委员中包括有法官、教授,多数是律师。
3、个人信息纠纷调解委员会
个人信息纠纷调解委员会(以下调解委员会)是《个人信息保护法》下成立的,主要职责是对个人信息有关纠纷进行调解。日常处理调解事务是一个由五人组成的调解部,在调解委员会的委托范围内,核实案情,调解纠纷。
调解的发起由当事人自愿,原则上应当在申请之日起六十日内制作调解方案,当事人收到调解方案之日起十五日内未明确告知是否接受的,视为拒绝调解,接受调解的,调解委员会应制作调解书,该调解书与法院制作的调解书具有同等效力。
调解不是强制的程序,也不是必须的诉讼前置程序。在调解过程中,一方当事人起诉的,调解委员会应当中止调解的处理并将情况告知当事人。
七、个人信息集体诉讼
个人信息纠纷发生后,个人信息处理者拒绝进行纠纷调解,或者不接受调解结果的,消费者团队可以向法院发起个人信息集体诉讼。这里的集体与中国法下的集体诉讼概念不同,类似于中国法下的公益诉讼。
在韩国的《个人信息保护法》下,民间组织可以根据韩国的《民事诉讼法》就个人信息处理者对多个信息主体进行相同或类似的侵害,发起集体诉讼。
民间组织可以是根据韩国《消费者基本法》成立的团体,也可以是根据《非盈利民间团体支援法》成立的组织。
此类案件在被告人的主要营业场所或所在地管辖。
八、处罚
《个人信息保护法》规定,对于违反个人信息保护的行为,可以处以以下的刑事处罚或者罚款,原则上,对违规行为知情但为了营利的目的而接受个人信息的,将给予同等的处罚。而且这些刑事处罚或者罚款是双罚制,即法人或法人的法定代表人、代理人、雇员、工作人员等一并进行处罚,个人有证据证明为了防止违法行为的发生,勤勉尽责的尽到了注意义务和监督义务时例外:
1、 以下情形之一的,判处十年以下有期徒刑,或者1亿韩元以下的罚金:
妨碍公共机关处理个人信息工作为目的,将公共机关处理的个人信息变更、销毁、给公共机关的工作造成中断、瘫痪等严重影响;
使用欺骗或其他不正当手段取得特任处理的个人信息后,以营利或者其他不正当目的向第三人提供,或者教唆、帮助向第三人提供。
2、 以下情形之一的,判处五年以下有期徒刑或者五千万韩元以下的罚金:
未经信息主体同意,将其个人信息向第三者提供的;
违规处理敏感信息的;
违规泄露,或者未经授权将业务中获取的个人信息提供给他人利用
违规毁损、蔑视、变更、伪造、泄露他人个人信息的。
3、 对以下情形之一的,判处3年以下有期徒刑或者三千万韩元以下的罚金:
违规超出影响处理设备设置的目的,任意操纵影响信息处理设备,或者在其他地方采摄或者录音的;
以不正当方法或者欺骗获得同意,收取或处理个人信息的。
泄露因职务行为所获取的秘密。
数据保护官(DPO)社群主要成员是个人信息保护和数据安全一线工作者。他们主要来自于国内头部的互联网公司、安全公司、律所、会计师事务所、高校、研究机构等。在从事本职工作的同时,DPO社群成员还放眼全球思考数据安全和隐私保护的最新动态、进展、趋势。2018年5月,DPO社群举行了第一次线下沙龙。沙龙每月一期,集中讨论不同的议题。目前DPO社群已近300人。关于DPO社群和沙龙更多的情况如下:
DPO社群成果
线下沙龙实录见:
评估GDPR效果和影响:
线上沙龙见:
DPO社群成员观点