其他
【研究报告】数据跨境治理国别规则(5):韩国
【代序】
当前数字经济蓬勃发展,特别在全球化浪潮下,世界各国都面对着一系列全新的治理挑战。无可否认,海量数据的处理与应用构成了新型数字经济样态存在与发展的关键性必要条件,时至今日,数据要素对于经济和社会发展变革有巨大驱动作用,数据作为基础性战略资源的论断已然成为国际社会的普遍共识,全球范围内的数据跨境流转利用成为各方高度关注的命题。
近年来,数据跨境流动的安全问题日益凸显。不可否认,数据治理问题本身具有非常复杂、宽广的视域,而系统检视这一问题、寻求应对方案的逻辑主线应当是新一代网络信息技术的发展态势以及与数据处理应用相伴随的机遇和风险类型考察。就此应当指出的是,一方面,围绕各类数据的利用,在以大数据、云计算、物联网以及人工智能等为代表的新一代信息技术的普及应用过程当中,人们不断拥抱更多的发展机遇;另一方面,围绕各类数据的保护,民众在快速数字化的环境中也持续面对来源更为广泛、程度更为深刻的安全风险。
主要的域外国家和发达地区高度关注在数字贸易领域建立国际规则的问题,对此已在其推动的多个经贸谈判中有所涉及,这也成为各个国家有关数据安全制度政策域外延伸的重要组成部分,构成企业跨国运营过程中需要持续跟进的核心因素。团队汇聚资深的理论和实务专家完成《数据跨境治理国别规则》研究报告,发布相关成果并会形成系列更新,以飨读者!(特别鸣谢北京大成律师事务所数字业务中心的协助支持。)
——吴沈括,北京师范大学法学院博士生导师、中国互联网协会研究中心副主任。
1.韩国数据治理的规范框架韩国数据治理的规范可划分为围绕个人信息治理、围绕公共数据治理、具有创新性的数据产业专门立法和国际性的多边协定与安排四个部分。1.1个人信息治理的基本框架韩国在个人信息领域形成三法并存的治理局面,并以专门领域立法中个人信息保护相关的法律规范作为必要的补充。(1)《个人信息保护法》(Personal Information Protection Act)(“PIPA”)该法案于2011年9月30日开始实施,是个人信息领域的一般性法律规定,将公共部门及民事部门对个人信息的保护统一了起来。《个人信息保护法实施令》《个人信息保护法执行规则》《个人信息保护委员会规定》是其系列配套规定。该法明确了个人信息保护的原则、数据主体的权利、国家和政府的职责、个人信息如何进行收集、利用和保护规则。个人信息保护委员会(“PIPC”)是负责数据保护的主要机构。韩国互联网与安全局(“KISA”)为接收个人信息泄露报告的专属机构。2021年韩国基于PIPA等相关法律,被欧盟认定为提供了同等保护,并获得了充分性认定。(2)《信息通信网络的利用促进及信息保护法》(The Act on Promotion of Information and Communications Network Utilization and Information Protection, etc.)(“Network Act”)该法于2001年开始实施,主要规制信息通信领域的个人信息的利用及保护。该法明确禁止信息通信网络侵害行为,规定建立信息保护管理体系认证制度等信息通信网络安全保障机制。(3)《信用信息的利用及保护法》(Credit Information Use and Protection Act)该法于1995年开始实施,主要规制个人信用信息的利用及保护。该法对PIPA中的假名信息、安全保障机制做出了针对性的规定,进一步理顺了法律和管理部门之间的关系,规定金融服务委员会(“FSC”)监督信用信息企业及其对《信用信息的利用及保护法》的遵守情况,并有权命令任何违规的公司采取纠正措施。1.2公共数据治理的基本框架韩国公共数据是指由中央机构、地方政府、学校和公营事业企业等各类公共机构制作、获取和管理的,包括数据库和电子文件在内、以可见的或电子化形式处理的数据或资料。围绕公共数据治理主要有两部一般性法律:《公共机关信息公开法》和《公共数据提供和使用法》,并以专门领域立法中公共数据相关的法律规范作为必要的补充。(1)《公共机关信息公开法》(Act on Disclosure of Information by Public Agencies)该法于1998年实施。该法奉行“申请—公开”原则,赋予每一公民申请公开公共数据的权利,相应的公共机构有义务应申请而披露相关信息。请求公开的人员包括所有韩国国民和符合一定条件的外国人或外国机构,如在韩国国内有住所或为学术、研究滞留一定期限的人员;或者在韩国国内拥有办公场所的法人或团体。(2)《促进提供和使用公共数据法》(Act on Promotion of Provision and Use of Public Data)该法诞生于韩国以建设透明政府为要旨的“数字政府3.0运动”中,并于2013年实施。该法规定了有关提供公共机构持有和管理的数据以及激活其使用的事项,从而确保了对公共数据的使用权利以及私人可使用公共数据。该法强调公共机构主动公开相关数据,促进公共数据的流通和使用。1.3数据产业专门立法(1)《数据产业振兴和利用促进基本法》(Basic Law for Promotion and Utilization of Data Industry)该法于2022年4月开始实施,该法保护“大量人力和物力投资和努力创造的具有经济价值的数据”,是全球首部规制数据产业的基本立法。该法提出设立国家数据政策委员会,培养数据经纪商,构建数据价值评估、资产保护和争端解决机制等内容。1.4多边协定及安排(1)《亚太经合组织跨境隐私规则体系》(APEC Cross-Border Privacy Rules System)(“CBPR”)2022年4月21日,韩国在内的七国发布宣言宣布成立CPBR论坛,致力于促进数据自由流通与有效的隐私保护。CPBR是对APEC隐私框架要求的实施。(2)《亚太经合组织跨境隐私执法安排》(APEC Cross-border Privacy Enforcement Arrangement)(“CPEA”)该体系是APEC项下为支持建立整体的数据跨境机制而进行的安排。(3)《区域全面经济伙伴关系协定》(Regional Comprehensive Economic Partnership)(“RCEP”)RCEP旨在建构推动数据安全、自由流动的跨境流动规则。2.韩国数据跨境的政策法规韩国数据跨境相关政策法规集中于以下法规,可以主要划分为个人信息领域、公共数据领域、以及对数据跨境的国际性安排与协定。2.1个人信息领域(1)《个人信息保护法》(Personal Information Protection Act)(“PIPA”),PIPA设置专门条款规定了数据跨境传输,主要集中在第15条、17条、39-2条、39-13条等。PIPA强调了数据跨境传输的合法性基础,即告知-同意,明确了数据跨境传输者告知义务的具体内容、跨境传输的特殊情形以及相关罚则。2021年9月,PIPC向国会提交最新修正案,设置了弹性化的规则以防告知-同意制度僵化,为个人信息跨境传输设置了多样化的途径,此外还规定了对等原则。2022年7月5日,韩国和英国达成了一项数据充分性原则协议,该协议作为一项除告知-同意制度以外的最新实践,允许在两国间不受限制地进行数据传输和共享。(2)《信用通信利用促进及信息保护法》(The Act on Promotion of Information and Communications Network Utilization and Information Protection, etc.)(“Network Act”)该法第63条对信息通信服务提供者向国外转移用户个人信息应履行的义务作出规定,还设置了国内代理人制度,明确个人信息匿名处理后不再适用个人信息保护相关规定,确立了对国际企业个人跨境传输的管辖等。(3)《信用信息的利用及保护法》(Credit Information Use and Protection Act)该法第32条中规定了信用信息跨境传输情形中对告知-同意制度的例外情形——据国际公约,当金融机构持有的个人信用信息向国外金融监管机构提供时,可不需获得个人事先同意。2.2公共数据领域韩国并未有明确规定公共数据跨境传输的法律规范,与之较为密切相关的是《促进提供和使用公共数据法》,该法的原则意味着韩国公共数据可以自由跨境传输。2.3多边协定及安排(1)《亚太经合组织跨境隐私规则体系》(APEC Cross-Border Privacy Rules System)(“CBPR”)该论坛计划建立国际认证体系、推广全球CBPR和PRP体系,提供信息交流与合作的论坛;定期审查成员的数据保护和隐私标准,促进与其他数据保护和隐私框架的互操作性。(2)《亚太经合组织跨境隐私执法安排》(APEC Cross-border Privacy Enforcement Arrangement)(“CPEA”)APEC数据跨境规则方案主要体现在隐私框架的第五部分关于“国际实施”的内容中,方案包括:对数据跨境相关信息的共享;数据跨境调查与执法的国际合作;建立数据跨境隐私机制;对限制数据跨境传输的规定;不同隐私保护框架的兼容性倡议。(3)《区域全面经济伙伴关系协定》(Regional Comprehensive Economic Partnership)(“RCEP”)RCEP主要规定经济领域内的数据跨境相关问题,规则主要集中于第八章“服务贸易”中的附件1“金融服务”和附件2“电信服务”以及第十二章“电子商务”中。3.韩国数据跨境的合规要求从第二部分可以看出,韩国针对数据跨境的立法体例与欧盟类似,将数据划分为个人信息和公共数据,通过不同法律规范对不同类型数据的跨境传输施加不同规制要求,由此形成数据治理的二元治理格局。3.1个人信息跨境传输韩国个人信息跨境传输严格遵循“告知-同意”机制。即个人信息控制者将相关个人信息提供给境外接收者时,原则上应当事前告知数据主体并获得其明确同意,除非具有以下例外情形:(1)法律另有规定或为遵守法定义务而不可避免;(2)公共机构为履行法定义务而不可避免;(3)保护数据主体或第三者的生命、身体或经济利益免受迫在眉睫的威胁;(4)法庭命令或者法官签发的令状另有要求;(5)对于履行信息通讯服务之合同和便利用户是必要的,但是要进行适当通知或披露;(6)计算与位置资料或定位服务之提供相关之费用所必需;(7)资料之提供是以一种无法确定特定主体的方式进行,且用于统计、科学研究或市场调查之目的。需注意,与欧盟《通用数据保护条例》(GDPR)相比,PIPA对于告知的程度要求更为详细,具体请见本文第四部分。3.2公共数据跨境传输根据《公共机关信息公开法》和《公共数据提供和使用法》,公共数据原则上可以跨境自由传输,但以下9种例外情形下不予公开,相应地也不能跨境传输:(1)被认定为保密资料;(2)与国家安全、国家统一和国防外交等相关;(3)不利于保护公众生命、身体安全和财产;(4)与正在进行中的法院审判、犯罪调查、执行刑罚等相关;(5)与审计、监督、检查、监管或内部决策等相关;(6)其中包含个人信息;(7)与公司商业秘密相关;(8)可能予以特定人利益或对其产生不利;(9)涉及任何第三人根据《著作权法》等所享有之权利且该数据的使用未经相关法律合理授权。此外,部分专门领域的法案提出了数据本地化存储的要求,禁止跨境传输,此类数据包括:(1)与国家安全和重要政策以及本国开发的前沿技术和装备相关的重要资料;(2)对国土资源等进行基础测量和公共测量所获得的地图和照片等关系到国家安全的空间数据;(3)公共机构在使用云端运算服务时产生的数据。4.韩国数据跨境的实务案例4.1Facebook罚款案(1)案情简介2021年,PIPC与韩国互联网振兴院一起,对海外运营商在个人信息采集同意方式是否合法进行了深入分析和调查研究。2021年8月25日,韩国个人信息保护委员会通过了一项决议,对Facebook、Netflix和谷歌三家企业共计征收约67亿韩元(约合3714万元人民币),其中关乎数据跨境方面的具体违法违规行为与处罚情况为:Netflix因未公开向国外传输个人信息相关内容等两项违法行为,被处以约2亿韩元罚款并要求改正;谷歌因存在向国外传输个人信息项目的具体说明不详实等个人信息处理情况不完善的情况,被责令改正。(2)案例分析韩国法律规定,个人信息跨境传输严格“告知-同意”机制。个人信息控制者和处理者应当将每个需要同意的事项进行区分,并清晰、明确的告知信息主体,就每个事项分别取得个人信息主体的同意。告知的内容包括(下列事项发生变化后也应当通知):(i)个人资料接收者;接收者使用个人资料的目的;(ii)个人资料的具体内容;(iii)接收者留存和使用个人资料的期限;(iv)数据主体有权拒绝同意的事实以及可能因此承受的不利后果。只有在充分、详尽地告知并获得信息主体明确同意后,个人信息方可跨境传输。Netflix、谷歌即是个人信息跨境时未进行告知或者告知不够充分而违反规定,由此可见,韩国对于告知-同意原则要求相对严格。
数据跨境治理国别规则研究课题组
— END —
“数据二十条”政策解读|吴沈括:构筑面向数字化和全球化的数据跨境流通生态
聚焦网络法治 护航数字经济:2022年世界互联网大会乌镇峰会网络法治论坛在浙江乌镇举行
动向|欧洲2023年立法议程:数字立法位于第二位
美国要求互联网公司研发针对中国电信设备的攻击武器 外交部回应“中国+中亚五国”数据安全合作倡议
前沿瞭望|美国首次公布联邦《数据隐私与保护法案》(全文)
动向|美国推动的"印太经济框架" 想做什么?动向|拜登宣布启动"印太经济框架" 日韩澳印等13国加入洞察|欧盟-美国有关未来数字治理的立场异同欧洲EDPS与EDPB关于欧盟数据法案的联合意见(5月5日)
高端视野|吴沈括 李涛:流量劫持的的刑法应对
吴沈括|数据要素市场建设中的公共数据与政企合作吴沈括|欧盟2022年《数字服务法案》:平台新治理的欧洲样板
吴沈括|欧盟2022年《数据治理法案》:数据要素流转利用的欧洲方案
美欧就跨大西洋数据隐私框架达成原则性协议(含监管历史演进梳理)光明网 | 吴沈括:强化数字安全助力数字经济高质量发展重磅|欧盟《数据法案》(Data Act)草案(中译本)重磅|欧盟《数据法案》(Data Act)草案全文
高端视野|吴沈括 Deuse Clément:欧盟数字主权与《数据法案》立法进程高端视野 | 吴沈括 S. Boutillier:网络空间国际规则与《巴黎倡议》高端视野|吴沈括 L. Valenti:数据跨境调取与布达佩斯公约第二补充议定书高端视野|吴沈括 H. MANZOOR:数字安全与联合国打击网络犯罪公约高端视野|吴沈括 Elena Scarpelli:欧盟数据主权与《电子证据条例》立法高端视野|吴沈括 Andrea Fusi:欧盟数字转型与《数字权利和原则宣言》高端视野 | 欧盟委员会《欧洲数据治理条例》提案研究数字治理全球洞察 | 跨境数据治理前沿系列:【研究报告】数据跨境治理国别规则(4):日本
【研究报告】数据跨境治理国别规则(3):德国
【研究报告】数据跨境治理国别规则(2):爱尔兰
【研究报告】数据跨境治理国别规则(1):欧盟
数据跨境|欧-美数据隐私框架充分性决定草案:认可美国数据保护水平
数据跨境|英国就韩国达成数据跨境充分性认定 助力实现双边经济增长
数据跨境取证|吴沈括 蔡佩原:英国-美国《数据访问协议》中译本(2022-10-03施行)
数据跨境|拜登《关于加强美国信号情报活动保障的行政命令》(中译本)高端视野|吴沈括 孙鹏程:《数据出境安全评估办法》下的出境合规准备工作重磅 | 国家互联网信息办公室《数据出境安全评估办法》(全文)
重磅 | 国家互联网信息办公室公布《数据出境安全评估办法》(附答记者问)
速递|欧洲数据保护委员会关于欧美跨大西洋数据隐私框架协议的声明动向|欧盟与美国有望在2022年春季达成新的数据跨境传输协议高端视野|吴沈括 蔡佩原:欧盟《数据法案》(草案)的非个人数据跨境制度高端视野 | 吴沈括 邓立山:WTO框架下的数据跨境规则研究高端视野 | 吴沈括 邓立山:OECD框架下的数据跨境规则研究高端视野 | 吴沈括 邓立山:DEPA框架下的数据跨境规则研究
高端视野 | 吴沈括 邓立山:G20框架下的数据跨境规则研究
高端视野|吴沈括 邓立山:CPTPP框架下的数据跨境规则研究
高端视野|吴沈括 邓立山:RCEP框架下的数据跨境规则研究
高端视野 | 吴沈括 邓立山:APEC框架下的数据跨境规则研究高端视野|吴沈括 邓立山:APEC框架下关于数据跨境的CBPR规则研究数字治理全球洞察 | 数据治理前沿系列:速递|最高人民法院发布第35批指导性案例 强化个人信息刑法保护
吴沈括|全面落实上位法律规范 培育数据安全管理生态
重磅|工信部《工业和信息化领域数据安全管理办法(试行)》(全文)
数据司法|欧盟法院:如果个人信息“明显不准确” 有权要求搜索引擎移除搜索结果
最高检发布5件依法惩治侵犯公民个人信息犯罪典型案例
《“十四五”全民健康信息化规划》:医院核心信息全国互通 强化网络与数据安全
汽车数据处理、个人信息安全工程指南等14项国家标准发布
EDPB:执法资源不足导致个人数据保护的监管面临风险
速递|印尼国会审议通过《个人数据保护法》高端视野|吴沈括:《企业涉个人信息刑事风险合规风控》研究报告重磅|中央深改委通过《关于构建数据基础制度更好发挥数据要素作用的意见》
瞭望|英国公布2022年《数据改革法案》具体计划 称为“脱欧后的胜利”数据执法|法国数据监管机关:对谷歌分析工具的整改不会让它变得合法高端视野 | 跨国企业数据保护官(DPO)设置研究(上篇)国家市场监督管理总局 国家互联网信息办公室关于开展数据安全管理认证工作的公告观点|阻碍医疗数据研究革命的是法律问题,而不是基础设施
检察日报|吴沈括 李涛:数字经济语境下流量劫持的刑事治理数据监管|匈牙利就AI数据处理侵权对布达佩斯银行科处高额罚款数据监管|法国数据保护机关就健康数据泄露处罚生物公司150万欧元
欧洲数据保护委员会(EDPB)关于执法合作的声明(4月28日)
速递|欧洲数据保护委员会关于比利时数据保护机关独立地位的质疑关切数据监管|芬兰数据保护机关因诊所实现数据主体权利不力科处行政罚款数据监管|欧洲数据保护专员(EDPS):是时候瞄准在线广告了!数据监管|爱尔兰数据保护委员会宣布对Meta(脸书)处罚1700万欧元数据监管|意大利数据保护机关就面部识别处罚美国Clearview公司2000万欧元数据监管|波兰数据保护机关就员工造成数据泄露对公司处以创纪录罚款数字治理全球洞察 | 网络安全治理前沿系列:速递|美国禁止华为中兴等5家中企在美销售设备
英国延后华为临时禁令 但2027年底前全面移除5G设备不变
美国网络安全禁令生效,限制向中国等国家共享网络漏洞重磅|欧盟委员会2022年《网络安全条例》提案(全文)重磅|欧盟委员会2022年《信息安全条例》提案(全文)数字治理全球洞察 | 网络平台治理前沿系列:速递|工信部征求意见:提升移动互联网应用服务能力,强化全流程个人信息保护
重磅|市场监管总局对知网滥用市场支配地位罚款8760万元并责令全面整改(附行政处罚决定书)
重磅|中央网信办秘书局 中国证监会办公厅《非法证券活动网上信息内容治理工作方案》(全文)
重磅|国家网信办、工信部、公安部《互联网信息服务深度合成管理规定》(全文)
国家六部门:网约车平台采集个人信息应在中国内地存储使用 保存不少于2年
重磅|反不正当竞争法(修订草案征求意见稿)禁止利用数据算法不正当竞争
国家互联网信息办公室修订《互联网跟帖评论服务管理规定》发布施行
EDPB通过有关TikTok的法律文书 TikTok停更个性化广告的法律基础重磅|国家广电总局、文旅部《网络主播行为规范》(全文)
重磅|中央深改委:将平台企业支付和其他金融活动纳入监管 服务实体经济
国家网信办《互联网跟帖评论服务管理规定(修订草案征求意见稿)》(全文)全国人大常委会法工委披露反垄断法、反电信网络诈骗法二审稿修改内容
重磅|国家网信办修订发布《移动互联网应用程序信息服务管理规定》(全文)
数字治理全球洞察 | 数字政府治理前沿系列:重磅|国务院《关于加强数字政府建设的指导意见》(全文)数字治理全球洞察 | 未成年人保护前沿系列:光明网|吴沈括:未成年人网络保护面临技术、组织、内容三重风险
数字治理全球洞察 | 电信网络诈骗治理前沿系列:2022年电信网络诈骗治理报告:以短视频平台为样本的研究
发布反电信网络诈骗倡议!北师大主办2022年世界互联网大会乌镇峰会网络法治论坛
吴沈括 黄诗亮|《反电信网络诈骗法》的治理要旨与合规启示英译本|《中华人民共和国反电信网络诈骗法》(全文)重磅|《中华人民共和国反电信网络诈骗法》(全文)重磅 | 《反电信网络诈骗法(草案二次审议稿)》(全文)数字治理全球洞察 | 数据跨境取证前沿系列:重磅|司法部明确涉诉数据信息的跨境调取规则数据跨境取证|吴沈括 蔡佩原:英国-美国《数据访问协议》中译本(2022-10-03施行)数字治理全球洞察 | 数据认证前沿系列:高端视野|吴沈括:个人信息保护认证的制度意义与实践价值
吴沈括 邱芷蕙|美国TrustArc隐私与数据治理框架(P&DG)要览吴沈括 周奕达|美国TRUSTe企业隐私认证的机制概要与价值启示前沿|EDPB批准德国州数据保护机关有关数据保护认证计划的意见数字治理全球洞察 | 数据要素市场前沿系列:数据要素市场|厦门公布《厦门经济特区数据条例》(全文)
《四川省数据条例》获表决通过 2023年1月1日起实施
数据要素立法|《陕西省大数据条例》(全文)数字治理全球洞察 | 人工智能治理前沿系列:重磅 | 中国关于加强人工智能伦理治理的立场文件
速递|美国总统拜登签署《人工智能培训法案》
EDPS:欧洲委员会《人工智能公约》谈判应当加强基本权利保护数字治理全球洞察 | 数字经济治理前沿系列:动向|美国议员鼓动强化对美在中国投资审查
吴沈括|构筑面向数字化和全球化的数据跨境流通生态
美国PCAOB:现行合作框架满足对中概股审计底稿核查的要求
数据资产|财政部:企业应按规定披露不同类型数据资源
吴沈括 崔鑫铭|《北京市数字经济促进条例》助力建设全球数字经济标杆
重磅|《北京市数字经济促进条例》通过 重点培育数字经济核心产业