亚太观察 | 韩国PIPC公布网络人力资源招聘平台个人信息保护自律规则草案
W&W国际法律团队
专注互联网出海法律实务:
W&W国际法律团队深耕海外多地区多条业务线,通过多年来积累的出海法律服务经验以及资源优势,结合本土化的合规经验与国际化的思维,致力于为出海互联网企业提供专业的一站式法律解决方案,为逐鹿海外的互联网企业提供优质及多元化的法律服务,为各类新型业务搭建运营合规体系及提供有效的风险评估及合规解决方案。
互联网前沿领域法律服务:
W&W国际法律团队深耕出海法律实务的同时,也紧跟互联网前沿动态,可以为互联网企业提供前沿领域的法律服务,为企业开拓新的业务领域保驾护航,比如AIGC产品全链路合规法律服务,包括AI与数据合规, AIGC与知识产权布局、侵权风险防范,内容审核标准制定等。
覆盖以下行业领域:
物联网、智能家居、智能汽车、车联网、芯片制造、Web3.0、NFT、AI、电子设备及智能终端制造、数字化安全、IOT、云计算与服务、社交网络平台、电子商务、短视频视听直播、网络游戏、人力资源等行业领域。
(此处仅展示部分内容,如有任何需求,请尽管与我们联系。)
引言
鉴于当前世界各国在科技与网络领域的监管呈现复合型趋势,W&W地区观察专题将触及个人信息保护、数据合规、网络安全、人工智能、数字经济等板块,跟踪并解读全球主流出海目标国在上述领域中的立法、监管动向,提示企业合规要点,为企业开展出海业务、部署国内合规工作提供参考。
01
韩国:个人信息保护委员会公布网络人力资源招聘平台个人信息保护自律规则草案
2023年7月12日,韩国个人信息保护委员会(PIPC)公布了《网络人力资源招聘平台个人信息保护自律规则(草案)》。该草案强调了个人信息保护措施的各项标准,以促进网络人力资源招聘平台对个人信息保护的重视。
该草案旨在对处理大规模个人信息和敏感信息(如视频和录音)的招聘机构和网络招聘系统所持有的个人信息采取有力的保护措施。PIPC指出,该草案提出的个人信息保护措施包括为每个账户持有人设置访问权限,防止雇员之间共享账户,以及只允许招聘人员的账户来进行招聘者视频和音频信息的处理。
除此之外,PIPC强调,该规则草案旨在加强招聘公司访问平台时的访问控制,并采用除用户ID和密码以外的其他认证方式。
最后,根据该规则草案,当用户下载求职者上传的任何文件时,招聘机构或招聘平台必须提供加密功能,并设置允许搜索求职者信息的最长期限,以限制用户在该期限结束后继续访问。
垦丁W&W简评:
PIPC早在2023年1月份就发布关于就业个人信息保护指南的修订版,该指南的目的是提高就业领域的个人信息保护水平。PIPC本次公布的《网络人力资源招聘平台个人信息保护自律规则(草案)》进一步细化了关于个人信息保护措施的具体标准。出海韩国的企业若涉及通过网络人力资源平台进行招聘,应当遵守在招聘准备、雇主决定、产生雇佣关系以及雇佣终止四个阶段关于个人信息保护措施的要求以及符合处理雇员个人信息的基本原则,规范企业内部在劳动用工领域的个人信息保护,防止未经授权的访问或违规。
02
沙特阿拉伯:数据与人工智能管理局发布关于PDPL实施条例草案和个人数据跨境传输条例草案,征求公众意见
2023年7月11日,沙特数据与人工智能管理局(SDAIA)启动了两项公众意见征询,分别是关于2023年3月21日修订的《个人数据保护法实施条例(草案)》(“PDPL实施条例草案”)和《关于将个人数据传输至王国地理边界之外的条例(草案)》(“《个人数据跨境传输条例(草案)》”)。
《PDPL实施条例草案》补充并进一步明确了PDPL的各项规定,其中包括:
·个人或家庭使用的豁免;
·处理个人数据的法律依据;
·数据主体权利的一般性规定;
·数据主体有效同意的条件,包括撤回同意的权利;
·数据主体的法定监护人适用的法律要求;
·处理个人数据以供二次使用的要求;
·关于个人数据安全保障的要求;
·个人数据泄漏时数据处理者的通知义务;
·数据控制者评估数据处理的潜在影响和风险;
·数据控制者处理健康数据和个人征信数据的要求;
·关于销售数据的规定;
·数据保护官的相关规定;
·数据控制者处理数据的记录,包括规定的数据保留期;和
·数据控制者的备案登记。
《个人数据跨境传输条例(草案)》根据经修订的PDPL第29(4)条,明确规定了与将数据传输至沙特阿拉伯境外的目的和条件有关的规定及程序。该草案包括以充分个人数据保护水平为基础的数据传输,个人数据保护水平将由主管当局根据一系列与国家、特定部门及国际组织相关的标准进行评估。《个人数据跨境传输条例(草案)》旨在规定第三国缺乏恰当个人数据保护水平情形下的数据传输规则。依据《个人数据跨境传输条例(草案)》的规定,数据控制者首先应确定该第三国(或其特定部门)或国际组织的法律规定不会对数据主体的隐私保护或其实现相关权利造成负面效果。同时,数据控制者应当采取相应的保障措施,即具有约束力的公司规则(BCRs)、标准合同条款(SCCs)或符合PDPL及其条例规定的认证,或有约束力的行为准则。
垦丁W&W简评:
沙特部长理事会于2023年3月21日批准了PDPL修正案,该修正案针对数据主体权利、合法性基础、跨境传输、数据记录保存、访问限制等方面进行了修改,是该国数字化进程的重要举措。出海沙特阿拉伯的企业应当关注本次实施条例草案关于取消境外企业在沙特阿拉伯指定代表的规定、引入数据主体的可移植权、为数据跨境传输设置的特定条件、要求保存数据处理记录以及通过具体规则来限制数据访问行为等重要修改点的适用规定,部署相应的合规措施,完善监管体系。同时,若涉及从沙特跨境传输个人信息至沙特境外,应该关注《个人数据跨境传输条例(草案)》对于跨境传输条件的规定,包括充分性认定、BCRs、SCCs、认证、行为准则等,以确定企业未来跨境传输将依赖的跨境传输机制。
03
日本:个人信息保护委员会向公司发布不当处理顾客信息的行政指南
日本个人信息保护委员会(PPC)宣布,根据《个人信息保护法(APPI),向通用输配电公司以及零售电力供应商发布了行政指南。PPC称其于2022年12月收到一家通用输配电公司的举报:一家新电力公司的客户信息发生数据泄露。随后其他通用输配电公司也进行了一系列类似的举报。PPC据此对适用的通用输配电公司以及零售电力供应商发起了调查。
PPC指出,通用输配电公司在处理个人信息方面没有对其承包商进行适当的安全控制措施和监督。同样地,PPC认定零售电力供应商没有正当获取个人信息,也没有正确实施处理个人信息的安全控制措施。PPC向通用输配电公司提供了行政指导,即通用输配电公司应根据APPI第23条和第25条的规定采取措施,并要求这些公司应该对个人信息的处理活动进行全面审查,并在必要时实施改进措施。而零售电力供应商应采取符合APPI第20、23和25条规定的措施,同样需要对个人信息的正确处理活动进行全面审查,并在必要时实施改进措施。
垦丁W&W简评:
当企业将部分数据活动委托给承包商代为处理,委托企业应当对承包商进行尽职调查,并与承包商之间签订数据处理协议,约定双方的权利义务,要求承包商实施适当的安全管理措施。具体而言,实施适当的安全管理措施应当考虑到个人数据发生泄漏等情况下对数据主体的侵害程度,业务规模及性质、个人数据的处理情况即个人数据的性质和数量、个人数据的存储介质等引发的风险程度等因素。
04
韩国:PIPC公布个人信息处理政策的拟议评估标准以征求公众意见
公布个人信息处理政策的评估标准,并征求公众意见。PIPC指出,该评估标准旨在通过规定个人信息处理政策(即隐私政策)的评估标准和程序来加强个人信息处理的问责制和透明度。
该评估标注指出,除其他因素外。当PIPC评估个人信息的处理政策时会考虑以下内容:
·应当考虑个人信息处理政策的复杂性,个人信息主体的特征以及数据处理者使用的符号、图表和图形是否便于信息主体理解该个人信息处理政策;
·应当考虑该个人信息处理政策是否及时更新;
·必须制定一个评估计划,确定评估对象、标准、程序和时间,并在评估个人信息处理政策前30天通知被评估的对象;
·可以要求被评估者提交评估范围内、所有有利于进行同一评估的信息;
·可以组织一个由20至50名具有个人信息保护经验的外部专家组成的评估委员会,来评估个人信息处理政策;以及
·可以根据评估结果鼓励优秀的个人信息处理者,并公布出最佳实践案例。
垦丁W&W简评:
韩国的《个人信息保护法》(PIPA)于2020年修订,PIPA对于个人信息处理政策中应当披露内容的要求在某些方面比GDPR更要严格。出海韩国企业,在法律法规层面,应当评估旗下产品的个人数据处理政策是否与PIPA相适应,确保个人信息主体能够明晰地了解其个人数据如何被处理。另外,在监管执法层面,此类企业还应当同步关注PIPC关于个人信息处理政策的评估标准动态,例如考察企业自身的个人信息处理政策是否达到便于信息主体理解以及PIPC关于个人信息处理政策的其他要求等,以便企业及时作出相应的调整,确保合规,避免遭受监管机构的问询和处罚。
近期推荐阅读:
吐故纳新 | 2023年特刊之V4.0版《个人信息保护与数据合规法律汇编》
挥毫泼墨谱合规 | 2023《全球数据合规法律观察报告》重磅发布
要点分析 | 欧盟Artificial Intelligence Act 解读(二)
要点分析 | 欧盟Artificial Intelligence Act 解读(一)
要点分析 | 中国《生成式人工智能服务管理办法(征求意见稿)》解读
重榜发布 | 《AIGC产业发展与法律合规实务手册》(第一版)
重磅蓝皮书 | 《中国个人信息保护法与海外多国/地区数据合规法律企业合规要点比较报告》发布
2023年中重磅 | V4.0版《个人信息保护与数据合规法律汇编》如期而至
欧洲观察 | EDPB通过投诉模板和关于BCR-C批准申请的建议
欧洲观察 | 意大利:AGCM调查苹果涉嫌滥用IOS操作系统在市场的支配地位
北美观察 |美国蒙大拿州立法全面禁用TikTok,法案将于2024年1月1日起生效
王 捷 律师
垦丁广州联合创始人、执行主任、垦丁国际业务部负责人
W&W国际法律团队创始人
业务领域:
个人信息保护与全球数据合规、数据合规、互联网与网络法实务合规、企业出海合规、网络安全
王律师持有CIPP/E(国际信息隐私专家认证/欧盟)、区块链应用操作员资格证书、数据安全师、数据合规官资格证书,是联合国世界丝绸之路委员会专家,中国国际贸易促进委员会深圳调解中心专家调解员,广东省法学会信息通讯法学研究会理事,荷兰RuG国际经济法与商法硕士。
王律师曾在阿里巴巴大文娱集团、国际律所与海外仲裁委员会工作积累了12年+科技型公司实务经验,具备中外律所从业背景。专业能力模块包括产品风险管控、业务流程搭建、竞对攻防布局、政府监管合规、海外公司治理等。王律师已为多家头部与一线的知名互联网公司、大中型外资企业及大型国企提供专业法律服务,行业覆盖物联网、智能终端制造、IOT、云计算与服务、社交网络平台、电子商务及平台、智能汽车与车机系统、芯片制造业、网络游戏、Web 3.0、NFT、AI、以及GPT等新兴领域。
王律师擅长解决由互联网、数据及智能技术引发的数据安全风险与合规解决方案落地,包括数据保护与合规、产品风险管控、业务流程搭建、风险分析评估、政府监管合规、竞对攻防布局,已为各类涉互联网企业拓展全球市场提供法律支持,尤其擅长为企业出海欧美、东南亚、印度、日韩、中东、中国港澳台地区等新兴及重要市场提供有效的合规解决方案与落地支持。
同时,王律师独著《Comparison of Various Compliance Points of Data Protection Laws in Ten Countries/Regions》,在全球最高分的六篇论文中,荣获国际知名隐私组织FPF第 12 届政策制定者年度隐私论文奖,该文章同时被评为年度隐私政策制定者“必读”文章。其耕笔的多篇互联网与数据合规文章收录于国际知名专业数据库。
联系方式:jie.wang@kindinglaw.com
+86 13650790754
欢迎对数据合规感兴趣的法务同行加入
【全球数据合规实务群】
请添加主编微信(jie-72)
(入群请详细备注姓名、单位、研究领域)
资讯编写
陈凯婷
垦丁律师事务所W&W国际法律团队实习生