亚太动态| 韩国：PIPC宣布即将修订PIPA执行令

Original 王捷资深出海法律顾问出海互联网法律观察

2024-08-25

文/ 王捷律师团队

W&W国际法律团队

专注互联网出海法律实务：

W&W国际法律团队深耕海外多地区多条业务线，通过多年来积累的出海法律服务经验以及资源优势，结合本土化的合规经验与国际化的思维，致力于为出海互联网企业提供专业的一站式法律解决方案，为逐鹿海外的互联网企业提供优质及多元化的法律服务，为各类新型业务搭建运营合规体系及提供有效的风险评估及合规解决方案。

互联网前沿领域法律服务：

W&W国际法律团队深耕出海法律实务的同时，也紧跟互联网前沿动态，可以为互联网企业提供前沿领域的法律服务，为企业开拓新的业务领域保驾护航，比如AIGC产品全链路合规法律服务，包括AI与数据合规， AIGC与知识产权布局、侵权风险防范，内容审核标准制定等。

覆盖以下行业领域：

物联网、智能家居、智能汽车、车联网、芯片制造、Web3.0、NFT、AI、电子设备及智能终端制造、数字化安全、IOT、云计算与服务、社交网络平台、电子商务、短视频视听直播、网络游戏、人力资源等行业领域。

（此处仅展示部分内容，如有任何需求，请尽管与我们联系。）

引言

鉴于当前世界各国在科技与网络领域的监管呈现复合型趋势，W&W地区观察专题将触及个人信息保护、数据合规、网络安全、人工智能、数字经济等板块，跟踪并解读全球主流出海目标国在上述领域中的立法、监管动向，提示企业合规要点，为企业开展出海业务、部署国内合规工作提供参考。

韩国：PIPC宣布即将修订PIPA执行令

2023年11月22日，个人信息保护委员会（PIPC）宣布即将对《个人信息保护法执行令》（the Enforcement Decree of the Personal Information Protection Act，下称PIPA执行令）进行修订。PIPC指出，PIPA 执行令的修订将涉及多个领域，包括：

建立数据主体就自动化决策（automated decisions）行使权利的程序；
个人信息保护专员的指定和资格要求；
建立评估公共部门个人信息水平的标准和程序；
调整适用损害赔偿保证义务或免除义务的主体范围。

《个人信息保护法执行令》的修正案计划将于2024年3月15日生效。

垦丁W&W简评

本次《个人信息保护法执行令》修正案对于PIPA中多个法律问题做出了明确的分析和指导，其中有两点值得出海企业关注：

本次修正案建立了数据主体就自动决策行使权利的程序和方法。在自动化决策对数据主体的生命、身体、财产利益等权利产生重大影响的情况下，如果信息主体拒绝适用自动化决策，则不可适用；如果信息主体要求进行人工介入再处理，应告知数据主体处理结果。此外，还规定了解释义务，解释内容包括自动化决策的结果、所使用的主要个人信息类型和影响等，要求进行简明且易于理解的解释，对于不涉及重大权利义务的情况，可以利用事先公开的标准和程序等进行解释。
本次修正案合理调整了适用个人信息损害赔偿责任的主体范围，调整为适用于“销售额10亿韩元”和“信息主体数1万人”以上的主体。另外，个人信息管理现状定期调查周期也从2年调整为3年。

泰国：MDES宣布采取措施解决个人数据泄露、交易和高风险网络系统

2023年11月21日，泰国数字经济和社会部门（Ministry of Digital Economy and Society，下称MDES）公布了一项为期12个月的计划，针对公共信息泄露和交易事件后的数据泄露和高风险网络系统。

前 30 天采取了哪些措施？

泰国个人数据保护委员会（PDPC）设立了 "个人数据保护委员会鹰眼"（PDPC Eagle Eye），调查政府机构和私营机构的信息泄露事件，结果发现了 1,158 起数据泄露事件，纠正了 781 起。此外，还发现并正在调查三起个人数据暗网交易案件。

此外，国家广播与电信委员会和警察技术犯罪调查总部检查了关键信息基础设施（critical information infrastructure）组织的网络安全系统。其发现在91个机构组织中，有21个存在高风险网络系统，并采取了纠正措施。

未来六个月将采取哪些行动？

MDES提到，它将与特别调查部（Department of Special Investigation, DSI）一起，通过起诉和逮捕罪犯，加快阻止非法交易个人信息的工作。

设想在 12 个月内采取哪些长期措施？

MDES 鼓励使用可靠的政府中央云系统，以防止和减少个人信息泄露。此外，MDES还强调了在此期间更新相关法律，以更好地应对不断变化的网络威胁的转变，包括修订《计算机犯罪法》、《个人数据保护法》和《网络安全法》，以提高侦查和预防网络犯罪的效率。

垦丁W&W简评

泰国政府本次对于数据泄露的监管采取了强硬的态度，严惩数据泄露、盗窃和个人信息买卖行为。需要重点关注本次监管行动的后两个阶段，为期6个月的阶段内，MDES将重点加强网络安全体系的检查，特别是重要的信息基础设施单位，例如能源、公共服务和金融机构。在12个月的阶段内，MDES计划修改相关法律以适应发展情况，并加强执法效果，尤其是网络犯罪的调查和惩治。

日本：PPC就安全管理措施和数据泄露报告发出警告

2023年11月16日，日本个人信息保护委员会（Personal Information Protection Commission ，下称PPC）就安全管理措施和数据泄漏报告发出警告。该警告涉及根据《个人信息保护法》（the Act on the Protection of Personal Information）非法提供个人信息数据库。PPC特别敦促处理个人信息的企业遵守《个人信息保护法》关于妥善处理个人信息的规定。

PPC对安全管理措施的主要关注点是什么？

PPC强调《个人信息保护法》第23条规定的安全管理措施的重要性，该条规定处理个人信息的企业有责任采取必要和适当的措施来防止信息泄露和确保个人资料的安全管理，例如监督员工和防止内部不当行为。此外，PPC还提醒企业遵循《个人信息保护法一般指引》(the General Guidelines on the APPI)，鼓励企业审查安全措施，强调组织、员工和物理安全控制措施，以确保遵守法律并有效保护个人信息。

PPC对数据泄露报告的主要担忧是什么？

PPC还强调，根据《个人信息保护法》第26（1）条，处理个人信息的企业有义务在企业意识到数据泄露情况后立即向PPC报告个人数据泄露。此外，PPC指导企业参考《个人信息保护法一般指引》，了解有关数据泄露报告的标准、内容、方法、截止日期和内部报告系统的详细信息。

垦丁W&W简评

根据报告具体内容，个人信息处理者有责任采取必要和适当的措施来防止个人数据的泄露和确保其安全管理，也必须对员工进行必要和适当的监督，以保证个人数据的安全管理。此外，由于意外提供或故意泄露可能导致个人数据的大量且高度敏感信息泄露，为防止内部违规行为导致个人数据泄露，必须采取适当的安全管理措施，例如员工教育，对个人信息数据库进行访问控制和定期分析日志等。如果发生个人数据泄露或可能泄露的情况，应尽快根据情况采取措施来最小化潜在损害。

主编介绍

王捷 律师

垦丁国际业务部负责人、广州执行主任

W&W国际法律团队创始人

荣登律商联讯（LexisNexis）2023「40位40岁以下的法律精英」榜单

业务领域：

个人信息保护与全球数据合规、数据合规、互联网与网络法实务合规、企业出海合规、网络安全

王律师持有CIPP/E（国际信息隐私专家认证/欧盟）、区块链应用操作员资格证书、数据安全师、数据合规官资格证书，是联合国世界丝绸之路委员会专家，中国国际贸易促进委员会深圳调解中心专家调解员，广东省法学会信息通讯法学研究会理事，荷兰RuG国际经济法与商法硕士。

王律师曾在阿里巴巴大文娱集团、国际律所与海外仲裁委员会工作积累了12年+科技型公司实务经验，具备中外律所从业背景。专业能力模块包括产品风险管控、业务流程搭建、竞对攻防布局、政府监管合规、海外公司治理等。王律师已为多家头部与一线的知名互联网公司、大中型外资企业及大型国企提供专业法律服务，行业覆盖物联网、智能终端制造、IOT、云计算与服务、社交网络平台、电子商务及平台、智能汽车与车机系统、芯片制造业、网络游戏、Web 3.0、NFT、AI、以及GPT等新兴领域。

王律师擅长解决由互联网、数据及智能技术引发的数据安全风险与合规解决方案落地，包括数据保护与合规、产品风险管控、业务流程搭建、风险分析评估、政府监管合规、竞对攻防布局，已为各类涉互联网企业拓展全球市场提供法律支持，尤其擅长为企业出海欧美、东南亚、印度、日韩、中东、中国港澳台地区等新兴及重要市场提供有效的合规解决方案与落地支持。

同时，王律师独著《Comparison of Various Compliance Points of Data Protection Laws in Ten Countries/Regions》，在全球最高分的六篇论文中，荣获国际知名隐私组织FPF第 12 届政策制定者年度隐私论文奖，该文章同时被评为年度隐私政策制定者“必读”文章。其耕笔的多篇互联网与数据合规文章收录于国际知名专业数据库。

联系方式：jie.wang@kindinglaw.com

+86 13650790754

推荐阅读：

垦丁荣誉｜王捷律师荣登律商联讯2023年 “40位40岁以下的法律精英”榜单

倒计时7天！垦丁王捷律师参加技术出海峰会 | AIGC：产业发展与出海合规

W&W国际法律团队 | 欧盟-美国隐私框架「DPF」解读全系列

W&W解读|欧洲动态|指南+1！Cookie等跟踪技术指南草案通过

挥毫泼墨谱合规 | 2023《全球数据合规法律观察报告》重磅发布

合规实务 | AIGC非知识产权领域的法律风险与合规应对

合规实务 | AIGC知识产权领域的法律风险与合规应对

要点分析 | 欧盟Artificial Intelligence Act 解读（二）

要点分析 | 欧盟Artificial Intelligence Act 解读（一）