韩国个人数据保护类法律法规简述

1. 主要的数据保护立法

韩国The Personal Information Protection Act《个人信息保护法》（"PIPA"）从制定个人信息保护的国家政策到个人信息处理和保护的详细程序和方式，对数据保护进行了规定，是主要的个人数据保护立法。2021年，欧盟得出Adequacy Decision的结论，韩国的法律和法规提供了与GDPR相同的数据保护水平。

2. 特殊的部门法

《信用信息使用和保护法》The Credit Information Use and Protection Act（"Credit Information Act，信用信息法"）对 "信用信息Credit Information "进行了规范，Credit Information指的是与某人的信用有关的、可以识别该人的信息，或可以确定该人的交易细节、信用度或信用交易能力的信息。

韩国官方部门还出具了很多Guidelines但是全部都是韩文！！！我们试图在春熙路附近找一个会韩文的可爱小姐姐帮我们，结果别人要的翻译费咱们小组真的难以负担。。。。。。于是就只把韩文文件的标题机翻了一下,大家可以看下韩国对于业务监管的Structure:

A guide to the Interpretation of Data Protection Laws and Regulations, issued by the Ministry of the Interior and Safety ('MOIS');

Guidelines for the De-Identification of Personal Data, issued the Korea Communications Commission ('KCC');

Guidelines for the Pseudonymization of Personal Data, issued by the PIPC ;

Draft Guidelines for the Pseudonymization of Personal Data , issued by the PIPC; and

Handbook on the Psedonymization and Anonymization of Personal Data in the Financial Sector.

3. 监管机构

个人信息保护委员会The Personal Information Protection Commission（"PIPC"）是负责数据保护的主要机构。 PIPC通过以下方式监督个人信息的保护：i）改进与个人信息保护有关的法律；ii）建立或执行与个人信息保护有关的政策、制度或计划；iii）调查侵犯数据主体（定义见下文）权利的行为，以及任何后续的处置；以及iv）管理有关个人信息处理的投诉或补救程序，并调解有关个人信息的纠纷。 PIPC对与个人信息保护有关的法律的解释和实施有管辖权。

PIPC指定韩国互联网与安全局The Korea Internet & Security Agency（"KISA"）为接收个人信息泄露报告的专属机构。 PIPC还委托KISA履行的权利和义务包括教育公众、培训专家、调查分歧案件等。

金融服务委员会The Financial Services Commission（"FSC"）监督信用信息企业及其对《信用信息法》的遵守情况，并有权命令任何违规的公司采取纠正措施。

韩国通信委员会The Korea Communications Commission（"KCC"）负责处理个人位置信息的企业以及它们对The Location Information Act《位置信息法》的遵守。如果不遵守规定，韩国通信委员会可通过停止运营令撤销对位置信息提供商或基于位置的服务提供商的许可，期限从一定时间到永久。

4. 关键定义（部分内容引用PIPA官方英文版相关条款）

# Personal Data个人信息：

与在世个人individual有关的下列任何信息（这里具体的规定引用的是PIPA的相关原文，以避免翻译歧义）：

a. information that identifies an individual by his or her full name, resident registration number, image, etc.;

全名、居民登记号、图像等可以识别个人的信息

b. information which, by itself, does not identify an individual, but may be easily combined with other information to identify an individual. The ease of combination is determined by reasonably considering the time, cost, technology, etc. used to identify the individual and the likelihood that the other information can be procured; or

本身不能识别个人的信息，但可以很容易地与其他信息结合以识别个人。结合的难易程度是通过合理考虑用于识别个人的时间、成本、技术等，以及可以获得其他信息的可能性来确定的。

c. information under items (a) or (b) that is pseudonymised, and thereby becomes incapable of identifying an individual without the use or combination of information that restores the information to its original state (“Pseudonymized Information”).

(a)或(b)项下的信息被假名化后的信息，从而变得无法识别个人，如果不使用或结合信息使该信息恢复到原始状态（"假名化信息"）。

# Processing处理

The collection, generation, connecting, interlocking, recording, storage, retention, value-added processing, editing, searching, output, correction, recovery, use, provision, disclosure, and destruction of Personal Information, and other similar activities.

收集、生成、连接、联合、记录、存储、保留、增值处理、编辑、搜索、输出、纠正、恢复、使用、提供、披露和销毁个人信息，以及其他类似活动。

# Controller控制者

在PIPA中被定义为 "个人信息控制者Personal Information Controller"，是指直接或间接处理个人信息的公共机构、法人、组织、个人等，以操作个人信息文件作为其活动的一部分。

# Processor处理者

被定义为 "Outsourcee "的实体entity，根据与控制者签订的外包合同处理个人信息。

# Sensitive Personal Data 敏感个人信息

PIPA中定义的 "敏感信息sensitive information "是指总统令Presidential Decree规定的任何信息，包括意识形态、信仰、加入或退出的工会或政党、政治观点、健康、性生活以及其他可能明显威胁到任何数据对象隐私的个人信息。总统令相关规定包括i）DNA信息，ii）犯罪记录，iii）身体、生理或行为特征信息，由某些技术产生，用于识别特定个人与另一个人，以及iv）种族或民族信息。

# Information and Communications Service Provider （ICSP）信息和通信服务提供商

任何人：i）允许其他各方通过使用机器、线路或其他必要的设施/设备，通过有线、无线连接、光或其他电子方法传输或接收代码、语音、声音或图像，进行相互交流；ii）提供设施与他人交流；或iii）开展业务，利用这些设施提供信息或允许提供信息。

Any person who: i) allows other parties to communicate with each other through the use of machinery, lines, or other facilities/equipment necessary to transmit or receive codes, speech, sound, or images by wire, wireless connection, light, or other electronic methods; ii) provides the facilities to communicate with others; or iii) conducts business to provide information or allow the provision of information using those facilities.

# 数据泄露

在PIPA中被定义为 "Divulgence, Etc."，指的是个人信息丢失、被盗或泄露的情况。然而，"Divulgence, Etc. "一词仅用于表明实体有义务通知用户或报告当局的场合。在其他情况下，PIPA将数据泄露描述为个人信息的丢失、被盗、泄露、伪造、篡改或损坏。

# Pseudonymisation假名化

处理个人信息的程序，通过部分删除或全部或部分替换这些信息，使这些信息在没有额外信息的情况下无法识别特定的个人。

# “Outsource”and “Supply”

两者都是指控制者将个人信息提供给的第三方。当控制者将自己的部分工作分包出去，而分包者需要处理个人信息时，就会发生外包 Outsourcing。另一方面，当控制者将个人信息转让给第三方使用并使其受益时，就发生了供应Supply。

5. 适用范围 Territorial Scope

PIPA适用于在韩国境外设立的实体。具体内容而言，任何大型ICSP（个人或公司）或任何大型第三方，如果根据数据主体的同意或法律规定从ICSP相关方接收个人信息，但在韩国没有地址或办公室，则必须指定一个当地代理人代表其行事designate a local agent to act on its behalf。 ICSP或第三方在以下情况下将被视为大型企业：1) 其前一年的全球销售额等于或超过1万亿韩元；2) 其前一年在韩国的信息和电信服务销售额等于或超过100亿韩元。3）其处理的用户个人信息等于或超过100万个（前一年年底前三个月的日均用户数），或4）因其造成或可能造成违反PIPA的个人信息泄露而被KCC要求提交材料或文件

{ 1) its global sales for the preceding year equals to or exceeds KRW 1 trillion, 2) its sales in Korea from information and telecommunications services for the preceding year equals to or exceeds KRW 10 billion, 3) it deals with equal to or more than 1 million users’ Personal Information (average number of users per day over the three months immediately before the end of the preceding year), or 4) it has been required by the KCC to submit materials or documents because it caused or is likely to have caused a Personal Information breach in violation of PIPA.}

PIPA在其他条款中没有明确说明其治外法权的范围，但通常的理解是，其他条款也适用于外国个人或公司。

6. 营销规定 Marketing

韩国《网络法》The Network Act （ACT ON PROMOTION OF INFORMATION AND COMMUNICATIONS NETWORK UTILIZATION AND INFORMATION PROTECTION, ETC.）要求直接电子商业营销必须事先得到收件人的明确同意。如果有人直接收集了收件人的联系方式，并向收件人销售了商品或服务，那么在前一次销售后的六个月内，就所销售的同类商品或服务进行电子直接营销，则不需要征得同意。除电子邮件外，任何在晚上9点至次日上午8点（韩国标准时间）之间进行的电子直接商业营销都必须事先征得预期收件人的单独同意。需要注意的是，对短信营销有详细的规定，如短信的形式、同意的提醒、撤回程序等。

电话、移动电话、传真和电脑程序均被视为电子直接营销。然而，根据《上门推销法》 The Act on Door-To-Door Sales注册为电话推销员的实体可以不经收件人同意而通过电话进行推销，但必须通过语音通知收件人的个人信息来源。

KCC可以命令采取纠正措施，并对未遵守此类限制的人处以行政罚款。而KISA管理投诉，并向收件人提供与传输营销信息有关的建议。

任何人在没有事先明确同意的情况下，通过电子传输方式发送用于商业目的的营销信息

可能会被处以最高3000万韩元的行政罚款。

7. 跨境传输

如果跨境传输的原因是控制者的外包outsourcing，控制者必须在其主页上公布外包工作的范围和外包商。如果向外国第三方提供个人信息，控制者必须事先获得数据主体的同意。除非控制者明确通知这种供应的细节，包括接受的第三方、该第三方的目的、要供应的个人信息、保留期限、以及数据主体的拒绝权和以下缺点，否则同意将被视为不妥。

然而，更严格的限制适用于ICSP或ICSP相关方。当ICSP或ICSP相关方将个人信息转移到国外时，无论转移的目的是什么，如外包、供应或存储和基于云行为，ICSP或ICSP相关方都应获得数据主体的同意。需要通知数据主体的信息有：要转移的个人信息，转移的国家、日期和方法，第三方的名称和负责人，第三方的目的，以及保留期限。但是，ICSP或ICSP的相关方可以不单独征得数据主体的同意，而是在隐私政策中公布或通知这些信息，或者在为外包或存储而转移的情况下通过电子邮件通知。

尽管有上述规定，在一个限制跨境传输的国家中的ICSP可能要受到韩国国内ICSP同等程度的限制。但是，如果跨境传输是执行国际条约或其他国际安排所必需的，这将不适用。

2021年3月，欧盟得出Adequacy Decision的结论，韩国的法律和法规提供了与GDPR相同的数据保护水平。 PIPC已经为转移到韩国的个人信息发布了一项命令，该命令将在充分性决定之日生效，以补充PIPA和GDPR之间的差距或差异。

KISA在2020年5月发布了关于GDPR的指南，包括传统的标准合同条款，但尚未更新指南以反映修订后的标准合同条款。

今天的高丽韩国个人信息保护类法律法规（一）就介绍到这里，下一期我们会从Data Breach数据泄露规定开始介绍。

韩国个人数据保护类法律法规简述相关推荐

MathNet.Numerics主要类功能简述
MathNet.Numerics主要类功能简述 MathNet.Numerics是一个.NET的开源数学库,包含了.NET平台上的面向对象数字计算的基础类.类似 NMath ,但 NMath 是收费的 ...
路径规划之RRT类算法简述
关注同名微信公众号"混沌无形",有趣好文! 原文链接:机器人空间采样算法研究现状简述(包含原文PDF百度云下载链接) 空间采样算法按照采样空间不同,可分为:状态空间采样和运动空间采 ...
路径规划之DWA类算法简述
关注同名微信公众号"混沌无形",有趣好文! 原文链接:机器人空间采样算法研究现状简述(包含原文PDF百度云下载链接) 空间采样算法按照采样空间不同,可分为:状态空间采样和运动空间采 ...
java基础集合操作工具类Collections简述（java集合四）
对集合中的元素进行排序 Collections中的sort方法使用 public class ListDemo {public static void main(String[] args) {Lis ...
Redis五类数据类型简述
1. Redis五类数据类型在Redis数据库中一共存在5种数据类型: string 字符串(可以为整形.浮点型和字符串,统称为元素) Hash hash散列值(hash的key必须是唯一的) li ...
【转】深度整理 | 欧盟《一般数据保护法案》（GDPR）核心要点
参考自: https://blog.csdn.net/weixin_41000893/article/details/80285157 前言: 整理本文的原因有三: 1. 网上很多关于G ...
深度整理 | 欧盟《一般数据保护法案》（GDPR）核心要点
前言: 整理本文的原因有三: 1. 网上很多关于GDPR的文章并不全面,甚至有误 2. 以此机会在公司内部开展关于GDPR的专项培训 3. 青莲云的部分客户业 ...
python类基础知识注意点
一.类的简述类是面向对象编程的核心内容.通常把具有相同特征(数据元素)与行为(功能)的事物描述定义为一个类,类是一个抽象的概念,把类实例化既可以得到一个对象. 因此,对象的抽象是类,类的具体化就是对 ...
2--OC -- 类的创建与实例化
2.OC -- 类的创建与实例化一.OC类的简述 1.OC类分为2个文件:.h文件用于类的声明,.m文件用于实现.h的函数: 2.类是声明使用关键字:@interface.@end : 3.类是实现 ...

韩国个人数据保护类法律法规简述

韩国个人数据保护类法律法规简述相关推荐

最新文章

热门文章