1. 主要的數(shù)據(jù)保護(hù)立法

韓國The Personal Information Protection Act《個(gè)人信息保護(hù)法》（"PIPA"）從制定個(gè)人信息保護(hù)的國家政策到個(gè)人信息處理和保護(hù)的詳細(xì)程序和方式，對數(shù)據(jù)保護(hù)進(jìn)行了規(guī)定，是主要的個(gè)人數(shù)據(jù)保護(hù)立法。2021年，歐盟得出Adequacy Decision的結(jié)論，韓國的法律和法規(guī)提供了與GDPR相同的數(shù)據(jù)保護(hù)水平。

2. 特殊的部門法

《信用信息使用和保護(hù)法》The Credit Information Use and Protection Act（"Credit Information Act，信用信息法"）對 "信用信息Credit Information "進(jìn)行了規(guī)范，Credit Information指的是與某人的信用有關(guān)的、可以識別該人的信息，或可以確定該人的交易細(xì)節(jié)、信用度或信用交易能力的信息。

韓國官方部門還出具了很多Guidelines但是全部都是韓文！！！我們試圖在春熙路附近找一個(gè)會(huì)韓文的可愛小姐姐幫我們，結(jié)果別人要的翻譯費(fèi)咱們小組真的難以負(fù)擔(dān)。。。。。。于是就只把韓文文件的標(biāo)題機(jī)翻了一下,大家可以看下韓國對于業(yè)務(wù)監(jiān)管的Structure:

A guide to the Interpretation of Data Protection Laws and Regulations, issued by the Ministry of the Interior and Safety ('MOIS');

Guidelines for the De-Identification of Personal Data, issued the Korea Communications Commission ('KCC');

Guidelines for the Pseudonymization of Personal Data, issued by the PIPC ;

Draft Guidelines for the Pseudonymization of Personal Data , issued by the PIPC; and

Handbook on the Psedonymization and Anonymization of Personal Data in the Financial Sector.

3. 監(jiān)管機(jī)構(gòu)

個(gè)人信息保護(hù)委員會(huì)The Personal Information Protection Commission（"PIPC"）是負(fù)責(zé)數(shù)據(jù)保護(hù)的主要機(jī)構(gòu)。 PIPC通過以下方式監(jiān)督個(gè)人信息的保護(hù)：i）改進(jìn)與個(gè)人信息保護(hù)有關(guān)的法律；ii）建立或執(zhí)行與個(gè)人信息保護(hù)有關(guān)的政策、制度或計(jì)劃；iii）調(diào)查侵犯數(shù)據(jù)主體（定義見下文）權(quán)利的行為，以及任何后續(xù)的處置；以及iv）管理有關(guān)個(gè)人信息處理的投訴或補(bǔ)救程序，并調(diào)解有關(guān)個(gè)人信息的糾紛。 PIPC對與個(gè)人信息保護(hù)有關(guān)的法律的解釋和實(shí)施有管轄權(quán)。

PIPC指定韓國互聯(lián)網(wǎng)與安全局The Korea Internet & Security Agency（"KISA"）為接收個(gè)人信息泄露報(bào)告的專屬機(jī)構(gòu)。 PIPC還委托KISA履行的權(quán)利和義務(wù)包括教育公眾、培訓(xùn)專家、調(diào)查分歧案件等。

金融服務(wù)委員會(huì)The Financial Services Commission（"FSC"）監(jiān)督信用信息企業(yè)及其對《信用信息法》的遵守情況，并有權(quán)命令任何違規(guī)的公司采取糾正措施。

韓國通信委員會(huì)The Korea Communications Commission（"KCC"）負(fù)責(zé)處理個(gè)人位置信息的企業(yè)以及它們對The Location Information Act《位置信息法》的遵守。如果不遵守規(guī)定，韓國通信委員會(huì)可通過停止運(yùn)營令撤銷對位置信息提供商或基于位置的服務(wù)提供商的許可，期限從一定時(shí)間到永久。

4. 關(guān)鍵定義（部分內(nèi)容引用PIPA官方英文版相關(guān)條款）

# Personal Data個(gè)人信息：

與在世個(gè)人individual有關(guān)的下列任何信息（這里具體的規(guī)定引用的是PIPA的相關(guān)原文，以避免翻譯歧義）：

a. information that identifies an individual by his or her full name, resident registration number, image, etc.;

全名、居民登記號、圖像等可以識別個(gè)人的信息

b. information which, by itself, does not identify an individual, but may be easily combined with other information to identify an individual. The ease of combination is determined by reasonably considering the time, cost, technology, etc. used to identify the individual and the likelihood that the other information can be procured; or

本身不能識別個(gè)人的信息，但可以很容易地與其他信息結(jié)合以識別個(gè)人。結(jié)合的難易程度是通過合理考慮用于識別個(gè)人的時(shí)間、成本、技術(shù)等，以及可以獲得其他信息的可能性來確定的。

c. information under items (a) or (b) that is pseudonymised, and thereby becomes incapable of identifying an individual without the use or combination of information that restores the information to its original state (“Pseudonymized Information”).

(a)或(b)項(xiàng)下的信息被假名化后的信息，從而變得無法識別個(gè)人，如果不使用或結(jié)合信息使該信息恢復(fù)到原始狀態(tài)（"假名化信息"）。

# Processing處理

The collection, generation, connecting, interlocking, recording, storage, retention, value-added processing, editing, searching, output, correction, recovery, use, provision, disclosure, and destruction of Personal Information, and other similar activities.

收集、生成、連接、聯(lián)合、記錄、存儲(chǔ)、保留、增值處理、編輯、搜索、輸出、糾正、恢復(fù)、使用、提供、披露和銷毀個(gè)人信息，以及其他類似活動(dòng)。

# Controller控制者

在PIPA中被定義為 "個(gè)人信息控制者Personal Information Controller"，是指直接或間接處理個(gè)人信息的公共機(jī)構(gòu)、法人、組織、個(gè)人等，以操作個(gè)人信息文件作為其活動(dòng)的一部分。

# Processor處理者

被定義為 "Outsourcee "的實(shí)體entity，根據(jù)與控制者簽訂的外包合同處理個(gè)人信息。

# Sensitive Personal Data 敏感個(gè)人信息

PIPA中定義的 "敏感信息sensitive information "是指總統(tǒng)令Presidential Decree規(guī)定的任何信息，包括意識形態(tài)、信仰、加入或退出的工會(huì)或政黨、政治觀點(diǎn)、健康、性生活以及其他可能明顯威脅到任何數(shù)據(jù)對象隱私的個(gè)人信息?？偨y(tǒng)令相關(guān)規(guī)定包括i）DNA信息，ii）犯罪記錄，iii）身體、生理或行為特征信息，由某些技術(shù)產(chǎn)生，用于識別特定個(gè)人與另一個(gè)人，以及iv）種族或民族信息。

# Information and Communications Service Provider （ICSP）信息和通信服務(wù)提供商

任何人：i）允許其他各方通過使用機(jī)器、線路或其他必要的設(shè)施/設(shè)備，通過有線、無線連接、光或其他電子方法傳輸或接收代碼、語音、聲音或圖像，進(jìn)行相互交流；ii）提供設(shè)施與他人交流；或iii）開展業(yè)務(wù)，利用這些設(shè)施提供信息或允許提供信息。

Any person who: i) allows other parties to communicate with each other through the use of machinery, lines, or other facilities/equipment necessary to transmit or receive codes, speech, sound, or images by wire, wireless connection, light, or other electronic methods; ii) provides the facilities to communicate with others; or iii) conducts business to provide information or allow the provision of information using those facilities.

# 數(shù)據(jù)泄露

在PIPA中被定義為 "Divulgence, Etc."，指的是個(gè)人信息丟失、被盜或泄露的情況。 然而，"Divulgence, Etc. "一詞僅用于表明實(shí)體有義務(wù)通知用戶或報(bào)告當(dāng)局的場合。 在其他情況下，PIPA將數(shù)據(jù)泄露描述為個(gè)人信息的丟失、被盜、泄露、偽造、篡改或損壞。

# Pseudonymisation假名化

處理個(gè)人信息的程序，通過部分刪除或全部或部分替換這些信息，使這些信息在沒有額外信息的情況下無法識別特定的個(gè)人。

# “Outsource”and “Supply”

兩者都是指控制者將個(gè)人信息提供給的第三方。當(dāng)控制者將自己的部分工作分包出去，而分包者需要處理個(gè)人信息時(shí)，就會(huì)發(fā)生外包 Outsourcing。 另一方面，當(dāng)控制者將個(gè)人信息轉(zhuǎn)讓給第三方使用并使其受益時(shí)，就發(fā)生了供應(yīng)Supply。

5. 適用范圍 Territorial Scope

PIPA適用于在韓國境外設(shè)立的實(shí)體。具體內(nèi)容而言，任何大型ICSP（個(gè)人或公司）或任何大型第三方，如果根據(jù)數(shù)據(jù)主體的同意或法律規(guī)定從ICSP相關(guān)方接收個(gè)人信息，但在韓國沒有地址或辦公室，則必須指定一個(gè)當(dāng)?shù)卮砣舜砥湫惺耫esignate a local agent to act on its behalf。 ICSP或第三方在以下情況下將被視為大型企業(yè)：1) 其前一年的全球銷售額等于或超過1萬億韓元；2) 其前一年在韓國的信息和電信服務(wù)銷售額等于或超過100億韓元。3）其處理的用戶個(gè)人信息等于或超過100萬個(gè)（前一年年底前三個(gè)月的日均用戶數(shù)），或4）因其造成或可能造成違反PIPA的個(gè)人信息泄露而被KCC要求提交材料或文件

{ 1) its global sales for the preceding year equals to or exceeds KRW 1 trillion, 2) its sales in Korea from information and telecommunications services for the preceding year equals to or exceeds KRW 10 billion, 3) it deals with equal to or more than 1 million users’ Personal Information (average number of users per day over the three months immediately before the end of the preceding year), or 4) it has been required by the KCC to submit materials or documents because it caused or is likely to have caused a Personal Information breach in violation of PIPA.}

PIPA在其他條款中沒有明確說明其治外法權(quán)的范圍，但通常的理解是，其他條款也適用于外國個(gè)人或公司。

6. 營銷規(guī)定 Marketing

韓國《網(wǎng)絡(luò)法》The Network Act （ACT ON PROMOTION OF INFORMATION AND COMMUNICATIONS NETWORK UTILIZATION AND INFORMATION PROTECTION, ETC.）要求直接電子商業(yè)營銷必須事先得到收件人的明確同意。 如果有人直接收集了收件人的聯(lián)系方式，并向收件人銷售了商品或服務(wù)，那么在前一次銷售后的六個(gè)月內(nèi)，就所銷售的同類商品或服務(wù)進(jìn)行電子直接營銷，則不需要征得同意。 除電子郵件外，任何在晚上9點(diǎn)至次日上午8點(diǎn)（韓國標(biāo)準(zhǔn)時(shí)間）之間進(jìn)行的電子直接商業(yè)營銷都必須事先征得預(yù)期收件人的單獨(dú)同意。需要注意的是，對短信營銷有詳細(xì)的規(guī)定，如短信的形式、同意的提醒、撤回程序等。

電話、移動(dòng)電話、傳真和電腦程序均被視為電子直接營銷。 然而，根據(jù)《上門推銷法》 The Act on Door-To-Door Sales注冊為電話推銷員的實(shí)體可以不經(jīng)收件人同意而通過電話進(jìn)行推銷，但必須通過語音通知收件人的個(gè)人信息來源。

KCC可以命令采取糾正措施，并對未遵守此類限制的人處以行政罰款。而KISA管理投訴，并向收件人提供與傳輸營銷信息有關(guān)的建議。

任何人在沒有事先明確同意的情況下，通過電子傳輸方式發(fā)送用于商業(yè)目的的營銷信息

可能會(huì)被處以最高3000萬韓元的行政罰款。

7. 跨境傳輸

如果跨境傳輸?shù)脑蚴强刂普叩耐獍黲utsourcing，控制者必須在其主頁上公布外包工作的范圍和外包商。 如果向外國第三方提供個(gè)人信息，控制者必須事先獲得數(shù)據(jù)主體的同意。 除非控制者明確通知這種供應(yīng)的細(xì)節(jié)，包括接受的第三方、該第三方的目的、要供應(yīng)的個(gè)人信息、保留期限、以及數(shù)據(jù)主體的拒絕權(quán)和以下缺點(diǎn)，否則同意將被視為不妥。

然而，更嚴(yán)格的限制適用于ICSP或ICSP相關(guān)方。 當(dāng)ICSP或ICSP相關(guān)方將個(gè)人信息轉(zhuǎn)移到國外時(shí)，無論轉(zhuǎn)移的目的是什么，如外包、供應(yīng)或存儲(chǔ)和基于云行為，ICSP或ICSP相關(guān)方都應(yīng)獲得數(shù)據(jù)主體的同意。 需要通知數(shù)據(jù)主體的信息有：要轉(zhuǎn)移的個(gè)人信息，轉(zhuǎn)移的國家、日期和方法，第三方的名稱和負(fù)責(zé)人，第三方的目的，以及保留期限。但是，ICSP或ICSP的相關(guān)方可以不單獨(dú)征得數(shù)據(jù)主體的同意，而是在隱私政策中公布或通知這些信息，或者在為外包或存儲(chǔ)而轉(zhuǎn)移的情況下通過電子郵件通知。

盡管有上述規(guī)定，在一個(gè)限制跨境傳輸?shù)膰抑械腎CSP可能要受到韓國國內(nèi)ICSP同等程度的限制。 但是，如果跨境傳輸是執(zhí)行國際條約或其他國際安排所必需的，這將不適用。

2021年3月，歐盟得出Adequacy Decision的結(jié)論，韓國的法律和法規(guī)提供了與GDPR相同的數(shù)據(jù)保護(hù)水平。 PIPC已經(jīng)為轉(zhuǎn)移到韓國的個(gè)人信息發(fā)布了一項(xiàng)命令，該命令將在充分性決定之日生效，以補(bǔ)充PIPA和GDPR之間的差距或差異。

KISA在2020年5月發(fā)布了關(guān)于GDPR的指南，包括傳統(tǒng)的標(biāo)準(zhǔn)合同條款，但尚未更新指南以反映修訂后的標(biāo)準(zhǔn)合同條款。

今天的高麗韓國個(gè)人信息保護(hù)類法律法規(guī)（一）就介紹到這里，下一期我們會(huì)從Data Breach數(shù)據(jù)泄露規(guī)定開始介紹。

總結(jié)

以上是生活随笔為你收集整理的韩国个人数据保护类法律法规简述的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。