韩国PIPA修正案要点

2023年2月27日，韩国国会通过了2011年《个人信息保护法》的修正案提案。这些修正案是PIPA颁布以来涉及范围最广的修正案之一。

本文是DR&AJU LLC合伙人Timothy Dickens对PIPA的修订及其对相关业务的影响。

修正案对PIPA的哪些领域进行了修订？

PIPA的修正案范围相当广泛，涵盖了从数据可移植性、数据传输、处罚条款到线下和在线业务规则的统一等一系列问题。主要包括：

海外数据传输

关于海外数据传输，修正案扩大了在以下情况下未收集数据主体同意的转让的法律依据（PIPA第28-8条至第28-11条）：

1. 转移到个人信息保护委员会（“IPC”）批准的国家，以满足PIPA的数据保护级别。
2. 法律或条约/公约中明确了韩国是允许个人信息海外转移的缔约国。
3. 转移是出于委托目的或数据存储，这对履行与数据主体的合同至关重要，同时满足以下两种情况之一：
   1. 披露收集同意书时应向数据主体公布的项目；
   2. 通过电子邮件等将在收集同意时向数据主体宣布的项目通知给数据主体。
4. 受让人由PIPC认证，并根据PIPC的通知和在受让国执行认证的措施采取了安全措施。

这些修订是切实可行和必要的。国际客户在将个人信息转移到位于韩国境外的数据中心/服务器时，通常会被告知严格同意的问题，这往往会导致花费大量时间和精力来确保合规。在上述情况下放宽同意的规定，这是从整体角度考虑同意问题的积极步骤。

然而，另一方面，PIPA为海外数据传输添加了一项新条款，授权PIPC在其认为传输违反PIPA的情况下，下令停止跨境传输（PIPA第28-9条）。

简言之，这是一把有点双刃剑，但总的来说是一把受欢迎的补充。

数据可移植性

修正案授予数据主体请求将其个人信息传输给自己或其他数据控制者的权利（PIPA第35-2条）。这将取决于以下参数：

1. 个人信息必须在数据主体同意的基础上进行处理；
2. 个人信息必须经过处理，以履行与数据主体签订的合同；
3. 所请求的数据控制器必须满足设施/设备的某些相关标准。

这项修正案的目的是有效加强数据主体对其个人信息的控制，谁可以控制这些信息以及如何使用这些信息。随着一直存在的BigTech/“Big Brother”问题迫在眉睫，这项修正案似乎朝着数据主体控制谁以及如何管理和存储数据的正确方向迈出了一步。毕竟，数据正在成为新的“货币”，控制/访问数据将是一个强大的工具。然而，不利的一面是数据传输将如何进行。大多数公司都有非常独特的内部系统和流程；要在各个行业之间实现这些标准化将是一件棘手的事情。同样，数据控制者必须满足某些相关标准，这实际上可能意味着只有少数大型公司才能有效地符合这一要求，这将使我们回到原点。然而，简而言之，对个人的更多控制是数据主体的一个受欢迎的补充。

统一线下和线上业务的数据保护规则

修正案取消了普通数据控制器和作为信息通信服务提供商的数据控制器的区别。因此，修正案通过删除和合并PIPA中的章节和条款，例如专门适用于信息通信服务提供商的章节和条文，使所有数据控制者都受到同样的规则和要求的应用。这项修正案是为了消除在执行PIPA方面的任何混乱。

这项修正案似乎是合乎逻辑的，为所有企业提供了全面的一致性。然而，这将要求线下企业提高警惕，因为他们将略微增加确保遵守PIPA的负担。

自动化决策权

该修正案赋予数据主体以下与自动化决策相关的权利：

1. 在数据控制者受到自动化决策的情况下，要求数据控制者作出解释的权利；
2. 当自动决策可能影响数据主体的权利和义务时，数据主体也有权拒绝自动决策。

与数据可移植性方面非常相似，自动决策修正案也将权力重新掌握在数据主体手中。这项修正案是积极的，因为它赋予了数据主体防止其权利受到侵犯的权利，而现在比以往任何时候都更重要的是，BigTech有时通过自动化决策对个人信息做出单方面决定。

行政和刑事处罚

这些修正案进行了调整，一些处罚条款和行政处罚如下：

1. 最高行政罚款为总销售额的3%（与违规行为无关的销售额除外）；但是，如果数据控制者在没有合理解释的情况下拒绝提交销售数据，或者提供虚假的销售数据，行政罚款可以增加到总销售额的3%。
2. 线下和线上企业将因同样的违规行为受到同样的罚款。这与上述数据保护规则的统一有关。数据控制器和作为信息通信服务提供商的数据控制器之间的区别将不再相关。
3. 修正案之前的PIPA中包含的某些刑事处罚已被取消。这包括：
   1. 由于数据控制者未执行强制性安全措施而导致的个人信息泄露；
   2. 信息通信服务提供者未经同意收集和使用个人信息的；
   3. 未能销毁个人信息。

这些修正案是一项值得欢迎的举措，特别是取消了某些刑事处罚。严格的数据保护要求有时似乎超出了对违反PIPA的可能处罚的范围。特别是当涉及到拥有数千个数据主体的数据控制者时，总是存在疏忽、错误或人为错误的可能性，取消严厉的刑事处罚是对PIPA的积极补充。此外，修正案还扩大了根据法规提出的问题提交争端解决的要求，这可能是解决争端的积极力量，而不需要繁重的制裁和处罚。

引入视觉信息处理设备的规定

修正案引入了有关视觉信息处理设备的新规定，包括固定视觉信息处理装置（如用于安全和交通控制的闭路电视）和移动视觉信息处理设施（如自动驾驶汽车和无人机）。对于固定设备，当没有存储任何照片/胶片个人信息时，它们是允许的。关于移动视觉信息处理设备，如果信息主体能够通过灯光、声音、信息板等通知清楚地知道拍摄事实，即使很难获得未指明的人的同意，这些设备也可以在开放空间收集和处理视觉信息。