个人信息保护委员会于2023年11月23日作出立法预告的《个人信息保护法施行令第二次修正案》于3月6日通过国务会议决议。因此,修订后的《个人信息保护法》中新增的部分规定,如信息主体对全自动化决定的权利等,已于3月15日开始实施。
此次施行令第二次修正案对去年修订的《个人信息保护法》中,将实施日期定为今年3月15日的条款项下授权于总统令的事项做出了规定。下面,我们将仔细分析自3月15日起实施的法律的修订条款以及施行令第二次修正案的主要内容。
▣ 修正案的主要内容
一、明确了信息主体对人工智能(AI)等全自动化决定的权利
1. 法律
新增了信息主体可以对全自动化决定*(以下在本项中称为"自动化决定")提出拒绝或要求说明等的权利
* “全自动化决定”系指通过完全自动化的系统(包括应用人工智能技术的系统)处理个人信息而做出的决定。
- 信息主体可在做出自动化决定的过程中要求对该决定做出说明或进行审查。
- 如果自动化决定对信息主体的权利或义务产生重大影响的,信息主体可以拒绝该决定。
- 但是,如果通过同意书、合同书等事先明确告知信息主体拟将做出自动化决定的事实,或者法律有明确规定的,则不认可拒绝,仅可要求进行说明或审查。
- 如果个人信息处理者有正当理由(如他人的生命、身体、财产和其他利益有可能受到不当侵害等)时,可以不接受信息主体的拒绝、说明等要求。
2. 施行令
规定了对自动化决定行使拒绝或要求说明等权利的程序和方法、个人信息处理者的处置事项和披露事项等具体程序。
- (要求说明时的措施) 个人信息处理者应提供(i)自动化决定的结果;(ii)自动化决定中使用的主要个人信息类型;(iii)该个人信息类型对自动化决定产生的影响等自动化决定的主要标准;(iv)自动化决定中使用的主要个人信息类型的处理过程等,使得信息主体易于理解做出决定的程序。
- (要求审查时的措施) 如果信息主体提出要求追加反映个人信息等意见时,个人信息处理者应审查该意见是否可在自动化决定中予以反映,并及时将反映与否和结果告知信息主体。
- (拒绝时的措施) 个人信息处理者应(i)不适用该自动化决定,或(ii)通过人工干预重新处理,并将处理结果告知信息主体。
- (披露事项) 做出自动化决定的个人信息处理者应通过其互联网主页等公布下列事项:(i)拟做出自动化决定的事实、目的和标的信息主体的范围;(ii)自动化决定中使用的个人信息类型及与该等决定的关系;(iii)自动化决定过程中考虑的事项和处理重要个人信息的程序;(iv)如果自动化决定过程涉及处理敏感信息或14岁以下儿童的个人信息时,其目的及处理的个人信息的具体项目;(v)信息主体可以拒绝或要求说明等的事实和方法以及程序。
二、强化个人信息保护责任人的专业性和独立性
1、 法律
新设保障个人信息保护责任人(下称“CPO”)独立履行业务的义务,以及CPO协议会(即CPO相互之间协作的协议体)相关条款。
2、 施行令
1)加强对特定个人信息处理者的CPO的资格要件,以确保CPO能够根据其专业知识和独立性执行个人信息保护任务。
- (作为适用对象的个人信息处理者) ①年销售额或收入在1,500亿韩元或以上,(i)处理100万人以上个人信息,或(ii)5万人以上信息主体的敏感、固有可识别信息的个人信息处理者;②拥有20,000名或以上在校生的大学(包括研究生在校生人数);③处理大规模敏感信息的上级综合医院;④公共系统运营机构。
- (CPO资格要件) 需指定具有4年以上个人信息保护、信息保护和信息技术经历*(必须具有2年的个人信息保护经历)的人员**担任CPO。
* 但是,如果在同一时期有两种以上的工作重复,则仅承认一项经历。
** 在实施时已被指定为CPO的人必须在2026年3月14日之前具备资格要件。
2)此外,为确保CPO的独立性,应保障CPO可获取与个人信息处理相关的信息,构建CPO向代表人或董事直接报告的体系,以及向CPO提供必要的人力和物力资源等,新设个人信息处理者的遵守事项,明确CPO协议会应履行的共同业务的范围。
3、 告示
制定了《关于个人信息保护责任人经历认定的告示》,规定了认定CPO经历的资格种类、教育范围等细节,该告示也于2024年3月15日起实施。
- (资格经历的认定) ※持有各资格时,在分类的各经历(个人信息保护/信息保护、信息技术)中,仅认可一种资格,但对不同分类的经历可以重复认可。
- (培训经历的认定) 如果CPO完成了个人信息保护委员会主办或委托运营的培训(但是,仅在最长三个月的范围内予以认定),认可该CPO的个人信息保护经历。
三、扩大以总统令规定的个人信息处理方针记载事项
1、 法律
与之前相同。
2、 施行令
根据该法第30条第1款第8项,增加了个人信息处理方针中应记载并披露的事项。
- 在个人信息转移到境外时,应记载并披露(i)其依据;(ii)所转移的个人信息项目;(iii)个人信息转移的国家、时间和方法;(iv)个人信息接收人的姓名(如果是法人,则为名称和联系方式);(v)个人信息接收人的个人信息使用目的、持有和使用期限;(vi)拒绝转移个人信息的方法、程序及拒绝的后果。
- 如果在境外直接收集和处理国内信息主体的个人信息的,处理个人信息的国家的名称
四、变更损害赔偿责任保障义务对象者
1、 法律
为保障损害赔偿责任的履行而承担购买保险、预留准备金等义务的对象从在线企业变更为所有个人信息处理者。
2、 施行令
在损害赔偿责任保障义务对象中,为缓解中小企业等的负担,同时确保损害赔偿责任,修订了销售额和个人信息保有量的标准以及义务豁免标准。
- (义务对象) 年销售额等在10亿韩元以上,且信息主体数量在1万名以上 Cf)原标准:年销售额在5000万韩元以上,且用户数量在1千名以上的在线企业
- (豁免对象) 公共机构(具有CPO资格条件的机构除外)、非营利法人和团体,以及将个人信息的存储和管理业务委托给已加入保险等的专业受托人的小型企业等。
五、减轻固有可识别信息管理现状定期调查相关的负担
1、 法律
与之前相同。
2、 施行令
通过制定延长定期调查的期限,并在特定情况下视为已进行定期检查的规定,减轻重复调查的负担。
- (期限) 将原有的2年修订为3年
- (视为规定) 如根据"个人信息保护水平评估"、"个人信息保护认证(ISMS-P)"以及其他法律已实施检查时,可以除外。
六、扩大公共领域个人信息保护水平评估的范围
1. 法律
新设针对公共机构的"个人信息保护水平评估"的法律依据,允许公共机构披露评估结果并根据评估结果提出改善建议。
2. 施行令
规定进行个人信息保护水平评估的标准、评估实施前通知评估计划、资料的提交以及资料和访问评估等依据。
▣ 启示
一、关于信息主体对自动化决定的权利
根据个人信息保护委员会的说明,"全自动化决定"系指通过没有人工干预的全自动化系统,经过分析等处理个人信息的过程而做出的决定,因此当合法授权人实际介入其决定过程时,虽不属于此范围,但仅进行简单批准等形式性程序时,属于上述决定。
此外,"全自动化决定"应为个人信息处理者最终做出的、直接影响信息主体的权利或义务的决定,因此个性化广告、推荐新闻等个人信息处理者仅进行推荐,由信息主体就此推荐做出最终选择、决定的情况,或为验证本人确认简单事实之类对信息主体的权利和义务不产生影响的决定,则不属于自动化决定。
因此,即使引入了可做出全自动化决定的AI系统,但如果已制定了实质上由授权人员参考系统计算的资料做出决定的程序,或由信息主体做出最终选择、决定的,则不适用该条款项下的拒绝、要求说明权及说明义务等。
二、关于CPO资格要件
个人信息保护委员会表示,计划将在今年6月之前就CPO资格要件的认证具体程序及标准等另行制订指南。
就此,已指定为CPO的人员,需在2026年3月14日前满足资格条件。另,通过取得学位、资格和培训也可以获得认可(参见《施行令》附表1《经历认定要件》、《经历认定的告示》)等,请参考该事项要么指定已具备资格条件的人为CPO,要么对原有CPO采取措施,使其具备资格条件。
三、其他
个人信息保护委员会表示计划于3月份公开包含本次施行令修正案的详细标准和示例等的指南草案,通过说明会等进行补充。因此,也有必要一并分析指南的内容来完善现有的内部管理计划等,以符合修正案的要求。
About Shin & Kim’s ICT Group
世宗律师事务所在个人信息领域拥有无与伦比的专业性和人脉网络(包括前个人信息保护委员会委员长尹锺寅、前行政安全部副部长金荣浩、前科学技术信息通信部副部长崔在裕等),可以就《个人信息保护法》和GDPR等国内外个人信息规制、应对个人信息泄漏案件、建立个人信息保护合规体系等,为企业提供与个人信息保护相关的专业咨询。特别是,最近推出了“AI数据政策中心”,旨在就基于AI和数据的产品和服务,从其引入到运营、管理和改善等所有阶段提供能够将法律风险降至最低的个性化咨询。此外,世宗还在掌握ICT产业整体的监管趋势、对公业务、立法咨询、规制影响分析和制订企业战略等方面提供法律咨询,如需了解更多专业内容或有任何疑问,请随时联系我们。