个人信息保护委员会于2024年4月4日发布了《境外经营者<个人信息保护法>适用指南》。该指南明确规定了境外经营者是否适用《个人信息保护法》的判断标准以及修订后的《个人信息保护法》项下境外经营者容易遗漏的法定义务,同时还提供了具体事例。我们将在下面更详细地解析其主要内容。

 

一、主要内容

1. 境外经营者是否适用《个人信息保护法》的判定标准

(是否向韩国信息主体提供商品或服务)
当境外经营者向韩国信息主体提供商品或服务时,适用《个人信息保护法》。

  • 境外经营者被判定为向韩国信息主体提供商品或服务的事例:
 
① 境外经营者明示其向韩国信息主体提供商品或服务时
② 运营网站时,网址使用韩国国家域名(.kr)或针对韩国的单独域名(ko-kr等)时
③ 在应用程序市场中推出针对韩国的服务时
④ 即便境外经营者在提供服务时声明仅受特定国家法律约束,但仅以韩语提供服务时,

并且,在综合考虑语言(韩语)、币种(currency)、服务的提供形态和方式等后,被认定为向韩国信息主体提供商品或服务时,也适用《个人信息保护法》。 

  • 相反,对境外经营者不适用《个人信息保护法》的事例如下:
 
① 境外经营者在境外提供酒店住宿服务时,收集并使用入住酒店的韩国人的个人信息时
② 境外经营者的业务系统被黑客攻击,导致在当地工作的韩国员工的个人信息被泄露时
③ 境外经营者不提供从网上商城直接送货到韩国的服务,而是由韩国信息主体购买产品并将其配送至配送代理机构时
④ 境外经营者在线提供商品或服务,且阻止来自韩国IP的访问,或应用程序服务通过不在韩国应用程序市场上架等方式明确限制韩国信息主体的使用时(包括韩国信息主体翻墙使用的情况)

(对韩国信息主体产生的影响)
如果境外经营者处理韩国信息主体的个人信息并对韩国信息主体产生直接且重大的影响时,适用《个人信息保护法》。

  • 如下所示,即使境外经营者不向韩国信息主体提供商品或服务,也可以对韩国信息主体产生直接且重大的影响,自身可以预测其内容及影响的,则可能适用《个人信息保护法》。 
 
① 境外经营者收集韩国信息主体的个人信息并提供在网站公开的服务时
② 境外经营者在向韩国经营者提供商品或服务的过程中,处理韩国信息主体的个人信息时
③ 与韩国经营者有业务委托、受托关系,作为委托人、受托人处理韩国信息主体的个人信息时
④ 境外经营者从韩国经营者接收韩国信息主体的个人信息,并以开展自身业务(例如:开发人工智能型号)为目的处理该个人信息时

(在韩国领土内存在营业场所与否)
如果境外经营者提供全球服务,并且在韩国领土内设有处理个人信息的营业场所,则适用《个人信息保护法》。

  • 营业场所不仅指法人,还包括个别办事处、联络处、受托人的营业场所等。
  • 但是,如果境外经营者的全球服务相关的个人信息处理与韩国营业场所的活动无关时,则可能会有不同的判断。
    ※ 例如,在韩国设有销售组织并进行软件销售和维修的境外经营者,在境外另行经营在线购物中心且不向韩国信息主体提供服务时,则该在线购物中心可能不受《个人信息保护法》的约束。
  • 如果境外经营者提供全球服务并设立韩国企业,且将其指定为韩国信息主体的个人信息处理者时,则该韩国企业可能适用《个人信息保护法》


2. 适用《个人信息保护法》的境外经营者容易遗漏的法律义务事项

※ 原则上适用《个人信息保护法》的境外经营者应遵守《个人信息保护法》项下的所有规定,考虑到境外经营者的特点,本指南解释了部分注意事项。

泄漏通知及申报

  • 即使在未准确确认泄露的个人信息规模的情况下,如果个人信息泄露的事实本身已得到确认,并且未根据国家区分信息主体运营个人信息处理系统等时,则可能会被认定为已达到可以知道韩国信息主体个人信息泄露事实的状态。因此,应在72小时内完成《个人信息保护法》第34条项下的泄露通知及申报。
  • 但是,根据事故分析结果,如果在72小时内确认韩国信息主体的个人信息没有被泄露时,则可以不进行申报。

个人信息处理方针的公开方法

  • 制定和公开个人信息处理方针时,必须用韩语书写,并且应按照《个人信息保护法》规定的内容书写和公开,而不是简单翻译其他国家的处理方针。
  • 在世界各地提供相同商品或服务的情况下,提供该等商品或服务的个人信息处理者可能会因国家而异,因此个人信息处理方针中应写明谁是处理韩国信息主体的个人信息处理者,如果韩国信息主体的个人信息在境外进行处理时,则必须明确记载在境外处理该个人信息的事实、相关国家以及处理个人信息的经营者名称等。

信息主体的权利保障

  • 境外经营者应建立韩国信息主体能够轻松行使权利的方法,并用韩语提供明确的指导
  • 即使其他国家的法律限制韩国信息主体要求阅览的信息的公开,也不得立即拒绝阅览或提供,境外经营者应当审查根据该等国家法律的非公开义务是否符合韩国宪法、法律等的内容和宗旨、尊重相关法律的必要性是否明显优于保护个人信息的必要性、实际是否承担非公开义务等。

14岁以下儿童的法定代表人

  • 境外经营者在向儿童(未满14岁)提供商品或服务时,或者提供必须收集儿童个人信息的商品或服务时,应核实信息主体的年龄信息,注意不收集未经法定代表人同意的儿童的个人信息。

损害赔偿的保证

  • 境外总部和韩国分公司分别向韩国信息主体提供服务时,应判断总部和分公司各自的用户人数和销售额,如果属于损害赔偿义务对象时,则应加入保险、互助或储备公积金。
    ※ 总部购买的保险或互助的保障范围包含对韩国分公司违反《个人信息保护法》的损害赔偿责任时,韩国分公司无需另行购买保险或互助。

国内代理人

  • 对于必须指定境内代理人的境外企业,如果该企业设立了韩国境内法人,或者在韩国境内存在对其高管构成、业务经营等具有控制性影响力的境内法人时,指定该法人作为境内代理人为宜。 
  • 如果员工不予回应,仅以录音告知信息主体使用电子邮件或网上格式,或员工对于信息主体的投诉处理及损害救济无法采取任何措施时,则很难视为已指定代理个人信息保护责任人业务的国内代理人。

委托处理个人信息

  • 韩国《个人信息保护法》就个人信息处理者向第三方转移或与其共同使用信息主体的个人信息的情况,区分了“提供个人信息”和“委托个人信息处理(处置)业务”加以规定,应注意该区分并根据各情况准备法律依据。 
  • 向第三方提供个人信息系指为了接收信息者的业务处理和利益而转移个人信息的情况,而委托处理个人信息系指为了委托人自身的业务处理和利益而转移个人信息的情况。

调查和事前检查实际状况

  • 个人信息保护委员会为了调查和检查保护个人信息的实际状况,可以要求境外经营者提交相关物品、文件等资料,可以令所属公务员进入境外经营者的办公室或营业场所,要求代表、代理人、其他高管、员工等相关人员提供陈述,或让相关人员参观后检查业务情况、账簿或文件等。必要时,可以向境外经营者要求相关人士出席并陈述。

纠正措施和罚款等

  • 个人信息保护委员会确认境外经营者违反《个人信息保护法》的,可以责令停止个人信息侵权行为,暂停处理个人信息,并要求采取其他必要的措施保护及防止个人信息侵权或建议改善个人信息处理状况,可以处以迟延履行金或总销售额的百分之三以下的罚款,并且可以向侦查机构举报境外经营者及其代表或建议惩戒,保护委员会还可以公布处罚等事实,或者责令境外经营者公布已受到处罚等事实。
  • 对境外经营者处以罚款时,以总销售额中扣除与违反行为无关的销售额后的销售额为准计算罚款,总销售额不限于韩国境内产生的销售额,而是全球销售额,对于与违反行为无关的销售额的举证责任由境外经营者承担。  

2. 启示

  • 随着全球服务的增加,对于韩国《个人信息保护法》是否也适用于向韩国提供服务的境外经营者的讨论不断增多,个人信息保护委员会通过发布本指南,明确了《个人信息保护法》是否适用于境外经营者的具体判断标准等。
  • 然而,本指南中提出的判断标准之一“境外经营者的个人信息处理对韩国信息主体产生影响的情况” 的判断标准本身并不明确,且在判定“境外经营者向韩国信息主体提供商品或服务时”,说明应综合考虑语言、币种、服务提供形式和方式等,应注意《个人信息保护法》可以适用的境外经营者范围将很广泛。 
  • 特别是,个人信息保护委员会通过本指南明确可以对境外经营者采取调查、事前状况检查、纠正措施、罚款等措施,因此,已经或即将提供韩国的在线服务的全球经营者有必要再次检查其是否遵守韩国《个人信息保护法》。

 

About Shin & Kim’s ICT Group

世宗律师事务所在个人信息领域拥有无与伦比的专业性和人脉网络(包括前个人信息保护委员会委员长尹锺寅、前行政安全部副部长金荣浩、前科学技术信息通信部副部长崔在裕等),可以就《个人信息保护法》和GDPR等国内外个人信息规制、应对个人信息泄漏案件、建立个人信息保护合规体系等,为企业提供与个人信息保护相关的专业咨询。特别是, 在修改数据三法、制定下位法律、改善相关制度方面发挥了主导作用,世宗在假名信息、数据利用、掌握ICT产业整体的监管趋势、对公业务、立法咨询、规制影响分析和制订企业战略等方面提供法律咨询,如需了解更多专业内容或有任何疑问,请随时联系我们。