《个人信息保护法(修订版)》于2024年3月15日开始实施,随着实施令及告示等下位法律的逐步完善,个人信息保护委员会对原指南及指引加以修订、整合,反映了新修订的内容。下面将详细介绍其主要内容。
一. 发布整合版指南(《各领域个人信息保护指引》)
个人信息保护委员会考虑到相关领域及业务的特点,整合并发布了包含八类领域处理个人信息时需注意事项指南的《各领域个人信息保护指引》。
尽管各领域之间存在一定的差异,但整合版指南提供了指引的概要,以及在个人信息的收集、使用、删除等各个处理阶段及在各领域所需特别遵循的事项和处理标准、方法。
整合版指南所涵盖的各领域的内容如下:
| No. | 领域 | 内容 |
|---|---|---|
| 1 | 劳动·人事 | 指引企业等处理劳动者的个人信息时应遵循的事项 说明准备聘用、决定聘用、维持聘用、终止聘用等各个阶段的个人信息处理方法 |
| 2 | 社会福利设施 | 考虑到社会福利设施的业务特点,为了使个人信息处理业务的负责人在实务操作过程中作为参考,指导个人信息处理方法 区分使用者、入住人、赞助人、自愿服务者、来访者、劳动者,说明个人信息处理方法 |
| 3 | 医疗机构 | 指引医疗机构安全保护患者及医疗机构劳动者个人信息的标准 指引依据《医疗法》做出的诊疗记录查阅及提供复印件、医疗机构之间传输诊疗记录 |
| 4 | 药房 | 指引考虑到药房业务流程的个人信息保护所必要的措施事项 指导《国民健康保护法》《药师法》等所适用的法律项下的措施事项 |
| 5 | 辅导班·培训班 | 考虑辅导班·培训班的业务特点,指引个人信息处理方法,以供个人信息处理业务的负责人在实务操作过程中作参考 区分学员、讲师·员工,指导个人信息处理要领 |
| 6 | 编制统计 | 指引统计的编制、普及及利用过程中处理个人信息时应遵循的事项 说明统计编制企划、资料收集、资料处理及公开、统计资料的持有·提供等各个阶段的个人信息处理方法 |
| 7 | 公共机构 | 指引公共机构进行监察、选任公职人员、搜查、行政调查时应遵循的个人信息处理及保护方法 按照各业务类型区分处理标准,明确收集依据及注意事项 |
| 8 | 线上抽奖活动 | 为保护SNS等线上抽奖活动参与者的个人信息,指引抽奖活动各阶段应遵循的个人信息处理方法 区分活动企划·公示、中奖人抽签·公布、奖品发放、活动结束等各个阶段,说明处理个人信息时应遵循的事项 |
整合版指南的意义在于,将所需的信息和程序整合成一份文档,方便企业和机构轻松查阅,而无需逐一查找各领域分别编写的指引。
二. 公开《个人信息处理整合指引(征求意见稿)》
由于2023年个人信息处理体系的全面改编,为便于实务部门更容易理解改编的内容、以案例为中心提供系统化的指引,个人信息保护委员会公布了整合《个人信息处理同意指引》、《委托·受托指引》等的《个人信息处理整合指引(征求意见稿)》。个人信息保护委员会表示,关于公开的指引(征求意见稿),将在2025年1月31日前征求意见,并于3月份正式确定。
《个人信息处理整合指引(征求意见稿)》亦反映了(i)个人信息的收集及利用;(ii)个人信息委托处理相关的《个人信息保护法(修订版)》项下的内容,与此相关的具体内容如下:
(i)个人信息的收集及利用
个人信息处理体系从原有的以“同意”为中心的体系转化为以“合法依据”为中心的体系,从而扩大了基于合法依据处理个人信息的可能性。
与此同时,还提出了审查合法依据时需考虑事项。在收集和利用个人信息时,如何选择满足要求的合法依据的流程,应按照以下方式进行:
- 个人信息处理者应当确认信息主体是否充分了解其个人信息将被处理,是否明确且自愿地表示同意;
- 若基于合同处理个人信息时,双方应在意思上达成一致或合意,并且确保信息主体能够充分预测其个人信息将被如何使用;
- 基于正当利益处理个人信息时,应判断其目的是否正当、是否存在处理之必要性、是否明确存在优于信息主体权利的理由。
(ii)个人信息的委托处理
根据2023年新修订的法律内容,受托方的范围被扩大至包括二级及三级受托方。
另外,对于专业受托方之类从多个委托方接受个人信息委托处理业务时,尤其是在云服务、Seller Tool、HR领域等,提供了如下指引。
- 在委托合同中明确规定培训及管理·监督,以及再委托时获取委托方同意的方法及程序相关事项、履行方法;
- 同时,对于受托的个人信息处理业务,若已通过ISMS-P(信息安全管理体系认证)与政府-民间合作的自主监管机制定期接受检查,对此进行管理及监督的方法。
个人信息保护委员会表示,整合版指引(征求意见稿)征求意见截至时间为2025年1月31日,并计划于2025年3月份确定发布。同时,未来还会将与个人信息处理相关的委员会裁决案例、判例以及实务操作中的案例纳入指引中。
原有的《个人信息保护法律及指南·告示解说》是按照《个人信息保护法》的条文顺序编制的,由于未能涵盖自整合个人信息保护委员会成立以来的多样裁决案例及有权解释案例,在个人信息处理实务操作过程中参考时,略显不足甚至存在缺憾。待整合版指引(征求意见稿)最终发布后,有望在实务操作过程中更容易理解整体的个人信息处理体系,并便捷地参考有关改动事项。
不过,关于安全性保障措施标准、固定型影像信息处理设备安装及运营、匿名信息处理等专业领域的内容未纳入整合版指引中,而是单独列于专项指引中。这些内容可以在个人信息门户网站及委员会官方网站中查询。
三. 单独指引的修订及公布
以特定领域或情况为前提而难以纳入整合版中的单独指引*,也在反映相关法律修订内容后予以修订和公开。
* 紧急情况下的个人信息处理指引、互联网自发性帖子访问排除请求权指引、儿童·青少年个人信息保护指引、为小型工商业者准备的个人信息保护手册、智慧城市个人信息指引、固定型影像信息处理设备安装·运营指引、合成数据生成·利用指引。
四. 发布个人信息问答集
个人信息保护委员会在2024年6月份发行的《个人信息保护法解释案例集》的基础上新增了25个案例,以《个人信息问答集》为标题发布了指引。
该问答集包含了根据个人信息的定义条款(《个人信息保护法》第2条第1款)判断ID、面部照片等是否属于个人信息,以及影像信息的解释相关内容,对匿名化信息处理的注意事项等经营者在实际的个人信息处理过程中可参考的各种案例。
此外,新增的25例案例中,大多数(14例)与私营业者有关,重点补充了同意、受托、保管等相关内容。
个人信息保护委员会表示,包括问答集在内的所有已公开的指引都将设置为期3年的“重新审查期限”,并将每隔3年进行重新审查和更新内容。 如果个人信息保护委员会发布的官方资料能够以这种方式定期更新,对实务也会有很大的帮助。
关于世宗的ICT Group个人信息数据团队、AI中心
世宗律师事务所在个人信息领域拥有无与伦比的专业性和人力资源(包括前个人信息保护委员会委员长尹锺寅、前行政安全部副部长金荣浩、前科学技术信息通信部副部长崔在裕等),可以就《个人信息保护法》和GDPR等国内外个人信息规制、应对个人信息泄漏案件、建立个人信息保护合规体系等,为企业提供与个人信息保护相关的专业咨询。特别是参与最近发布的个人信息保护委员会和韩国个人信息保护官员协会(KCPO)的CPO手册的核校和编写等,在组织内建立个人信息治理方面,我们也拥有专业知识。此外,在《个人信息保护法》第二次修改、下位法规的制定、相关制度的完善等方面发挥了在民间领域的主导作用。世宗在掌握对匿名信息、数据利用、ICT产业整体的监管趋势、对公业务、立法咨询、规制影响分析和制订企业战略等方面提供法律咨询,如需了解更多专业内容或有任何疑问,请随时联系我们。
