2021年8月20日,中国首部《个人信息保护法》通过，完成了继《网络安全法》和《数据安全法》之后的网络、数据、个人信息为一体的网络环境法规体系。随着国际互联网技术和大数据产业的迅猛发展，在全球化和大数据时代背景下，个人信息的保护和跨境数据流动的合规成为了数据领域的主要关注点，而韩国作为通讯及数据领域发达国家，2011年开始实施了个人数据保护法，并通过不断的立法实线来修改和完善立法即执法水平。2021年6月29日，联合国信息和通信技术机构国际电信联盟(ITU)发布了2020年全球网络安全指数（GCI）排名，韩国以98.52分以亚洲第一的成绩位居第四位。[1]中国作为韩国的最大贸易伙伴，个人信息保护法的出台和实施是两国企业都很关注的话题。本文通过对两国的个人信息保护法比较，希望能为中韩两国贸易及投资领域的个人信息保护和个人信息跨境流动的合法合规提供一些帮助。

　　一、中国和韩国的个人信息保护法相关内容对比

　　1.法律及相关规定

　　

　　中国个人信息保护相关规定曾分散于《网络安全法》、《民法典》、《数据安全法》、《未成年保护法》等法规中，现单独的《个人信息保护法》（以下可称“个保法”）通过二次草案发布并征求意见，三次人大审议终获通过，并于2021年11月1日起正式实施。

　　韩国的《个人信息保护法》则由韩国国会在2011年3月29日通过并于同年9月30日起正式实施。之后，经过大大小小15次修订，最终修订本于2020年8月5日起实施。同时，韩国政府还颁布了该法律的执行细则《个人信息保护法施行令》[2](2021年2月2日修订版)。

　　2.个人信息及处理的定义

　　

　　中国通过个保法以及《个人信息安全规范》较详细的规定了个人信息的范围，对于已识别和通过其他信息结合后可识别的信息，两国的规定基本相同。但韩国的个人信息只包括存活个人的信息，但中国个保法49条规定对于死亡的自然人的信息的权利由其近亲属处理，从而把死者的个人信息也纳入到个保法的适用范围。

　　而对于敏感信息，在认定标准上，中国侧重于自然人的《人格尊严》，而韩国侧重于《隐私保护》。对敏感信息的具体范围中，中国在《个人信息安全规范》中将身份信息纳入敏感信息的范畴，而韩国就身份证等信息规定了《唯一识别信息》概念来管理。

　　3.适用范围

　　

　　中国个保法将适用范围为境内处理个人信息的活动加上境外处理境内自然人个人信息的活动，采用了境内属地原则以及境外目标指向原则。与中国个保法相比，韩国个保法没有在法律和实施令中明文规定适用的范围，通过对境外信息通讯服务提供者应指定国内代理人的范围等条款，规定了涉外适用的主体。

　　4.个人信息处理原则

　　

　　中国个保法和韩国个保法在个人信息处理原则的规定上与GDPR比较接近，都主要明确了合法、正当、最小收集及处理原则。2020年，韩国通过修改法律增加了个人信息假名化处理的规定，并在处理原则上增加了如果假名、匿名化处理也能达到收集个人信息目的的，应进行假名或匿名化处理的原则，在个人信息处理原则上更加加强了对个人隐私的保护力度。

　　5.个人信息的收集及处理规则

　　

　　中国个保法规定了7项个人信息处理规则，其中合理范围内使用已公开的个人信息是承接了《民法典》的规定，并规定了个人可以行使拒绝权以及如果公开对个人权益产生重大影响时应该取得个人同意。

　　而韩国个保法规定的紧急情况比中国个保法的突发公共卫生事件范围更宽，但也规定了为信息主体和第三人利益而处理信息的前提条件是因特殊情况无法取得信息主体的事先同意，而该特殊情况需要由信息处理者证明。另外，韩国对信息处理者为了追求合法利益合理处理数据的规定更近似于GDPR的规定。可以看出，在信息处理规则上，中国个保法适用更加严格的规则标准。

　　6.信息主体的同意

　

　

   

　　就个人信息处理前的告知，中国个保法规定了告知内容变更时应告知变更内容，其中个人信息的处理目的、处理方式和处理的个人信息种类发生变更的，应当重新取得个人同意。而韩国个保法规定了上述5项发生变更的，均要重新取得同意，并就同意的原则上，对每个事项要求分别取得同意。

　　注释：

　　[1]中国以92.53分位居第33位。

　　https://www.itu.int/en/myitu/Publications/2021/06/28/13/22/Global-Cybersecurity-Index-2020

　　[2]施行令是总统颁布的执行法律的命令，一般还包括任命法律的委任令，此外还有部门为了执行总统令而制定的实施规则，本法目前还未出台实施规则。

　　[3]根据韩国<电子通讯经营法>的第二条第八项规定的电子通讯经营者以及以盈利为目的利用电子通讯经营者的电子通讯业务提供信息或者信息中介者。