400-700-3900

全国免费服务热线:

400-700-3900

京都视点 | 中韩个人信息保护法比较(下)
发布时间:2021-08-24作者:金燕、崔慧莲

  7.跨境提供个人信息规则


  


  


  相比于中国个保法用单独的章节规定个人信息跨境流动,韩国于2020年法律修改时新增了相关条款,除了规定了告知及同意的原则性义务之外,针对信息通讯服务提供者的跨境提供个人信息规定了告知和同意的程序以及必须指定国内代理人的对象。


  在告知及同意程序上,韩国对信息通讯服务提供者的跨境流动个人信息处理上将提供、外包和存储相区分,对外包和存储给予了更加宽松的取得同意要件,即如果根据法律已经公布了个人信息处理方针并以邮件或书面形式将跨境处理事宜告知个人的,在外包和存储领域可以免除同意义务。在信息跨境流动的前提条件中也未要求进行安全评估和认证等措施。可以说,韩国在信息跨境流动领域给予了比较宽松的政策。


  而中国个保法要求信息处理者保证境外接收方的个人信息处理活动达到中国个保法规定的保护标准,这一条款是法律最终通过时增加的条款,目的在于禁止中国的个人信息提供给境外后的不当处理,而且要求跨境提供信息的信息处理者保证对境外接收方的处理活动应达到个保法规定的标准,但具体保证的方式、是否为跨境提供信息的前提条件等具体事项有待观察后续的实施条例及政策的解释。


  8.信息主体的权利


 


 


 


 


  中国个保法在最终通过的版本中增加了数据可移动权,即信息主体要求转移个人信息的权利,这将为数据主体获取和转移其个人信息数据提供便利。韩国个保法目前未规定可移动权,但正在审阅的修正案中,将可移动权纳入修订内容,加强了个人信息的保护力度。而韩国个保法规定了要求停止处理数据的停止权,以保障信息主体对信息处理的自由选择权。


  此外,中国个保法规定了信息处理者拒绝个人行使各项权利时,信息主体可向法院起诉的司法解决途径。


  9.个人信息处理者的义务


 


 


 


  就个人信息处理者的安全保障措施,中国和韩国的个保法的规定大同小异,但是需要评估的信息范围却有着较大的差异。中国个保法侧重于需要评估的情形,而韩国更侧重于需要评估的信息、要处理的信息数量等。


  对于信息泄露的通知,中国规定了通过采取措施能够避免造成损害的前提下可不告知个人,但需要报告给信息保护部门,而韩国规定只要发生泄露等情况,必须告知个人;超过1000人以上的泄露时,才向个人信息委员会等机构报告。


  在自动化决策的规定中,中国明确规定了GDPR中规定的信息主体拒绝自动化决策的权利,还规定了禁止大数据杀熟的规定。


  韩国个保法目前未规定自动化决策的内容,但正在审阅的法律修订安中纳入了个人主体可拒绝自动化决策的规定。


  10.个人信息受托方及共同处理者


 


  与GDPR中经“个人信息控制者”与“个人信息处理者”的概念相对应,中国和韩国的个保法均规定了“个人信息处理者”和“受托人”的概念。


  中国个保法中的受托人为接受个人信息处理者的委托处理信息的人,并明确了个人信息处理的主要责任人为信息处理者,受托人为协助义务方的法律关系。韩国个保法也做了相同的规定,即受托人的违法行为导致的赔偿责任应由委托人承担。


  韩国个保法没有明文规定“共同信息处理者”的概念,但是在司法实践中认可共同信息处理者的地位。


  11.个人信息负责人及国内代理人


 


 


  两国对个人信息保护负责人、其职责和责任的规定大同小异,但在资格方面,韩国个保法通过实施令规定了以法定代表人或高管为主的资格,以此加强对个人信息保护的责任感。


  国内代理人的指定,差异在于域外适用范围的规定,中国就所有适用中国个保法的境外个人信息处理者作为指定代理人的义务人,韩国规定了一定的要件,要求达到一定的销售额或者有违反个保法的先例时需指定代理人,可以看出,中国个保法域外适用的范围比韩国个保法更为广泛。


  12.去标识化及假名化信息


 


  中国个保法在定义部分以及信息处理者为保障信息安全应该采用的措施中对去标识化做了原则性规定。中国在《个人信息去标识化指南》中将假名化技术归为去标识化的一种技术,并在《个人信息安全规范》中,须经信息主体同意的例外事项中包含了为统计或科研目的利用去标识化处理信息。


  而韩国在2020年2月对个保法进行修改时专门增加了一章规定了“假名化”的内容。可以看出韩国的假名化处理的概念不局限于上述指南的“假名化技术”的范畴,近似于GDPR规定假名化处理(pseudonymisation)[5]。而韩国个保法虽然对假名处理者规定了安全保护的要求,但同时规定了假名处理及假名信息不适用该法规定的同意、告知以及信息主体享有的各种权利,对假名信息给予了较宽裕的利用空间。


  13.信息通讯平台的义务


 


  中国个保法对“用户量巨大、业务类型复杂的重要互联网平台”加重了个人信息数据保护义务,并要求对违规处理个人信息的平台内产品或服务提供者停止提供服务,待实施细则对平台认定标准有了规定后,该条款将对平台和平台内的商品和服务提供者发生震慑作用。


  相比此条款,韩国个保法规定了针对《信息通讯服务提供者》的特例,并加强了其义务,适用范围比中国个保法的规定更为广泛,其中对前一年度销售额达到5000万韩币以上,前一年度三个月其储存、管理的用户数日均达到1000人以上的机构规定了需加入保险或共济或提供准备金。


  14.主管机构


 


  韩国的个人信息保护委员会于2011年成立,2020年将行政安全部、广播通讯委员会、金融委员会负责的个人信息保护及监督职能统一归入到委员会管辖,其地位上升为中央行政机关,由总统任命的9名委员组成。


  中国个保法规定的国家网信部门是国家互联网信息办公室,国务院部门为工业和信息化部以及其它相关部门。


  15.救济途径


 


 


  违反个人信息保护的侵权责任上,对于个人信息主体来说通过诉讼程序寻求救济有定的难度,如证明技术上的问题以及损害金额以及其因果关系等问题需要由信息主体来举证,这给信息主体增加了诉讼途径的难度。所以韩国个保法规定了个人信息调解委员会,专门调解因个人信息纠纷引起的案件。


  就公益诉讼的性质,中国和韩国是基本相同的,但不同在于提起诉讼的主体上,韩国限于消费者团体和非营利社团法人,而中国个保法规定检察院也可以提起公益诉讼。另外,韩国提起公益诉讼的前提条件是必须先经过集体纠纷调解程序,并且公益诉讼的原告的诉讼代理人必须是律师。


  16.法律责任


 


 


  对于处罚及罚金,韩国通过法律和实施令对具体违法行为规定了比较详细的处罚,并根据违法次数逐步提高了处罚力度,提高了法律的执行力。


  比起韩国个保法对违反行为产生的销售额3%的处罚相比,中国个保法规定的5000万以下或上一年度营业额5%以下的罚款金额更为严苛,这对于中国个保法适用范围内的信息处理者来说,合法合规处理信息就变成了非常重要的议题。


  二、结语


  2018年欧盟出台《通用数据保护条例》(GDPR)后,GDPR作为较高要求的个人信息保护规范,对各国的个人信息保护法规与政策产生了重大影响。GDPR规定了对第三国或地区的数据保护水平的“充分性认定”制度,如果第三国通过了欧盟的充分性认定,欧盟的数据无需特别授权就可以向第三国或地区转移。截止2021年4月,共有安道尔、阿根廷、加拿大(商业组织)、法罗群岛、根西岛、以色列、马恩岛、日本、泽西岛、新西兰、瑞士和乌拉圭等12个国家和地区获得了认定。


  2021年3月30日,韩国与欧盟完成了关于数据保护同等水平的谈判并得出“充分性”结论,下一步得到欧盟数据保护委员会(EDPB)的官方意见和欧盟委员会的正式批准,韩国可以被欧盟认定为数据保护“充分性”国家,届时,欧盟地区的数据可以不经授权程序,自由安全地流入韩国。


  从本文第一部分的比较中可以看出,中国的个保法与韩国的个保法在个人信息的保护原则、信息主体的权利、个人信息处理者的义务以及个人信息处理的安全保护措施的规定大同小异,而在跨境提供个人信息、个人信息的移动权、法律处罚等方面,可以说中国的规定比韩国更加严格。而韩国通过法律、实施令以及指南等法规进行了更加具体的规定,提高了法律法规的透明度以及违规处罚的可预见性和可执行性。这一点可以为我国个人信息保护法的后续实施细则以及标准制定中加以借鉴。


  注释:


  [4]关键信息基础设施,是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。


  [5]GDPR规定中的假名化处理是指以如下方式处理个人数据,即:除非使用额外信息,否则无法将个人数据连接到某个具体的数据主体,且上述额外信息应当被独立存储并受制于适当的技术和组织措施,以确保个人数据不会连接到某个已识别或可识别的自然人。