韩国个人信息保护法[1]
2011年3月29日公布
2011年9月30日生效
第一章 总则
第1条 目的
本法案的目的是用保护隐私,防止个人信息被无授权地搜集、泄露、滥用或误用的方法来处理个人信息,以加强公民的权利和利益,并进一步实现个人的尊严和价值。
第2条 定义
本法案中使用的术语定义如下:
1.“个人信息”指属于任何活着的人的,并可能通过他/她的姓名、居民登记号、照片等(包括那些单独不足以,但与其他信息综合起来可以指认出特定之人的信息)指认出该人的信息;
2.“处理”指搜集、生成、记录、储存、保留、增值处理、编辑、收回、纠正、恢复、使用、提供、泄露和消灭个人信息,及其他类似活动;
3.“资料主体”指可以通过处理的信息来指认并成为该信息的主体的自然人;
4.“个人信息档案”指基于一个特定的规则,以系统的方式被整理或编组,以便容易查取的一套或多套的个人信息;
5.“个人信息处理者”指可以直接或间接处理个人信息,并为了公务或商业的目的来操作个人信息档案的公共机构、法人、组织、个人等;
6.“公共机构”指下款中描述的机构:
a.国民议会的行政主体、法院、宪法法院和国家选举委员会、中央行政部门或机关(包括总统办公室和总理办公室下属的)及它们的附属机构和当地政府;以及
b.其他由总统法令指定的国家机构和公共部门。
7.“可视化资料处理设备”指由总统法令指定的,持续地安装在一个特定地方来对人或物拍照,或通过有线或无线的网络来传送这类照片的设备。
第3条 个人信息保护原则
(1)个人信息处理者应当有明确和特定的个人信息处理目的,并应当合法公平地搜集达到该目的所需的最少的个人信息。
(2)个人信息处理者对个人信息的处理应当与达到个人信息处理目的的必要程度相一致,并不能超出该目的而使用。
(3)个人信息处理者应当在达到个人信息处理目的的必要的程度内确保个人信息是准确、完整、最新的。
(4)个人信息处理者应当根据个人信息处理的方式、类型等,使用安全的方法来处理个人信息,考虑到资料主体的权利被侵犯的可能性以及这类风险的严重程度。
(5)个人信息处理者应当公布它的隐私政策以及其他的个人信息处理事务,并应当确保资料主体包括查取他/她个人信息在内的权利。
(6)个人信息处理者应当以最小化侵犯资料主体隐私的可能性的方式来处理个人信息。
(7)个人信息处理者应当在可能的情况下,努力匿名地处理个人信息。
(8)个人信息处理者应当通过遵守和执行本法案及其他相关的法律法规中提出的责任和义务,努力获得资料主体的信任。
第4条 资料主体的权利
与他/她个人信息的处理相关时,资料主体应当有在下述段落中说明的权利:
1.被通知该个人信息被处理的权利;
2.对该个人信息处理的同意与否,以及选择同意范围的权利;
3.确认该个人信息处理,以及要求查取(包括证书的签发,下文中同样适用)该个人信息的权利;
4.停止处理、纠正、删除和消灭该个人信息的权利;以及
5.通过及时公正的程序,为该个人信息处理造成的任何损害获得适当补偿的权利。
第5条 国家的义务等
(1)国家和当地政府应当制定政策以防止超出目的的搜集、滥用和误用个人信息、密切监视和追踪等造成的损害性后果,以及加强人类的尊严和个人的隐私。
(2)国家和当地政府应当制定对保护第四条中所说的资料主体的权利有必要的政策措施,包括改进立法。
(3)国家和当地政府应当尊重、促进和支持个人信息处理者对资料保护活动的自我约束,来改善非理性的与个人信息处理相关的社会实践。
(4)国家和当地政府对与个人信息处理相关的法律、法规或条例的制定和修改,应当遵从本法案的目的。
第6条 与其他法案的关系
除了在其他法案(如促进信息交流网络利用和资料保护法案、使用和保护信贷信息法案等)中特别指明之外,资料保护应当由本法案管理。
第二章 资料保护政策的建立等
第7条 个人信息保护委员会
(1)个人信息保护委员会(以下称为“委员会”)应当在总统办公室下属设立,以考虑和解决关于资料保护的事项。委员会应当独立行使授权内的职权。
(2)委员会应当由不超过十五位委员组成,包括一位主席和一位应当有政治服务的公职人员身份的常务委员。
(3)主席应当由总统从非公职人员的委员中委任。
(4)委员应当由总统从下述段落中所列举的人中任命或委任。在这种情况下,五名委员应当从被国民议会选举的候选人中任命或委任,另外五名委员从最高法院首席大法官提名的候选人中选择:
1.隐私相关的民间组织或消费者群体推荐的人;
2.由个人信息处理者组成的行业协会推荐的人;以及
3.其他有足够的与个人信息相关的学术知识和经验的人。
(5)主席和委员的任期应当为三年,最多连任一次。
(6)委员会会议应当在主席认为有必要或在超过四分之一的委员提出时,由主席召集。
(7)如果有超过一半的委员出席了会议,委员会会议的决议应当有出席的委员的过半数赞成票。
(8)委员会内应设秘书处来负责委员会的行政事务。
(9)在第(1)款至第(8)段中没有提到的事务,如果对委员会的组织和运作有必要,应当由总统法令说明。
第8条 委员会的功能
(1)委员会应当考虑和解决以下事务:
1.第9条的基本计划和第10条的实施计划;
2.与资料保护相关的政策、系统和立法的改进事务;
3.个人信息处理相关的公共机构的职务的统筹事务;
4.解释和运用资料保护相关的法律法规的事务;
5.根据第18条第(2)5款,使用和提供个人信息的事务;
6.根据第33条第(3)款,隐私影响评估的结果的相关事务;
7.根据第61条第(1)款,意见建议的相关事务;
8.根据第64条第(4)款,措施建议的相关事务;
9.根据第66条,披露结果的相关事务;
10.根据第67条第(1)款,制作和提交年度报告的相关事务;
11.总统、委员会主席或超过两名委员参加的关于资料保护的会议的相关事务;以及
12.其他按照本法案或其他法律法规,应当被委员会考虑和解决的事务。
(2)如果是为了考虑和解决第(1)款中所说的事务所需,委员会可以向相关的政府官员、资料保护的专家、民间组织和相关工作者寻求意见,并向有关部门要求相关材料。
第9条 基本计划
(1)公共管理和安全部长应当每三年一次,与中央行政部门或相关机构的负责人商议,设立资料保护基本计划(以下称为“基本计划”)并将其提交委员会,并应当根据委员会的审查和决议执行基本计划。
(2)基本计划应当包括以下内容:
1.资料保护的基本目标和计划管理;
2.信息保护系统和立法的改进;
3.防止隐私侵犯的对策;
4.如何便于资料保护的自我约束;
5.如何激励资料保护的教育和公共关系;
6.数据保护专家的训练和培养;
7.其他资料保护所需的事务。
(3)国民议会、法院、宪法法院和国家选举委员会可以设立和实施自己的资料保护基本计划,用于其相关机构包括下属单位。
第10条 实施计划
(1)中央行政部门或机构的负责人应当每年一次,根据基本计划设立资料保护的实施计划并将其提交委员会,并应当根据委员会的审查和决议执行实施计划。
(2)对实施计划的设立和执行有必要的事务,应当由总统法令说明。
第11条 材料的要求
(1)为了基本计划的有效设立和执行,公共管理和安全部长可以向个人信息处理者、中央行政部门或相关机构的负责人、当地政府和相关组织的负责人等,要求关于个人信息处理者的法规遵守的实际状况和个人信息的管理等的材料或建议。
(2)为了实施计划的有效设立和执行,中央行政部门或机构的负责人可以向在其管辖权范围内的个人信息处理者要求第(1)款中列举的材料。
(3)任何被要求提供第(1)款和第(2)款中材料的人应当按要求提供,除非在特定的情况下被免除义务。
(4)任何必要的事务,包括提供第(1)款和第(2)款中材料的范围和方法,应当由总统法令说明。
第12条 资料保护指引
(1)公共管理和安全部长可以设立关于个人信息处理标准、隐私侵犯的类型和预防措施等的标准资料保护指引(以下称为“标准指引”),并鼓励个人信息处理者遵守。
(2)中央行政部门或机构的负责人可以设立关于在其管辖权范围内的个人信息处理的资料保护指引,并鼓励个人信息处理者遵守。
(3)国民议会、法院、宪法法院和国家选举委员会可以设立和实施自己的资料保护指引,用于其相关机构包括下属单位。
第13条 促进和支持自我约束
公共管理和安全部长应当制定下列对于促进和支持个人信息处理者对资料保护的自我约束活动有必要的政策措施:
1.资料保护的教育和公共关系;
2.促进和支持资料保护相关的机构和组织;
3.引进和便利隐私标记系统;
4.支持个人信息处理者的自我约束规则的形成和实施;
5.其他对支持个人信息处理者对资料保护的自我约束有必要的事务。
第14条 国际合作
(1)政府应当制定对于在国际环境下提高资料保护标准有必要的政策措施。
(2)政府应当制定相关的政策措施,以避免资料主体的权利因为个人信息的跨境传送而被侵犯。
第三章 个人信息处理
第一节 个人信息的搜集、使用、提供等
第15条 个人信息的搜集和使用
(1)个人信息处理者可以在下述任何情况下搜集个人信息,并在搜集目的的范围内使用:
1.获得了资料主体的同意;
2.法律中存在特殊条款或是为了遵守法律义务不可避免的;
3.为了公共机构可以在其管辖权范围内执行法律法规要求的工作而不可避免的;
4.为了执行和履行与资料主体的合同而必须需要的;
5.为了保护资料主体的,或是在资料主体或他/她的法定代理人无法表达明确意图或之前的同意因为未知地址而无法被获得的情况下的第三方的生命、身体、或经济利益免于紧迫性的危险而明确需要的;或者
6.为了达到个人信息处理者的、明确优先于资料主体的正当利益而必需的。在这种情况下,只有当个人信息处理者的正当利益存在实质的关系,并且没有超出合理范围时,才可以被允许。
(2)当个人信息处理者获得了第(1)款第1项中的同意时,应当告知资料主体下述内容。当下述内容被修改时也应当告知:
1.搜集和使用个人信息的目的;
2.将被搜集的个人信息的细节;
3.个人信息被保留和使用的期限;以及
4.资料主体有权拒绝同意,以及拒绝同意引起的不良影响。
第16条 搜集个人信息的限制
(1)个人信息处理者应当搜集达到第15条第(1)款中的目的所需的最少的个人信息。在这种情况下,最少的个人信息被搜集的举证责任应当由个人信息处理者承担。
(2)个人信息处理者不能以资料主体不同意其搜集超出最低需要的信息为理由而拒绝向资料主体提供商品或服务。
第17条 个人信息的提供
(1)个人信息处理者可以向如下所说的第三方提供(或分享,下文中同样适用)资料主体的个人信息:
1.获得了资料主体的同意;或者
2.个人信息被提供的目的处于按照第15条第(1)款第2项、第3项、第5项个人信息被搜集的目的的范围内。
(2)当个人信息处理者获得了第(1)款第1项中的同意时,应当告知资料主体下述内容。当下述内容被修改时也应当告知:
1.个人信息的接收者;
2.上述接收者使用个人信息的目的;
3.将被提供的个人信息的细节;
4.个人信息被上述接收者保留和使用的期限;以及
5.资料主体有权拒绝同意,以及拒绝同意引起的不良影响。
(3)当个人信息处理者向海外的第三方提供个人信息时,应当告知资料主体第(2)项的内容,并且获得资料主体的同意。个人信息处理者不得在违反本法案的情况下签订个人信息的跨境传送合同。
第18条 使用和提供个人信息的限制
(1)个人信息处理者不得在超出第15条(1)款的范围外使用个人信息,并不得在超出第17条第(1)款和第(3)款的范围外向第三方提供。
(2)即使有第(1)款,当下述任何情况存在时,个人信息处理者可以使用或向第三方提供个人信息以达到超出计划的目的,除非这样做很可能会不公正地侵犯资料主体或第三方的利益;然而第5条至第9条只适用于公共机构:
1.获得了资料主体额外的同意;
2.法律中有特殊条款;
3.为了保护资料主体的,或是在资料主体或他/她的法定代理人无法表达明确意图或之前的同意因为未知地址而无法被获得的情况下的第三方的生命、身体、或经济利益免于紧迫性的危险而明确需要的;
4.为了统计和科学研究的需要等,个人信息以无法被辨别身份的方式被提供;
5.当个人信息处理者为了超出计划的目的而使用或向第三方提供个人信息,才能在管辖范围内执行其他法律的要求,并且符合委员会的审查和决议时;
6.为了履行条约或国际公约而必须向外国政府或国际组织提供个人信息时;
7.为了调查犯罪、控告和起诉而必需时;
8.法庭审理案子而必需时;
9.刑罚、对照顾和监护的强制执行而必需时。
(3)当个人信息处理者获得了第(2)款第1项的同意时,应当告知资料主体下述内容。当下述内容被修改时也应当告知:
1.个人信息的接收者;
2.使用个人信息的目的(在提供个人信息的情况下,指接收者的使用目的);
3.将被使用或提供的个人信息的细节;
4.个人信息被保留和使用的期限(在提供个人信息的情况下,指接收者保留和使用的期限);以及
5.资料主体有权拒绝同意,以及拒绝同意引起的不良影响。
(4)当公共机构为了超出计划的目的而使用个人信息,或将其提供给第2至6、8、9项中的第三方时,该公共机构应当按照公共管理和安全部的条例,在公报或网站上贴出这种使用或提供的法律依据,目的和范围,以及其他必要事项。
(5)当个人信息处理者为了超出在第(2)款中给出的计划的目的,向第三方提供个人信息时,个人信息处理者应当要求个人信息的接收者限制使用的目的和方法以及其他必要事项,或者准备必要的预防措施来确保个人信息的安全。在这种情况下,被要求的人应当采取必要的措施来确保个人信息的安全。
第19条 对接收者使用和提供个人信息的限制
从个人信息处理者获得个人信息的人不得超出计划的目的而使用个人信息,也不得在除了下述情形外将其提供给第三方:
1.获得了资料主体额外的同意;或
2.其他法律中有特殊条款;
第20条 资料主体外的个人信息来源的通知
(1)当个人信息处理者处理从资料主体以外的来源获得的个人信息时,个人信息处理者应在该资料主体提出要求时,立刻通知该资料主体下述一切信息:
1.搜集的个人信息的来源;
2.处理个人信息的目的;以及
3.资料主体有权利要求停止对个人信息的处理。
(2)第(1)款在下述情况不适用;然而,在此法案下它明确优先于资料主体的权利:
1.当个人信息,作为要求通知的客体,被包括在第32条第(2)款所说的个人信息档案中时;或者
2.当该通知可能对他人生命或身体造成伤害,或者对他人的财产和其他利益造成不公正的损害时。
第21条 个人信息的消灭
(1)当个人信息因保留期限届满、个人信息处理的目的达到等原因而变得不必要时,个人信息处理者应当没有延迟地消灭个人信息;然而,如果其他法律法规强制它被保留,则不适用。
(2)当个人信息处理者在第(1)款的情况下消灭个人信息时,应当采取必要的措施来防止恢复。
(3)当个人信息处理者有义务保存,而非消灭时,第(1)款中的但书所说的个人信息、相关的个人信息或个人信息档案应当被储存并与其他个人信息分开管理。
(4)其他必要事项,如消灭个人信息的方法、消灭的过程等,应当由总统法令说明。
第22条 获得同意的方法
(1)当个人信息处理者从资料主体[包括第(5)款所说的他们的法定代理人。本条以下内容同样适用]获得在本法案下进行个人信息处理的同意时,个人信息处理者应当分开地通知资料主体需要同意的事项、帮助资料主体明确地认知各项并分别地获得各项的同意。
(2)当个人信息处理者从资料主体获得根据第15条第(1)款第1项、第17条第(1)款第1项和第24条第(1)款第1项进行个人信息处理的同意时,个人信息处理者应当将需要资料主体同意才能处理的个人信息和不需要获得资料主体同意即可执行合同的个人信息分开。在这种情况下,处理个人信息不需要同意的举证责任应当由个人信息处理者承担。
(3)当打算获得资料主体的同意来处理个人信息,以便提高商品和服务或是招揽生意时,个人信息处理者应当通知资料主体、帮助资料主体明确地认知、并获得他们的同意。
(4)个人信息处理者不能以资料主体不同意符合第(2)款的选择性同意的事项,或是根据第(3)款和第18条第(2)款第1项的不同意为理由而拒绝向资料主体提供商品或服务。
(5)在根据本法案而被要求获得同意以处理不满14岁未成年的个人信息时,个人信息处理者应当从未成年人的法定代理人处获得同意。在这种情况下,获得法定代理人的同意所必需的最少量的个人信息可以被直接从该未成年处搜集,而无需其法定代理人的同意。
(6)其他未在第(1)至(5)款中提供的事项,如果对于确定从资料主体获得同意和第(5)款所说的最少量信息的详细的方法是必需的,应当由总统法令说明并考虑到个人信息的搜集媒介。
第二节 处理个人信息的限制
第23条 处理敏感资料的限制
个人信息处理者不得处理包括思想意识、信仰、工会或政党的加入/退出、政治理念、健康状况、性生活、及其他如总统法令中所说的可能对资料主体的隐私造成侵害的个人信息(以下称为“敏感资料”);然而,如果有下述情形之一,则不适用:
1.当个人信息处理者告知资料主体第15条第(2)款或第17条(2)款,并且获得资料主体处理其他个人信息以外的同意;或
2.当法律法规要求或允许处理敏感资料时。
第24条 处理唯一标识符的限制
(1)除了下述情况外,总统法令要求个人信息处理者不得处理分配的标识符来根据法律法规识别个人(以下称为“唯一标识符”):
1.个人信息处理者告知资料主体第15条第(2)款或第17条第(2)款,并且获得资料主体处理其他个人信息以外的同意。
2.法律法规有具体的条文要求或允许处理。
(2)满足总统法令指定标准的个人信息处理者,当资料主体打算通过个人信息处理者的互联网主页获得其会员资格时,应当提供一种不使用居民登记号来收录成员的替代方法。
(3)总统法令要求,当个人信息处理者根据第(1)款处理唯一标识符时,个人信息处理者应当采取必要的包括加密在内的措施来确保安全,以免该唯一标识符丢失、被盗、泄露、被更改或被损害。
(4)公共管理和安全部长可以准备多种措施,如立法安排、政策制定、必要的设施和系统的建立,来支持第(2)款所说的提供的方法。
第25条 安装和操作可视化资料处理设备的限制
(1)除了下述情形外,任何人不得在公共地点安装和操作可视化资料处理设备:
1.法律法规有具体的条文给出允许;
2.预防和调查犯罪所需;
3.为了设施安全和防火所需;
4.为了监管交通所需;
5.为了搜集、分析和提供交通信息所需。
(2)任何人不得安装和操作可视化资料处理设备来监控可能明显地威胁到个人隐私的地方,如向公众开放的浴室、厕所、汗蒸室和更衣室;然而,对于总统法令要求的按照法律法规用来拘留或保护人的设施,如监狱和心理健康中心,则不适用。
(3)总统法令要求的打算根据第(1)款来安装和操作可视化资料处理设备的公共机构的负责人,和打算根据第(2)款来安装和操作可视化资料处理设备的人,应当通过公开听证会、信息会议等形式来收集相关专家和利益相关者的意见。
(4)总统法令要求的打算根据第(1)款来安装和操作可视化资料处理设备的人(以下称为“可视化资料处理者”)应当采取必要的措施,包括在布告板张贴,以便资料主体可以轻易意识到它;然而,总统法令列举的设施不适用。
(5)可视化资料处理者不得为了最初目的之外的目的而任意地操作可视化资料处理设备,不得将该设备对准其他地点,也不得适用录音功能。
(6)可视化资料处理者应当根据第29条采取必要的措施来确保安全,以免该个人信息丢失、被盗、泄露、被更改或被损害。
(7)总统法令要求的可视化资料处理者应当设立合适的政策来操作和管理可视化资料处理设备。在这种情况下,它可能根据第30条的隐私政策被免职。
(8)可视化资料处理者可以外包可视化资料处理设备的安装和操作;然而,考虑外包的公共机构应当遵守总统法令给出的程序和要求。
第26条 委托工作后处理个人信息的限制
(1)在将个人信息处理工作委托给第三方时,个人信息处理者应当细查下述纸质形式:
1.防止为了超出委任目标的目的而处理个人信息;
2.个人信息的技术上和管理上的保护;以及
3.其他总统法令要求的个人信息安全管理的事项。
(2)根据第(1)款将个人信息处理工作委任给第三方的个人信息处理者(以下称为“委托人”)应当披露委任的内容和执行委任的个人信息处理的人(以下称为“受托人”),使资料主体可以在任何时候按照总统法令要求的方式轻易认识到这一点。
(3)在委任与公共相关的商品和服务或招揽生意时,委托人应当按照总统法令要求的方式,通知资料主体其委任的工作和委托人。上述同样适用于委任工作或受托人发生变更的情形。
(4)委托人应当教育受托人以免资料主体的个人信息因委托工作而丢失、被盗、泄露、被更改或被损害,并按照总统法令的要求,通过视察委任的处理工作等手段,来监督受托人是如何用安全的方式来处理该个人信息的。
(5)受托人不能超出个人信息处理者委任的工作范围而使用个人信息,或将个人信息提供给第三方。
(6)涉及受托人对委任处理的个人信息的处理违反了本法案造成的损失的赔偿时,受托人应当被视为个人信息处理者的雇员。
(7)第15条至25条、第27条至31条、第33条至38条以及第59条应当比照适用于受托人。
第27条 业务转让等事宜后对个人信息转让的限制
(1)在因业务全部或部分转让、合并等原因而需转让个人信息时,个人信息处理者应当按照总统法令要求的方式,事先向相关的资料主体通知下述细节:
1.个人信息将被转让;
2.个人信息接收者(以下称为“商业受让人”)的名字(如果是法人的话,指的是公司名字)、地址、电话号码和其他联系方式;并按照总统法令要求的方式通知资料主体;然而,在个人信息处理者已经按照第(1)款的要求通知了资料主体转让的相关事实时,则不适用。
3.资料主体不希望他/她的个人信息被转让的情况下,撤销同意的方式和程序。
(2)收到个人信息后,商业受让人应当按照前述第(1)款的要求毫不迟疑地向信息处理者通知信息主体已经转让的事实。
(3)在因业务转让、合并等原因而收到个人信息时,商业受让人可以使用或将其提供给第三方,但仅限于为了转让前的最初目的。在这种情况下,商业受让人应当被视为个人信息处理者。
第28条 对个人信息处理人的监管
(1)在处理个人信息时,个人信息处理者应当对在个人信息处理者的命令和监督下处理个人信息的人,如职员或雇员、派遣人员、兼职人员等(以下称为“个人信息处理人”),采取合适的控制和监管,以此来管理个人信息。
(2)个人信息处理者应当定期向个人信息处理人提供必要的教育项目来确保个人信息得到恰当的处理。
第四章 个人信息的保护
第29条 保护责任
个人信息处理者应当采用总统法令要求的、对确保安全有必要的技术上、管理上和物理上的措施,如内部管理计划和保存登录纪录等,以免个人信息丢失、被盗、泄露、被更改或被损害。
第30条 隐私政策的设立和披露
(1)个人信息处理者应当设立包涵下述细节的个人信息处理政策(以下称为“隐私政策”)。在这种情况下,公共机构应当将该隐私政策应用于根据第32条将被注册的个人信息档案:
1.个人信息处理的目的;
2.处理和保留个人信息的期限;
3.个人信息对第三方的提供(如果适用的话);
4.个人信息处理的委任(如果适用的话);
5.资料主体的权利和义务和如何行使权利;以及
6.其他总统指令中要求的个人信息处理的相关事项。
(2)在设立或修改隐私政策时,个人信息处理者应当披露其内容,使资料主体可以按照总统法令要求的方式轻易认识到它。
(3)如果隐私政策与个人信息处理者和资料主体之间签订并执行的合同不一致,适用有利于资料主体的内容。
(4)公共管理和安全部长可以准备隐私政策指引并鼓励个人信息处理者遵守该指引。
第31条 隐私负责职员的委任
(1)个人信息处理者应当委任一位全权负责个人信息处理的隐私负责职员。
(2)隐私负责职员应当执行以下工作:
1.设立和实施资料保护计划;
2.对个人信息处理的实际状态和实践定期调查,并改善不足之处;
3.处理个人信息处理者相关的抱怨和补救赔偿;
4.设立内部控制系统以防止个人信息的泄露、滥用和误用;
5.准备和实施资料保护教育项目;
6.保护、控制和管理个人信息档案;以及
7.其他总统法令要求的恰当处理个人信息所需的工作。
(3)在执行第(2)款的各项工作时,如果需要的话,隐私负责职员可以经常检查个人信息的状态和系统,并向相关人员要求报告。
(4)当他/她得知任何与资料保护相关的违反了本法案或其他法律法规的行为时,隐私负责职员应当立即采取纠正措施,如果需要的话,还应当向该机构或相关组织的负责人报告所采取的纠正措施。
(5)个人信息处理者不得在没有合理根据的情况下,要求隐私负责职员在执行第(2)款的各项工作时犯错。
(6)对被委任的隐私负责职员、资料保护工作、资格和其他必要事项的要求,由总统法令说明。
第32条 个人信息档案的注册和披露
(1)操作个人信息档案的公共机构的负责人应当向公共管理和安全部长注册下述信息。当注册的事项被更改时同样适用:
1.个人信息档案的名称;
2.操作个人信息档案的理由和目的;
3.记录在个人信息档案中的个人信息的细节;
4.处理个人信息的方法;
5.保留个人信息的期限;
6.被惯例地或重复地提供个人信息的接收者;以及
7.其他总统法令要求的事项。
(2)对下述任何的个人信息档案,第(1)款不适用:
1.记录了国家安全、外交秘密和其他涉及重大国家利益的事项的个人信息档案;
2.记录了犯罪调查、控告、起诉、刑罚、照顾和监护的强制执行、纠正令、保护令、安全观察令和移民入境的个人信息档案;
3.记录了根据惩罚税收犯罪法和海关法案认定的违法活动的个人信息档案;
4.只能被用来评价公共机构的内部工作表现的个人信息档案;
5.根据其他法律法规被分类为秘密的个人信息档案。
(3)如果必要的话,公共管理和安全部长可以检阅第(1)款所说的个人信息档案的注册及其内容,并建议相关公共机构的负责人对档案进行改进。
(4)公共管理和安全部长应当公开第(1)款所说的注册的个人信息档案的当前状态,使任何人都可以轻易查取它们。
(5)关于第(1)款所说的注册的必要事项,第(4)款所说的公开披露的方式、范围和程序,应由总统法令说明。
(6)由国民议会、法院、宪法法院和国家选举委员会(包括其附属机构)保留的个人信息档案的注册和公开披露,应当根据国民议会、法院、宪法法院和国家选举委员会的相关条例。
第33条 隐私影响评估
(1)在可能因根据总统法令制定的标准对个人信息档案的操作而侵害资料主体的个人信息的情况下,公共机构的负责人应当进行评估以分析和改善风险因素(以下称为“隐私影响评估”),并将结果提交给公共管理和安全部长。在这种情况下,公共机构的负责人应当向公共管理和安全部长委任的机构(以下称为“隐私影响评估机构”)要求隐私影响评估。
(2)隐私影响评估应当包括以下事项:
1.被处理的个人信息的编号;
2.个人信息是否被提供给了第三方;
3.侵害资料主体的权利的可能性和风险程度;以及
4.其他总统法令说明的事项。
(3)公共管理和安全部长可以在收到第(1)款所说的隐私影响评估结果后,根据委员会的审查和决议来提供意见。
(4)公共机构的负责人应当根据第32条第(1)款注册按照第(1)款进行了隐私影响评估、并附上了隐私影响评估结果的个人信息档案。
(5)公共管理和安全部长应当设定必要的措施,如培养相关专家、发展和传播隐私影响评估的标准,来鼓励隐私影响评估。
(6)隐私影响评估相关的必要事项,如根据第(1)款来指定和撤销指定隐私影响评估机构的标准、评估的标准、方法、过程等,由总统法令说明。
(7)国民议会、法院、宪法法院和国家选举委员会(包括其附属机构)做的隐私影响评估应当遵循它们提供的相关规则。
(8)如果在操作个人信息档案时对资料主体的个人信息造成侵害的可能性高,非公共机构的个人信息处理者应当努力积极地进行隐私影响评估。
第34条 数据泄露的通知等
(1)在知道个人信息泄露后,个人信息处理者应当立即通知受害的资料主体下列内容:
1.泄露了何种个人信息;
2.个人信息何时、如何泄露的;
3.资料主体可以做的任何减少因个人信息泄露造成的可能损失的信息;
4.个人信息处理者的对策和补救程序;以及
5.个人信息处理者的援助站和资料主体向其报告损失的联系方式。
(2)个人信息处理者应当准备对策并采取必要措施来减少个人信息泄露造成的损失。
(3)当发生高于总统指令设定标准的大量资料泄露时,个人信息处理者应当立即向公共管理和安全部长和总统指令中说明的专门机构报告第(1)款所说的通知和第(2)款所说的措施的结果。在这种情况下,公共管理和安全部长和总统指令中说明的专门机构可以提供技术协助来预防和补偿进一步的损失等。
(4)关于第(1)款的资料泄露通知的时间、方式和程序的必要事项,应当由总统指令说明。
第五章 资料主体的权利保障
第35条 个人信息的查取
(1)资料主体可以向相关的个人信息处理者要求查取他/她自己的、由该个人信息处理者处理的个人信息。
(2)第(1)款之外,当资料主体想向公共机构要求查取他/她自己的个人信息时,可以直接向该机构要求,或者根据总统指令通过公共管理和安全部长间接要求。
(3)在根据第(1)款和第(2)款被要求查取时,个人信息处理者应当允许资料主体在总统指令指明的期限内查取相关的个人信息。在这种情况下,如果有任何合理的原因而不能允许在该期限内查取,个人信息处理者可以在通知相关的资料主体该原因后推迟其查取。如果该原因消失,推迟应当立即解除。
(4)当有下述任何情况时,个人信息处理者可以在通知资料主体原因后,限制或推迟查取:
1.法律禁止或限制查取;
2.查取可能对他人的生命或身体造成损害,或不当地侵害他人的财产和其他利益;或
3.公共机构进行下列事务时有严重困难。
a.课税、收税、或退税;
b.根据中小学教育法案和高等教育法案设立的学校、根据终身教育法设立的终身教育设施、根据其他法律设立的高等教育机构的学术成果评估或录取事务;
c.关于学术能力、技术能力和雇佣的测试和资格考试;
d.关于赔偿或资助评估的正在进行中的评价或决策;
e.根据其他法律正在进行中的审计或检查。
(5)与根据第(1)款至第(4)款要求查取的方式和程序、查取的限制、通知等相关的必要事项应当由总统法令说明。
第36条 个人信息的纠正或删除
(1)根据第35条可以查取他/她自己的个人信息的资料主体可以向个人信息处理者要求纠正或删除该个人信息;然而,当其他法律法规要求搜集上述个人信息时,不允许删除。
(2)在收到资料主体根据第(1)款提出的要求时,个人信息处理者应当立即调查讨论中的个人信息,并采取必要措施来按照资料主体的要求纠正或删除,除非其他法律法规对纠正或删除有特别要求。个人信息处理者应当将处理结果通知相关资料主体。
(3)在按照第(2)款删除个人信息的情形,个人信息处理者应当采取措施防止恢复。
(4)当第(1)款的但书适用于资料主体的要求时,个人信息处理者应当立即将但书内容通知相关资料主体。
(5)当根据第(2)款调查个人信息时,个人信息处理者可以在必要时要求相关资料主体提供确认纠正和删除个人信息所需的证据。
(6)根据第(1)、(2)、(4)款要求纠正和删除、通知的方式和程序等相关事项,应当由总统法令说明。
第37条 个人信息处理的停止
(1)资料主体可以要求个人信息处理者停止对他/她自己的个人信息的处理。在这种情况下,如果个人信息处理者是公共机构,只有包含在根据第32条注册的个人信息档案内的个人信息可以被要求停止处理。
(2)在收到根据段(1)提出的要求时,个人信息处理者应当立即按照资料主体的要求,全部或部分停止处理该个人信息;然而,当有下述情形时,个人信息处理者可以拒绝该资料主体的要求:
1.法律有特别规定,或是遵守法律法规的义务而不可避免的;
2.可能对他人的生命或身体造成损害或不当地侵害他人的财产和其他利益;
3.如果不处理该个人信息,公共机构将无法执行其他法律要求的工作;
4.尽管难以在不处理讨论中的个人信息时执行该资料主体签订的合同,如服务条款,但资料主体未能明确表示终止合同。
(3)根据第(2)款的但书拒绝要求时,个人信息处理者应当立即将原因通知资料主体。
(4)在应资料主体的要求停止个人信息处理时,个人信息处理者应当立即采取必要措施,包括消灭相关的个人信息。
(5)根据第(1)至(3)款的要求的方式和程序,拒绝停止处理、通知等相关事项应当由总统指令提供。
第38条 行使权利的方式和程序
(1)资料主体可以以书面形式或其他总统法令中说明的方式和程序,委托他/她的律师根据第35条的查取、根据第36条的纠正和删除、根据第37条的要求停止处理(以下称为“查取要求”)。
(2)不满14岁的未成年人的法定代理人可以代替未成年人向个人信息处理者提出查取要求。
(3)根据总统指令,个人信息处理者可以向提出查取要求的人收取费用和邮资(仅限于要求邮寄复印件的情况)。
(4)个人信息处理者应当准备详细的方式和程序以使资料主体可以提出查取要求,并将其公开。
(5)个人信息处理者应当准备并指引必要的程序,使资料主体可以对其拒绝查取要求提出反对。
第39条 损害赔偿责任
(1)任何由于个人信息处理者违反本法案而遭受损失的资料主体可以向个人信息处理者提出损害赔偿。在这种情况下,如果个人信息处理者无法证明它没有不法意图或疏忽,其损害赔偿责任不得被免除。
(2)只有在证明遵守了本法案,并在合理注意和监管上不存在过失时,造成个人信息的丢失、被盗、泄露、更改或损害的个人信息处理者的损害赔偿责任才可能被减少。
第六章 个人信息争议调解委员会
第40条 委员会的设立和构成
(1)个人信息争议调解委员会(以下称为“争议调解委员会”)成立的目的应当是调解任何关于个人信息的争议。
(2)争议调解委员会应当由不超过20位成员组成,包括一位主席,一位常务委员。
(3)委员会成员应当由公共管理和安全部长从下列人中委任:
1.负责资料保护的中央行政部门或机构的高级政府官员学院内的政府官员,或正在或曾经在公共部门和相关组织的同等职位工作的人,以及有资料保护的工作经验;
2.正在或曾经在大学或其他公众认可的研究机构内作为助理教授或更高职务服务过;
3.正在或曾经做过法官、公诉人或律师;
4.资料保护相关的民间组织或消费者群体推荐的人;
5.正在或曾经在由个人信息处理者组成的行业协会内做过高级管理人员。
(4)主席应当由公共管理和安全部长从非政府官员的委员中任命。
(5)主席和委员的任期应当为两年,最多只能连任一次;然而,根据第(3)款第1项任命的,同时为政府官员的委员应当在他/她有公职期间保留委员身份。
(6)为了有效地解决争议,在处理总统法令所说的调解案件时,争议调解委员会可以在必要的时候为案件的各部分设立由不多于五名的委员组成的小组。在这种情况下,争议调解委员会的小组决议应当按照争议调解委员会做出的来解释。
(7)争议调解委员会或设立的小组应当在有一半以上成员出席时召开,决议应当有出席成员的过半数赞成票。
(8)根据总统法令,公共管理和安全部长可以委任一个特定机构运作秘书处来支持争议调解委员会的工作。
(9)运行争议调解委员会所必需的事项,如果未在本法案中提到,则由总统法案说明。
第41条 会员资格的保证
委员会成员不得被开除或违背意愿地解除委任,除非他/她被判处停止资格或更重的刑罚,或是因精神或身体原因无法完成他/她的职责。
第42条 成员的排除、质疑和回避
(1)如果有以下情形,委员会成员不得参加请求争议调解的案件(以下在本条内称为“案件”)的审查和决议:
1.委员会成员、他/她的配偶、他/她的前任配偶是案件的一方当事人、共同权利人或共同责任人;
2.委员会成员与案件的当事人有或曾有亲属关系;
3.委员会成员做了关于案件的证词、专家意见或法律建议;
4.委员会成员作为当事人的代理人或代表参与了或曾参与了案件。
(2)如果当事人认为他/她难以期待从委员会成员处获得公正的审查和决议,可以向主席提交质疑申请。在这种情况下,主席应在争议调解委员会没有作出决议的情况下,决定质疑申请的结果。
(3)当委员会成员符合第(1)或(2)款的情形时,可以回避案件的审查和决议。
第43条 争议调解的申请等
(1)任何想要调解关于个人信息的争议的人,可以向争议调解委员会申请调解。
(2)在收到案件当事人的争议调解申请时,争议调解委员会应当告知另一方当事人该调解申请。
(3)当公共机构被告知了根据第(2)款的争议调解通知时,除在特定情况下被免除义务外,应当对其回复。
第44条 调解过程的时间限制
(1)争议调解委员会应当在收到根据第43条第(1)款的申请的60天内调查案件并起草调停;然而,在无可避免的情况下,争议调解委员会可以决定延长该期限。
(2)当由于第(1)款但书的原因延长期限时,争议调解委员会应当将延长期限的原因和其他与延长期限相关的事项告知申请者。
第45条 要求材料等
(1)在收到根据第43条第(1)款的争议调解申请时,争议调解委员会可以要求涉及争议的当事人提供调解争议所需的材料。在这种情况下,除有正当原因外,相关当事人应当遵从要求。
(2)争议调解委员会可以在必要时让涉及争议的当事人或有关证人面见委员会,以听取他们的意见。
第46条 调解前的和解建议
在收到根据第43条第(1)款的争议调解申请后,争议调解委员会可以呈上和解草案并推荐在调解前进行和解。
第47条 争议调解
(1)争议调解委员会可以在准备的调解草案中包括下列内容:
1.将被调查的侵害活动的停止;
2.恢复性赔偿,损害性赔偿和其他必要的赔偿;或
3.任何防止再次发生同样或相似侵害的必要措施。
(2)在根据第(1)款准备调解草案后,争议调解委员会应当立即将该调解草案呈给各方当事人。
(3)收到根据第(1)款的调解草案的当事人应当在收到该调解草案的15天内,通知争议调解委员会他/她接受或拒绝调解草案,否则该调解草案视为被拒绝。
(4)如果当事人接受了调解草案,争议调解委员会应当及时准备调解书,并且主席和当事人应当在上签名和盖章。
(5)根据第(4)款同意的调解应当与在法庭的和解具有同样效力。
第48条 拒绝和停止调解
(1)在认为争议的性质不适合调解或争议调解的申请是出于不公平的目的时,争议调解委员会可以拒绝调解。在这种情况下,应当通知申请人拒绝调解的原因。
(2)如果一方当事人在调查调解案件的期间提起诉讼,争议调解委员会应当停止争议调解并通知当事人。
第49条 集体争议调解
(1)在大量的资料主体遭受损失或权利被侵害的事件发生,或是发生了总统法令中说明的相似模式的侵害事件时,国家和地方政府、资料保护组织和机构、资料主体和个人信息处理者可以向争议调解委员会要求或申请综合的争议调解(以下称为“集体争议调解”)。
(2)在收到根据第(1)款的集体争议调解的要求或申请时,争议调解委员会可以根据第(3)至(7)款的程序来开始决议。在这种情况下,争议调解委员会应当按照总统法令要求的期限,发出开始程序的告示。
(3)争议调解委员会可以接受集体争议调解当事人之外的资料主体或个人信息处理者加入成为争议调解当事人的申请。
(4)争议调解委员会可以通过决议选出根据第(1)至(3)款最适合代表集体争议调解当事人的共同利益的一人或多人作为当事人代表。
(5)当个人信息处理者接受争议调解委员会做出的集体争议调解的裁决时,争议调解委员会可以建议个人信息处理者准备和提交对遭受了同样事件的非当事人的资料主体的赔偿计划。
(6)尽管有第48条第(2)款,如果集体争议调解的大量资料主体当事人中的一部分资料主体向法庭提起诉讼,争议调解委员会不得停止程序,但应将相关的提起诉讼的资料主体从程序中排除。
(7)集体争议调解的期限应当在自第(2)款的通知到期的第二天的60天内;然而,在无可避免的情况下,争议调解委员会可以决定延长该期限。
(8)其他必要事项,如集体争议调解程序等,应由总统法令说明。
第50条 调解程序等
(1)除了第43条至第49条的条款外,关于调解争议的方式、程序、该争议的交涉等的必要事项应由总统法令说明。
(2)民事调解法案应当比照适用于与争议调解委员会的运作和争议调解程序相关的但本法案中没有提及的事项。
第七章 资料保护集体诉讼
第51条 集体诉讼的主体等
如果个人信息处理者拒绝或不接受根据第49条的集体争议调解,适用下列事项的任何组织可以向法庭提起诉讼要求预防或停止侵害(以下称为“集体诉讼”):
1.根据消费者体系法第29条在韩国公平交易委员会登记过、并完全符合下列事项的组织:
a.章程中说设立目的是不断加强资料主体的权利和利益的组织;
b.满员人数不得超过一千;以及
c.根据消费者体系法第29条的注册已经过了三年。
2.根据非盈利私人组织支持法案第2条、并完全符合下列事项的非营利组织:
a.超过一百名经历了法律上或事实上同样的损害的资料主体提出了提起集体诉讼的要求;
b.章程中说设立目的是资料保护,并在过去三年里进行了这类活动的组织;
c.正式会员超过五千人;以及
d.组织已在中央行政部门或机构注册。
第52条 专有司法管辖权
(1)集体诉讼应当限于在营业或主要办事处地点的适格的区域法院(法官小组),或是在被告没有商业地点时企业负责人的地址的专有司法管辖权。
(2)当第(1)款对外国企业实体适用时,同样应该由营业地点、主要办事处、或位于韩国的企业负责人的地址来决定。
第53条 律师的保留
集体诉讼的原告应当保留一名律师作为诉讼律师。
第54条 诉讼许可的申请
(1)打算提起集体诉讼的组织应当提交诉讼许可的申请,其中包括下述内容和请愿书:
1.原告和其诉讼律师;
2.被告;以及
3.资格主体的权利受到的具体侵害。
(2)下述材料应该被附在第(1)款的诉讼许可的申请中:
1.证明提起诉讼的组织符合第51条的资格的证据性材料;以及
2.证明个人信息处理者拒绝争议调解或不接受调解结果的证据性文件。
第55条 诉讼许可的要求等
(1)只有当下述所有要求都满足时,法庭应当用决定书许可集体诉讼:
1.个人信息处理者拒绝争议调解委员会的争议调解或不接受调解结果;以及
2.根据第54条的诉讼许可申请中的描述不存在问题。
(2)法庭许可或不许可刑事诉讼的决定可能被立即的上诉推翻。
第56条 最终判决的效力
当驳回原告起诉的决定是最终的时,其他第51条所说的组织不能对同一案件提起集体诉讼;然而,在有下列情形时不适用:
1.在决定为最终的时,国家、当地政府、或国家或当地政府投资的机构发现了该案件的新证据;或
2.驳回起诉的决定被证明是原告故意造成的。
第57条 民事程序法案的适用等
(1)在本法案没有给出关于集体诉讼的具体条款时,适用民事程序法案。
(2)在作出第55条的许可集体诉讼的决定时,可以根据民事强行执行法案第四部分作出保全令。
(3)程序需要的事项由最高法院的规则说明。
第八章 补充条款
第58条 申请的部分排除
(1)第三至七章对下述的个人信息不适用:
1.公共机构处理的个人信息中根据统计法案搜集的个人信息;
2.搜集或被要求提供以分析国家安全相关信息的个人信息;
3.为了公共安全、福利、公共健康等的紧迫需要而被暂时处理的个人信息;或
4.为了报刊报道的目的、宗教组织的传教活动、政党候选人的提名而分别搜集和使用的个人信息。
(2)第15,22,27(1)、(2),34,37条不适用于由根据第25条第(1)款在公共地点安装和操作的可视化资料处理设备处理的个人信息。
(3)第15、30、31条不适用于个人信息处理者处理的用以运作友谊团体或协会如校友组织和爱好俱乐部的个人信息。
(4)在根据第(1)款处理个人信息时,要求个人信息处理者在最短的期限内,处理尽量少的必要的个人信息来达到预期的目的。同时,个人信息处理者应当采取必要的安排,如对个人申诉的处理,在技术上、管理上和物理上的保护,和其他的对个人信息的安全维持和恰当处理必要的措施。
第59条 禁止的活动
处理或曾处理个人信息的人不得做下列事情:
1.以欺骗的、不恰当的或不公平的方法获得个人信息或获取处理个人信息的许可。
2.泄露在业务过程中获得的个人信息,或未经允许将其提供给他人;或
3.无法律允许或超出正当权限而损害、摧毁、更改、伪造或泄露他人的个人信息。
第60条 保密等
参加或曾参加下列工作的人不得对任何人泄露在履行他/她的职责时获取的秘密,或将该秘密用于初始目的之外的目的;然而,在其他法案中有特别条款时,前款不适用:
1.第8条的个人信息保护委员会的工作;
2.第33条隐私影响评估的工作;以及
3.第40条的争议调解委员会的争议调解工作。
第61条 改进的建议和意见
(1)涉及包含可能影响数据保护的条款的法律法规时,公共管理和安全部长可以在认为必要时向受委员会的审查和决议约束的机构提供意见。
(2)公共管理和安全部长可以在认为对资料保护有必要时,建议个人信息处理者改进个人信息处理的实际状态。在这种情况下,个人信息处理者应当在收到建议后采取真诚的努力来履行建议,并将结果告知公共管理和安全部长。
(3)相关的中央行政部门或机构的负责人可以在认为对资料保护有必要时,根据其司法管辖权内的法律,建议个人信息处理者改进个人信息处理的实际状态。在这种情况下,个人信息处理者应当在收到建议后采取真诚的努力来履行建议,并将结果告知相关的中央行政部门或机构的负责人。
(4)中央行政部门或机构的负责人、当地政府、国民议会、法院、宪法法院和国家选举委员会可以向其下属机构或司法管辖权内的公共机构提供涉及资料保护的建议、指引或检查。
第62条 违法的报告等
(1)在个人信息处理者进行的个人信息处理过程中遭受了个人信息的权利或利益的侵害的人可以向公共管理和安全部长报告该侵害。
(2)根据总统指令,公共管理和安全部长可以委任某个特定机构来有效率地进行接受和处理第(1)款的索赔报告的工作。在这种情况下,该特定机构应当设立和运行一个个人信息损害呼叫中心(以下称为“DP呼叫中心”)。
(3)DP呼叫中心应当履行下列职责:
1.接受个人信息处理相关的索赔报告和建议;
2.调查和确认事件并听取利益相关当事人的意见;以及
3.第1项和第2项附带的工作。
(4)公共管理和安全部长可以在必要时,根据国家公务员法案第32-4条向第(1)款的特定机构派遣其公职人员,以便有效率地履行调查和确认根据第(3)款第2项的事件的职责。
第63条 材料的要求和检查
(1)当下列情形适用时,公共管理和安全部长可以要求个人信息处理者提供相关材料,如商品、文件等:
1.发现或怀疑有违反本法案的行为;
2.收到本法案被违反的报告或民事投诉;
3.总统指令中说有必要对资料主体的资料保护。
(2)个人信息处理者未能提供第(1)款的资料,或被认定违反了本法案时,公共管理和安全部长可以让其公职人员进入该个人信息处理者的办公室或营业场所视察目前的业务操作并检查账本和账目或其他文件等。在这种情况下,进行视察或检查的公职人员应当携带证明他们授权的证明,并将其显示给相关人员。
(3)相关的中央行政部门或机构的负责人可以要求个人信息处理者提供第(1)款的材料,或根据其司法管辖权下的法律进行第(2)款的视察或检查。
(4)除非本法案有其他要求,公共管理和安全部长和相关的中央行政部门或机构的负责人不得向第三方提供由个人信息处理者提供或从其处搜集的文件、材料等,也不能将它们公开。
(5)公共管理和安全部长和相关的中央行政部门或机构的负责人收到通过信息和交流网络提交的或数据化的材料时,他们应当采用系统的和技术的安全措施以免个人信息、商业秘密等被泄露。
第64条 纠正措施等
(1)在有可靠证据认定个人信息被损害、不去干涉可能造成不可弥补的伤害时,公共管理和安全部长可以命令本法案的违反者(不包括中央行政部门或机构、当地政府、国民议会、法院、宪法法院和国家选举委员会)采取下列相关措施中可适用的:
1.停止对个人信息的侵害;
2.暂时停止处理个人信息;或
3.其他保护或防止侵害个人信息的必要措施。
(2)在有可靠证据认定个人信息被损害、不去干涉可能造成不可弥补的伤害时,相关的中央行政部门或机构的负责人可以根据其司法管辖权内的法律,命令个人信息处理者采取第(1)款的可适用的相关措施。
(3)当地政府、国民议会、法院、宪法法院和国家选举委员会可以命令被发现违反了本法案的下属机构和司法管辖权内的公共机构采取第(1)款的可适用的相关措施。
(4)中央行政部门或机构、当地政府、国民议会、法院、宪法法院或国家选举委员会违反了本法案时,委员会可以建议相关机构的负责人采取第(1)款的可适用的相关措施。在这种情况下,收到建议的相关机构应当尊重它。
第65条 纪律处分的指控和推荐
(1)当对个人信息处理者违反了本法案或其他资料保护相关的法律法规而犯罪的怀疑被认定证据可靠时,公共管理和安全部长可以向可胜任的调查机构指控该事实。
(2)在有违反了本法案或其他资料保护相关的法律法规的可靠证据时,公共管理和安全部长可以建议相关机构或组织的负责人对责任人采取纪律处分。在这种情况下,收到建议的相关机构或组织的负责人应当尊重它,并将结果通知公共管理和安全部长。
(3)相关中央行政部门或机构的负责人可以根据其司法管辖权内的法律,根据第(1)款指控个人信息处理者或根据第(2)款对相关机构或组织的负责人采取纪律处分。在这种情况下,收到根据第(2)款的相关机构或组织的负责人应当尊重它并将结果通知中央行政部门或机构的负责人。
第66条 结果的披露
(1)公共管理和安全部长可以在符合委员会的审查和决议下分别披露根据第61条的改进建议、根据第64条的纠正令、根据第65条的指控或纪律处分建议和根据第75条的疏忽责任罚款及其结果。
(2)相关的中央行政部门或机构的负责人可以根据其司法管辖权内的法律披露第(1)款的事项。
(3)第(1)款和第(2)款披露的方式、标准和程序由总统法令说明。
第67条 年度报告
(1)委员会应当每年基于相关机构提供的必要材料准备与资料保护的政策措施和改进相关的报告,并在全体会议开会前提交(包括通过信息和交流网络传送)给国民议会。
(2)第(1)款的年度报告应当包括以下内容:
1.对资料主体权利的损害和补救的目前状态;
2.与个人信息处理的实际状况相关调查的结果;
3.资料保护政策措施和成就的目前状态;
4.与个人信息相关的海外立法和政策的发展;以及
5.其他与资料保护政策措施相关的应被披露或报告的事项。
第68条 权力的委托和授权
(1)按照总统法令,公共管理和安全部长或相关的中央行政部门或机构的负责人可以根据本法案将部分权力委托或授权给特定城市或首都的市长、省长或特别自治省的省长、或总统法令所说的特定机构。
(2)公共管理和安全部长或相关的中央行政部门或机构的负责人根据第(1)款将权力委托或授权的机构应当将被委托或授权的工作的结果通知公共管理和安全部长或相关的中央行政部门或机构的负责人。
(3)公共管理和安全部长可以在根据第(1)款将部分权力委托或授权给特定机构时,拨必要款项供相关特定机构履行职责。
第69条 适用刑罚条款中职员的法律拟制
在适用刑法第129条至第132条时,执行公共管理和安全部长或相关中央行政部门或机构的负责人委托的工作的相关机构的职员和雇员应当被视为公务员。
第九章 刑罚条款
第70条 刑罚条款
以干扰该机构的个人信息处理为目的,更改或删除该机构处理的个人信息造成公共机构的工作停止、瘫痪或其他严重阻碍的人应当被判处不超过10年的需要劳改的刑期,或不超过1亿韩元的罚款。
第71条 刑罚条款
适用下列情形的人应当被判处不超过5年的需要劳改的刑期,或不超过5千万韩元的罚款:
1.即便第17条(1)2款不适用时,违反了第17条(1)1款,未经资料主体的同意向第三方提供个人信息或明知而接受这种个人信息的人;
2.违反了第18条(1)和(2)款、第19条、第26条(5)款或第27条(3)款,使用、向第三方提供或明知而接受这种个人信息用来盈利或达到不公正的目的的人;
3.违反了第23条处理敏感信息的人;
4.违反了第24条第(1)款处理唯一标识符的人;
5.违反了第59条第2项,泄露、未经许可向其他人提供、或明知而接受在业务过程中获得的个人信息来盈利或达到不公正的目的的人;
6.违反了第59条第3项,侵害、消灭、更改、伪造或泄露个人信息的人。
第72条 刑罚条款
适用下列情形的人应当被判处不超过3年的需要劳改的刑期,或不超过3千万韩元的罚款:
1.违反第25条第(5)款,为了初始目的之外的目的在不同的地点任意操作可视化资料处理设备或使用录音功能的人;
2.违反了第59条第1项,以欺骗的、不恰当的或不公平的方法获得个人信息或获取处理个人信息的许可,或明知而接受这种个人信息用来盈利或达到不公正的目的的人。
3.违反第60条,对他人泄露在履行职责时获得的秘密,或将该秘密用于初始目的之外的目的的人。
第73条 刑罚条款
适用下列情形的人应当被判处不超过2年的需要劳改的刑期,或不超过1千万韩元的罚款:
1.违反了第24条第(3)款、第25条第(6)款或第29条,未能采取必要措施确保安全并造成个人信息丢失、被盗、泄露、更改或损害的人;
2.违反了第36条第(2)款,未能采取必要措施纠正或删除个人信息并持续地使用或将其提供给第三方的人;或
3.违反了第37条第(2)款,未能停止处理个人信息并持续地使用或将其提供给第三方的人。
第74条 共同刑罚条款
(1)如果公司代表、公司或个人的代理人、经理或其他员工在其业务中违反了第70条,行为人以及公司或个人应当被判处不超过7千万韩元的罚款;然而,如果该公司或个人在应有的注意和监督行为人不违反的职责上没有疏忽大意,则不适用。
(2)如果公司代表、公司或个人的代理人、经理或其他员工在其业务中违反了第71至73条,行为人以及公司或个人应当被判处相关条款中规定的罚款;然而,如果该公司或个人在应有的注意和监督行为人不违反的职责上没有疏忽大意,则不适用。
第75条 疏忽责任罚款
(1)适用下列情形的人应当被判处不超过5千万韩元的疏忽责任罚款:
1.违反第15条第(1)款,搜集个人信息的人;
2.违反第22条第(5)款,未能获得法定代理人同意的人;
3.违反第25条第(2)款,安装和操作可视化资料处理设备的人。
(2)适用下列情形的人应当被判处不超过3千万韩元的疏忽责任罚款:
1.违反第15条第(2)款、第17条第(2)款、第18条第(3)款、或第26条第(3)款,未能通知资料主体必要信息的人;
2.违反第16条第(2)款或第22条第(4)款,拒绝向资料主体提供商品或服务的人;
3.违反第20条第(1)款,未能通知资料主体该段中要求的事实的人;
4.违反第21条第(1)款,未能消灭个人信息的人;
5.违反第24条第(2)款,未能向资料主体提供使用居民登记号之外的方式的人;
6.违反第24条第(3)款、第25条第(6)款或第29条,未能采取必要措施确保安全的人;
7.违反第25条第(1)款,安装和操作可视化资料处理设备的人;
8.违反第34条第(1)款,未能通知资料主体该段中要求的事实的人;
9.违反第34条第(3)款,未能报告通知结果的人;
10.违反第35条第(3)款,限制或拒绝个人信息查取的人;
11.违反第36条第(2)款,未能采取必要措施纠正或删除的人;
12.违反第37条第(4)款,未能采取包括消灭被停止处理的个人信息的必要措施的人;或
13.违反第64条第(1)款,未能遵守纠正措施的人。
(3)适用下列情形的人应当被判处不超过1千万韩元的疏忽责任罚款:
1.违反第21条第(3)款,未能分别储存和操作个人信息的人;
2.违反第22条第(1)至(3)款而获得同意的人;
3.违反第25条第(4)款,未能采取包括布告板张贴的必要措施的人;
4.违反第26条第(1)款,未能在工作委托时细查该段所说的纸质形式的人;
5.违反第26条第(2)款,未能披露被委托的工作和受托人的人;
6.违反第27条第(1)和(2)款,未能通知资料主体个人信息传送的人;
7.违反第30条第(1)或(2)款,未能设立或披露个人信息处理政策的人;
8.违反第31条第(1)款,未能委任隐私负责职员的人;
9.违反第35条第(3)和(4)款、第36条第(2)和(4)款、或第37条第(3)款,未能向资料主体提供必要信息的人;
10.未能根据第63条第(1)款提供商品、文件等材料,或以欺骗的方式提交的人;或
11.根据第63条第(2)款拒绝、阻挠或避免进入、视察和检查的人。
(4)总统法令要求,根据第(1)款至第(3)款的疏忽责任罚款应当由公共管理和安全部长和相关中央行政部门或机构的负责人征集和收取。在这种情况下,相关中央行政部门或机构的负责人应当在其司法管辖区内征集和收取疏忽责任罚款。
附录
第1条 实施日期
本法案应当在公布六个月后实施;然而,第24条第(2)款和75条第(2)款应当在公布一年后实施。
第2条 其他法案的废止
公共机构维持个人信息安全保护法案应当被废止。
第3条 关于个人信息争议调解委员会的临时措施
实施之日起,根据现有法案如促进信息交流网络利用和资料保护法案等遵守或违反个人信息争议调解委员会的行为应当被认定由本法案来适用。
第4条 关于处理中的个人信息的临时措施
根据其他在本法案实施前的法律法规合法处理的个人信息应当被视为根据本法案处理。
第5条 关于刑罚条款适用的临时措施
(1)在本法案实施前,违反先前的公共机构维持个人信息安全保护法案的行为的刑罚条款适用应当由先前的公共机构维持个人信息安全保护法案管理。
(2)在本法案实施前,违反现有的促进信息交流网络利用和资料保护等法案等行为的刑罚条款适用应当由现有的促进信息交流网络利用和资料保护法案等管理。
第6条 对其他法案的修订
(1)韩战中牺牲士兵的尸体挖掘法案中部分修订如下:
在第14条(1)2款中,公共机构维持个人信息安全保护法案的第2条ii款应当为个人信息保护法案的第2条i款。
(2)公务员道德法案中部分修订如下:
在第6条第(6)款和第(9)款中,公共机构维持个人信息安全保护法案的第10条分别应当为个人信息保护法案的第18条。
(3)国家公务员法案中部分修订如下:
在第19-3条第(3)款中,公共机构维持个人信息安全保护法案的第2条第i款应当为个人信息保护法案的第2条第vi款,同一条中第(4)款的公共机构维持个人信息安全保护法案应当为个人信息保护法案。
(4)发明促进法案中部分修订如下:
在第10-2条第(1)款中,公共机构维持个人信息安全保护法案应当为个人信息保护法案。
(5)使用和保护信用信息法案中部分修订如下:
第23条(2)ii款应当为个人信息保护法案。
(6)儿童福利法案中部分修订如下:
在第9-2条第(3)款中,公共机构维持个人信息安全保护法案应当为个人信息保护法案。
(7)国家公务员法案中部分修订如下:
在第14条第(1)款的第二部分中,公共机构维持个人信息安全保护法案的第3条第(2)款应当为个人信息保护法案的第58条第(1)款;以及
在第49条的第二部分中,公共机构维持个人信息安全保护法案的第10条第(3)款应当为个人信息保护法案的第18条第(2)款。
(8)预防对残疾人的歧视及补救等法案中部分修订如下:
在第3条viiic款中的第二部分中,公共机构维持个人信息安全保护法案的第2条第ii款应当为个人信息保护法案的第2条第i款;以及
在第22条第(2)款中,公共机构维持个人信息安全保护法案应当为个人信息保护法案。
(9)电子签名法案中部分修订如下:
第24条第(2)款删除。
(10)电子政府法案中部分修订如下:
在第21条第(2)款中,公共机构维持个人信息安全保护法案的第2条第ii款应当为个人信息保护法案的第2条第i款;
在第39条第(4)款中,公共机构维持个人信息安全保护法案的第5条应当为个人信息保护法案的第32条,服从公共机构维持个人信息安全保护法案第20条第(1)款中公共机构资料保护审查委员会的审查应当为服从个人信息保护法案中第7条中个人信息保护委员会的审查和决议;以及
在第42条第(1)款中,公共机构维持个人信息安全保护法案的第2条第viii款应当为个人信息保护法案的第2条第iii款,公共机构维持个人信息安全保护法案的第10条第(3)i和第(5)款和应当为个人信息保护法案的第18条第(2)i款和第19条第i款。
(11)促进信息交流网络利用和资料等保护法案中部分修订如下:
第四章第四节(第33、33-2、34至40条)、第66条分段1、和第67条应分别被废止;
在第4条(1)和(3)款、第64-2条(3)款第二部分、第65条(1)款和第69条中,公共管理和安全部长、知识和经济部长、和广播和通信委员会应当分别为知识和经济部长和广播和通信委员会;以及
在除了第64条第(1)款、第64条第(3)款、第64条第(4)款第一部分、第64条第(5)款第一部分、第64条第(6)款、第64条第(9)款、第64条第(10)款、第64-2条第(1)款、第64 -2条第(2)款的条款中,以及除了第64-2条第(3)款、第65条第(3)款、第76条第(1)xii款、第76条第(4)至(6)款的条款的第一部分中,公共管理和安全部长和广播和通信委员会应当分别为广播和通信委员会。
(12)索赔的正当收取法案中部分修订如下:
在第2条v款中,公共机构维持个人信息安全保护法案的第2条ii款应当为个人信息保护法案的第2条i款。
(13)移民控制法案中部分修订如下:
在第12-2条第(6)款和第38条第(3)款中,公共机构维持个人信息安全保护法案应当分别为个人信息保护法案。
(14)韩国奖学金基金会等的设立法案中部分修订如下:
在第50条第(3)款中,公共机构维持个人信息安全保护法案应当为个人信息保护法案。
第7条 与其他法案和法规的关系
本法案实施之日前,在其他法案和法规引用先前的公共机构维持个人信息安全保护法案或其条款的情况下,如果本法案的任何条款可以适用的话,本法案或本法案的相应条款应当取代先前的条款而适用。
[1]Personal Information Protection Act。