“把个人信息一味封存起来，并不能解决所有问题。现行制度要求，未经个人同意不得使用相关信息，结果却让同意程序越来越流于形式，同意本身的有效性也在下降。与其要求用户逐项点击同意，不如思考是否存在更具概括性、也更有效的同意方式。”

1月21日，韩国个人信息保护委员会委员长Song Kyung-hee在就任后的首次记者座谈会上表示，随着AI时代到来，个人信息保护方式必须随之调整。

她表示，韩国个人信息保护委员会将围绕AI转型（AX）推进“AI特例”制度，核心方向是推动个人信息在安全前提下得到合理利用。根据这一设想，为提升AI模型性能，在符合严格安全保障条件的情况下，可允许将高质量个人信息原始数据用于模型训练。

适用范围包括自动驾驶性能优化、反电信诈骗AI等符合公共利益和社会价值的场景。对于仅靠匿名化或假名化难以实现目的的情形，可在强化安全措施的基础上，经审议和表决后允许使用。

Song Kyung-hee表示，进入AI Agent时代，个人信息治理不可能只停留在“禁止使用”层面，关键在于如何确保安全使用。随着个人信息在收集、存储、利用之外的新型使用场景不断增加，现行制度设计也必须反映这些变化。

韩国个人信息保护委员会已将支持公共部门和民间部门推进AI转型，列为今年重点任务之一。Song Kyung-hee称，委员会将积极推进“假名信息一站式支持”等项目，帮助公共机构沉淀的高质量数据在安全完成假名化后实现利用；同时还将推动“非处置意见书”试点运营和“个人信息创新专区”等工作。

对于企业在推进AI业务过程中，因涉及个人信息而面临侵权风险或合规不确定性的情况，韩国个人信息保护委员会还计划研究通过“公共AX创新支持”服务窗口提供事前咨询。

Song Kyung-hee再次强调，个人信息治理体系需要从事后处置转向事前预防。她指出，电信运营商、流通平台等企业近年来接连发生大规模个人信息泄露事件，这些企业掌握海量个人信息，本应采取与其数据规模相匹配的高标准保护措施，但不少事故最终都暴露出基础管理、检查和内部控制不到位的问题。

她表示，这不仅是个别企业的管理问题，也反映出既有个人信息保护体系长期偏重事后应对的局限。在AI和自动化技术快速扩散的背景下，如果仍主要依赖事后调查和处罚，难以对公众形成充分保护，治理重点必须前移，在制度和设计阶段就尽量降低风险、避免事故发生。

不过，她同时明确，转向事前预防并不意味着削弱处罚力度。

目前，韩国个人信息保护委员会正推进针对重大、重复违法行为引入惩罚性罚款特例，最高可按企业全部营业收入的10%处以惩罚性罚款。Song Kyung-hee表示，这一安排并非单纯为了加重处罚，而是希望通过制度设计，让企业把个人信息保护视为经营活动的前提，而不是可有可无的选项。

她还表示，如果企业提前加大个人信息保护投入，并切实落实预防措施，委员会也将推动建立罚款减免等激励机制的法律依据，以提升事前预防型管理的制度合理性。

在企业责任体系方面，韩国个人信息保护委员会也在加快调整相关制度。Song Kyung-hee称，为推动企业层面的个人信息管理体系真正运转，相关改革将进一步明确CEO对个人信息保护承担最终责任，并扩大CPO权限，同时推进包括“CPO指定申报制”在内的修法工作。

她还表示，围绕信息泄露事故发生后如何让信息主体获得更充分的保护和救济，委员会也将同步研究完善受害者救济制度；对于需要通过修法推进的事项，将加快立法进程，推动以事前预防为核心的个人信息保护体系尽快落地。

在谈及近期涉及个人信息泄露、正在接受调查或已被处理的企业时，Song Kyung-hee也作出回应。

对于Coupang个人信息泄露事件，她表示，调查已推进到相当程度。初步掌握的情况显示，泄露规模超过3000万人，且存在违法要素，并涉及非会员信息，损害范围可能进一步扩大，目前相关事实仍在核实中。至于调查结果何时公布，她未作具体说明。

针对部分观点提出Coupang总部位于美国、此事可能引发通商层面争议，Song Kyung-hee表示，无论企业是境内还是境外经营主体，关键都在于是否违反《个人信息保护法》，委员会将依法严格审查并作出处置，不会考虑其他非法律因素。

此前，SK Telecom就USIM被黑事件中韩国个人信息保护委员会作出的1348亿韩元罚款决定提起行政诉讼。对此，Song Kyung-hee表示，外界所谓“企业并未获取不当利益，因此罚款过重”的说法难以成立，问题的核心在于企业是否应对信息主体所遭受的损害承担责任。