韩国国会立法调查处发布审查意见称，LG U+的用户识别码（IMSI）设计及运营方式，可能涉嫌违反《个人信息保护法》。

据Kim Jang-gyeom议员办公室4月14日披露的《LG U+ IMSI相关个人信息保护法审查》报告，IMSI本身虽然难以直接识别特定个人，但一旦与运营商掌握的用户信息结合，识别个人的可能性将明显上升。报告指出，如果像LG U+这样在IMSI结构中纳入手机号信息，被认定为个人信息的可能性会更高。

IMSI主要用于移动通信网络接入过程中识别用户。报告称，LG U+自2011年起在分配IMSI时纳入客户手机号，这使得IMSI在识别能力上实质上接近电话号码。除通信运营商外，其他个人信息处理者也可能据此将其视为个人信息。

韩国个人信息保护委员会在回复Kim议员办公室的函件中表示，既有判例已承认终端识别码IMEI具备个人信息属性，该判例的适用逻辑同样可能延伸至IMSI。这一判断与LG U+此前“IMSI本身不属于个人信息”的说法存在差异。

审查意见还指出，LG U+的IMSI设计可能被认定为未充分履行《个人信息保护法》规定的安全保障义务。根据相关规定，个人信息处理者应采取必要措施，防止信息丢失、被盗或泄露。报告认为，LG U+现行IMSI结构在个人信息的安全存储和传输方面可能存在不足。若最终被认定违反安全保障义务，最高可处以3000万韩元罚款。

与此同时，报告还对LG U+是否存在超范围使用个人信息提出质疑。报告指出，以电话号码生成IMSI的做法，可能被视为超出原始处理目的；尤其是在将携号转网用户的号码用于IMSI时，更可能引发相关争议。虽然运营商可以主张其仍属于提供通信服务的必要范围，但鉴于IMSI设计本身并不存在必须使用电话号码的技术必要性，这一做法也可能被解读为超出处理目的。

不过，立法调查处也表示，对于新入网用户而言，分配电话号码和IMSI的行为本身，更类似于运营商生成识别号码的过程，而不完全等同于从外部取得个人信息后的“收集”行为。因此，个人信息收集相关条款是否适用于该情形，仍需进一步审查。

另一方面，LG U+目前正面向全部用户推进SIM卡免费更换或更新措施，对现有IMSI进行随机化调整。立法调查处指出，LG U+自2025年6月起就已开始研究IMSI转换方案，这意味着公司可能早已意识到相关问题。

Kim议员表示，LG U+以“安全担忧”为由回避个人信息管理责任，而立法调查处和个人信息保护委员会均已确认存在个人信息侵害的可能性，“不应再继续辩解”。

对此，LG U+回应称，IMSI即便可被视为一般个人信息，也未发生对外泄露或暴露，因此难以认定存在违反《个人信息保护法》的情形。公司还表示，即便相关信息发生暴露，只要加密认证密钥（KI）未泄露，就不存在克隆手机等风险，因此也不构成违反安全保障义务。