韩国个人信息保护委员会29日在政府世宗办公区与行政安全部、保健福祉部、国民健康保险公团等主要公共机构召开座谈会,介绍“本人信息传输”适用范围扩大措施,并说明修订后施行令的主要内容。
委员会表示,为便于公众理解修订后施行令的核心内容和适用判断标准,正在同步修订相关指南。
此次修订的重点主要包括扩大“本人信息传输”请求的适用范围,明确适用对象及可请求传输的信息范围,并就信息传输方式中的事前协商事项作出具体规定。
在认定是否属于“本人信息传输”适用对象时,平均营收按境内外全部营收计算,信息主体数量则按全系统处理的信息主体总数统计。对于公共系统运营机构,认定范围不仅限于公共系统本身,还包括该机构管理的全部系统。
不过,考虑到各机构的实际情况,可优先在预计传输需求较高的系统中先行建立“本人信息传输”机制,并在个人信息处理方针中公布向其余系统逐步扩大的时间安排,再按计划推进落实。
可请求传输的信息范围包括:基于信息主体同意或合同关系收集的信息,以及依法收集的信息中,经委员会审议决定纳入范围的信息。此类信息应为通过信息处理设备处理、并非个人信息处理者另行生成的信息。修订后的施行令同时明确,将可能侵害他人权利或正当利益的信息,以及商业秘密、产业技术等内容,排除在“本人信息传输”请求范围之外。
此外,通过互联网主页向信息主体提供可即时阅览、查询并下载本人个人信息的功能,也可视为“本人信息传输”。如信息主体提出相关请求,机构可研究制定方案,逐步扩大可传输信息范围。
对于代理人使用自动化工具代为提出“本人信息传输”请求的情形,修订内容还明确列出了信息传输方与代理人需要事先协商的事项,包括传输范围、目的和方式,代理授权确认,代理人的保护措施和安全管理方案,以及代理责任等。
委员会表示,将对座谈会上收集的意见进行审查,必要时纳入指南修订稿,并计划于6月公布最终版指南,以推动相关制度平稳实施。
Chi-gyu Hwang
delight@d-today.co.kr