韩国政府将从今年下半年起，对主要公共系统和大规模处理个人信息的高风险系统实施定期检查，覆盖范围约1700个。对提前加大个人信息保护投入的企业和机构，监管部门也将提供减罚等实质性激励。

韩国个人信息保护委员会12日在总统主持召开的国务会议上，汇报了上述以“事前预防”为核心的个人信息治理体系改革方案。

在执法方面，针对重复违法或严重违反《个人信息保护法》的行为，监管部门拟将罚款上限提高至最高相当于营收的10%，以提升制裁的实际约束力。

与此同时，罚款计算方式也将调整。现行以“过去三年平均营收”为基准的做法，拟改为在“上一年度营收”和“过去三年平均营收”之间取较高值作为适用标准。

为加快调查和处分流程，韩国还计划引入强制执行金制度，加大对隐匿证据等行为的处罚力度，并研究建立举报奖励机制。对于小微企业的轻微违法行为，监管将优先给予整改和防止再犯的改正机会；若违法行为反复发生，则将从严处理。

监管部门还提出，要推动企业从形式合规转向实质性提升，鼓励企业主动扩大个人信息保护投入、强化责任经营。后续将综合评估企业是否采取高于法定要求的前置保护措施、是否持续增加安全投入，以及安全管理体系是否有效运行，并据此给予包括减轻罚款在内的激励措施。围绕9月起实施的管理层个人信息保护责任制度，监管部门还将引导企业公开相关保护活动，推动企业自行提升防护能力。

个人信息保护委员会还将建立分级分类的检查管理体系，按风险程度实施差异化监管。委员会将对387个主要公共系统，以及教育、福利等高风险领域实施重点管理。

为提升企业和产业整体的个人信息保护竞争力，检查范围还将扩展至云服务商、专业受托处理机构、系统供应商等整个供应链。委员会表示，目前正对互助服务公司、客户呼叫中心等开展检查，并计划尽快完成相关工作，针对发现的薄弱环节提出整改建议。

委员会指出，随着个人信息处理环境日趋复杂，服务上线后，侵害风险往往更难及时识别和拦截，因此有必要在系统规划和设计阶段就前置纳入个人信息保护要求。

基于这一考虑，委员会拟推动相关制度安排，将PbD（Privacy by Design）即“设计阶段嵌入个人信息保护”的理念制度化，并计划把PbD原则纳入个人信息影响评估标准和ISMS-P认证标准。

委员会表示，今年2月开展的现状调查显示，公共部门在个人信息保护方面仍存在专门人力和预算不足的问题。下一步将与有关部门协作，扩大专职人员和预算投入，通过政企合作提升整体保护水平，同时推进个人信息保护专职人员待遇改善。

在救济和监管方面，委员会拟强化企业对整体举证责任的承担，推动法定损害赔偿制度落地；同时重点检查“暗黑模式”等误导或欺骗用户、导致用户难以更正信息、撤回同意或注销账号的行为，并强化个人信息侵害举报中心在专业咨询、合规辅导和受害处置支持等方面的功能。

一旦发生敏感信息泄露，监管部门将监测SNS等渠道是否存在非法传播行为，并开展相关内容的监测、发现和删除工作；同时与侦查机关协作，追踪非法散布者及相关使用者，并依法从严处罚。

韩国个人信息保护委员会委员长 Song Kyung-hee表示，个人信息一旦泄露，损害往往难以完全挽回，恢复过程也较为漫长。委员会今后不仅要强化事后追责，也将加快建立事前预防有效运转的治理体系，更安全地保护公众个人信息，营造值得信赖的个人信息使用环境。