韩国个人信息保护委员会表示,为加强个人信息泄露事件的预防和应对,已拟定《个人信息保护法》施行令部分修订案,并于6月2日至7月13日启动立法预告。
将于9月11日实施的修订版《个人信息保护法》进一步强化了个人信息保护负责人(CPO)的权限和独立性。根据新法,达到一定规模的个人信息处理者在指定、变更或解除CPO时,需经董事会决议,并向韩国个人信息保护委员会备案。
与此同时,新法还规定,对在公共和私人领域影响较大的主要个人信息处理者,强制实施个人信息保护认证(ISMS-P认证);在发现存在个人信息泄露可能性时,也需及时向信息主体进行泄露风险告知,以便尽快采取应对措施。此次施行令修订,正是为落实上述修法内容。
根据修订案,CPO指定、变更和解除时,哪些情形需要经过董事会决议并履行备案程序,将在施行令中进一步明确。为强化CPO的独立性和履职保障,相关董事会决议和备案义务的适用对象,拟与现行法律中“专职CPO指定义务对象”的范围保持一致。
修订案还对CPO指定、变更和解除的备案方式及流程作出细化规定。需履行备案义务的个人信息处理者,应自相关事由发生之日起1个月内向韩国个人信息保护委员会提交备案材料;如存在不可避免的事由,可再延长1个月。
此外,施行令修订案还将明确ISMS-P认证的强制适用范围,并细化个人信息泄露风险告知的适用条件、告知时点和告知事项。同时,为提高监管处罚的有效性,修订案也对罚款标准进行了补充和完善。
韩国个人信息保护委员会表示,机构、团体和个人如对本次施行令修订案有意见,可于7月13日前通过国家参与立法中心、委员会电子邮箱或邮寄等方式提交。
记者信息
Chi-gyu Hwang
delight@d-today.co.kr