韩国个人信息保护委员会3日在经济相关部长会议上,以跨部门联合议题形式公布《以信任为基础促进人工智能(AI)创新的第三次个人信息保护基本计划(2027—2029年)》。
根据相关法律,该基本计划每三年由个人信息保护委员会会同中央行政机构负责人共同制定,用于明确未来三年个人信息政策的总体方向。此次公布的第三次基本计划提出,以“可信的个人信息环境、安心使用AI的社会”为愿景,围绕四大战略部署12项重点任务,包括重塑AI时代个人信息保护体系、建立以事前预防为核心的保护机制、战略性提升个人信息政策,以及完善权利救济、培育社会信任基础。
在监管框架方面,委员会表示,将推动个人信息监管体系加快适应AI发展环境。针对一线提出的“既有统一监管规则形成于AI普及之前,合规难度高、也不利于数据利用”等问题,政策方向将从“一刀切”式监管转向以原则为基础、按风险程度实施差异化保护的模式。
为尽快消除AI转型(AX)过程中个人信息处理的不确定性,委员会计划设立“AI转型(AX)安心支持中心”,作为面向企业和机构的综合服务窗口,提供定制化创新支持。同时,政策还将强化个人对自身信息的控制权和决定权,推进MyData支持平台(On MyData)建设,提升公众对个人信息的自主决定能力,并研究建立将数据衍生价值回馈信息主体的相关机制。
围绕AI数据可信性,委员会还将同步加强个人信息风险应对。具体来看,政策将检讨自主型AI(Agentic AI)应用场景下的决策责任结构,完善针对实体AI(Physical AI)常态化采集信息趋势的权利保障机制,并建立适用于风险评估等新技术的监管框架和保护标准。
鉴于个人信息泄露事故一旦发生,损害往往难以完全恢复,委员会明确提出,要把保护重点前移,建立以事前预防为核心的制度体系,并推动相关措施在一线真正落地。
在具体执行层面,委员会将升级常态化检查机制,包括针对高风险群体开展重点检查,并推进跨部门联合检查,在事故发生前识别薄弱环节和防护漏洞,督促及时整改。与此同时,委员会还计划将AI技术引入信息安全与个人信息保护管理体系(ISMS-P)认证及各类评估体系,优化相关标准和流程,提升制度运行的实际效果。
在事前保护方面,委员会提出将进一步完善激励约束机制,并同步强化企业责任。对于在法定标准之外主动加大前瞻性保护投入的企业,将扩大激励适用范围,包括泄露事故罚款减免等措施,以引导企业自发加强个人信息保护。
此外,委员会还计划推动企业在组织决策过程中更加充分地纳入个人信息保护因素,进一步压实CEO责任,并提升个人信息保护负责人(CPO)的地位和作用。
对于因疏于履行管理义务等导致的违法行为,委员会表示,将通过更严格的调查和制裁明显提高震慑力度。为此,相关制度也将继续完善,包括引入确保调查执行效果的强制履行金制度,并持续加强科学调查能力建设,如建设和扩充技术分析基础设施。
针对持续存在的泄露威胁环境,委员会还提出,将逐步摆脱以往“泄露后调查和制裁”为主的模式,转向更加注重恢复能力和应对韧性支持的基础体系。对发生泄露事故的中小企业,将重点提供恢复技术支持;在事故发生前,也将面向中小企业和微型企业提供定制化咨询,以及个人信息保护和信息安全支持项目。
委员会表示,随着各行业对个人信息利用不断扩大,今后将建立跨部门协同机制,把个人信息保护作为政府层面的共同议题推进。在通信、教育、就业等相对高风险领域,委员会将与主管部门建立共同检查、共同管理机制,并构建针对个人信息威胁因素的早期预警体系,提升风险应对能力。
随着生成式AI和云环境的发展带动跨境传输需求上升,委员会还将继续拓展跨境数据流动合作网络。在现有韩欧充分性认定机制基础上,下一步将面向英国、日本、美国等国家,综合考虑法律体系相似性和贸易规模等因素,推进定制化应对,扩大数据跨境传输合作范围。
在权利救济方面,委员会指出,近期因个人信息泄露遭受损失的公众增多,社会对便捷救济渠道的需求持续上升。为此,委员会将建立一站式权利救济体系,打通从泄露和侵权申报、调查、争议调解到损害赔偿的全流程衔接,并同步完善强化信息主体权利保障的制度基础。
韩国个人信息保护委员会委员长Song Kyung-hee表示,此次三年期基本计划的重点,在于按照AI发展环境重新设计个人信息监管体系,建立以事前预防为中心的保护机制,并集中配置政策资源,营造“公众安心享受AI便利、企业在信任基础上推进创新”的发展环境。