本月《个人信息保护法》第二次修正案施行令草案公布并预告立法
韩国互联网振兴院(KISA)将与个人信息保护委员会一道,计划在上半年公布针对ChatGPT等生成式人工智能(AI)时代的个人信息保护方案。此外,随着将于今年9月正式实施的《个人信息保护法》第二次修正案生效在即,KISA还计划于本月发布实施令立法预告。
KISA个人信息调查团长 Cha Yunho 表示:“由于可以清晰地看到ChatGPT等带来的个人信息侵害风险,我们计划在上半年内制定并公布一套方案,明确在个人信息处理各阶段应当采取何种对策。”
![Cha Yunho KISA个人信息调查团团长 [图片由KISA提供]](http://www.asiae.co.kr/news/img_view.htm?img=2023050809473222971_1683506852.jpg)
去年向KISA举报的企业违反个人信息保护义务行为中,安全措施违规占比达66%,为最主要违规类型。其后依次为泄露通知(16%)、未销毁(10%)、同意程序(9%)、查阅(2%)。在违反安全措施义务的类型中,存储和传输时加密不完善的情况较多。事故发生时的主要争点包括:防止公开·泄露的措施、安全的接入与认证手段、安装和运营阻断非法访问和探测系统等义务是否被违反。
法院在发生黑客入侵等事故时,会综合考虑普遍已知的信息安全技术水平、行业与经营规模及企业的安全措施内容、信息安全所需成本与效用、在黑客技术与安全技术水平对比下避免损害发生的可能性、所收集的个人信息内容等因素,以判断企业责任。例如,企业应当对个人信息处理系统以及个人信息经办人的电脑和移动设备采取措施,防止正在处理的个人信息泄露给无阅览权限者。企业还应通过IP地址等方式限制对个人信息处理系统的接入权限,以阻断未经授权的访问,并安装和运营包含通过重新分析IP地址等方式探测非法个人信息泄露企图功能的系统。但只要能够在合理期待的水平上应对攻击,系统是否为付费或通过认证并非判断标准。Cha 团长表示:“这是为了确保个人信息安全性而设定的最低标准”,“企业应当采取在社会通念上可以合理期待程度的技术性保护措施。”
![Lee Junghyun KISA个人信息制度组组长 [图片由KISA提供]](http://www.asiae.co.kr/news/img_view.htm?img=2023050809475922973_1683506879.jpg)
自今年9月15日起,《个人信息保护法》第二次修正案将正式施行。KISA正在推进相关配套工作。此次《个人信息保护法》修正案内容包括:强化信息主体权利保障、确保与全球监管的一致性、完善以数字为中心的法律体系、构建个人信息保护生态等。KISA个人信息制度组组长 Lee Junghyun 称:“实施令已经大致成型”,“实施令草案和立法预告预计将在5月初发布。”
第二次修正案为使信息主体能够自主流通和利用自己的信息,新设了个人信息传输请求权。Lee 组长表示:“随着传输请求权的设立,将进一步强化MyData业务。”伴随人工智能发展,信用评分、招聘等领域广泛采用自动化决策,本次还将引入针对自动化决策的应对权。个人信息向境外转移的方式将更加多元化,并新设中止命令制度。尤其是,将个人信息侵害责任从以对个人科处刑罚为中心,转变为以对实际负有责任的企业实施经济制裁为中心。罚款上限将从相关营业额的3%以下提高为全体营业额的3%以下。惩罚性损害赔偿上限则从3倍提高到5倍。监管对象也将从仅规范固定式影像设备(CCTV),扩展到无人机、自动驾驶汽车等,制定相应运营标准。Lee 组长表示:“督促企业改善个人信息处理方针这一点也将产生巨大影响”,“以谷歌等公司的处理方针说明为例,目前往往带有机器翻译痕迹,篇幅冗长且晦涩难懂。要求其改进到普通人也能理解的程度的呼声将会越来越高。”
版权所有 © 阿视亚经济 (www.asiae.co.kr)。 未经许可不得转载。
