今后,持有或运营个人信息处理系统的公共领域主体,其保护义务将进一步强化。
个人信息保护委员会12日表示,随着保护相关法令修订后1年的指导期结束,自本月15日起,持有或运营主要个人信息处理系统的政府部门及其下属公共机构,除既有义务外,还必须遵守追加的安全措施义务。
追加安全措施的适用对象为:持有100万人以上个人信息,或拥有200名以上个人信息处理人员,或处理敏感信息、唯一识别信息等,并运营382个公共系统的63家政府部门及其下属机构。个人信息保护委员会说明称,大多数主要公共机构均属于适用范围。
根据此次措施,这些机构将在4大领域共承担10项新增安全措施义务。
在系统管理体系领域,包括建立并运营协商机制、指定各系统责任人、为各系统制定并实施安全措施方案。严格授予和管理访问权限领域,包括与人事信息自动联动、授予最小必要权限并及时更新访问权限、引入非公务人员账号发放程序。强化访问记录检查领域,包括检查访问记录及发现异常情况、制定事前和事后处理程序。最后,在专职人员及系统扩充领域,将扩充专职人员并开展个人信息保护教育,同时强化系统个人信息保护功能,作为具体执行任务。
据个人信息保护委员会介绍,今年上半年公共领域个人信息泄露申报从去年同期的16件增加到52件,同比增加约3.8倍。这是因为去年通过修订保护法令,将公共部门的泄露申报义务对象从原先“泄露1000件以上”扩大为:一旦涉及敏感信息或遭到外部非法访问,即使仅有1件泄露也必须申报。
个人信息保护委员会计划通过扩大泄露申报义务对象,最大限度缩小法律适用的盲区,同时持续引导公共机构不断强化防止泄露的努力。
此外,为提高警觉性,个人信息保护委员会也提高了制裁力度。此前公共部门因违反安全措施义务导致个人信息泄露时,多以处以罚款为主,如今改为处以罚金。罚款主要具有对单纯秩序违法行为进行制裁的性质,而罚金则更具惩罚性目的。
个人信息保护委员会还规定,当公务员等人员因故意泄露或不正当利用个人信息,给国民造成重大二次损害时,即便仅有一次行为,也可立即予以免职或解聘,实现“一次犯错即出局”,并可追究刑事责任。
个人信息保护委员会相关负责人表示:“自本月15日起,主要公共系统运营机构在保护法上的安全措施义务将强化并开始实施,因此属于适用对象的公共机构等需格外注意。”他还称:“一旦在公共机构发生泄露事故,将通过严格调查和处分,积极引导公共部门强化个人信息保护方面的努力。”
版权所有 © 阿视亚经济 (www.asiae.co.kr)。 未经许可不得转载。
