韩国个人信息委员会:“对屡次发生泄露事故的企业将加重罚款力度”
发布强化个人信息安全管理方案
先行保护措施和投资将获激励
明确企业CEO与CPO的责任与角色
今后,对于反复发生个人信息泄露事故的企业,将加重处以罚款。政府将进一步强化首席执行官(CEO)的责任,并从中长期来看,考虑引入惩罚性罚款制度。但对于平时积极采取个人信息保护措施并进行相关投入的企业,将提供减免罚款等激励措施。
个人信息保护委员会11日表示,为防止接连发生的大规模个人信息泄露事故,将推进包含上述内容的《加强个人信息安全管理体系方案》。
此次方案的对象是处理100万名以上大规模个人信息的公共机构和民间经营者,同时包含“胡萝卜加大棒”的内容。一方面通过“激励措施”引导其主动加强个人信息保护,另一方面对防止重复、重大泄露事故作出严厉处置。
考虑引入惩罚性罚款… 强化CEO责任
对于以同样方式多次遭到黑客攻击等,个人信息泄露事故反复发生的企业,将加重处以罚款。从中长期来看,对于违反保护措施导致重大损失,或滥用个人信息的情形,将研究对其征收惩罚性罚款的方案。
CEO和个人信息保护负责人(CPO)的角色也将得到强化。将以明文形式规定,CEO在个人信息风险管理和内部控制方面,作为最终责任人负有义务。CPO则必须每年至少1次向董事会报告个人信息保护计划,并对执行结果进行检查。
此外,在预计因个人信息泄露将造成重大损失的情况下,将把泄露通知对象从已被泄露个人扩大到所有存在泄露可能的个人,以此阻止额外损害的扩散。相关机构还必须积极支持预防二次损害,例如监测泄露的个人信息是否在暗网等处被非法流通,并与有关机构进行协作。
个人信息保护委员会正在考虑以罚款为财源设立基金,用于实际泄露事故受害者的救济。去年罚款总额高达611亿韩元。
积极保护与投资时减免罚款并给予激励
政府还将推进将前瞻性保护措施常态化的方案,包括消除安全漏洞、事前探测异常征兆、扩大加密适用范围等。对于平时采取前瞻性、积极性保护措施的企业,将提供减免罚款等激励。
对于企业和机构在个人信息保护方面积极投入人力、预算等的情况,也将研究给予减免罚款、公共机构评估加分等多种激励措施。
在人力方面,需要指定专业CPO的大规模处理者,除CPO外,还必须在各机构配备至少1名个人信息专职人员或组建专门组织。预计CPO指定义务机构约有700家,包括一般企业、上级综合医院、大学、公共系统运营机构等。目前专职人员配置情况为,大企业平均0.5人,中型企业仅0.3人。
在预算方面,政府提出方案:到2028年为止,若将整体信息化预算的10%以上用于个人信息保护预算并进行保障和运营,将给予激励措施。在2028年前,将细分为整体信息化预算中7%至不足10%、以及10%以上两档,分级适用不同激励。
个人信息保护委员会计划召开经营者说明会,以明确设定与保护人力、预算及激励等相关的标准。此后,将在今年内准备反映本次方案内容的法律修正案,并于明年上半年提交国会。对于需要中长期研究的事项,将在征求利益相关方意见后,力争于明年之前完成修正案起草。政府还将推进确保相关预算等后续措施。
个人信息保护委员会委员长Ko Haksoo表示:“希望处理大规模个人信息的经营者,不要将为个人信息保护所作的投入视为‘不必要的成本’,而应将其视为为获取客户信任所承担的基本责任和‘战略性投资’”,并称:“希望通过这一举措,能够扩大国民对个人信息保护的信任。”
版权所有 © 阿视亚经济 (www.asiae.co.kr)。 未经许可不得转载。
