“与欧盟联合研究将更方便”——构建自由的个人信息跨境转移体系
韩国获认定与欧盟个人信息保护“同等水平”
个人信息可向共30个国家转移
“双方数据合作将进一步加强”
从今日(16日)起,位于韩国境内的企业或公共机构在将员工或客户等的个人信息向位于欧盟(EU)的分公司或其他企业等转移时,无需再额外取得信息主体同意等附加要件即可进行。
个人信息保护委员会委员长 Koh Haksoo(右)16日在首尔龙山区格兰德凯悦首尔酒店举行的“全球隐私大会(GPA)”上,与负责欧盟民主、司法、法治及消费者保护事务的执行委员 Michael McGrath 共同公开了韩欧互认等同声明文本。个人信息保护委员会提供
View original image这是因为个人信息保护委员会认定欧盟的个人信息保护水平与韩国实质上处于同一水平,并作出了所谓“同等性认可”的决定。自2023年9月通过修订《个人信息保护法》引入同等性认可制度以来,欧盟成为首个被认定对象。
此前,如需进行信息转移,必须满足取得同意等额外要件,导致与欧盟研究机构开展使用匿名化信息的分析研究受到限制,被转移信息的保护责任也由信息主体自行承担,存在上述问题。
在此之前,随着2021年12月欧盟作出适足性决定,允许在欧盟地区向韩国自由转移个人信息,韩欧双方已建立起个人信息可双向自由转移的体系。个人信息转移包括提供与查询、处理委托、以及存储在位于欧盟地区的云服务器等所有情形。
个人信息委员会委员长 Koh Haksoo 于16日与为出席全球隐私大会(GPA)而访韩的欧盟民主、司法、法治及消费者保护事务委员 Michael McGrath(部长级)共同公开了包含上述内容的联合声明。
同等性认可制度是在跨境个人信息流动已成常态的人工智能(AI)与数据时代,为了使个人信息在国家和地区之间既安全又自由地流动而设立的制度,其宗旨与欧盟的适足性决定相同。
制度引入后,政府组建了由专家及相关部门构成的工作组,并通过11次韩欧工作层会议,对欧盟的▲个人信息保护体系 ▲保障信息主体权利的可能性 ▲监管体系 ▲救济程序等进行了审查。
根据此次同等性认可,民间和公共部门的个人信息处理者可以在无需附加要件的情况下,将个人信息转移至适用欧盟《通用数据保护条例》(GDPR)的欧盟境内27个成员国,以及纳入欧洲经济区(EEA)的3个国家(挪威、列支敦士登、冰岛)在内的共30个国家。但本次同等性认可不影响居民登记号码及个人信用信息的转移规定。
本次同等性认可将在2028年9月15日之前3个月启动重新审查,如经审查认定不再维持同等水平,可对同等性认可进行变更或取消。此外,如已转移的个人信息未得到适当保护,导致信息主体受到损害,或损害发生的忧虑显著时,个人信息委员会可下令中止个人信息转移。
个人信息委员会委员长 Koh Haksoo 表示:“随着韩欧在民间和公共全领域建立起安全且自由的数据转移体系,期待今后双方在数据领域的合作将进一步加强。”
版权所有 © 阿视亚经济 (www.asiae.co.kr)。 未经许可不得转载。
