【重磅】韓國初獲歐盟GDPR適足性認定,記者會問答完整回顧
撰文:洪郁雅 律師
許 斌 博士
審閱:葉奇鑫 律師
全文約2200字,閱讀約需8分鐘
歷時四年的歐盟—韓國個資保護適足性談判於今年3月底結束。3月30日,歐盟執委會與韓國個人情報保護委員會發布聯合聲明,歐盟初步認定韓國之個資保護水平與歐盟GDPR相當。韓國因此有望成為繼日本之後,東亞第二個通過歐盟適足性認定的國家。雙方企業及公共機構間之資料流動便利度皆可藉此顯著提升。
韓國於2020年初全面修正個資相關之「數據3法」,是助力取得歐盟適足性認定之重要舉措。除此之外,韓國為取得歐盟適足性認定,有無其他承諾事項?與亞洲率先取得歐盟適足性認定的日本相比,韓國之適足性談判有何不同點?我們整理了韓國官方新聞稿與記者會的主要內容,並提供重點總結,供大家參考。
__________________________
一、韓國個人情報保護委員會新聞稿(註1)(以下「我國」係指韓國)
1.韓國與歐盟均確認在個人資料保護領域,韓國與歐盟之保護水平十分相當。
2.歐盟執行委員會於宣告適足性談判結果後,將著手準備適足性認定程序,預估最快今年上半年內或下半年會有進展。
3.過去我國企業與歐盟進行業務往來時,主要透過標準契約條款將歐盟居民的個人資料移轉到國內,為此需要投入相當長的時間及費用,也需負擔違約賠償等罰則。多數中小企業更因為締結標準契約之程序困難,放棄進入歐盟市場,因此通過這次的適足性認定,我國被賦予如同歐盟會員國的地位,我國企業將可免除現行標準契約條款等嚴格程序。
4.與2019年1月通過適足性認定的日本不同,我國本次適足性談判通過包含公部門的個人資料,此可預期歐盟與韓國政府將強化合作。
5.這次的適足性認定係通過個人資料保護委員會、外交部、法務部、行政安全部、產業部、國務協調室、金融委員會、國情院、人權委員會、警察廳、韓國網路振興院等相關機關的協助,各部會均在此次討論中擔任要角。
二、韓國個人情報保護委員會記者會問答摘要(註2)
出席人:韓國個人資料保護委員會主席윤종인(Yoon Jong-In,尹鐘仁)
時間:韓國時間2021年3月29日
地點:韓國首爾
1.資料顯示,我國金融機構仍需繼續使用標準契約,是否意味著金融機構與fin-tech業者無法藉由這次認定而得到任何優待呢?另外就公部門部分,從資料來看僅提及企業,是否可以就公部門提供舉例呢?
金融機構未包含在這次認定中。歐盟排除的理由是在信用資料法中金融委員會除了主責個人信用資料外,還身負振興金融政策、促進金融產業等職能,因此作為信用資料的監管機關多少還有些不足,這部分金融委員會亦有參與談判,並理解這一點。
因此,金融機構還是需要透過標準契約程序才能移轉歐盟居民的個人資料,不過金融機構仍可從兩個層面受益於這次認定;第1個是根據我們的判斷,由於這次適足性認定是國際間達成,因此縱使需要標準契約條款,也會比過去來的自由。第2個是歐盟居民非屬信用資料的個人資料,適用個人資料保護法,因此金融機構仍可基於這次適足性認定而移轉歐盟居民的個人資料。
接下來回答第二個問題是公部門部分,公部門資料如何利用,我們這次沒有與歐盟特別協議,但是在與歐盟談判的過程中,已提出合作制定規則的提案,因此未來就公共機構持有之個人資料如何移轉等,將會與歐盟進行談判。
2.公部門是指利用公務員的個人資料嗎?
當然不是,是指公共機構持有之個人資料相關事項。
3.資料第1頁提到剩下的認定程序,是指歐盟執委會各國的研議程序均需要6個月的時間?
我們目前是通過初步認定,通過後需要歐盟內27成員國個人資料保護監管機關聯合會議(即EDPB)的決定。此後,須經歐盟委員會程序審議的決定。我們無法判斷確切時間,通常需要6個月,但我們這次事前已經有很多實務討論,因此有縮短的可能,2至3個月是有機會的。
4.資料第2頁部分,歐盟之後,美國市場該如何進行呢?
這次是與歐盟的個人資料保護法制相關的決定,與美國無關。我們沒有積極參與CBPR,只有從數位通商的角度進行討論,相關內容未來如有確定,會再跟各位說明。
5.這次是針對歐盟人民個人資料移轉至我國的部分,那我國人民個人資料移轉至歐盟的部分未來會有相關的討論嗎?
由於我國現行個人資料保護法與歐盟的GDPR不同,沒有適足性的制度,所以無法像日本使用相互主義或其他制度將我國人民的個人資料移轉出去,所以這次可以稱為單邊主義(一方主義)。
這方面,我們本次個人資料保護法修正案也增加適足性制度,未來如果確定入法,我們也可以對歐盟個人資料法制進行審查,目前已經將第二次修正案提交予國會審議,到時可以討論。歐盟對於第二次修正草案的評價也非常正向,假設該修正案通過後,相信對未來4年的討論會有積極的影響。
三、整理小結:
本次適足性認定不包含韓國金融機構的個人信用資料,金融機構僅可透過個人資料保護法使用移轉至韓國國內的歐盟人民個人資料,無信用資料部分;這次的認定屬單邊主義與日本相互主義(雙邊主義)不同,僅涉及歐盟人民個人資料移轉至韓國國內,非韓國人民個人資料移轉至歐盟,且可依韓國個人資料保護法以假名資料方式處理該被移轉之個人資料;韓國目前已經對個人資料保護法提出第二次修正案,其中包括適足性制度相關條文。
______________________________
註1:該新聞稿原文請見:https://www.pipc.go.kr/np/cop/bbs/selectBoardArticle.do
註2:該記者會全程錄影及問答文字稿原文請見:https://www.korea.kr/news/policyBriefingView.do?newsId=156443808。
※歡迎註明出處後轉載。
延伸閱讀:
- 韓國「數據3法」生效,為第四次工業革命做準備:https://www.davinci.idv.tw/news/815。
- 「韓國個人資料保護法制因應 GDPR 施行之調適」研究案結案報告(含修正後韓國「數據3法」之中韓對照全文):https://www.ndc.gov.tw/News_Content.aspx?n=B7C121049B631A78&sms=FB990C08B596EA8A&s=11BA2EA8D67710C9。