就最近社会上深受关注的大规模信息通信网络侵害与个人信息泄露事故,《信息通信网络利用促进及信息保护等有关法律》(下称“《信息通信网络法》”)修订案于2025年12月3日通过了国会法制司法委员会的审议,《个人信息保护法》修订案于2025年12月17日通过了国会政务委员会的审议。上述修订案将在公布6个月(部分规定为1年)后开始实施。

下面将介绍各修订案的主要内容和启示。

 

1. 关于《信息通信网络法》修订案

(1) 修订案主要内容

信息保护委员会设立义务 及CISO1职责的强化
  • 资产总额、销售额等符合总统令规定标准的信息通信服务提供者须设立、运营以CISO为委员长的信息保护委员会
  • 在CISO的业务中,新增了(i)对信息保护所需的人力管理与预算编制,(ii)向董事会报告信息保护现状及主要事项等内容。
信息保护水平的评价
  • 科学技术信息通信部部长(“科技信通部部长”)每年需对符合总统令所规定的业务种类、销售规模、用户数等标准的主体进行信息通信网络的稳定性与信息可信度水平的评价
  • 信息保护水平评价的结果可通过科技信通部的互联网主页等进行公开,科技信通部部长可根据评价结果提出改善建议。
ISMS2强化标准差别适用
  • 对于总统令所规定的因生成、处理信息的规模和社会影响力等原因,在发生侵害事故时可能对国民生命、身体或财产造成严重危害的主体,科技信息部部长可加强应用ISMS认证标准及程序等
关于侵害事故
  • 为审议是否启动对侵害事故的调查、组建民间和官方联合调查团的必要性等,设立侵害事故调查审议委员会
  • 将侵害事故分析对象从事故原因扩大至是否发生事故
  • 信息通信服务提供者在发生总统令所规定的侵害事故时,须立即向相关用户通知该事实。但若已按照其他法律进行侵害事故通知,则视为已依据本法进行通知。
  • 对于未履行纠正命令、拒绝提交资料、提交虚假材料、阻碍调查等情况,依总统令规定,加处日平均销售额的万分之三以下的强制履行金
  • 如因信息通信服务提供者的故意或重大过失,在5年内发生2次及以上侵害事故,可处以总统令所规定的年销售额3%以下的行政罚款
  • 信息通信服务提供者等总统令所规定的运营信息通信网络者,须基于科技信通部部长推广的标准方案编制适合相应信息通讯服务规模及特性的侵权事故管理和应对手册,并提交至科学技术信息通信部部长及韩国互联网振兴院。

 

2)启示 

  • (信息保护委员会设立义务及CISO职责的强化)针对一定标准以上的信息通信服务提供者,设立信息保护委员会成为了义务,并将向董事会报告信息保护现状及主要事项纳入了CISO职责,因此预计法人代表及董事会等经营层对信息保护的责任将得到加强。 
  • (信息保护水平的评价)随着信息保护水平的评价及公开,企业的安保能力将被持续指标化,从而各企业之间有望能够互相对比安保能力水平。 
  • (ISMS强化标准差异适用)(i)对一定标准以上的信息通信服务提供者将另行制定认证标准,因此有必要关注下位法的立法动向等。(ii)科技信通部在最近发布的审核方式强化方案中,表明将利用模拟渗透测试等技术审查或现场实证型审核等方式强化ISMS认证流程,对于相关信息通信服务提供者,其认证流程或将更为严格。 
  • (关于侵害事故) (i)过去只有在确认发生侵害事故事实时才能调查,修订案则允许侵害事故调查审议委员会在认为有必要调查是否发生事故时启动调查。(ii)修订案还规定,如发生拒绝提交资料、阻碍调查等情况,除行政罚款外还可处以强制履行金。(iii)随着行政罚款规定的增设,侵害事故调查的目的将从原因分析扩展到进行制裁。

  

2. 关于《个人信息保护法》修订案 

1)修订案主要内容 

明确法人代表等的责任及强化CPO职责
  • 明确规定企业主或法人代表为个人信息处理及保护的最终责任人
  • 对符合总统令规定标准的个人信息处理者,(i)任免个人信息保护负责人时须经董事会决议,(ii)有关CPO指定事项须向个人信息保护委员会备案
个人信息保护认证义务化
  • 考虑销售额、个人信息处理规模等,对符合总统令规定标准的个人信息处理者赋予ISMS-P认证义务
引入泄露可能性通知制以及扩大通知事项等
  • 根据个人信息类型、对信息主体产生的影响及泄露等风险程度,若知悉存在由总统令规定的泄露等可能性时,为将被害降到最低程度,有义务立即将总统令规定的信息等事项通知有泄露等可能性的所有信息主体
  • 损害赔偿、法定损害赔偿请求和纠纷调解等受害的信息主体的法律权利及行使方法等,将追加为通报事项
强化对反复、重大侵害个人信息的行政罚款
  • (i)被处以行政罚款者在3年内再次实施构成行政罚款事由的违法行为(仅限于均属故意或重大过失时),(ii)因故意或重大过失实施构成行政罚款事由的违法行为且信息主体受害人数达1,000万名以上,(iii)未按照改正命令进行改正,致使个人信息处理者处理的个人信息丢失、被盗、泄露、伪造、变造或毁损时,可处以之前三个营业年度年均销售额(与违反行为无关的销售额除外)的10%及以下的行政罚款(定额行政罚款上限为50亿韩元)
  • 当存在总统令所规定的事由,例如为保护个人信息而投资并运营预算、人员、设备、装置等时,个人信息保护委员会有权减免行政罚款(但故意或重大过失的情况除外)

2)启示

  • (明确法人代表等责任及强化CPO3职责)修订案在强化企业主及法人代表在个人信息处理及保护方面的责任的同时,将通过确保CPO的实际作用与权利,强化以预防为主的个人信息保护活动。 
  • (个人信息保护认证的义务化)对达到总统令所规定标准的个人信息处理者强制实行ISMS-P认证,有望持续推动个人信息保护管理体系建设。相关企业即使取得了ISMS-P认证,仍可能被排除在罚款减免企业之外。因此,需关注对违反《个人信息保护法》的行政罚款标准加以规定的下位法法规的修订动向。 
  • (引入泄露可能性通知制及扩大通知事项等)修订案规定,对于个人信息处理者而言,若泄露可能性较为明确,即须通报泄露可能性,让信息主体能够提前应对。由此,对于个人信息处理者的相关应对时点,个人信息保护委员会的调查等日程将会比以往提前。通知泄露可能的详细要求将在总统令中加以规定。 
  • (强化对重复及重大侵害个人信息的行政罚款)将对重复、重大违法行为处以惩罚性行政罚款等,大幅加强制裁力度。由此,今后个人信息合规事前检查等重要性将更加突出。

 

关于世宗律师事务所ICT团队

世宗律师事务所ICT团队在ICT领域拥有超出其他律所的专业性及人脉网络,近年来获得了客户的高度评价。以在广播、通信、个人信息、互联网IT领域积累的能力为基础,为客户提供广播、通信、ICT监管动向及对策、法治改善、立法咨询、规制影响分析及企业战略制定等综合性法律服务。同时,在个人信息/AI合规、侵权事故应对等领域也积累了丰富的经验与专业知识,如需了解更多专业内容或有任何疑问,请随时联系我们。

 

1 CISO : Chief Information Security Officer
2 ISMS : Information Security Management System
3 CPO : Chief Privacy Officer