韓國個人資訊保護委員會(PIPC)宣布個資法施行令修法草案,強化個資事故通報義務及違規罰鍰

韓國個人資訊保護委員會(PIPC)於 2026 年6月2日公布《個人資訊保護法》施行令修法草案,本次修訂的具體內容如下:

一、強化企業首席隱私官(Chief Privacy Officer, CPO)選任程序
首席隱私官CPO是指在企業內部,負責督導與管理個人資訊處理業務的最高負責人,在本次修法前,雖然法規已規定特定規模的企業必須選任CPO,但CPO在企業內部的職權並無較嚴謹的法律約束,導致CPO在公司內的獨立性與話語權往往不足,難以有效制衡在個資保護義務上失職的高階主管或部門。
為保障CPO的獨立性與地位,此次修法要求企業在選任、變更或撤銷CPO時,必須經由董事會決議,並在人事異動的一個月內向個人資訊保護委員會報告。

二、要求一定規模以上業者應接受國家級ISMS-P認證
ISMS-P 是韓國綜合性的安全認證制度,認證範圍包含「資訊安全管理」與「個人資訊保護」。修法前的ISMS-P 認證多採取「自主申請」或僅針對極少數超大型電信、網路服務業者進行強制規範,許多掌握大量民眾個資的系統營運商及新興身分驗證機構,主管機關並無強制力要求其取得認證。本次修法後明確須強制接受 ISMS-P 認證的範圍,包含:公共系統營運商、行動通信業者、身分驗證機構及其他持有個資筆數達一定規模之大企業。

三、強化業者於個資事故之通報義務
此次修法針對個資事故之通報義務進行調整,發現有「非法存取個人資料」或「個人資料被非法交易或傳播」之情形時,即應在72小時內向主管機關及可能受影響之當事人通報,使民眾能第一時間更改密碼或採取防範措施。
此外,以往具通報義務的情形僅限於個資遺失、外洩或遭竊,修法後個資遭到偽造、竄改或損壞等情形,業者也必須依規定通報。

四、修訂裁罰標準
對於過往情節輕微,裁處「免罰緩並施以警告」的違規行為,修法後該警告將計為一次違規記錄,若未來再次發生相同的違規行為,將直接適用「第二次違規」的加重處罰標準。

此次韓國個人資訊料護法實施細則的修訂,從組織架構、認證系統、通報應變流程到事後裁處,建立了一套更為主動且嚴格的個資保護系統,該修正案目前已進入公告並廣泛收集各界意見階段,預計於今年9月正式施行。

相關連結
你可能會想參加
※ 韓國個人資訊保護委員會(PIPC)宣布個資法施行令修法草案,強化個資事故通報義務及違規罰鍰, 資訊工業策進會科技法律研究所, https://stli.iii.org.tw/article-detail.aspx?d=9508&no=65&tp=1 (最後瀏覽日:2026/07/18)
引註此篇文章
你可能還會想看
全球創新指數(GII)評估COVID-19對於全球創新的影響

  全球創新指數(Global Innovation Index,簡稱GII)為世界智慧財產權組織(WIPO)與歐洲工商管理學院(INSEAD)等單位,共同衡量全球經濟創新績效之參考指標,於今年(2020)9月2日所發佈的全球創新指數顯示,COVID-19嚴重的阻礙全球創新的發展,但卻也對於特定領域(如醫療衛生)帶來新的創新契機。   今年與2009年(全球經濟危機時)相比,世界金融體系運作仍保持平穩,但用於資助創新型企業的資金,由於全球投資者對於疫情影響新創企業營利表現擔憂,資金的投入也連帶受到影響。而在創新融資方面,鎖定新創早期階段投資的創投公司為確保日後競爭力,轉向對當今熱門標的(如生命科學等)等進行投資,若屬於研發密集型新創企業(研發時間較長)及非投資熱點(區域)的企業,投資方面則所受疫情衝擊較大。   觀察全球主要國家,雖然皆制訂相關補助計劃用以緩解因疫情所帶來之衝擊,例如中短期欲透過貸款擔保爲企業提供支持。然而,這些補助措施並非直接爲創新和新創企業提供資金。儘管如此,專家對於全球科學和創新受COVID-19的影響也非全然悲觀,部分源自於全球對於資本回報的期待,也預估未來風險投資及創新也將轉向醫療衛生、遠距教學、大數據、電子商務、機器人等領域。

歐盟針對個人資料傳輸第三國之規範提出參考指引

  歐盟資料保護監督機關(European Data Protection Supervisor, 下稱EDPS)於2014年7月14日,針對利用雲端運算以及行動設備,將個人資料從歐盟境內傳輸至非歐盟國家之部分,提出意見書作為參考指引。EDPS通常會針對雲端業者在從事商業服務時,進行監督審查,當個人資料透過雲端運算服務進行傳輸或處理時,會由EDPS先行確認,以確保該傳輸是否符合歐盟之個人資料保護指令(Directive 95/46/EC)與規則(Regulation (EC) No 45/2001)之規範。   有鑑於跨境合作或使用傳輸服務等需求,歐盟境內將個人資料傳輸至第三國或國際組織之情形日益劇增,此參考指引之主要目的在於詳加解釋歐盟資料保護規則(Regulation (EC) No 45/2001)中關於國際間個人資料傳輸之規定以及應該如何適用。   首先,該指引針對何謂個人資料傳輸以及歐盟資料保護規則第9條之範圍做出說明,後續則分別就適當保護之意涵,以及由歐盟執委會基於規則第9.5條之規定依權限得決定第三國是否已達適當保護標準之國家等部分加以論述。最後,該指引則提供確認表,在資料傳輸前應經過一定的確認流程,包括確認資料接收的國家或組織是否已有適當的保護層級,若無,則是否尚有其他資料可證明。如上述皆無法證明,則應考慮是否有例外情況,例如:取得資料所有人同意得進行傳輸、資料所有人與資料控管者因契約約定同意傳輸、資料控管者與第三人因契約約定,基於資料所有人之利益而傳輸、基於重要公益事由或其他法律上之事項必要傳輸、基於保護資料所有人之重要利益而傳輸、基於資料提供於大眾而傳輸等。倘缺乏以上例外情形,則可考慮資料控管者是否得援引自己已經具備適當的安全機制而可進行資料傳輸。最後,如無任何安全之保護,則資料將無法進行傳輸至第三國。   綜上,歐盟針對資料傳輸予第三國之部分做出更詳細之說明作為參考指引,使資料之傳輸與流通更有明確的規範方向,其後續適用之成效為何應可持續觀察。

馬來西亞個人資料保護法之發展仍有諸多不確定因素

  馬來西亞於2010年6月即通過個人資料保護法,延宕經年,該法終於自2013年底開始正式施行,而數項配套規範亦同步施行。前個資保護部門首長Abu Hassan Ismail則被任命為新設之個資保護專員,受通訊及多媒體部部長之指揮監督。   從規範內容架構觀察,馬國此部個資法之範疇堪稱恢弘,不但包括了諸多的實質行為規定,例如,在行為規範的面向上,馬國個資法要求其所謂的資料使用者(data user) 必須遵守多項個資保護原則並尊重當事人權利;此外,該法亦有不少與個資保護相關之組織及程序規則,例如,該法設有行政救濟法庭,如對個資保護專員之決定有所不服者,即可在此提出救濟。惜該法之適用對象不包括公部門,且在適用情形方面,除排除了純粹因個人或家庭目的而蒐集、處理、利用個人資料外,亦針對諸多情形分別排除該法所設之不同個資保護原則之適用,且更賦予個資保護專員另行指定排除適用情形之權限,因而除將相當程度限制該法影響範圍外,並使該法之適用與發展增加許多不確定之因素。

歐洲五大電信公司聯合呼籲歐盟建立Open RAN創新生態系統

  歐洲五大電信公司──德國電信(Deutsche Telekom)、法國Orange電信、義大利電信(Telecom Italia)、西班牙電信(Telefonica)與英國沃達豐電信(Vodafone)於2021年11月18日聯合發表聲明,呼籲歐盟執委會與成員國加速開放「開放式無線存取網路」(Open Radio Access Network, Open RAN)的技術應用,並提出「為歐洲建立Open RAN生態系統」(Building an Open RAN Ecosystem for Europe)研究報告。   本報告對Open RAN價值鏈和當前供應商進行分析,發現許多歐洲供應商正處於發展初期,未獲得Open RAN商業契約,且在Open RAN關鍵服務的部分類別(如雲端軟體)中,尚未有歐洲供應商。甚至綜觀Open RAN的各項關鍵服務分布,歐洲供應商僅有少數等。因此,本報告強調歐洲需迫切將Open RAN作為戰略重點,並提出以下五點建議: (一)歐盟的政策制定者應積極推動發展創新、開放及可互通之電信生態系統,並期望歐盟執委會、成員國與產業利害關係人,透過對話與討論,促使全歐洲對Open RAN生態系統之建立產生共識。 (二)執委會應成立下世代通訊基礎設施聯盟,如同過去其為雲端與半導體設立聯盟,作為推動該產業的關鍵力量。此外,為迎接Open RAN新興技術,應提倡如歐盟共同利益重要計畫(Important Projects of Common European Interest, IPCEI)的微電子和通訊技術、5G產業協會與共同承諾推動智慧網路服務多國計畫。 (三)政策制定者應降低歐盟供應商和新創企業之投資風險,並對歐洲未來具有戰略意義的技術領域,以資金與租稅等激勵措施,支持歐洲供應商合作。如由歐盟執委會和各國政府為財團提供資金,使歐洲公司建立穩固的合作關係,並成為Open RAN價值鏈中茁壯成長的供應商。 (四)O-RAN聯盟(O-RAN ALLIANCE)與第三代合作夥伴計劃(3rd Generation Partnership Project, 3GPP)及歐洲電信標準協會(European Telecommunications Standards Institute, ETSI)正式合作,支持採用O-RAN規範作為ETSI的自願性標準,可透過快速程序對現有3GPP規範進行補充。透過促進全球統一的Open RAN標準,確保開放性網路設備的互通性,如:全歐認證的品質與互通性,建立生態系統部署者的信心。 (五)歐盟應與國際合作,促進安全、多樣化及可持續的資訊與通訊技術供應鏈,如:利用七大工業國組織(Group of Seven, G7)、美歐貿易和技術委員會(EU-US Trade and Technology Council)與日歐資通訊技術對話(Japan-EU ICT Dialogue)促進發展和部署開放且可互通的網路架構。

TOP