韩国发布《隐私政策制定指南修订版》，履行合同处理PII或不再要求同意

韩国的个人信息保护水平应当属于亚洲第一梯队，这从其事无巨细的指南、面向全社会的强势透明度，以及不断试图降低国内企业数据合规负担，以及提升境外企业合规要求的努力中可知一二。

要知道，单是这份《隐私政策制定指南》，韩国就写了就长达145页！叹为观止。

2025年4月21日，韩国个人信息保护委员会更新并公布了最新版《个人信息处理政策制定指南》修订版（以下简称“制定指南”）。

依据韩国《个人信息保护法》第30条规定，个人信息处理者应当制定个人信息处理政策（以下简称“处理政策”），并以适当、透明的方式公开。此次修订版指南旨在帮助个人信息处理者在2025年处理政策评估实施之前制定有效的处理政策。

此次修改的方向是切实保障数据主体的权利，同时减轻个人信息处理者的负担。此外，为了反映2024年个人信息处理政策评估委员会提出的改进意见，重新组织了填写项目的体系，并通过明确区分法律要求条款和政策建议，减少适用时困惑。

本次修订的主要内容如下：

首先，以各种案例明确了无需数据主体同意即可处理的个人信息处理项目和需要同意的个人信息处理项目。

无需数据主体同意即可处理的事项包括“会员服务运营”、“销售产品的售后服务咨询”等与合同的订立及履行相关的事项；而对于‘敏感信息’、‘唯一标识信息’（麻策注：根据韩国个保法第 24 条，此处唯一标识信息仅指居民身份证号码、护照号码、驾驶执照号码、外国人登录号码证照号码，此类PII必须与一般个人信息分开和管理）和‘向第三方提供个人信息’的情况，即使签订或履行了合同，也只有在获得同意的情况下才可以处理。

韩国个人信息处理中的强制是同意制度是一个历经20多年的习惯——即使是为了签订合同所必须。韩国自1999 年修订《信息和通信网络法》以来，在线运营商在提供服务时需要获得同意，未经信息主体同意不能使用的做法一直至2011年《个人信息保护法》颁布后仍然持续。韩国个人信息保护委员会也一直认为这种做法存在一个问题。

因此，韩国通过 2023 年《个人信息保护法》的修订改进了要求，即允许公司在服务使用合同过程中基于信任而无需单独同意即可使用个人信息，并且只有在绝对必要的情况下才能获得信息主体的明确同意。2024年9月12日，韩国个人信息保护委员会通过发布《改进对个人信息的强制同意的做法》再一次重申，在未经同意的情况下，可以收集和使用与服务使用合同（例如网站订阅）相关的个人信息。

有意思的是，由于合同履行或服务提供的特性，虽然处理信息主体的敏感信息或唯一标识信息可能是不可避免的。此时，个人信息处理者还需要获得单独的必要同意来进行处理。这点仍然令人费解，似乎可以从中国的个人信息保护法中看到一个BUG——非基于同意合法性基础的单独同意，仍然是需要单独同意？

二是放宽了个人信息处理场景及保存/使用期限的具体要求。以前，所有个人信息处理的场景都必须详细列出，但从现在起，在出现特殊情况而难以列出的情况下，可以按例外场景列出。在难以明确第三方提供或保存/使用期限的情况下，破例认可了将第三方分类为可识别的级别或在处理政策中描述确定保存/使用期限的标准的方法。

例如，AI文件筛选所需的个人信息项目无须全部列出，而只需要示例说明存在自我介绍、官方英语测试成绩和大学成绩等场景。

根据韩国个人信息保护法，个人信息处理者需明确“个人信息处理目的”中描述的根据相关业务的具体处理及保留期限，如果相关法律对个人信息的保存期限有依据，则必须载明法律名称、法律规定的条款、事项、保存期限。保留期限必须具体说明，而不能抽象地说明，例如“达到目的后”。

在此项上，中国的个人信息保护实践确实是非常落后，大部分的个人信息保护规则中只会列示“目的达到后删除”，但从来不明确具体期限或者计算方式。

三是记录直接受理数据主体个人信息投诉部门的联系方式。以前，只需要输入首席隐私官（CPO）所属部门的联系信息，但今后将进行改进，还可以输入首席隐私官（CPO）负责的负责处理投诉的客户中心等相关部门的联系信息。

四是完善披露方式，适应移动应用环境的多样性。此前，处理政策必须在主页底部披露，信息主体需要向下滚动多次才能查看处理政策，带来了不便。本次改版中，公开范围除了首页之外，还扩大到“服务菜单”、“设定”、“会员注册”、“登录区域”等信息主体容易确认的区域。

第五，对行使数据主体权利的程序提供了具体指导，例如“请求传输个人信息的方法”和要求对“自动化决策”进行解释。此外，在收集和使用用于人工智能（AI）学习的数据时，建议在处理政策中明确确保透明度的标准。

最后，对行为信息的收集、使用、提供和拒绝做出了更明确的指导。特别是，它提供了数据主体行使拒绝权的方法，例如阻止cookies和定制广告。根据Chrome等主要浏览器的环境变化的设置方法也已更新。如，有关如何逐步阻止定制广告的说明，例如删除存储在网络浏览器中的cookie，删除第三方cookie，删除所有cookie等。

声明：本文来自互联网法律匠，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。