韩国在对个人信息提供充分保护的同时,也通过缔结经贸协定和修订国内法的方式允许数据的跨境流动。在国际法层面,2012年生效的《韩国-美国自由贸易协定》中已开始包含数据跨境流动的条款。在国内法层面,韩国于2023年修订《韩国个人信息保护法》,进一步细化了个人数据跨境流动规则。
韩国缔结的经贸协定中的有关规定
韩国已与欧盟、英国、中国、印度、越南、新加坡、澳大利亚、新西兰、东盟、加拿大、美国、哥伦比亚、以色列、菲律宾、柬埔寨、印度尼西亚等国家和地区签订了自由贸易协定。韩国也是《区域全面经济伙伴关系协定》的缔约方。除了传统的自由贸易协定,韩国还与新加坡缔结了数字伙伴关系协定,该协定对《韩国-新加坡自由贸易协定》中的电子商务、金融服务和例外相关的内容进行了修订。韩国也以加入的方式成为《数字经济伙伴关系协定》的缔约方。
在这些经贸协定中,韩国与美国、新加坡、阿联酋、厄瓜多尔缔结的自由贸易协定、《区域全面经济伙伴关系协定》和《数字经济伙伴关系协定》中设有数据跨境流动条款。《韩国-美国自由贸易协定》规定,缔约双方认识到信息自由流动对促进贸易的重要性以及保护个人信息的重要性,应努力避免对跨境电子信息流动施加或保持不必要的障碍,但该条款并未规定明确的权利义务。其余几项经贸协定中的数据跨境流动条款则规定得较为详细。其中,《区域全面经济伙伴关系协定》中的数据跨境流动条款又与韩国与新加坡、阿联酋、厄瓜多尔签订的自由贸易协定以及《数字经济伙伴关系协定》中的规定存在较为明显的区别。后者普遍承认缔约方对数据跨境流动的规制权,并规定不得限制以商业为目的进行的数据跨境流动,但为了实现合法的公共政策目标可以采取或维持对数据跨境流动的限制措施,同时这种措施要符合:(1)不构成任意或不合理的歧视或变相的贸易限制;(2)对信息传输施加的限制不超过实现目标所需限度。实际上,缔约方的例外措施要符合这些条件非常困难,尽管如此,《区域全面经济伙伴关系协定》还增加了为实现基本安全利益所需限制措施的规制权,且就合法公共政策和基本安全利益的判定赋予了采取措施的一方自裁权。
除了经贸协定之外,韩国先后于2021年、2022年取得了欧盟和英国的充分性认定。充分性认定允许欧盟和英国的个人数据向韩国自由流动,这意味着设有高标准个人数据保护要求的欧盟认可韩国对个人数据保护的力度。尽管韩国与欧盟、英国之间的自由贸易协定对数据跨境流动没有规定,但通过充分性认定,双方间的数据已经实现自由流动,其效果与在自由贸易协定对此予以规定是相似的。
韩国国内法中的有关规定
韩国作为适用亚太经合组织跨境隐私规则的国家,对数据跨境流动的规制主要通过认证来完成。但也在引入类似白名单国家的制度,即允许获得其个人信息保护委员会认可的,与其个人信息保护水平相当的国家进行数据跨境流动。
《韩国个人信息保护法》和施行令对个人数据跨境流动规则进行了明确。在2023年3月14日修订之前,《韩国个人信息保护法》只有一个有关个人数据跨境流动的条款,修订后的法律对该条款进一步细化,并对个人数据跨境流动规则单设一节,该节共有四个条款,即第28条之八至第28条之十一。
第28条之八第1款规定,除了下列情形之外,个人信息处理者不得向境外提供(包括查阅)、委托处理或保存(以下简称传输)个人信息:(1)获得信息主体单独同意向境外传输的;(2)韩国法律、韩国加入的条约或其他国际协定对个人信息的跨境传输有特殊规定的;(3)委托处理和存储个人信息是与信息主体签订和履行合同所必需;(4)个人信息接收者已获得个人信息保护委员会规定和告示的认证,并已采取以下所有措施的:采取必要的安全措施保护个人信息,并采取必要的措施保障信息主体的权利;在个人信息接收国实施认证事项所需要的措施;(5)个人信息保护委员会承认,个人信息接收国或国际组织的个人信息保护制度、信息主体权利保障范围和损害救济程序与《韩国个人信息保护法》规定的个人信息保护水平基本相当的。由此可以看出,韩国个人数据跨境传输的条件主要是通过认证和获得个人信息保护委员会的认可。
为了明确对各国个人信息保护水平认可的判断标准,《韩国个人信息保护法施行令》第29条之九第1款规定:个人信息保护委员会在判断个人信息接收国或国际组织的个人信息保护制度、信息主体权利保护范围和损害救济程序是否与本法规定的个人信息保护水平基本相当时,应综合考虑以下事项:(1)接收国或国际组织的法律、法规或规则是否符合本法规定的个人信息保护原则以及是否充分保障本法规定的信息主体的权利;(2)接收国或国际组织是否有独立机构负责保障和实施个人信息保护制度;(3)接收国或国际组织的公共机构(包括履行类似职责的机构)是否依法处理个人信息,以及是否具备让信息主体就此类处理造成的任何损害寻求救济的有效机制;(4)接收国或国际组织是否为信息主体提供了随时可用的救济机制以及该救济机制是否有效地保护了信息主体;(5)接收国或国际组织的监管机构是否能够与韩国个人信息保护委员会进行合作,以保护信息主体的权利;(6)确认个人信息保护水平所必需的其他事项,如接收国或国际组织的个人信息保护制度、信息主体权利的保障范围和损害救济程序等。
《韩国个人信息保护法》第28条之九规定了个人信息出境的暂停程序,如果个人信息的跨境传输仍在继续,或预计将进一步传输,且符合下列任何一项,个人信息保护委员会可责令个人信息处理者停止个人信息的跨境传输:(1)违反第28条之八的规定;(2)与本法规定的个人信息保护水平相比,个人信息的接收者、接收国或国际组织对个人信息的保护不足,因而存在对信息主体造成损害的重大风险。个人信息处理者可在收到停止个人信息传输命令之日起7日内向个人信息保护委员会提出异议。
为了明确个人信息保护委员会责令个人信息处理者停止个人信息的跨境传输时所考虑的因素,《韩国个人信息保护法施行令》第29条之十一第1款规定:在下令停止个人信息的跨境传输时,个人信息保护委员会应综合考虑以下因素:(1)已传输到境外或预计将进一步传输到境外的个人信息的类型和规模;(2)违反法律的严重程度;(3)对信息主体造成或可能造成的损害是否严重或无法弥补;(4)命令停止跨境传输是否明显比不命令停止跨境传输更符合信息主体的利益;(5)是否可以通过纠正措施来保护和防止个人信息受到侵犯;(6)个人信息接收者、接收国或国际组织是否具备有效手段让信息主体寻求损害赔偿;(7)是否有理由认为个人信息接收者、接收国或国际组织无法充分保护个人信息,例如发生了严重的侵犯个人信息的行为。
《韩国个人信息保护法》第28条之十还规定了互惠主义,即对限制个人信息跨境传输的国家的个人信息处理者,可施加与该国限制水平相称的限制。但是,如为履行条约或其他国际协定所需,则不适用此规定。
【作者系浙江立法研究院(浙江大学立法研究院)兼职研究员】