同意收集和使用个人信息的义务
收集和使用个人信息时的同意征求规定
- 欲收集和使用消费者个人信息的网上商城事业者须将下列所有事项告知给消费者并征得同意。欲变更下列任意一项时,也须告知变更事实并征得同意。(《个人信息保护法》第39条之3第1项)
√ 收集和使用个人信息的目的
√ 收集的个人信息项目
√ 保留和使用个人信息的期限
- 但,属于下列任意一项情况时,无需告知并征得同意也可以收集和使用消费者的个人信息。(《个人信息保护法》第39条之3第2项)
√ 因经济和技术方面的理由,对于为了履行网上商城商品供应合同而必要的个人信息,征得通常意义上的同意存在明显困难的情况
√ 提供网上商城商品之后,为结算费用而必要的情况
√ 《促进信息通信网使用及信息保护等相关法律》或其他法律有特别规定的情况
- 若违反此规定而未经同意收集个人信息,将被处以5年以下有期徒刑或5000万韩元以下的罚款。(《个人信息保护法》第71条
第4号之5)
收集和使用个人信息的限制
收集必要的最少量信息的义务等
- 收集消费者个人信息时,须在目的所需必要范围内,收集最少量的个人信息,且不得以不提供除最少量个人信息以外的个人信息为理由,拒绝提供相应服务。(《个人信息保护法》第16条第1项)
- 若以消费者不提供除最少量信息以外的个人信息为理由拒绝提供相应服务,将被处以3000万韩元以下的罚款。(《个人信息保护法》第75条第2项第12号之2)
禁止用于已征得同意之范围以外的用途
- 除了已征得消费者同意的范围或本人允许未经同意收集个人信息的范围以外,网上商城事业者不得以其他目的使用所收集的个人信息。(《个人信息保护法》第18条第1项)
- 若违反此规定,将被处以5年以下有期徒刑或5000万韩元以下的罚款。(《个人信息保护法》第71条第2号)
关于向第3方提供个人信息及委托处理个人信息
向第3方提供个人信息
- 网上商城事业者属于下列之一的任何情形时可以向第3方提供消费者的个人信息(包括共享,下同)。(《个人信息保护法》第17条第1项》)
1. 获得消费者同意时
2. 在收集个人信息的目的范围内提供个人信息时
- 网上商城事业者获得上述第1项同意时,须将下列所有事项告知给消费者下列事项,改变下列任何一项时都必须告知消费者并获得同意。(《个人信息保护法》第17条第2项)
· 个人信息接收者
· 个人信息接收者使用个人信息的目的
· 提供的个人信息项目
· 个人信息接收者保留和使用个人信息的期限
· 有拒绝同意的权利之事实及如拒绝时有不利内容,应告知其不利内容
- 若违反此规定,将被处以5年以下有期徒刑或5000万韩元以下的罚款。(《个人信息保护法》第71条第1号)
委托个人信息处理
- 网上商城事业者宣传财物或服务或委托销售业务时,应以书面、电子邮件、传真、电话、发短信或相应方式告知消费者委托业务的内容和受托人。委托的业务内容或受托人变更时也等同处理。(《个人信息保护法》第26条第3项及《个人信息保护法》第28条第4项)
· 网上商城事业者如不能通过上述方法将委托业务的内容和受托人告知消费者时,必须在网站上登载相关事项30天以上(《个人信息保护法施行令》第28条第5项)。
- 未告知消费者委托的业务内容和受托人而委托个人信息处理时,将被处以3000万韩元以下的罚款。(《个人信息保护法》第75条第2项第1号)
另行征求同意提供个人信息和同意委托处理个人信息等
- 网上商城事业者对于处理个人信息获得消费者同意时,应区分各种同意事项,告知消费者时使其清楚了解并逐项征求同意。(《个人信息保护法》第22条第1项)
- 网上商城事业者不得以消费者不提供所需的最基本的个人信息以外的其他个人信息为由拒绝提供该服务。这里所说的最基本的个人信息是指为履行相关服务的本质功能所必需的信息。(《个人信息保护法》第39条之3第3项)
- 违反该规定拒绝提供服务时,将被处以3000万韩元以下的罚款。(《个人信息保护法》第75条第2项第12号之2)
管理、监督以及教育个人信息处理受托者的义务
- 为防止因委托人的业务委托使得消费者的个人信息丢失、被盗、泄露、伪造、篡改或损毁,网上商城事业者应当教育受托人,检查处理现状等,监督并根据总统令规定,检查处理情况,监督受托人是否根据总统令的规定安全处理个人信息。(《个人信息保护法》第26条第4项)
因营业转让等原因转移个人信息时相关注意事项
转移个人信息时的通知义务
- 网上商城事业者因转让或合并全部或部分营业等原因将消费者的个人信息转移给他人时,须提前以书面、电子邮件、传真、电话、短信传送或以相应的方法告知消费者(《个人信息保护法》第27条第1项及《个人信息保护法施行令》第29条第1项)。
- 如违反此规定,将处以1000万韩元以下的罚款。(《个人信息保护法》第75条第4项第6号)
营业受让者等的个人信息使用范围
- 营业受让者等通过营业转让、合并等获得个人信息转移时,仅限于转移当时的目的使用或向第3方提供个人信息。(《个人信息保护法》第27条第3项)
- 若违反此规定,将处以5年以下有期徒刑或5000万韩元以下的罚款。(《个人信息保护法》第71条第2号)