• 3th APB Forum, Spring 2017

    Redressing Privacy Right Across Borders

  • Session 1. Personal Information Leakage Notifications and Damage Relief Systems in Each Country

    Personal Information Leakage and Legal Claim for Damages in Korea

    Jongsoo Yoon (Partner, Lee & Ko)

    Some of the characteristics of personal information leakage accidents can be seen through the examples of the three credit card companies and telecommunication companies in Korea. Firstly, it takes just a single unlawful act to create many victims. It is difficult for individuals to realize their personal information has been leaked and serious secondary damage can arise as a result. Additionally, victims face difficulties in proving that damage has been done. If the victim makes a claim for damages, the victim may claim proprietary damage and mental damage, but generally only mental damage is recognized. This is because it is not easy to prove proprietary damage caused by personal information leakage. Alternative Dispute Resolution (ADR) exists to protect victims of personal information leakage from these difficulties. The system applies the principle of transferring the burden of the evidence, which removes the burden on the victim to present the evidence and stipulates liability for illegal acts in personal information leakage. Furthermore, there is a personal information leakage notification system in Korea, which requires the administrator of the data to notify data subjects when personal information leakage has been recognized.

    Personal Data Breach Incidents and the Amendment of Relevant Acts

    Kaori Ishii (Professor, University of Tsukuba)

    In June 2015, Japan Pension Service was hacked and lead to 1.25 million cases of personal information leakage. This included “My Number” pension service which the Japanese government planned to introduce. The establishment of this law was criticized by Japanese citizens due to its risk of personal information leakage. New clauses were added to the “My Number Law”. One of these clauses is to notify the data subjects when personal information leakage has occurred in order to stop secondary damage. Furthermore, the Personal Information Protection Commission can track the exchange of personal information to prevent the misuse of personal information. To strengthen personal information protection, it is necessary to conduct a privacy impact assessment in advance and to notify the data subjects about the data infringement once it has happened. In addition, international cooperation is required to handle trans-border data breaches.

    Personal Information Protection Law in Singapore

    Warren Chik (Professor, Singapore Management University)

    The enforcement of personal information protection laws in Singapore occurred later compared to other countries. The data protection law was enacted in 2013, the commission was created in 2013 and the provisions of relevant laws were applied from July 2014. One of the features of Singapore’s information protection laws is that it does not recognize a right to privacy. Therefore, the word privacy does not appear in the legislation. The law focuses on the balance of economic and personal interests, not the protection of privacy rights.
    As data protection laws are about the data itself, the scope of the law and the
    definition of personal information are specified. The law cannot be applied outside of these criteria. Information collected for businesses, society, and organizations outside of personal and domestic capacities are exempt from the scope of the law. This includes personal information employees provide to businesses. Most of the personal information collected by public agencies is also exempted. There are exceptions for data intermediaries. Furthermore, digital information is a category of personal information which is defined using different criteria and must be passively collected. Data which falls under the scope of personal information must be protected and inaccurate information must be corrected.

    Data Protection Acts in Malaysia and Indonesia

    Sonny Zulhuda (Professor, International Islamic University, Malaysia)

    The Personal Data Protection Act has been enforced in Malaysia since 2010, but Indonesia does not have a comprehensive act on personal information protection. Recently, both Malaysia and Indonesia have tried to embrace the digital economy and there are institutional tasks which must be addressed. While cross-border data transfers are inevitable in the digital economy, Malaysia restricts the transfer of data to countries permitted by the Minister. On the other hand, while data transfers are possible in Indonesia, the recipient region must have a data center and disaster recovery center. In addition, while the Malaysian law does not require the notification of data breaches, the Indonesian law imposes a notification duty to data subjects. Personal information protection transcends legal jurisdictions and is also related to the establishment of mutual trust among stakeholders and the design of profits. Consequently, international cooperation for personal information protection will be the basis for economic development in the Asia-Pacific region.

  • Session 2. Cases on International Cooperation for Trans-National Damage Relief of Personal Information Leakage

    Korean Personal Information Protection in China

    Taein Jung (Head of Korea-China Internet Cooperation Center, KISA)

    To deal with personal information issues of Korean citizens in China such as information exposed and even illegally traded online, Korea-China Internet Cooperation Center was established in Beijing, China. Korea-China Internet Cooperation Center uses Korea Internet & Security Agency’s PIRST (Privacy Incident Response System) to search personal information and request the deletion of the information found. In spite of these efforts, the illegal trade of personal information continues to increase. There was an incident where Chinese fans sold and purchased the personal information of Korean citizens to vote for a Korean entertainment program. In addition, Korean IDs and passwords are traded on TaoBao, a popular Chinese website, and WeChat Messenger. As there is no legal basis to request the deletion of Korean citizens’ personal information, the center has collaborated with the Internet Society of China to deal with these incidents. The most important issue is to create a law which identifies and punishes people involved in the illegal trade of personal information. This requires government level cooperation.

    Personal Information Regulations and Risk Management in Singapore

    Rona Morgan (Asia Director, IAPP)

    Founded in 2000, the International Association of Privacy Professionals (IAPP)
    is the world’s largest independent privacy and personal information protection
    association. IAPP offers an internationally recognized education program and
    certification on personal information protection. There are currently over 30,000
    members worldwide from more than 90 countries, with a threefold increase in the past five years.
    The European Union's General Data Protection Regulation (GDPR) requires
    agencies and companies to assign data protection officers. According to a study
    by IAPP, if the GDPR is fully enforced in May 2018, this will require 28,000 data
    protection officers in Europe and approximately 1,400 data protection officers in
    Korea. In addition to these mandatory requirements, the GDPR states that data
    protection officers must prove their professional qualities. IAPP provides high-level certifications which are recognized by the GDPR such as CIPP, CIPM, and CIPT.

    Privacy Damage Relief Cases in Hong Kong

    Aki Cheung (Head of Policy & Research Division, PCPD, Hong Kong)

    There are three cases where personal information leakage accidents in Hong Kong were successfully resolved through international cooperation. The first case is when the customer database of VTech, a toy-maker in Hong Kong, was hacked in November 2015. A total of 5 million parents’ personal information and 6.6 million children’s personal information was leaked. As VTech is a multinational company, this also involved customer data from over ten other countries including the US, Canada, UK, France, and Germany. During this incident, the PCPD shared details of the data breach with these countries and mediated the interactions between these countries to assist in resolving the case. The second case is the leakage of webcam data taken from homes which was publicly displayed in August 2016. This content was leaked under Backdoored.io in the UK. Some of the video clips were filmed in Hong Kong and certain screenshots were sold. To deal with this situation, the Hong Kong PCPD asked the UK Information Commissioner’s Office for assistance and took measures to mosaic the faces of people and prevent the selling of these images. The third case of international cooperation was after laptops containing personal information of 3.8 million Hong Kong voters were stolen from the Registration and Electoral Office of the Hong Kong government. While two laptops were stolen, since these laptops had multi-layer encryption, it was impossible to decrypt and access the data. The PCPD spoke to data agencies in the UK, Canada, and Australia. Although this incident involved the theft of laptops, it was classified as a breach of data since it was caused by the lack of adequate government control.

    International Cooperation to Solve Cybercrimes

    Eunsil Lee (Investigator, Seoul Metropolitan Police Agency)

    There is an increase in cybercrimes such as DDoS, Ransomware and financial fraud. Cybercrimes are associated with many countries and require international cooperation for data collection, tracking, and arrest. In Korea, the operators of the pornographic websites Soranet and Gangnam Patch were arrested in 2016 through international cooperation. In 2017, the website of a Korean airline was defaced and three countries were asked for assistance to track the IP address. In addition to investigations involving international cooperation, government agencies and companies from various countries have cooperated to create a project in response to cybercrime. No More Ransom project was launched in 2016 as a nonprofit project which started with the Dutch National Police Agency, Europol and two global security companies. There are now over 30 countries, including the Korea National Police Agency, fighting against Ransomware (The No More Ransom Project, https: // www.nomoreransom.org/). Cybercrime is a threat to the economy; at the G7 ministerial meeting on finance in May 2017, the last day was devoted to discussing cyber security. It is necessary for nations to cooperate through bilateral agreements and simplify international cooperation procedures to respond quickly.

    은 “개인정보 보호법(이하 개인정보보호법)”  웹사이트 운영을 위해 준수해야 할 관련 법령의 개인정보 보호 규정을 준수하고 있으며, 이를 바탕으로 정보주체의 권익보호를 위해 최선을 다하고 있습니다.
    의 개인정보 처리방침은 다음과 같은 내용을 담고 있습니다.
    제1조 (개인정보의 수집 항목 및 방법)
    가. 개인정보 수집 항목
    - 필수정보 : 성명, 소속 기관, 부서명, 직위(직책), 휴대전화, 이메일주소
    나. 수집방법 : 온라인 사전 등록 신청서 작성
    제2조 (개인정보의 처리 목적)
    가.  운영
    ‘바른ICT연구소’ 행사 참가 안내, 참가 신청 확인 및 출입증 발급, 참가 확인증 발급 등  운영에 관련한 목적으로 개인정보를 처리합니다.
    나. 민원처리
    개인정보 열람, 개인정보 정정·삭제, 개인정보 처리정지 요구, 개인정보 유출사고 신고 등 개인정보와 관련된 민원처리를 목적으로 개인정보를 처리합니다.
    제3조 (개인정보의 처리 및 보유 기간)
    은 관련 법령에서 명시하고 있는 개인정보 보유ㆍ이용기간 또는 정보주체로부터 동의 받은 개인정보 보유ㆍ이용기간 내에서 개인정보를 처리ㆍ보유합니다. 각각의 개인정보 처리 및 보유 기간은 다음과 같습니다.
    가. 참가자 정보 : 참가일로부터 3년
    나. 개인정보 열람 등 요구 처리 사용자 정보 : 개인정보 열람 등 요구 접수시부터 3년
    다. 유출사고 신고 처리 사용자 정보 : 유출신고 접수 시부터 3년
    제4조 (개인정보의 제3자 제공)
    은 원칙적으로 참가신청자의 개인정보를 제3자에게 제공하지 않습니다.
    제5조 (개인정보처리 위탁)
    ① 은 원활한 개인정보 업무처리를 위하여 다음과 같이 개인정보 처리업무를 위탁하고 있습니다.
    가. 위탁받는 자 (수탁자) : ㈜이인벤션
    - 주소 : 서울시 구로구 디지털로33길 50, 301(구로동, 벽산디지털밸리 7차)
    - 전화 : 02-2630-8777
    - 근무시간 : 09:00 - 18:00
    - 위탁하는 업무의 내용 : 시스템 운영 및 유지보수, 데이터 추출 및 가공
    나. 위탁받는 자 (수탁자) : ㈜온오프믹스
    - 주소 : 서울시 서초구 신반포로 45길 22 은양빌딩 5층
    - 전화 : 02-6080-5579
    - 근무시간 : 09:00 - 18:00
    - 위탁하는 업무의 내용 : 참가자 등록 처리를 위한 데이터 추출 및 가공
    ② 은 위탁계약 시 개인정보 보호 관련 법규의 준수, 개인정보에 관한 3자 제공 금지 및 책임부담 등을 명확히 규정하여 계약내용을 보관하고 있으며, 업체 변경 시 공지사항 및 개인정보 처리방침을 통해 고지하겠습니다.
    제6조(정보주체의 권리ㆍ의무 및 행사방법)
    ① 정보주체는 에 대해 언제든지 다음 각 호의 개인정보 보호 관련 권리를 행사할 수 있습니다.
    가. 개인정보 열람요구
    나. 오류 등이 있을 경우 정정 요구
    다. 삭제요구
    라. 처리정지 요구
    ② 제1항에 따른 권리 행사는 에 대해 서면, 전화, 전자우편, 모사전송(FAX) 등을 통하여 하실 수 있으며 은 이에 대해 지체 없이 조치하겠습니다.
    ③ 정보주체가 개인정보의 오류 등에 대한 정정 또는 삭제를 요구한 경우에는 은 정정 또는 삭제를 완료할 때까지 당해 개인정보를 이용하거나 제공하지 않습니다.
    ④ 제1항에 따른 권리 행사는 정보주체의 법정대리인이나 위임을 받은 자 등 대리인을 통하여 하실 수 있습니다. 이 경우 개인정보 보호법 시행규칙 별지 제11호 서식에 따른 위임장을 제출하셔야 합니다.
    ⑤ 정보주체는 개인정보 보호법 등 관계법령을 위반하여 가 처리하고 있는 정보주체 본인이나 타인의 개인정보 및 사생활을 침해하여서는 안 됩니다.
    ⑥ 정보주체의 열람, 정정, 삭제, 처리정지 요구 거절 시 불복을 위한 이의제기 절차는 다음과 같습니다.
    ▶ 불복 사유
    - 정보공개 청구에 대한 의 열람거절
    - 정보공개 청구에 대한 의 일부열람
    - 정보공개 청구일로부터 20일 이내에 가 공개 여부를 통지 하지 않은 경우
    ▶ 처리 절차
    - 이의신청 : 열람여부의 결정 통지를 받은 날 또는 열람거절의 결정이 있는 것으로 보는 날부터 “30일” 이내 제기
    - 행정심판 : 처분이 있음을 안 날로부터 “90일” 이내 제기(처분이 있은 날로부터 180일을 경과하면 제기 불가
    - 행정소송 : 처분이 있음을 안 날로부터 “90일” 이내(처분이 있은 날로부터 1년을 경과하면 제기 불가).
    제7조(개인정보의 파기)
    ① 는 개인정보 보유기간의 경과, 처리목적 달성 등 개인정보가 불필요하게 되었을 때에는 지체 없이 해당 개인정보를 파기합니다.
    ② 정보주체로부터 동의 받은 개인정보 보유기간이 경과하거나 처리목적이 달성되었음에도 불구하고 다른 법령에 따라 개인정보를 계속 보존하여야 하는 경우에는, 해당 개인정보를 별도의 데이터베이스(DB)로 옮기거나 보관 장소를 달리하여 보존합니다.
    ③ 개인정보 파기의 절차 및 방법은 다음과 같습니다.
    가. 파기절차
    은 파기 사유가 발생한 개인정보를 선정하고, 의 개인정보 보호책임자의 승인을 받아 개인정보를 파기합니다.
    나. 파기방법
    는 전자적 파일 형태로 기록ㆍ저장된 개인정보는 기록을 재생할 수 없도록 로우레밸포멧(Low Level Format) 등의 방법을 이용하여 파기하며, 종이 문서에 기록ㆍ저장된 개인정보는 분쇄기로 분쇄하거나 소각하여 파기합니다.
    제8조(개인정보의 안전성 확보조치)
    는 개인정보의 안전성 확보를 위해 다음과 같은 조치를 취하고 있습니다.
    ① 관리적 조치 : 내부관리계획 수립ㆍ시행, 정기적 직원 교육 등
    ② 기술적 조치 : 개인정보처리시스템 등의 접근권한 관리, 접근통제시스템 설치, 보안프로그램 설치
    ③ 물리적 조치 : 자료보관실 등의 접근통제
    제9조(개인정보 보호책임자)
    ① 는 개인정보 처리에 관한 업무를 총괄해서 책임지고, 개인정보 처리와 관련한 정보주체의 불만처리 및 피해구제 등을 위하여 아래와 같이 개인정보 보호책임자를 지정하고 있습니다.
    ▶ 개인정보보호 책임자
    성명 : 김범수
    직책 : 연구소장
    연락처 : 02-2123-6694 / barunict@barunict.kr
    ② 정보주체께서는 에 참여하시면서 발생한 모든 개인정보 보호 관련 문의, 불만처리, 피해구제 등에 관한 사항을 개인정보 보호책임자 및 담당부서로 문의하실 수 있습니다. 은 정보주체의 문의에 대해 지체 없이 답변 및 처리해드릴 것입니다.
    제10조(개인정보 열람청구)
    정보주체는 개인정보 보호법 제35조에 따른 개인정보의 열람 청구를 아래의 사무국에 할 수 있습니다. 는 정보주체의 개인정보 열람청구가 신속하게 처리되도록 노력하겠습니다.
    ▶ 개인정보 열람청구 접수ㆍ처리 사무국
    부서명 : 바른ICT연구소
    연락처 : 02-2123-6694 / barunict@barunict.kr
    제11조(권익침해 구제방법)
    정보주체는 아래의 기관에 대해 개인정보 침해에 대한 피해구제, 상담 등을 문의하실 수 있습니다.
    - 아래의 기관은 과는 별개의 기관으로서, 의 자체적인 개인정보 불만처리, 피해구제 결과에 만족하지 못하시거나 보다 자세한 도움이 필요하시면 문의하여 주시기 바랍니다.
    ▶ 개인정보보호 종합지원 포털 (행정자치부 운영)
    - 소관업무 : 개인정보 침해사실 신고, 상담 신청, 자료제공
    - 홈페이지 : www.privacy.go.kr
    - 전화 : 02-2100-3394
    ▶ 개인정보 침해신고센터 (한국인터넷진흥원 운영)
    - 소관업무 : 개인정보 침해사실 신고, 상담 신청
    - 홈페이지 : privacy.kisa.or.kr
    - 전화 : (국번없이) 118
    - 주소 : (58324) 전남 나주시 진흥길 9(빛가람동 301-2) 3층 개인정보침해 신고센터
    ▶ 개인정보 분쟁조정위원회
    - 소관업무 : 개인정보 분쟁조정신청, 집단분쟁조정 (민사적 해결)
    - 홈페이지 : www.kopico.go.kr
    - 전화 : 1833-6972
    - 주소 : (03171) 서울특별시 종로구 세종대로 209 정부서울청사 4층
    ▶ 경찰청 사이버안전국
    - 소관업무 : 개인정보 침해 관련 형사사건 문의 및 신고
    - 홈페이지 : cyberbureau.police.go.kr
    - 전화 : (사이버범죄) 02-393-9112
    (경찰청 대표) 1566-0112
    제12조(개인정보 처리방침 신설)
    이 개인정보처리방침은 시행일로부터 적용되며, 법령 및 방침에 따른 변경내용의 추가, 삭제 및 정정이 있는 경우에는 가능한 변경사항의 시행 7일 전부터 공지사항을 통하여 고지할 것입니다.
    - 공고일자 : 2018년 4월 19일
    - 시행일자 : 2018년 4월 19일