[经济日报] 韩国企业因个人信息泄露而面临的惩罚性罚款将大幅增加，最高可达企业营业额的10%。个人信息保护委员会宣布，修订后的《个人信息保护法》将于3月10日公布，并于9月11日正式实施。公共和私营机构的信息安全管理体系（ISMS-P）认证要求将于2027年7月1日生效。

此次修订旨在遏制近年来频发的大规模信息泄露事件。新法案将企业治理结构调整为“安全优先”，并引入惩罚性罚款制度。对于重复或重大违规行为，罚款上限从原来的3%提高到10%，超过了欧盟GDPR的4%上限。

“重大违规”的标准包括：三年内故意或重大过失的重复违规，导致1000万人以上受影响，或未执行整改命令导致泄露。此举对全球科技巨头及国内大型平台和电信公司构成重大风险。

◆ 即使仅有“泄露可能性”也需立即通知，勒索软件攻击也包括在内

企业的应对手册将全面更新。过去，企业通常在确认泄露后才通知用户，导致损失扩大。新规要求在发现泄露可能性时立即通知用户，以便他们及时采取措施。勒索软件攻击等导致的信息篡改和损坏也需报告和通知。企业在通知用户时，必须提供具体的损害赔偿和争议解决途径。

修订法案还规定，CEO为个人信息处理和保护的最终责任人，明确管理和监督义务。首席个人信息官（CPO）的地位也将大幅提升，企业在指定或解雇CPO时需经董事会决议并向个人信息保护委员会报告。CPO将拥有管理专业人员和预算的权力，并需直接向代表和董事会报告。

企业界对此高度关注，并开始重建安全体系。修订案规定，若企业能证明其在信息保护上的预防性投资，罚款将酌情减免。安全行业专家预计，此次修订将推动信息安全市场的快速发展，尤其是2027年起主要机构的ISMS-P认证将成为强制要求。

预计今年9月将成为韩国产业界从“通过数据收集获利”转向“通过安全数据管理建立信任”的关键转折点。

• #个人信息保护法
• #个人信息保护委员会
• #信息泄露
• #勒索软件
• #数据治理
• #管理责任
• #营业额10%
• #信息安全
• #安全投资
• #董事会决议
• #损害赔偿
• #网络犯罪
• #欧洲GDPR
• #危机管理
• #惩罚性罚款
• #CPO
• #首席个人信息官
• #ISMS-P
• #治理结构
• #合规