दक्षिण कोरिया PIPA: डेटा सुरक्षा अनुपालन गाइड

दक्षिण कोरिया का व्यक्तिगत सूचना संरक्षण अधिनियम (PIPA - 개인정보 보호법) व्यापक रूप से दुनिया के सबसे सख्त डेटा संरक्षण कानूनों में से एक माना जाता है। दायरे में व्यापक, तकनीकी आवश्यकताओं में विस्तृत, और व्यक्तिगत सूचना संरक्षण आयोग (PIPC - 개인정보보호위원회) द्वारा आक्रामक रूप से लागू, PIPA का दक्षिण कोरिया के अत्यधिक डिजीटल बाजार में काम करने वाले या उसकी सेवा करने वाले किसी भी व्यवसाय के लिए महत्वपूर्ण निहितार्थ हैं।

2011 में अधिनियमित और 2023 में काफी हद तक संशोधित, PIPA अब अंतर्राष्ट्रीय मानकों के साथ अधिक निकटता से संरेखित होता है - जिसमें EU के GDPR भी शामिल है - जबकि कोरिया संचार आयोग (KCC) और कोरिया इंटरनेट और सुरक्षा एजेंसी (KISA) की गोपनीयता प्रवर्तन भूमिकाओं के एकीकरण के बाद PIPC के तहत अनिवार्य एन्क्रिप्शन आवश्यकताओं, विशिष्ट तकनीकी मानकों और एक एकीकृत प्रवर्तन संरचना जैसी विशिष्ट कोरियाई विशेषताओं को बनाए रखा जाता है।

मुख्य बातें

• PIPA दक्षिण कोरिया में बाह्य-क्षेत्रीय दायरे के साथ व्यक्तिगत जानकारी संसाधित करने वाली सभी सार्वजनिक और निजी संस्थाओं पर लागू होता है
• संवेदनशील जानकारी (बायोमेट्रिक्स, स्वास्थ्य, आपराधिक रिकॉर्ड, स्थान, आदि) के लिए स्पष्ट सहमति की आवश्यकता होती है - सहमति मानक अधिकांश अन्य न्यायक्षेत्रों की तुलना में सख्त है
• गोपनीयता नीति को सार्वजनिक रूप से पोस्ट किया जाना चाहिए और PIPC वार्षिक ऑडिट मार्गदर्शन द्वारा अनुमोदित किया जाना चाहिए
• डेटा उल्लंघन की सूचना पीआईपीसी को 72 घंटे (कुछ घटनाओं के लिए 5 दिन) के भीतर आवश्यक है
• सहमति, संविदात्मक सुरक्षा उपायों या पर्याप्तता निर्धारण के बिना सीमा पार स्थानांतरण निषिद्ध है
• PIPC कुल राजस्व का 3% तक जुर्माना लगा सकती है; 5 साल तक की कैद की आपराधिक सजा
• अनिवार्य तकनीकी मानक: विशिष्ट एन्क्रिप्शन एल्गोरिदम (संवेदनशील डेटा के लिए एईएस-256), अभिगम नियंत्रण आवश्यकताएं, छद्मनामीकरण मार्गदर्शन
• दक्षिण कोरियाई उपयोगकर्ताओं वाले विदेशी ऑपरेटरों को एक स्थानीय प्रतिनिधि नियुक्त करना होगा

---

PIPA फ्रेमवर्क और दायरा

कवरेज

PIPA इस पर लागू होता है:

• व्यक्तिगत सूचना प्रोसेसर: कोई भी सार्वजनिक संस्थान, निगम, संगठन या व्यक्ति जो व्यावसायिक उद्देश्यों के लिए व्यक्तिगत जानकारी संसाधित करता है
• सार्वजनिक क्षेत्र (सरकारी एजेंसियां) और निजी क्षेत्र की संस्थाएं दोनों
• विदेशी ऑपरेटर: दक्षिण कोरिया में स्थापित नहीं की गई संस्थाएं जो दक्षिण कोरियाई निवासियों को सामान या सेवाएं प्रदान करती हैं, या जो दक्षिण कोरियाई निवासियों के व्यवहार की निगरानी करती हैं (अनुच्छेद 2 और 39-11)

यह बाह्यक्षेत्रीय दायरा - 2023 के संशोधनों में जोड़ा गया - जीडीपीआर अनुच्छेद 3(2) को प्रतिबिंबित करता है और विदेशी ऑपरेटरों को एक दक्षिण कोरियाई प्रतिनिधि को नामित करने की आवश्यकता होती है।

व्यक्तिगत सूचना परिभाषा

PIPA के तहत व्यक्तिगत जानकारी (개인정보) का अर्थ किसी जीवित व्यक्ति के बारे में जानकारी है जो उस व्यक्ति की पहचान की अनुमति देती है (अन्य जानकारी के साथ संयोजन सहित), जिसमें शामिल हैं:

• नाम, पंजीकरण संख्या (주민등록번호), छवि
• ऐसी जानकारी जिसे किसी व्यक्ति की पहचान करने के लिए अन्य जानकारी के साथ आसानी से जोड़ा जा सकता है

छद्मनाम जानकारी (가명정보): व्यक्तिगत जानकारी को इस तरह से संसाधित किया जाता है कि अतिरिक्त जानकारी के बिना पहचान असंभव हो जाती है। विशिष्ट प्रतिबंधों के अधीन, सहमति के बिना सांख्यिकीय संकलन, अनुसंधान और संग्रह के लिए उपयोग किया जा सकता है।

गुमनाम जानकारी: ऐसी जानकारी जिसे किसी भी परिस्थिति में दोबारा पहचाना नहीं जा सकता - अब यह व्यक्तिगत जानकारी नहीं है और PIPA के दायरे से बाहर है।

---

संवेदनशील जानकारी

PIPA सीमित अपवादों के साथ, संग्रह और उपयोग के लिए स्पष्ट सहमति की आवश्यकता के रूप में संवेदनशील जानकारी (민감정보) को परिभाषित करता है। श्रेणियों में शामिल हैं:

• विचारधारा, विश्वास
• श्रमिक संघों या राजनीतिक दलों में शामिल होना या छोड़ना
• राजनीतिक राय
• स्वास्थ्य और चिकित्सा संबंधी जानकारी
• यौन जीवन और यौन रुझान
• पिछले आपराधिक रिकॉर्ड (अपराध और सजा)
• बायोमेट्रिक जानकारी जो व्यक्तियों की पहचान कर सकती है
• नस्लीय या जातीय पृष्ठभूमि
• वित्तीय जानकारी (खाता संख्या, कार्ड नंबर - विशेष पहचान की आवश्यकता वाली विशिष्ट पहचान जानकारी के रूप में वर्गीकृत)

निवासी पंजीकरण संख्या (주민등록번호 - कोरियाई राष्ट्रीय आईडी): उच्चतम सुरक्षा के साथ व्यवहार किया जाता है। संग्रह आम तौर पर निषिद्ध है, सिवाय इसके कि जहां कानून द्वारा स्पष्ट रूप से अनुमति दी गई हो। तीसरे पक्ष को प्रसंस्करण और प्रावधान सख्ती से विनियमित हैं। यह विश्व स्तर पर सबसे सख्त राष्ट्रीय आईडी नंबर सुरक्षाओं में से एक है।

---

व्यक्तिगत जानकारी के प्रसंस्करण के लिए कानूनी आधार

PIPA का अनुच्छेद 15 व्यक्तिगत जानकारी एकत्र करने और उपयोग करने के लिए पाँच कानूनी आधार प्रदान करता है:

1. डेटा विषय की पूर्व सहमति
2. कानून के विशेष प्रावधान, या कानूनी दायित्वों का पालन करने के लिए आवश्यक
3. डेटा विषय या किसी तीसरे पक्ष के स्पष्ट और महत्वपूर्ण हित जहां पूर्व सहमति प्राप्त करना संभव नहीं है (महत्वपूर्ण हित)
4. सार्वजनिक संस्थानों के लिए कानूनों और विनियमों द्वारा प्रदत्त कार्यों को करना आवश्यक
5. व्यक्तिगत सूचना प्रोसेसर के वैध हित - जहां उचित दायरे के भीतर, प्रोसेसर के वैध हितों के लिए प्रसंस्करण स्पष्ट रूप से आवश्यक है

सहमति आवश्यकताएँ:

• सूचित: डेटा विषय को एकत्र की गई वस्तुओं, उद्देश्य, अवधारण अवधि और परिणामों के साथ सहमति रोकने का अधिकार बताया जाना चाहिए
• स्वैच्छिक: वैकल्पिक प्रसंस्करण के लिए सहमति पर वस्तुओं/सेवाओं के प्रावधान की शर्त नहीं लगाई जा सकती
• विशिष्ट: प्रत्येक उद्देश्य के लिए अलग सहमति
• लिखित प्रमाण: सहमति का साक्ष्य बनाए रखें

---

गोपनीयता नीति आवश्यकताएँ

अनुच्छेद 30 में व्यक्तिगत सूचना संसाधकों को गोपनीयता नीति (개인정보 처리방침) बनाने और सार्वजनिक रूप से पोस्ट करने की आवश्यकता होती है। आवश्यक सामग्री:

• संसाधित की गई व्यक्तिगत जानकारी की वस्तुएं
• प्रसंस्करण का उद्देश्य
• अवधारण अवधि (विनाश अवधि)
• यदि तीसरे पक्ष को प्रदान किया जाता है, तो तीसरे पक्ष का विवरण, प्रदान की गई वस्तुएं, उद्देश्य और अवधारण अवधि
• प्रसंस्करण (प्रोसेसर) की जिम्मेदारी से संबंधित मामले
• डेटा विषयों के अधिकार और दायित्व और उनका प्रयोग कैसे करें
• व्यक्तिगत जानकारी की सुरक्षा सुनिश्चित करने के लिए उपाय किए गए
• व्यक्तिगत सूचना संरक्षण अधिकारी का नाम और संपर्क जानकारी (पीआईपीओ - 개인정보 보호책임자)
• डेटा विषय अधिकार अनुरोधों को संभालने वाला विभाग
• किसी भी विदेशी स्थानांतरण की जानकारी
• स्वचालित संग्रह उपकरण (कुकीज़)

गोपनीयता नीति अद्यतन: परिवर्तनों को पहले से सूचित किया जाना चाहिए। पीआईपीसी मॉडल गोपनीयता नीति दिशानिर्देश और वार्षिक मूल्यांकन प्रदान करता है - न्यूनतम मानक से नीचे स्कोर करने वाली कंपनियों को सुधार सिफारिशें प्राप्त होती हैं।

---

व्यक्तिगत सूचना संरक्षण अधिकारी (पीआईपीओ)

अनुच्छेद 31 में सभी व्यक्तिगत सूचना संसाधकों को एक व्यक्तिगत सूचना संरक्षण अधिकारी (개인정보 보호책임자) नामित करने की आवश्यकता है। पीआईपीओ को यह करना होगा:

• गोपनीयता के लिए अधिकार और जिम्मेदारी वाला एक वरिष्ठ कार्यकारी बनें
• व्यक्तिगत जानकारी प्रबंधन के बारे में शिकायतें प्राप्त करें और उन पर कार्रवाई करें
• अनुपालन की निगरानी करें
• प्रशिक्षण और जागरूकता का प्रबंधन करें
• गोपनीयता जोखिम मूल्यांकन का संचालन करें

पीआईपीओ के लिए मानदंड: संगठन में पर्याप्त अधिकार होना चाहिए - केवल नाममात्र पदनाम नहीं। पीआईपीओ के पास तकनीकी उपायों को निर्देशित करने, सभी व्यक्तिगत सूचना प्रणालियों तक पहुंचने और नेतृत्व के साथ सीधे संवाद करने का अधिकार होना चाहिए।

विदेशी ऑपरेटर: पीआईपीओ कार्यों के लिए जिम्मेदार दक्षिण कोरिया में एक घरेलू प्रतिनिधि को नियुक्त करना होगा।

---

तकनीकी और सुरक्षा आवश्यकताएँ

PIPA और इसके कार्यान्वयन नियम (व्यक्तिगत सूचना सुरक्षा उपाय मानक - 개인정보의 안전성 확보조치 기준) विस्तृत तकनीकी आवश्यकताओं को निर्दिष्ट करते हैं - विश्व स्तर पर सबसे अधिक अनुदेशात्मक में से एक:

एन्क्रिप्शन आवश्यकताएँ:

• पासवर्ड: एक-तरफ़ा एन्क्रिप्शन एल्गोरिदम का उपयोग करके एन्क्रिप्ट किया जाना चाहिए; सादा पाठ भंडारण निषिद्ध है
• निवासी पंजीकरण संख्या, बायोमेट्रिक, वित्तीय जानकारी: एईएस-256 या समकक्ष का उपयोग करके एन्क्रिप्ट किया जाना चाहिए
• ट्रांसमिशन एन्क्रिप्शन: नेटवर्क पर प्रसारित सभी व्यक्तिगत जानकारी के लिए टीएलएस/एसएसएल आवश्यक है
• मोबाइल डिवाइस भंडारण: मोबाइल उपकरणों पर व्यक्तिगत जानकारी के लिए एन्क्रिप्शन आवश्यक है

पहुँच नियंत्रण आवश्यकताएँ:

• अद्वितीय उपयोगकर्ता आईडी; साझा खाते प्रतिबंधित
• कार्य आवश्यकता पर आधारित अभिगम नियंत्रण (न्यूनतम विशेषाधिकार)
• वेब सेवाओं के लिए अधिकतम 30 मिनट की निष्क्रियता के बाद सत्र का समय समाप्त
• 5 असफल लॉगिन प्रयासों के बाद खाता लॉकआउट
• व्यक्तिगत सूचना प्रणालियों तक प्रशासनिक पहुंच के लिए दो-कारक प्रमाणीकरण आवश्यक है

एक्सेस लॉग प्रबंधन:

• व्यक्तिगत जानकारी डेटाबेस तक सभी पहुंच को लॉग किया जाना चाहिए
• लॉग में शामिल होना चाहिए: एक्सेस आईडी, दिनांक और समय, ऑपरेशन का प्रकार (बनाएं, पढ़ें, अपडेट करें, हटाएं)
• लॉग को कम से कम 1 वर्ष (संवेदनशील और स्वास्थ्य जानकारी के लिए 3 वर्ष) तक बनाए रखा जाना चाहिए
• लॉग को छेड़छाड़ से बचाया जाना चाहिए; विसंगति का पता लगाना कार्यान्वित किया गया

नेटवर्क पृथक्करण:

• 100,000 से अधिक व्यक्तियों की व्यक्तिगत जानकारी संभालने वाले या संवेदनशील जानकारी संसाधित करने वाले प्रोसेसर के लिए, इंटरनेट-फेसिंग सिस्टम और आंतरिक व्यक्तिगत सूचना सिस्टम के बीच नेटवर्क पृथक्करण आवश्यक है
• फ़ायरवॉल कॉन्फ़िगरेशन को दस्तावेज़ीकृत किया जाना चाहिए

संवेदनशीलता प्रबंधन:

• ऑपरेटिंग सिस्टम और प्रमुख सॉफ्टवेयर के लिए विक्रेता द्वारा जारी किए जाने के 6 महीने के भीतर सुरक्षा पैच लागू किए जाते हैं
• कम से कम वार्षिक रूप से सुरक्षा भेद्यता आकलन

---

डेटा विषय अधिकार

PIPA डेटा विषयों को अधिकार प्रदान करता है जिन्हें एक निर्दिष्ट अवधि के भीतर पूरा किया जाना चाहिए:

---

सीमा पार डेटा स्थानांतरण

अनुच्छेद 28-8 (2023 संशोधन) अंतर्राष्ट्रीय डेटा स्थानांतरण को नियंत्रित करता है:

अनुमत तंत्र:

1. सहमति: प्रकटीकरण के बाद स्पष्ट, पूर्व सहमति: प्राप्तकर्ता की जानकारी, स्थानांतरण उद्देश्य, हस्तांतरित आइटम, प्रतिधारण अवधि, और इनकार अधिकारों के बारे में जानकारी
2. पर्याप्तता निर्धारण: पीआईपीसी द्वारा पर्याप्त सुरक्षा वाले देशों में स्थानांतरण
3. मानक संविदात्मक धाराएँ: विदेशी प्राप्तकर्ता के साथ पीआईपीसी-अनुमोदित एससीसी का उपयोग
4. बाध्यकारी कॉर्पोरेट नियम: इंट्राग्रुप ट्रांसफर के लिए पीआईपीसी द्वारा अनुमोदित
5. संविदा संबंधी आवश्यकता: डेटा विषय के साथ अनुबंध के लिए स्थानांतरण आवश्यक है
6. कानूनी दायित्व: संधि या अंतर्राष्ट्रीय समझौते द्वारा आवश्यक

PIPC पर्याप्तता सूची: PIPC पर्याप्त देशों की अपनी सूची विकसित कर रही है। वर्तमान में, यूरोपीय संघ का दक्षिण कोरिया के साथ पारस्परिक पर्याप्तता संबंध है। जापान चर्चा में है.

सहमति-आधारित हस्तांतरण के लिए अधिसूचना आवश्यकताएँ: सहमति प्राप्त करने से पहले अनिवार्य प्रकटीकरण में शामिल हैं: विदेशी देश का नाम, प्राप्तकर्ता का नाम और संपर्क, स्थानांतरण का उद्देश्य, स्थानांतरित की गई वस्तुएं, प्रतिधारण/उपयोग की अवधि, और सहमति से इनकार करने और परिणामों के बारे में जानकारी।

---

उल्लंघन अधिसूचना

अनुच्छेद 34 में व्यक्तिगत जानकारी के नुकसान, चोरी या रिसाव का पता चलने पर अधिसूचना की आवश्यकता है:

पीआईपीसी को अधिसूचना (अनुच्छेद 34(3)): व्यक्तिगत जानकारी की हानि, चोरी, या रिसाव होने पर आवश्यक - 72 घंटों के भीतर ऐसी घटनाओं के लिए:

• 1,000 या अधिक डेटा विषय
• संवेदनशील जानकारी या विशिष्ट पहचान संबंधी जानकारी
• कोई भी राशि जहां प्रणालीगत उल्लंघन का संदेह हो

अन्य घटनाओं के लिए: 5 व्यावसायिक दिनों के भीतर डेटा सुरक्षा प्राधिकरण (KISA PIPC की ओर से एक रिपोर्टिंग पोर्टल संचालित करता है) को अधिसूचना।

व्यक्तिगत अधिसूचना (अनुच्छेद 34(1)): हानि, चोरी, या रिसाव होने पर बिना किसी देरी के आवश्यक। शामिल होना चाहिए:

• व्यक्तिगत जानकारी के आइटम जो खो गए, चोरी हो गए, या लीक हो गए
• घटना का समय (यदि ज्ञात हो)
• कार्रवाई डेटा विषय कर सकते हैं
• व्यक्तिगत सूचना संसाधक के लिए संपर्क जानकारी

PIPC को अधिसूचना: PIPC/KISA घटना रिपोर्ट पोर्टल (privacy.go.kr) का उपयोग करें।

---

पीआईपीसी प्रवर्तन और दंड

व्यक्तिगत सूचना संरक्षण आयोग (पीआईपीसी) को 2020 में एक स्वतंत्र आयोग के रूप में मजबूत किया गया और 2023 के संशोधनों में और अधिक सशक्त बनाया गया।

प्रशासनिक दंड:

• वैध आधार के बिना एकत्र की गई व्यक्तिगत जानकारी, या तीसरे पक्ष को अनधिकृत प्रावधान से जुड़े उल्लंघनों के लिए कुल बिक्री/राजस्व का 3% तक जुर्माना
• तकनीकी सुरक्षा उपायों के गंभीर उल्लंघन के लिए कुल बिक्री का 3% तक जुर्माना
• सुधारात्मक आदेश: पीआईपीसी परिचालन परिवर्तन, डेटा विनाश, सार्वजनिक नोटिस का आदेश दे सकता है

आपराधिक दंड (अनुच्छेद 70-74):

• सहमति के बिना व्यक्तिगत जानकारी एकत्र करना: 5 साल तक की कैद + ₩50 मिलियन तक का जुर्माना
• सहमति के बिना तीसरे पक्ष को सामग्री प्रदान करना: 5 साल तक की कैद + ₩50 मिलियन तक का जुर्माना
• निवासी पंजीकरण संख्या प्रसंस्करण निषेध का उल्लंघन: 5 साल तक की कैद + ₩100 मिलियन तक का जुर्माना
• डेटा ब्रोकर उल्लंघन: 10 साल तक की कैद

हाल ही में प्रवर्तन: पीआईपीसी ने सहमति के बिना संवेदनशील जानकारी एकत्र करने के लिए 2022 में मेटा पर 6.7 बिलियन ($5 मिलियन) का जुर्माना लगाया। सैमसंग इलेक्ट्रॉनिक्स को कई पीआईपीसी मार्गदर्शन कार्रवाइयां प्राप्त हुईं। डेटा प्रबंधन प्रथाओं के लिए काकाओ की जांच की गई थी। प्रवर्तन सक्रिय है और विस्तार कर रहा है।

---

PIPA अनुपालन चेकलिस्ट

• विदेशी ऑपरेटर स्थिति सहित PIPA प्रयोज्यता की पुष्टि की गई
• दक्षिण कोरियाई प्रतिनिधि नामित (विदेशी ऑपरेटर)
• संवेदनशील सूचना पहचान सहित व्यक्तिगत सूचना सूची पूरी की गई
• निवासी पंजीकरण संख्या के उपयोग का मूल्यांकन किया गया - जब तक कानूनी रूप से आवश्यक न हो, संग्रह समाप्त कर दिया गया
• प्रत्येक प्रसंस्करण गतिविधि के लिए कानूनी आधार प्रलेखित
• सहमति प्रपत्रों की समीक्षा की गई: विशिष्ट, सूचित, स्वैच्छिक, प्रत्येक उद्देश्य अलग
• गोपनीयता नीति सभी आवश्यक तत्वों के साथ वेबसाइट पर प्रकाशित की गई
• पीआईपीओ नामित: उपयुक्त प्राधिकारी के साथ वरिष्ठ कार्यकारी
• पहुंच नियंत्रण लागू किया गया: अद्वितीय आईडी, सत्र टाइमआउट (30 मिनट), 5 विफलताओं के बाद लॉकआउट
• एन्क्रिप्शन लागू किया गया: संवेदनशील/बायोमेट्रिक/वित्तीय डेटा के लिए एईएस-256; ट्रांसमिशन के लिए टीएलएस; पासवर्ड के लिए एकतरफ़ा
• एक्सेस लॉग सक्षम और कॉन्फ़िगर किए गए (न्यूनतम 1 वर्ष, संवेदनशील के लिए 3 वर्ष बनाए रखें)
• 100,000+ व्यक्तियों को संसाधित करने पर नेटवर्क पृथक्करण लागू किया गया
• डेटा विषय अधिकार प्रक्रियाएं: पहुंच/सुधार/निलंबन के लिए 10-दिवसीय प्रतिक्रिया
• विदेशी स्थानांतरण के लिए सीमा-पार स्थानांतरण तंत्र मौजूद है
• पीआईपीसी को 72 घंटे की उल्लंघन अधिसूचना प्रक्रिया
• व्यक्तिगत उल्लंघन अधिसूचना प्रक्रिया प्रलेखित
• पीआईपीए दायित्वों पर कर्मचारी प्रशिक्षण पूरा हुआ
• वार्षिक भेद्यता मूल्यांकन निर्धारित

---

अक्सर पूछे जाने वाले प्रश्न

पीआईपीए को विश्व स्तर पर सबसे सख्त डेटा संरक्षण कानूनों में से एक क्यों माना जाता है?

PIPA व्यापक दायरे (छोटे व्यवसायों सहित सभी संस्थाओं पर लागू), सख्त सहमति आवश्यकताओं (स्पष्ट, उद्देश्य-विशिष्ट, स्वैच्छिक), अनुदेशात्मक तकनीकी मानकों (अनिवार्य एन्क्रिप्शन एल्गोरिदम, विशिष्ट एक्सेस लॉग आवश्यकताओं, नेटवर्क पृथक्करण), मजबूत प्रवर्तन (10 साल तक आपराधिक दंड, राजस्व का 3% का प्रशासनिक जुर्माना), और राष्ट्रीय निवासी पंजीकरण संख्या का उपयोग करने पर प्रतिबंध को जोड़ती है - दुनिया में सबसे सख्त राष्ट्रीय आईडी सुरक्षा में से एक। पीआईपीसी ने प्रमुख घरेलू और विदेशी कंपनियों पर जुर्माना लगाने की इच्छा प्रदर्शित की है। इसके अतिरिक्त, PIPA के विस्तृत कार्यान्वयन नियम जीडीपीआर के सिद्धांत-आधारित ढांचे की तुलना में वैकल्पिक अनुपालन दृष्टिकोण के लिए कम जगह छोड़ते हैं।

पीआईपीए के तहत विशिष्ट एन्क्रिप्शन आवश्यकताएं क्या हैं?

PIPA कार्यान्वयन नियम (व्यक्तिगत सूचना सुरक्षा उपाय मानक) निर्दिष्ट करते हैं: (1) पासवर्ड को एक-तरफ़ा हैश फ़ंक्शन (bcrypt, Argon2, या अनुमोदित एल्गोरिदम) का उपयोग करके संग्रहीत किया जाना चाहिए - सादा पाठ या प्रतिवर्ती एन्क्रिप्शन निषिद्ध है; (2) संवेदनशील जानकारी, निवासी पंजीकरण संख्या, बायोमेट्रिक जानकारी और वित्तीय खाता संख्या को भंडारण के लिए न्यूनतम एईएस-128 (एईएस-256 अनुशंसित) का उपयोग करके एन्क्रिप्ट किया जाना चाहिए; (3) नेटवर्क पर प्रसारित सभी व्यक्तिगत जानकारी को टीएलएस 1.2 या उच्चतर का उपयोग करना चाहिए; (4) मोबाइल उपकरणों पर व्यक्तिगत जानकारी एन्क्रिप्ट की जानी चाहिए; (5) क्लाउड-आधारित सिस्टम के लिए, एंड-टू-एंड एन्क्रिप्शन की सिफारिश की जाती है।

2023 पीआईपीए संशोधन के तहत छद्म नाम की जानकारी क्या है?

छद्मनाम जानकारी (가명정보) को 2020 के संशोधन (प्रभावी 2023) में व्यक्तिगत जानकारी और अज्ञात जानकारी के बीच एक श्रेणी के रूप में पेश किया गया था। यह संसाधित की गई व्यक्तिगत जानकारी को संदर्भित करता है ताकि अतिरिक्त जानकारी के उपयोग के बिना किसी विशिष्ट व्यक्ति की पहचान न की जा सके, जिसे सुरक्षा उपायों के साथ अलग से रखा जाता है। छद्म नाम वाली जानकारी का उपयोग सांख्यिकीय संकलन, वैज्ञानिक अनुसंधान, या सार्वजनिक रिकॉर्ड के संरक्षण के लिए सहमति के बिना किया जा सकता है - गोपनीयता जोखिम को कम करते हुए डेटा विश्लेषण को सक्षम करना। प्रोसेसर्स को: अतिरिक्त जानकारी (मैपिंग टेबल) को अलग और सुरक्षित रूप से रखना होगा; पुन: पहचान के प्रयासों पर रोक लगाएं; छद्मनामीकरण के रिकॉर्ड बनाए रखना; तकनीकी और प्रशासनिक सुरक्षा उपाय लागू करें।

पीआईपीए का "वैध हित" आधार कैसे काम करता है?

PIPA (अनुच्छेद 15(1)(6)) के तहत वैध हितों का आधार 2023 के संशोधन में पेश किया गया था। यह डेटा विषयों के अधिकारों को नजरअंदाज किए बिना, जहां प्रोसेसर के वैध हितों के लिए स्पष्ट रूप से आवश्यक है, प्रसंस्करण की अनुमति देता है। यह जीडीपीआर के वैध हितों को प्रतिबिंबित करता है लेकिन संकीर्ण अनुप्रयोग के साथ - पीआईपीए का विधायी इतिहास इंगित करता है कि इसका उपयोग सहमति के स्थान पर सामान्य प्रयोजन के आधार के बजाय आकस्मिक, पूरक प्रसंस्करण के लिए किया जाना चाहिए। प्रोसेसर को वैध हितों का दस्तावेजीकरण करना होगा, यह आकलन करना होगा कि क्या यह डेटा विषयों के हितों को ओवरराइड करता है, और सुरक्षा उपायों को लागू करना चाहिए। संवेदनशील जानकारी वैध हितों के तहत एकत्र/उपयोग नहीं की जा सकती - इसके लिए स्पष्ट सहमति या विशिष्ट कानूनी प्राधिकरण की आवश्यकता होती है।

डेटा उल्लंघन के लिए पीआईपीसी को 72 घंटे की अधिसूचना की आवश्यकता क्या है?

72 घंटे की अधिसूचना आवश्यकता तब लागू होती है जब: (1) 1,000 या अधिक डेटा विषय हानि, चोरी, या रिसाव से प्रभावित होते हैं; (2) संवेदनशील जानकारी या विशिष्ट पहचान जानकारी (निवासी पंजीकरण संख्या, पासपोर्ट संख्या, चालक का लाइसेंस संख्या, विदेशी पंजीकरण संख्या) किसी भी उल्लंघन में शामिल है; (3) उल्लंघन प्रणालीगत प्रतीत होता है (व्यापक भेद्यता का सुझाव देता है)। अन्य उल्लंघनों (गैर-संवेदनशील डेटा वाले 1,000 से कम व्यक्तियों को प्रभावित करने वाले) के लिए 5 व्यावसायिक दिनों के भीतर अधिसूचना की आवश्यकता होती है। अधिसूचना PIPC/KISA रिपोर्टिंग पोर्टल (privacy.go.kr) के माध्यम से दर्ज की जानी चाहिए। पैमाने की परवाह किए बिना व्यक्तिगत अधिसूचना आवश्यक है - उल्लंघन का पता चलने पर तुरंत।

---

अगले चरण

दक्षिण कोरिया का PIPA एक मांगलिक अनुपालन ढांचा है जिसके लिए संगठनात्मक प्रक्रियाओं और तकनीकी बुनियादी ढांचे दोनों में निवेश की आवश्यकता होती है। दक्षिण कोरियाई बाजार में प्रवेश करने वाले या मौजूदा कोरिया परिचालन का विस्तार करने वाले व्यवसायों के लिए, शुरू से ही अपने सिस्टम आर्किटेक्चर में PIPA अनुपालन बनाना - विशेष रूप से एन्क्रिप्शन आवश्यकताओं और एक्सेस लॉगिंग - रेट्रोफिटिंग की तुलना में काफी अधिक कुशल है।

ECOSIRE की प्रौद्योगिकी कार्यान्वयन टीम PIPA-संगत आर्किटेक्चर को डिजाइन करने, आवश्यक विशिष्ट तकनीकी मानकों को लागू करने और दक्षिण कोरियाई बाजार के लिए उपयुक्त गोपनीयता प्रबंधन प्रक्रियाओं का निर्माण करने में मदद कर सकती है।

और जानें: ECOSIRE सेवाएँ

अस्वीकरण: यह मार्गदर्शिका केवल सूचनात्मक उद्देश्यों के लिए है और इसमें कानूनी सलाह शामिल नहीं है। PIPA में महत्वपूर्ण रूप से संशोधन किया गया है और इसका विकास जारी है। अपने संगठन के लिए विशिष्ट सलाह के लिए योग्य कोरियाई कानूनी सलाहकार से परामर्श लें।