हमारी Compliance & Regulation श्रृंखला का हिस्सा
पूरी गाइड पढ़ेंदक्षिण कोरिया का व्यक्तिगत सूचना संरक्षण अधिनियम (PIPA - 개인정보 보호법) व्यापक रूप से दुनिया के सबसे सख्त डेटा संरक्षण कानूनों में से एक माना जाता है। दायरे में व्यापक, तकनीकी आवश्यकताओं में विस्तृत, और व्यक्तिगत सूचना संरक्षण आयोग (PIPC - 개인정보보호위원회) द्वारा आक्रामक रूप से लागू, PIPA का दक्षिण कोरिया के अत्यधिक डिजीटल बाजार में काम करने वाले या उसकी सेवा करने वाले किसी भी व्यवसाय के लिए महत्वपूर्ण निहितार्थ हैं।
2011 में अधिनियमित और 2023 में काफी हद तक संशोधित, PIPA अब अंतर्राष्ट्रीय मानकों के साथ अधिक निकटता से संरेखित होता है - जिसमें EU के GDPR भी शामिल है - जबकि कोरिया संचार आयोग (KCC) और कोरिया इंटरनेट और सुरक्षा एजेंसी (KISA) की गोपनीयता प्रवर्तन भूमिकाओं के एकीकरण के बाद PIPC के तहत अनिवार्य एन्क्रिप्शन आवश्यकताओं, विशिष्ट तकनीकी मानकों और एक एकीकृत प्रवर्तन संरचना जैसी विशिष्ट कोरियाई विशेषताओं को बनाए रखा जाता है।
मुख्य बातें
- PIPA दक्षिण कोरिया में बाह्य-क्षेत्रीय दायरे के साथ व्यक्तिगत जानकारी संसाधित करने वाली सभी सार्वजनिक और निजी संस्थाओं पर लागू होता है
- संवेदनशील जानकारी (बायोमेट्रिक्स, स्वास्थ्य, आपराधिक रिकॉर्ड, स्थान, आदि) के लिए स्पष्ट सहमति की आवश्यकता होती है - सहमति मानक अधिकांश अन्य न्यायक्षेत्रों की तुलना में सख्त है
- गोपनीयता नीति को सार्वजनिक रूप से पोस्ट किया जाना चाहिए और PIPC वार्षिक ऑडिट मार्गदर्शन द्वारा अनुमोदित किया जाना चाहिए
- डेटा उल्लंघन की सूचना पीआईपीसी को 72 घंटे (कुछ घटनाओं के लिए 5 दिन) के भीतर आवश्यक है
- सहमति, संविदात्मक सुरक्षा उपायों या पर्याप्तता निर्धारण के बिना सीमा पार स्थानांतरण निषिद्ध है
- PIPC कुल राजस्व का 3% तक जुर्माना लगा सकती है; 5 साल तक की कैद की आपराधिक सजा
- अनिवार्य तकनीकी मानक: विशिष्ट एन्क्रिप्शन एल्गोरिदम (संवेदनशील डेटा के लिए एईएस-256), अभिगम नियंत्रण आवश्यकताएं, छद्मनामीकरण मार्गदर्शन
- दक्षिण कोरियाई उपयोगकर्ताओं वाले विदेशी ऑपरेटरों को एक स्थानीय प्रतिनिधि नियुक्त करना होगा
PIPA फ्रेमवर्क और दायरा
कवरेज
PIPA इस पर लागू होता है:
- व्यक्तिगत सूचना प्रोसेसर: कोई भी सार्वजनिक संस्थान, निगम, संगठन या व्यक्ति जो व्यावसायिक उद्देश्यों के लिए व्यक्तिगत जानकारी संसाधित करता है
- सार्वजनिक क्षेत्र (सरकारी एजेंसियां) और निजी क्षेत्र की संस्थाएं दोनों
- विदेशी ऑपरेटर: दक्षिण कोरिया में स्थापित नहीं की गई संस्थाएं जो दक्षिण कोरियाई निवासियों को सामान या सेवाएं प्रदान करती हैं, या जो दक्षिण कोरियाई निवासियों के व्यवहार की निगरानी करती हैं (अनुच्छेद 2 और 39-11)
यह बाह्यक्षेत्रीय दायरा - 2023 के संशोधनों में जोड़ा गया - जीडीपीआर अनुच्छेद 3(2) को प्रतिबिंबित करता है और विदेशी ऑपरेटरों को एक दक्षिण कोरियाई प्रतिनिधि को नामित करने की आवश्यकता होती है।
व्यक्तिगत सूचना परिभाषा
PIPA के तहत व्यक्तिगत जानकारी (개인정보) का अर्थ किसी जीवित व्यक्ति के बारे में जानकारी है जो उस व्यक्ति की पहचान की अनुमति देती है (अन्य जानकारी के साथ संयोजन सहित), जिसमें शामिल हैं:
- नाम, पंजीकरण संख्या (주민등록번호), छवि
- ऐसी जानकारी जिसे किसी व्यक्ति की पहचान करने के लिए अन्य जानकारी के साथ आसानी से जोड़ा जा सकता है
छद्मनाम जानकारी (가명정보): व्यक्तिगत जानकारी को इस तरह से संसाधित किया जाता है कि अतिरिक्त जानकारी के बिना पहचान असंभव हो जाती है। विशिष्ट प्रतिबंधों के अधीन, सहमति के बिना सांख्यिकीय संकलन, अनुसंधान और संग्रह के लिए उपयोग किया जा सकता है।
गुमनाम जानकारी: ऐसी जानकारी जिसे किसी भी परिस्थिति में दोबारा पहचाना नहीं जा सकता - अब यह व्यक्तिगत जानकारी नहीं है और PIPA के दायरे से बाहर है।
संवेदनशील जानकारी
PIPA सीमित अपवादों के साथ, संग्रह और उपयोग के लिए स्पष्ट सहमति की आवश्यकता के रूप में संवेदनशील जानकारी (민감정보) को परिभाषित करता है। श्रेणियों में शामिल हैं:
- विचारधारा, विश्वास
- श्रमिक संघों या राजनीतिक दलों में शामिल होना या छोड़ना
- राजनीतिक राय
- स्वास्थ्य और चिकित्सा संबंधी जानकारी
- यौन जीवन और यौन रुझान
- पिछले आपराधिक रिकॉर्ड (अपराध और सजा)
- बायोमेट्रिक जानकारी जो व्यक्तियों की पहचान कर सकती है
- नस्लीय या जातीय पृष्ठभूमि
- वित्तीय जानकारी (खाता संख्या, कार्ड नंबर - विशेष पहचान की आवश्यकता वाली विशिष्ट पहचान जानकारी के रूप में वर्गीकृत)
निवासी पंजीकरण संख्या (주민등록번호 - कोरियाई राष्ट्रीय आईडी): उच्चतम सुरक्षा के साथ व्यवहार किया जाता है। संग्रह आम तौर पर निषिद्ध है, सिवाय इसके कि जहां कानून द्वारा स्पष्ट रूप से अनुमति दी गई हो। तीसरे पक्ष को प्रसंस्करण और प्रावधान सख्ती से विनियमित हैं। यह विश्व स्तर पर सबसे सख्त राष्ट्रीय आईडी नंबर सुरक्षाओं में से एक है।
व्यक्तिगत जानकारी के प्रसंस्करण के लिए कानूनी आधार
PIPA का अनुच्छेद 15 व्यक्तिगत जानकारी एकत्र करने और उपयोग करने के लिए पाँच कानूनी आधार प्रदान करता है:
- डेटा विषय की पूर्व सहमति
- कानून के विशेष प्रावधान, या कानूनी दायित्वों का पालन करने के लिए आवश्यक
- डेटा विषय या किसी तीसरे पक्ष के स्पष्ट और महत्वपूर्ण हित जहां पूर्व सहमति प्राप्त करना संभव नहीं है (महत्वपूर्ण हित)
- सार्वजनिक संस्थानों के लिए कानूनों और विनियमों द्वारा प्रदत्त कार्यों को करना आवश्यक
- व्यक्तिगत सूचना प्रोसेसर के वैध हित - जहां उचित दायरे के भीतर, प्रोसेसर के वैध हितों के लिए प्रसंस्करण स्पष्ट रूप से आवश्यक है
सहमति आवश्यकताएँ:
- सूचित: डेटा विषय को एकत्र की गई वस्तुओं, उद्देश्य, अवधारण अवधि और परिणामों के साथ सहमति रोकने का अधिकार बताया जाना चाहिए
- स्वैच्छिक: वैकल्पिक प्रसंस्करण के लिए सहमति पर वस्तुओं/सेवाओं के प्रावधान की शर्त नहीं लगाई जा सकती
- विशिष्ट: प्रत्येक उद्देश्य के लिए अलग सहमति
- लिखित प्रमाण: सहमति का साक्ष्य बनाए रखें
गोपनीयता नीति आवश्यकताएँ
अनुच्छेद 30 में व्यक्तिगत सूचना संसाधकों को गोपनीयता नीति (개인정보 처리방침) बनाने और सार्वजनिक रूप से पोस्ट करने की आवश्यकता होती है। आवश्यक सामग्री:
- संसाधित की गई व्यक्तिगत जानकारी की वस्तुएं
- प्रसंस्करण का उद्देश्य
- अवधारण अवधि (विनाश अवधि)
- यदि तीसरे पक्ष को प्रदान किया जाता है, तो तीसरे पक्ष का विवरण, प्रदान की गई वस्तुएं, उद्देश्य और अवधारण अवधि
- प्रसंस्करण (प्रोसेसर) की जिम्मेदारी से संबंधित मामले
- डेटा विषयों के अधिकार और दायित्व और उनका प्रयोग कैसे करें
- व्यक्तिगत जानकारी की सुरक्षा सुनिश्चित करने के लिए उपाय किए गए
- व्यक्तिगत सूचना संरक्षण अधिकारी का नाम और संपर्क जानकारी (पीआईपीओ - 개인정보 보호책임자)
- डेटा विषय अधिकार अनुरोधों को संभालने वाला विभाग
- किसी भी विदेशी स्थानांतरण की जानकारी
- स्वचालित संग्रह उपकरण (कुकीज़)
गोपनीयता नीति अद्यतन: परिवर्तनों को पहले से सूचित किया जाना चाहिए। पीआईपीसी मॉडल गोपनीयता नीति दिशानिर्देश और वार्षिक मूल्यांकन प्रदान करता है - न्यूनतम मानक से नीचे स्कोर करने वाली कंपनियों को सुधार सिफारिशें प्राप्त होती हैं।
व्यक्तिगत सूचना संरक्षण अधिकारी (पीआईपीओ)
अनुच्छेद 31 में सभी व्यक्तिगत सूचना संसाधकों को एक व्यक्तिगत सूचना संरक्षण अधिकारी (개인정보 보호책임자) नामित करने की आवश्यकता है। पीआईपीओ को यह करना होगा:
- गोपनीयता के लिए अधिकार और जिम्मेदारी वाला एक वरिष्ठ कार्यकारी बनें
- व्यक्तिगत जानकारी प्रबंधन के बारे में शिकायतें प्राप्त करें और उन पर कार्रवाई करें
- अनुपालन की निगरानी करें
- प्रशिक्षण और जागरूकता का प्रबंधन करें
- गोपनीयता जोखिम मूल्यांकन का संचालन करें
पीआईपीओ के लिए मानदंड: संगठन में पर्याप्त अधिकार होना चाहिए - केवल नाममात्र पदनाम नहीं। पीआईपीओ के पास तकनीकी उपायों को निर्देशित करने, सभी व्यक्तिगत सूचना प्रणालियों तक पहुंचने और नेतृत्व के साथ सीधे संवाद करने का अधिकार होना चाहिए।
विदेशी ऑपरेटर: पीआईपीओ कार्यों के लिए जिम्मेदार दक्षिण कोरिया में एक घरेलू प्रतिनिधि को नियुक्त करना होगा।
तकनीकी और सुरक्षा आवश्यकताएँ
PIPA और इसके कार्यान्वयन नियम (व्यक्तिगत सूचना सुरक्षा उपाय मानक - 개인정보의 안전성 확보조치 기준) विस्तृत तकनीकी आवश्यकताओं को निर्दिष्ट करते हैं - विश्व स्तर पर सबसे अधिक अनुदेशात्मक में से एक:
एन्क्रिप्शन आवश्यकताएँ:
- पासवर्ड: एक-तरफ़ा एन्क्रिप्शन एल्गोरिदम का उपयोग करके एन्क्रिप्ट किया जाना चाहिए; सादा पाठ भंडारण निषिद्ध है
- निवासी पंजीकरण संख्या, बायोमेट्रिक, वित्तीय जानकारी: एईएस-256 या समकक्ष का उपयोग करके एन्क्रिप्ट किया जाना चाहिए
- ट्रांसमिशन एन्क्रिप्शन: नेटवर्क पर प्रसारित सभी व्यक्तिगत जानकारी के लिए टीएलएस/एसएसएल आवश्यक है
- मोबाइल डिवाइस भंडारण: मोबाइल उपकरणों पर व्यक्तिगत जानकारी के लिए एन्क्रिप्शन आवश्यक है
पहुँच नियंत्रण आवश्यकताएँ:
- अद्वितीय उपयोगकर्ता आईडी; साझा खाते प्रतिबंधित
- कार्य आवश्यकता पर आधारित अभिगम नियंत्रण (न्यूनतम विशेषाधिकार)
- वेब सेवाओं के लिए अधिकतम 30 मिनट की निष्क्रियता के बाद सत्र का समय समाप्त
- 5 असफल लॉगिन प्रयासों के बाद खाता लॉकआउट
- व्यक्तिगत सूचना प्रणालियों तक प्रशासनिक पहुंच के लिए दो-कारक प्रमाणीकरण आवश्यक है
एक्सेस लॉग प्रबंधन:
- व्यक्तिगत जानकारी डेटाबेस तक सभी पहुंच को लॉग किया जाना चाहिए
- लॉग में शामिल होना चाहिए: एक्सेस आईडी, दिनांक और समय, ऑपरेशन का प्रकार (बनाएं, पढ़ें, अपडेट करें, हटाएं)
- लॉग को कम से कम 1 वर्ष (संवेदनशील और स्वास्थ्य जानकारी के लिए 3 वर्ष) तक बनाए रखा जाना चाहिए
- लॉग को छेड़छाड़ से बचाया जाना चाहिए; विसंगति का पता लगाना कार्यान्वित किया गया
नेटवर्क पृथक्करण:
- 100,000 से अधिक व्यक्तियों की व्यक्तिगत जानकारी संभालने वाले या संवेदनशील जानकारी संसाधित करने वाले प्रोसेसर के लिए, इंटरनेट-फेसिंग सिस्टम और आंतरिक व्यक्तिगत सूचना सिस्टम के बीच नेटवर्क पृथक्करण आवश्यक है
- फ़ायरवॉल कॉन्फ़िगरेशन को दस्तावेज़ीकृत किया जाना चाहिए
संवेदनशीलता प्रबंधन:
- ऑपरेटिंग सिस्टम और प्रमुख सॉफ्टवेयर के लिए विक्रेता द्वारा जारी किए जाने के 6 महीने के भीतर सुरक्षा पैच लागू किए जाते हैं
- कम से कम वार्षिक रूप से सुरक्षा भेद्यता आकलन
डेटा विषय अधिकार
PIPA डेटा विषयों को अधिकार प्रदान करता है जिन्हें एक निर्दिष्ट अवधि के भीतर पूरा किया जाना चाहिए:
| सही है | प्रतिक्रिया समयरेखा | नोट्स |
|---|---|---|
| पहुंच का अधिकार | 10 दिन | नकल करने के लिए उचित शुल्क ले सकते हैं |
| सुधार का अधिकार | बिना देर किये | सुधार समीक्षा के दौरान उपयोग/प्रावधान निलंबित करें |
| हटाने का अधिकार | बिना देर किये | कानूनी प्रतिधारण दायित्वों के लिए अपवाद |
| प्रसंस्करण के निलंबन का अधिकार | 10 दिनों के अंदर | कानूनी आधार मौजूद होने पर मना कर सकते हैं |
| सहमति वापस लेने का अधिकार | बिना देर किये | निकासी के लिए जुर्माना नहीं लगाया जा सकता |
| पोर्टेबिलिटी का अधिकार (2023 में नया) | जब संभव हो तो बिना देर किये | इलेक्ट्रॉनिक प्रारूप |
| स्वचालित निर्णय स्पष्टीकरण का अधिकार | 10 दिनों के अंदर | स्पष्टीकरण या आपत्ति के लिए अनुरोध |
सीमा पार डेटा स्थानांतरण
अनुच्छेद 28-8 (2023 संशोधन) अंतर्राष्ट्रीय डेटा स्थानांतरण को नियंत्रित करता है:
अनुमत तंत्र:
- सहमति: प्रकटीकरण के बाद स्पष्ट, पूर्व सहमति: प्राप्तकर्ता की जानकारी, स्थानांतरण उद्देश्य, हस्तांतरित आइटम, प्रतिधारण अवधि, और इनकार अधिकारों के बारे में जानकारी
- पर्याप्तता निर्धारण: पीआईपीसी द्वारा पर्याप्त सुरक्षा वाले देशों में स्थानांतरण
- मानक संविदात्मक धाराएँ: विदेशी प्राप्तकर्ता के साथ पीआईपीसी-अनुमोदित एससीसी का उपयोग
- बाध्यकारी कॉर्पोरेट नियम: इंट्राग्रुप ट्रांसफर के लिए पीआईपीसी द्वारा अनुमोदित
- संविदा संबंधी आवश्यकता: डेटा विषय के साथ अनुबंध के लिए स्थानांतरण आवश्यक है
- कानूनी दायित्व: संधि या अंतर्राष्ट्रीय समझौते द्वारा आवश्यक
PIPC पर्याप्तता सूची: PIPC पर्याप्त देशों की अपनी सूची विकसित कर रही है। वर्तमान में, यूरोपीय संघ का दक्षिण कोरिया के साथ पारस्परिक पर्याप्तता संबंध है। जापान चर्चा में है.
सहमति-आधारित हस्तांतरण के लिए अधिसूचना आवश्यकताएँ: सहमति प्राप्त करने से पहले अनिवार्य प्रकटीकरण में शामिल हैं: विदेशी देश का नाम, प्राप्तकर्ता का नाम और संपर्क, स्थानांतरण का उद्देश्य, स्थानांतरित की गई वस्तुएं, प्रतिधारण/उपयोग की अवधि, और सहमति से इनकार करने और परिणामों के बारे में जानकारी।
उल्लंघन अधिसूचना
अनुच्छेद 34 में व्यक्तिगत जानकारी के नुकसान, चोरी या रिसाव का पता चलने पर अधिसूचना की आवश्यकता है:
पीआईपीसी को अधिसूचना (अनुच्छेद 34(3)): व्यक्तिगत जानकारी की हानि, चोरी, या रिसाव होने पर आवश्यक - 72 घंटों के भीतर ऐसी घटनाओं के लिए:
- 1,000 या अधिक डेटा विषय
- संवेदनशील जानकारी या विशिष्ट पहचान संबंधी जानकारी
- कोई भी राशि जहां प्रणालीगत उल्लंघन का संदेह हो
अन्य घटनाओं के लिए: 5 व्यावसायिक दिनों के भीतर डेटा सुरक्षा प्राधिकरण (KISA PIPC की ओर से एक रिपोर्टिंग पोर्टल संचालित करता है) को अधिसूचना।
व्यक्तिगत अधिसूचना (अनुच्छेद 34(1)): हानि, चोरी, या रिसाव होने पर बिना किसी देरी के आवश्यक। शामिल होना चाहिए:
- व्यक्तिगत जानकारी के आइटम जो खो गए, चोरी हो गए, या लीक हो गए
- घटना का समय (यदि ज्ञात हो)
- कार्रवाई डेटा विषय कर सकते हैं
- व्यक्तिगत सूचना संसाधक के लिए संपर्क जानकारी
PIPC को अधिसूचना: PIPC/KISA घटना रिपोर्ट पोर्टल (privacy.go.kr) का उपयोग करें।
पीआईपीसी प्रवर्तन और दंड
व्यक्तिगत सूचना संरक्षण आयोग (पीआईपीसी) को 2020 में एक स्वतंत्र आयोग के रूप में मजबूत किया गया और 2023 के संशोधनों में और अधिक सशक्त बनाया गया।
प्रशासनिक दंड:
- वैध आधार के बिना एकत्र की गई व्यक्तिगत जानकारी, या तीसरे पक्ष को अनधिकृत प्रावधान से जुड़े उल्लंघनों के लिए कुल बिक्री/राजस्व का 3% तक जुर्माना
- तकनीकी सुरक्षा उपायों के गंभीर उल्लंघन के लिए कुल बिक्री का 3% तक जुर्माना
- सुधारात्मक आदेश: पीआईपीसी परिचालन परिवर्तन, डेटा विनाश, सार्वजनिक नोटिस का आदेश दे सकता है
आपराधिक दंड (अनुच्छेद 70-74):
- सहमति के बिना व्यक्तिगत जानकारी एकत्र करना: 5 साल तक की कैद + ₩50 मिलियन तक का जुर्माना
- सहमति के बिना तीसरे पक्ष को सामग्री प्रदान करना: 5 साल तक की कैद + ₩50 मिलियन तक का जुर्माना
- निवासी पंजीकरण संख्या प्रसंस्करण निषेध का उल्लंघन: 5 साल तक की कैद + ₩100 मिलियन तक का जुर्माना
- डेटा ब्रोकर उल्लंघन: 10 साल तक की कैद
हाल ही में प्रवर्तन: पीआईपीसी ने सहमति के बिना संवेदनशील जानकारी एकत्र करने के लिए 2022 में मेटा पर 6.7 बिलियन ($5 मिलियन) का जुर्माना लगाया। सैमसंग इलेक्ट्रॉनिक्स को कई पीआईपीसी मार्गदर्शन कार्रवाइयां प्राप्त हुईं। डेटा प्रबंधन प्रथाओं के लिए काकाओ की जांच की गई थी। प्रवर्तन सक्रिय है और विस्तार कर रहा है।
PIPA अनुपालन चेकलिस्ट
- विदेशी ऑपरेटर स्थिति सहित PIPA प्रयोज्यता की पुष्टि की गई
- दक्षिण कोरियाई प्रतिनिधि नामित (विदेशी ऑपरेटर)
- संवेदनशील सूचना पहचान सहित व्यक्तिगत सूचना सूची पूरी की गई
- निवासी पंजीकरण संख्या के उपयोग का मूल्यांकन किया गया - जब तक कानूनी रूप से आवश्यक न हो, संग्रह समाप्त कर दिया गया
- प्रत्येक प्रसंस्करण गतिविधि के लिए कानूनी आधार प्रलेखित
- सहमति प्रपत्रों की समीक्षा की गई: विशिष्ट, सूचित, स्वैच्छिक, प्रत्येक उद्देश्य अलग
- गोपनीयता नीति सभी आवश्यक तत्वों के साथ वेबसाइट पर प्रकाशित की गई
- पीआईपीओ नामित: उपयुक्त प्राधिकारी के साथ वरिष्ठ कार्यकारी
- पहुंच नियंत्रण लागू किया गया: अद्वितीय आईडी, सत्र टाइमआउट (30 मिनट), 5 विफलताओं के बाद लॉकआउट
- एन्क्रिप्शन लागू किया गया: संवेदनशील/बायोमेट्रिक/वित्तीय डेटा के लिए एईएस-256; ट्रांसमिशन के लिए टीएलएस; पासवर्ड के लिए एकतरफ़ा
- एक्सेस लॉग सक्षम और कॉन्फ़िगर किए गए (न्यूनतम 1 वर्ष, संवेदनशील के लिए 3 वर्ष बनाए रखें)
- 100,000+ व्यक्तियों को संसाधित करने पर नेटवर्क पृथक्करण लागू किया गया
- डेटा विषय अधिकार प्रक्रियाएं: पहुंच/सुधार/निलंबन के लिए 10-दिवसीय प्रतिक्रिया
- विदेशी स्थानांतरण के लिए सीमा-पार स्थानांतरण तंत्र मौजूद है
- पीआईपीसी को 72 घंटे की उल्लंघन अधिसूचना प्रक्रिया
- व्यक्तिगत उल्लंघन अधिसूचना प्रक्रिया प्रलेखित
- पीआईपीए दायित्वों पर कर्मचारी प्रशिक्षण पूरा हुआ
- वार्षिक भेद्यता मूल्यांकन निर्धारित
अक्सर पूछे जाने वाले प्रश्न
पीआईपीए को विश्व स्तर पर सबसे सख्त डेटा संरक्षण कानूनों में से एक क्यों माना जाता है?
PIPA व्यापक दायरे (छोटे व्यवसायों सहित सभी संस्थाओं पर लागू), सख्त सहमति आवश्यकताओं (स्पष्ट, उद्देश्य-विशिष्ट, स्वैच्छिक), अनुदेशात्मक तकनीकी मानकों (अनिवार्य एन्क्रिप्शन एल्गोरिदम, विशिष्ट एक्सेस लॉग आवश्यकताओं, नेटवर्क पृथक्करण), मजबूत प्रवर्तन (10 साल तक आपराधिक दंड, राजस्व का 3% का प्रशासनिक जुर्माना), और राष्ट्रीय निवासी पंजीकरण संख्या का उपयोग करने पर प्रतिबंध को जोड़ती है - दुनिया में सबसे सख्त राष्ट्रीय आईडी सुरक्षा में से एक। पीआईपीसी ने प्रमुख घरेलू और विदेशी कंपनियों पर जुर्माना लगाने की इच्छा प्रदर्शित की है। इसके अतिरिक्त, PIPA के विस्तृत कार्यान्वयन नियम जीडीपीआर के सिद्धांत-आधारित ढांचे की तुलना में वैकल्पिक अनुपालन दृष्टिकोण के लिए कम जगह छोड़ते हैं।
पीआईपीए के तहत विशिष्ट एन्क्रिप्शन आवश्यकताएं क्या हैं?
PIPA कार्यान्वयन नियम (व्यक्तिगत सूचना सुरक्षा उपाय मानक) निर्दिष्ट करते हैं: (1) पासवर्ड को एक-तरफ़ा हैश फ़ंक्शन (bcrypt, Argon2, या अनुमोदित एल्गोरिदम) का उपयोग करके संग्रहीत किया जाना चाहिए - सादा पाठ या प्रतिवर्ती एन्क्रिप्शन निषिद्ध है; (2) संवेदनशील जानकारी, निवासी पंजीकरण संख्या, बायोमेट्रिक जानकारी और वित्तीय खाता संख्या को भंडारण के लिए न्यूनतम एईएस-128 (एईएस-256 अनुशंसित) का उपयोग करके एन्क्रिप्ट किया जाना चाहिए; (3) नेटवर्क पर प्रसारित सभी व्यक्तिगत जानकारी को टीएलएस 1.2 या उच्चतर का उपयोग करना चाहिए; (4) मोबाइल उपकरणों पर व्यक्तिगत जानकारी एन्क्रिप्ट की जानी चाहिए; (5) क्लाउड-आधारित सिस्टम के लिए, एंड-टू-एंड एन्क्रिप्शन की सिफारिश की जाती है।
2023 पीआईपीए संशोधन के तहत छद्म नाम की जानकारी क्या है?
छद्मनाम जानकारी (가명정보) को 2020 के संशोधन (प्रभावी 2023) में व्यक्तिगत जानकारी और अज्ञात जानकारी के बीच एक श्रेणी के रूप में पेश किया गया था। यह संसाधित की गई व्यक्तिगत जानकारी को संदर्भित करता है ताकि अतिरिक्त जानकारी के उपयोग के बिना किसी विशिष्ट व्यक्ति की पहचान न की जा सके, जिसे सुरक्षा उपायों के साथ अलग से रखा जाता है। छद्म नाम वाली जानकारी का उपयोग सांख्यिकीय संकलन, वैज्ञानिक अनुसंधान, या सार्वजनिक रिकॉर्ड के संरक्षण के लिए सहमति के बिना किया जा सकता है - गोपनीयता जोखिम को कम करते हुए डेटा विश्लेषण को सक्षम करना। प्रोसेसर्स को: अतिरिक्त जानकारी (मैपिंग टेबल) को अलग और सुरक्षित रूप से रखना होगा; पुन: पहचान के प्रयासों पर रोक लगाएं; छद्मनामीकरण के रिकॉर्ड बनाए रखना; तकनीकी और प्रशासनिक सुरक्षा उपाय लागू करें।
पीआईपीए का "वैध हित" आधार कैसे काम करता है?
PIPA (अनुच्छेद 15(1)(6)) के तहत वैध हितों का आधार 2023 के संशोधन में पेश किया गया था। यह डेटा विषयों के अधिकारों को नजरअंदाज किए बिना, जहां प्रोसेसर के वैध हितों के लिए स्पष्ट रूप से आवश्यक है, प्रसंस्करण की अनुमति देता है। यह जीडीपीआर के वैध हितों को प्रतिबिंबित करता है लेकिन संकीर्ण अनुप्रयोग के साथ - पीआईपीए का विधायी इतिहास इंगित करता है कि इसका उपयोग सहमति के स्थान पर सामान्य प्रयोजन के आधार के बजाय आकस्मिक, पूरक प्रसंस्करण के लिए किया जाना चाहिए। प्रोसेसर को वैध हितों का दस्तावेजीकरण करना होगा, यह आकलन करना होगा कि क्या यह डेटा विषयों के हितों को ओवरराइड करता है, और सुरक्षा उपायों को लागू करना चाहिए। संवेदनशील जानकारी वैध हितों के तहत एकत्र/उपयोग नहीं की जा सकती - इसके लिए स्पष्ट सहमति या विशिष्ट कानूनी प्राधिकरण की आवश्यकता होती है।
डेटा उल्लंघन के लिए पीआईपीसी को 72 घंटे की अधिसूचना की आवश्यकता क्या है?
72 घंटे की अधिसूचना आवश्यकता तब लागू होती है जब: (1) 1,000 या अधिक डेटा विषय हानि, चोरी, या रिसाव से प्रभावित होते हैं; (2) संवेदनशील जानकारी या विशिष्ट पहचान जानकारी (निवासी पंजीकरण संख्या, पासपोर्ट संख्या, चालक का लाइसेंस संख्या, विदेशी पंजीकरण संख्या) किसी भी उल्लंघन में शामिल है; (3) उल्लंघन प्रणालीगत प्रतीत होता है (व्यापक भेद्यता का सुझाव देता है)। अन्य उल्लंघनों (गैर-संवेदनशील डेटा वाले 1,000 से कम व्यक्तियों को प्रभावित करने वाले) के लिए 5 व्यावसायिक दिनों के भीतर अधिसूचना की आवश्यकता होती है। अधिसूचना PIPC/KISA रिपोर्टिंग पोर्टल (privacy.go.kr) के माध्यम से दर्ज की जानी चाहिए। पैमाने की परवाह किए बिना व्यक्तिगत अधिसूचना आवश्यक है - उल्लंघन का पता चलने पर तुरंत।
अगले चरण
दक्षिण कोरिया का PIPA एक मांगलिक अनुपालन ढांचा है जिसके लिए संगठनात्मक प्रक्रियाओं और तकनीकी बुनियादी ढांचे दोनों में निवेश की आवश्यकता होती है। दक्षिण कोरियाई बाजार में प्रवेश करने वाले या मौजूदा कोरिया परिचालन का विस्तार करने वाले व्यवसायों के लिए, शुरू से ही अपने सिस्टम आर्किटेक्चर में PIPA अनुपालन बनाना - विशेष रूप से एन्क्रिप्शन आवश्यकताओं और एक्सेस लॉगिंग - रेट्रोफिटिंग की तुलना में काफी अधिक कुशल है।
ECOSIRE की प्रौद्योगिकी कार्यान्वयन टीम PIPA-संगत आर्किटेक्चर को डिजाइन करने, आवश्यक विशिष्ट तकनीकी मानकों को लागू करने और दक्षिण कोरियाई बाजार के लिए उपयुक्त गोपनीयता प्रबंधन प्रक्रियाओं का निर्माण करने में मदद कर सकती है।
और जानें: ECOSIRE सेवाएँ
अस्वीकरण: यह मार्गदर्शिका केवल सूचनात्मक उद्देश्यों के लिए है और इसमें कानूनी सलाह शामिल नहीं है। PIPA में महत्वपूर्ण रूप से संशोधन किया गया है और इसका विकास जारी है। अपने संगठन के लिए विशिष्ट सलाह के लिए योग्य कोरियाई कानूनी सलाहकार से परामर्श लें।
लेखक
ECOSIRE TeamTechnical Writing
The ECOSIRE technical writing team covers Odoo ERP, Shopify eCommerce, AI agents, Power BI analytics, GoHighLevel automation, and enterprise software best practices. Our guides help businesses make informed technology decisions.
ECOSIRE
ECOSIRE के साथ अपना व्यवसाय बढ़ाएं
ईआरपी, ईकॉमर्स, एआई, एनालिटिक्स और ऑटोमेशन में एंटरप्राइज समाधान।
संबंधित लेख
BMF Programmablaufplan Lohnsteuer 2026: Implementing Germany's Official Wage-Tax Calculation (XML, API, Odoo)
Developer guide to the BMF Programmablaufplan Lohnsteuer 2026: what the PAP is, the XML pseudocode format, official test service, and mapping to Odoo payroll.
ERP for Clothing & Fashion Brands: Size-Color Matrix, Seasonal Planning, and Compliance (2026 Guide)
How fashion and clothing brands choose an ERP in 2026: size-color matrix variants, seasonal planning, GoBD and DATEV compliance, vendor comparison, and costs.
ERPNext HR & Payroll in 2026: Setup, Salary Structures, and Multi-Country Compliance
Step-by-step ERPNext HR and payroll setup for 2026: HRMS app install, salary structures, payroll entry runs, income tax slabs, multi-country compliance.
Compliance & Regulation से और अधिक
BMF Programmablaufplan Lohnsteuer 2026: Implementing Germany's Official Wage-Tax Calculation (XML, API, Odoo)
Developer guide to the BMF Programmablaufplan Lohnsteuer 2026: what the PAP is, the XML pseudocode format, official test service, and mapping to Odoo payroll.
ERP for Clothing & Fashion Brands: Size-Color Matrix, Seasonal Planning, and Compliance (2026 Guide)
How fashion and clothing brands choose an ERP in 2026: size-color matrix variants, seasonal planning, GoBD and DATEV compliance, vendor comparison, and costs.
ERPNext HR & Payroll in 2026: Setup, Salary Structures, and Multi-Country Compliance
Step-by-step ERPNext HR and payroll setup for 2026: HRMS app install, salary structures, payroll entry runs, income tax slabs, multi-country compliance.
GoHighLevel A2P 10DLC Compliance in 2026: Registration, Fees, and Fixing Blocked SMS
Complete GoHighLevel A2P 10DLC guide for 2026: brand and campaign registration steps, carrier fees, common rejection reasons, and how to fix filtered SMS.
GxP Validation for ERP Systems: What Your 2026 Validation RFP Must Require (CSV, IQ/OQ/PQ, Audit Trails)
What a GxP ERP validation RFP must require in 2026: CSV and CSA scope, 21 CFR Part 11, EU Annex 11, IQ/OQ/PQ deliverables, audit trails, and GAMP 5 risk.
OpenClaw Security Model, Data Residency, SOC 2 and ISO 27001
OpenClaw security architecture: tenant isolation, encryption, secret management, audit logs, data residency, SOC 2, ISO 27001, GDPR, HIPAA fitness.