جنوبی کوریا PIPA: ڈیٹا پروٹیکشن کمپلائنس گائیڈ

جنوبی کوریا کے پرسنل انفارمیشن پروٹیکشن ایکٹ (PIPA — 개인정보 보호법) کو وسیع پیمانے پر دنیا میں ڈیٹا کے تحفظ کے سخت ترین قوانین میں سے ایک سمجھا جاتا ہے۔ دائرہ کار میں جامع، تکنیکی ضروریات میں تفصیلی، اور پرسنل انفارمیشن پروٹیکشن کمیشن (PIPC - 개인정보보호위원회) کے ذریعے جارحانہ طور پر نافذ کردہ، PIPA کے جنوبی کوریا کی انتہائی ڈیجیٹائزڈ مارکیٹ میں کام کرنے یا اس کی خدمت کرنے والے کسی بھی کاروبار کے لیے اہم مضمرات ہیں۔

2011 میں نافذ کیا گیا اور 2023 میں کافی حد تک ترمیم کی گئی، PIPA اب بین الاقوامی معیارات کے ساتھ زیادہ قریب سے ہم آہنگ ہے — بشمول EU کے GDPR — کو برقرار رکھتے ہوئے مخصوص کوریائی خصوصیات جیسے کہ لازمی خفیہ کاری کے تقاضے، مخصوص تکنیکی معیارات، اور PIPC کے تحت ایک متحد نفاذ کا ڈھانچہ کوریا کے کمیونیکیشن اینڈ سیکیورٹی کمیشن کے انضمام کے بعد۔ (KISA) رازداری کے نفاذ کے کردار۔

اہم ٹیک ویز

• PIPA جنوبی کوریا میں ذاتی معلومات پر کارروائی کرنے والے تمام سرکاری اور نجی اداروں پر لاگو ہوتا ہے، بیرونی دائرہ کار کے ساتھ
• حساس معلومات (بائیو میٹرکس، صحت، مجرمانہ ریکارڈ، مقام، وغیرہ) کے لیے واضح رضامندی کی ضرورت ہوتی ہے - رضامندی کا معیار دیگر دائرہ اختیار سے زیادہ سخت ہے
• رازداری کی پالیسی کو عوامی طور پر پوسٹ کیا جانا چاہیے اور PIPC کی سالانہ آڈٹ رہنمائی کے ذریعے منظور کیا جانا چاہیے۔
• PIPC کو ڈیٹا کی خلاف ورزی کی اطلاع 72 گھنٹے (بعض واقعات کے لیے 5 دن) کے اندر درکار ہے۔
• رضامندی، معاہدے کے تحفظات، یا مناسبیت کے تعین کے بغیر سرحد پار منتقلی ممنوع ہے
• PIPC کل محصول کے 3% تک جرمانے عائد کر سکتا ہے۔ مجرمانہ سزا 5 سال قید تک
• لازمی تکنیکی معیارات: مخصوص انکرپشن الگورتھم (حساس ڈیٹا کے لیے AES-256)، رسائی کنٹرول کے تقاضے، تخلص کی رہنمائی
• جنوبی کوریا کے صارفین کے ساتھ بیرون ملک آپریٹرز کو ایک مقامی نمائندہ نامزد کرنا ہوگا۔

---

PIPA فریم ورک اور دائرہ کار

کوریج

PIPA لاگو ہوتا ہے:

• ذاتی معلومات کے پروسیسرز: کوئی بھی عوامی ادارہ، کارپوریشن، تنظیم، یا فرد جو کاروباری مقاصد کے لیے ذاتی معلومات پر کارروائی کرتا ہے۔
• دونوں پبلک سیکٹر (سرکاری ایجنسیاں) اور نجی شعبے کے ادارے
• اوورسیز آپریٹرز: جنوبی کوریا میں قائم نہ ہونے والے ادارے جو جنوبی کوریا کے باشندوں کو سامان یا خدمات فراہم کرتے ہیں، یا جو جنوبی کوریا کے باشندوں کے رویے کی نگرانی کرتے ہیں (آرٹیکل 2 اور 39-11)

یہ بیرونی دائرہ کار — 2023 کی ترامیم میں شامل کیا گیا — GDPR آرٹیکل 3(2) کی آئینہ دار ہے اور بیرون ملک آپریٹرز کو جنوبی کوریا کا نمائندہ نامزد کرنے کی ضرورت ہے۔

ذاتی معلومات کی تعریف

PIPA کے تحت ذاتی معلومات (개인정보) کا مطلب ایک زندہ فرد کے بارے میں معلومات ہے جو اس فرد کی شناخت کی اجازت دیتی ہے (بشمول دیگر معلومات کے ساتھ مجموعہ)، بشمول:

• نام، رجسٹریشن نمبر (주민등록번호)، تصویر
• وہ معلومات جو کسی فرد کی شناخت کے لیے آسانی سے دوسری معلومات کے ساتھ مل سکتی ہیں۔

فرضی معلومات (가명정보): ذاتی معلومات پر اس طرح کارروائی کی جاتی ہے جو اضافی معلومات کے بغیر شناخت کو ناممکن بناتی ہے۔ مخصوص پابندیوں کے ساتھ، رضامندی کے بغیر شماریاتی تالیف، تحقیق اور آرکائیونگ کے لیے استعمال کیا جا سکتا ہے۔

گمنام معلومات: وہ معلومات جو کسی بھی حالت میں دوبارہ شناخت نہیں کی جاسکتی ہیں — اب ذاتی معلومات اور PIPA دائرہ کار سے باہر نہیں۔

---

حساس معلومات

PIPA حساس معلومات (민감정보) کو محدود استثناء کے ساتھ جمع کرنے اور استعمال کرنے کے لیے واضح رضامندی کی ضرورت کے طور پر بیان کرتا ہے۔ زمرہ جات میں شامل ہیں:

١ - نظریہ، عقیدہ

• مزدور یونینوں یا سیاسی جماعتوں میں شامل ہونا یا چھوڑنا
• سیاسی نظریات
• صحت اور طبی معلومات
• جنسی زندگی اور جنسی رجحان
• ماضی کے مجرمانہ ریکارڈ (جرائم اور سزائیں)
• بایومیٹرک معلومات جو افراد کی شناخت کر سکتی ہے۔
• نسلی یا نسلی پس منظر
• مالی معلومات (اکاؤنٹ نمبرز، کارڈ نمبرز - مخصوص شناختی معلومات کے طور پر درجہ بندی جس کے لیے خصوصی علاج کی ضرورت ہوتی ہے)

رہائشی رجسٹریشن نمبر (주민등록번호 — کورین قومی شناخت): اعلی ترین تحفظ کے ساتھ سلوک کیا جاتا ہے۔ جمع کرنا عام طور پر ممنوع ہے سوائے اس کے جہاں قانون کے ذریعہ واضح طور پر اجازت ہو۔ تیسرے فریقوں کو پروسیسنگ اور فراہمی سختی سے منظم ہیں۔ یہ عالمی سطح پر قومی شناختی نمبر کے سخت ترین تحفظات میں سے ایک ہے۔

---

ذاتی معلومات پر کارروائی کے لیے قانونی بنیادیں۔

PIPA کا آرٹیکل 15 ذاتی معلومات جمع کرنے اور استعمال کرنے کے لیے پانچ قانونی بنیادیں فراہم کرتا ہے:

1. ڈیٹا کے موضوع کی پہلے رضامندی
2. قانون کی خصوصی دفعات، یا قانونی ذمہ داریوں کی تعمیل کے لیے ضروری
3. ڈیٹا کے موضوع یا فریق ثالث کے واضح اور اہم مفادات جہاں پیشگی رضامندی حاصل کرنا ممکن نہ ہو (اہم مفادات)
4. سرکاری اداروں کے لیے قوانین اور ضوابط کے ذریعے عطا کردہ کاموں کو انجام دینے کے لیے ضروری ہے
5. ذاتی معلومات کے پروسیسر کے جائز مفادات - جہاں پروسیسر کے جائز مفادات کے لیے پروسیسنگ واضح طور پر ضروری ہے، ایک معقول دائرہ کار کے اندر

** رضامندی کے تقاضے**:

• باخبر: ڈیٹا کے موضوع کو جمع کردہ اشیاء، مقصد، برقرار رکھنے کی مدت، اور نتائج کے ساتھ رضامندی کو روکنے کا حق بتایا جانا چاہیے
• رضاکارانہ: اختیاری پروسیسنگ کی رضامندی پر سامان/خدمات کی فراہمی کی شرط نہیں لگا سکتا
• مخصوص: ہر مقصد کے لیے علیحدہ رضامندی۔ تحریری ثبوت: رضامندی کا ثبوت برقرار رکھیں

---

رازداری کی پالیسی کے تقاضے

آرٹیکل 30 ذاتی معلومات کے پروسیسرز کو رازداری کی پالیسی بنانے اور عوامی طور پر پوسٹ کرنے کی ضرورت ہے (개인정보 처리방침)۔ مطلوبہ مواد:

• ذاتی معلومات کی اشیاء پر کارروائی کی گئی۔
• پروسیسنگ کا مقصد
• برقرار رکھنے کی مدت (تباہی کی مدت)
• اگر فریق ثالث کو فراہم کیا جائے تو، فریق ثالث کی تفصیلات، فراہم کردہ اشیاء، مقصد، اور برقرار رکھنے کی مدت
• پروسیسنگ (پروسیسرز) کی ذمہ داری سے متعلق معاملات
• ڈیٹا کے مضامین کے حقوق اور ذمہ داریاں اور ان کا استعمال کیسے کریں۔
• ذاتی معلومات کی حفاظت کو یقینی بنانے کے لیے اٹھائے گئے اقدامات
• پرسنل انفارمیشن پروٹیکشن آفیسر کا نام اور رابطہ کی معلومات (PIPO — 개인정보 보호책임자)
• ڈیٹا موضوع کے حقوق کی درخواستوں کو سنبھالنے والا محکمہ
• بیرون ملک منتقلی کی کوئی بھی معلومات
• خودکار جمع کرنے والے آلات (کوکیز)

پرائیویسی پالیسی اپ ڈیٹ: تبدیلیوں کو پہلے سے مطلع کرنا ضروری ہے۔ PIPC ماڈل پرائیویسی پالیسی کے رہنما خطوط اور سالانہ تشخیص فراہم کرتا ہے - کم از کم معیار سے کم اسکور کرنے والی کمپنیاں بہتری کی سفارشات وصول کرتی ہیں۔

---

پرسنل انفارمیشن پروٹیکشن آفیسر (PIPO)

آرٹیکل 31 تمام پرسنل انفارمیشن پروسیسرز سے پرسنل انفارمیشن پروٹیکشن آفیسر (개인정보 보호책임자) کو نامزد کرنے کا تقاضا کرتا ہے۔ PIPO لازمی ہے:

• رازداری کی اتھارٹی اور ذمہ داری کے ساتھ ایک سینئر ایگزیکٹو بنیں۔
• ذاتی معلومات کو سنبھالنے کے بارے میں شکایات موصول کریں اور ان پر کارروائی کریں۔
• تعمیل کی نگرانی کریں۔
• تربیت اور آگاہی کا انتظام کریں۔
• رازداری کے خطرے کے جائزے انجام دیں۔

PIPO کے لیے معیار: تنظیم میں خاطر خواہ اختیار کا ہونا ضروری ہے — محض ایک برائے نام عہدہ نہیں۔ PIPO کے پاس تکنیکی اقدامات کی ہدایت کرنے، تمام ذاتی معلومات کے نظام تک رسائی، اور قیادت کے ساتھ براہ راست بات چیت کرنے کا اختیار ہونا چاہیے۔

اوورسیز آپریٹرز: جنوبی کوریا میں PIPO فنکشنز کے لیے ذمہ دار گھریلو نمائندے کو نامزد کرنا چاہیے۔

---

تکنیکی اور حفاظتی تقاضے

PIPA اور اس کے نفاذ کے ضوابط (ذاتی معلومات کی حفاظت کے اقدامات کے معیارات — 개인정보의 안전성 확보조치 기준) تفصیلی تکنیکی تقاضوں کی وضاحت کرتے ہیں — عالمی سطح پر سب سے زیادہ نسخے میں سے:

خفیہ کاری کے تقاضے:

• پاس ورڈز: ایک طرفہ انکرپشن الگورتھم کا استعمال کرتے ہوئے انکرپٹ ہونا ضروری ہے۔ سادہ متن کا ذخیرہ ممنوع ہے۔
• رہائشی رجسٹریشن نمبر، بائیو میٹرک، مالی معلومات: AES-256 یا اس کے مساوی استعمال کرتے ہوئے انکرپٹ کیا جانا چاہیے۔
• ٹرانسمیشن انکرپشن: نیٹ ورکس پر منتقل ہونے والی تمام ذاتی معلومات کے لیے TLS/SSL درکار ہے۔
• موبائل ڈیوائس اسٹوریج: موبائل آلات پر ذاتی معلومات کے لیے خفیہ کاری درکار ہے۔

ایکسیس کنٹرول کی ضروریات:

• منفرد صارف IDs؛ مشترکہ اکاؤنٹس ممنوع
• کام کی ضرورت کی بنیاد پر رسائی کا کنٹرول (کم سے کم استحقاق)
• ویب سروسز کے لیے زیادہ سے زیادہ 30 منٹ کی غیرفعالیت کے بعد سیشن کا ٹائم آؤٹ
• لاگ ان کی 5 ناکام کوششوں کے بعد اکاؤنٹ لاک آؤٹ
• ذاتی معلومات کے نظام تک انتظامی رسائی کے لیے دو فیکٹر تصدیق کی ضرورت ہے۔

** لاگ مینجمنٹ تک رسائی **:

• ذاتی معلومات کے ڈیٹا بیس تک تمام رسائی کا لاگ ان ہونا ضروری ہے۔
• لاگز میں شامل ہونا ضروری ہے: رسائی ID، تاریخ اور وقت، آپریشن کی قسم (تخلیق کریں، پڑھیں، اپ ڈیٹ کریں، حذف کریں)
• لاگز کو کم از کم 1 سال تک برقرار رکھا جانا چاہیے (حساس اور صحت کی معلومات کے لیے 3 سال)
• نوشتہ جات کو چھیڑ چھاڑ سے محفوظ رکھا جانا چاہیے؛ بے ضابطگی کا پتہ لگانے پر عمل درآمد

نیٹ ورک علیحدگی:

• 100,000+ افراد کی ذاتی معلومات کو سنبھالنے والے یا حساس معلومات پر کارروائی کرنے والے پروسیسرز کے لیے، انٹرنیٹ کا سامنا کرنے والے نظاموں اور اندرونی ذاتی معلومات کے نظام کے درمیان نیٹ ورک کی علیحدگی کی ضرورت ہے۔
• فائر وال کنفیگریشن کا دستاویزی ہونا ضروری ہے۔

خطرے کا انتظام:

• آپریٹنگ سسٹمز اور بڑے سافٹ ویئر کے لیے وینڈر کی رہائی کے 6 ماہ کے اندر سیکیورٹی پیچ لاگو کیے جاتے ہیں۔
• کم از کم سالانہ سیکورٹی کے خطرے کا اندازہ

---

ڈیٹا سبجیکٹ کے حقوق

PIPA ڈیٹا مضامین کے حقوق فراہم کرتا ہے جو ایک مخصوص مدت کے اندر پورا ہونے چاہئیں:

---

کراس بارڈر ڈیٹا ٹرانسفر

آرٹیکل 28-8 (2023 ترمیم) بین الاقوامی ڈیٹا کی منتقلی کو کنٹرول کرتا ہے:

اجازت شدہ میکانزم:

1. رضامندی: انکشاف کے بعد واضح، پیشگی رضامندی: وصول کنندہ کی معلومات، منتقلی کا مقصد، منتقل کردہ اشیاء، برقرار رکھنے کی مدت، اور انکار کے حقوق کے بارے میں معلومات
2. مقداریت کا تعین: PIPC کی طرف سے نامزد کردہ ممالک میں منتقلی جس کو مناسب تحفظ حاصل ہے
3. معیاری معاہدے کی شقیں: بیرون ملک وصول کنندہ کے ساتھ PIPC سے منظور شدہ SCCs کا استعمال
4. کارپوریٹ قوانین کا پابند: انٹرا گروپ ٹرانسفر کے لیے PIPC کے ذریعے منظور شدہ
5. معاہدے کی ضرورت: ڈیٹا سبجیکٹ کے ساتھ معاہدے کے لیے ضروری منتقلی۔
6. قانونی ذمہ داری: معاہدہ یا بین الاقوامی معاہدے کے ذریعہ مطلوب ہے۔

PIPC مناسبیت کی فہرست: PIPC مناسب ممالک کی اپنی فہرست تیار کر رہا ہے۔ فی الحال، یورپی یونین کا جنوبی کوریا کے ساتھ باہمی مناسب تعلق ہے۔ جاپان بحث میں ہے۔

رضامندی کی بنیاد پر منتقلی کے لیے اطلاع کے تقاضے: رضامندی حاصل کرنے سے پہلے لازمی انکشاف میں شامل ہیں: غیر ملکی ملک کا نام، وصول کنندہ کا نام اور رابطہ، منتقلی کا مقصد، منتقل کردہ اشیاء، برقرار رکھنے/استعمال کی مدت، اور رضامندی سے انکار اور نتائج کے بارے میں معلومات۔

---

خلاف ورزی کی اطلاع

آرٹیکل 34 ذاتی معلومات کے نقصان، چوری، یا لیک ہونے کی دریافت پر اطلاع کی ضرورت ہے:

**PIPC کو اطلاع ** (آرٹیکل 34(3)): ذاتی معلومات کے نقصان، چوری، یا لیک ہونے پر ضروری ہے — 72 گھنٹے کے اندر ان واقعات کے لیے:

• 1,000 یا اس سے زیادہ ڈیٹا مضامین
• حساس معلومات یا منفرد شناختی معلومات
• کوئی بھی رقم جہاں نظامی خلاف ورزی کا شبہ ہو۔

دیگر واقعات کے لیے: ڈیٹا پروٹیکشن اتھارٹی کو اطلاع (KISA PIPC کی جانب سے ایک رپورٹنگ پورٹل چلاتی ہے) 5 کاروباری دنوں کے اندر۔

انفرادی اطلاع (آرٹیکل 34(1)): نقصان، چوری، یا رساو ہونے پر بلا ضرورت تاخیر کے ضروری ہے۔ شامل ہونا چاہیے:

• ذاتی معلومات کے وہ آئٹمز جو گم، چوری، یا لیک ہو گئے تھے۔
• واقعہ کا وقت (اگر معلوم ہو)
• اعمال ڈیٹا مضامین لے سکتے ہیں۔
• ذاتی معلومات کے پروسیسر کے لیے رابطہ کی معلومات

PIPC کو اطلاع: PIPC/KISA واقعہ رپورٹ پورٹل (privacy.go.kr) استعمال کریں۔

---

PIPC نفاذ اور جرمانے

پرسنل انفارمیشن پروٹیکشن کمیشن (PIPC) کو 2020 میں ایک آزاد کمیشن کے طور پر مضبوط کیا گیا اور 2023 کی ترامیم میں مزید بااختیار بنایا گیا۔

انتظامی جرمانے:

• قانونی بنیادوں کے بغیر اکٹھی کی گئی ذاتی معلومات، یا فریق ثالث کو غیر مجاز فراہمی پر مشتمل خلاف ورزیوں پر **کل سیلز/آمدنی کا 3% تک جرمانہ
• تکنیکی تحفظ کے اقدامات کی سنگین خلاف ورزیوں پر کل سیلز کا 3% تک جرمانہ
• اصلاحی احکامات: PIPC آپریشنل تبدیلیوں، ڈیٹا کی تباہی، عوامی نوٹس کا آرڈر دے سکتا ہے۔

مجرمانہ سزائیں (آرٹیکل 70-74):

• رضامندی کے بغیر ذاتی معلومات جمع کرنا: 5 سال تک قید + ₩50 ملین تک جرمانہ
• بغیر رضامندی کے تیسرے فریق کو فراہم کرنا: 5 سال تک قید + ₩50 ملین تک جرمانہ
• رہائشی رجسٹریشن نمبر پروسیسنگ کی ممانعت کی خلاف ورزی: 5 سال تک قید + ₩100 ملین تک جرمانہ
• ڈیٹا بروکر کی خلاف ورزی: 10 سال تک قید

حالیہ نفاذ: PIPC نے بغیر رضامندی کے حساس معلومات اکٹھا کرنے پر 2022 میں Meta ₩6.7 بلین ($5 ملین) جرمانہ کیا۔ Samsung Electronics کو متعدد PIPC رہنمائی کی کارروائیاں موصول ہوئیں۔ کاکاو سے ڈیٹا ہینڈلنگ کے طریقوں کی تحقیقات کی گئیں۔ نفاذ فعال اور پھیل رہا ہے۔

---

PIPA تعمیل چیک لسٹ

• PIPA کی قابل اطلاق بیرون ملک آپریٹر کی حیثیت سمیت تصدیق شدہ
• جنوبی کوریا کا نمائندہ نامزد (بیرون ملک آپریٹرز)
• ذاتی معلومات کی انوینٹری مکمل ہو گئی جس میں حساس معلومات کی شناخت بھی شامل ہے۔
• رہائشی رجسٹریشن نمبروں کے استعمال کا اندازہ لگایا گیا - جمع کرنا ختم کر دیا گیا جب تک کہ قانونی طور پر ضرورت نہ ہو۔
• ہر پروسیسنگ سرگرمی کے لیے دستاویزی قانونی بنیاد
• رضامندی کے فارمز کا جائزہ لیا گیا: مخصوص، باخبر، رضاکارانہ، ہر مقصد الگ
• رازداری کی پالیسی تمام مطلوبہ عناصر کے ساتھ ویب سائٹ پر شائع کی گئی ہے۔
• PIPO نامزد: مناسب اتھارٹی کے ساتھ سینئر ایگزیکٹو
• رسائی کے کنٹرول نافذ کیے گئے: منفرد IDs، سیشن کا ٹائم آؤٹ (30 منٹ)، 5 ناکامیوں کے بعد لاک آؤٹ
• انکرپشن لاگو کیا گیا: حساس/بائیو میٹرک/مالیاتی ڈیٹا کے لیے AES-256؛ ٹرانسمیشن کے لیے TLS؛ پاس ورڈز کے لیے ایک طرفہ
• رسائی کے لاگز کو فعال اور ترتیب دیا گیا ہے (کم از کم 1 سال برقرار رکھیں، حساس کے لیے 3 سال)
• اگر 100,000+ افراد پر کارروائی کی جائے تو نیٹ ورک کی علیحدگی نافذ کی جاتی ہے۔
• ڈیٹا کے موضوع کے حقوق کے طریقہ کار: رسائی/تصحیح/معطلی کے لیے 10 دن کا جواب
• بیرون ملک منتقلی کے لیے سرحد پار منتقلی کا طریقہ کار
• PIPC کو 72 گھنٹے کی خلاف ورزی کی اطلاع کا طریقہ کار
• انفرادی خلاف ورزی کی اطلاع کے طریقہ کار کو دستاویز کیا گیا ہے۔
• PIPA کی ذمہ داریوں پر ملازمین کی تربیت مکمل ہو گئی۔
• سالانہ خطرے کی تشخیص طے شدہ

---

اکثر پوچھے گئے سوالات

PIPA کو عالمی سطح پر ڈیٹا کے تحفظ کے سخت ترین قوانین میں سے ایک کیوں سمجھا جاتا ہے؟

PIPA جامع دائرہ کار کو یکجا کرتا ہے (چھوٹے کاروباروں سمیت تمام اداروں پر لاگو ہوتا ہے)، سخت رضامندی کے تقاضے (واضح، مقصد سے متعلق، رضاکارانہ)، نسخے کے تکنیکی معیارات (لازمی انکرپشن الگورتھم، مخصوص رسائی لاگ ضروریات، نیٹ ورک کی علیحدگی)، مضبوط نفاذ (مجرمانہ جرمانے، %310 تک جرمانہ اور %310 تک جرمانہ)۔ قومی رہائشی رجسٹریشن نمبر استعمال کرنے پر پابندی - دنیا میں سب سے سخت قومی شناختی تحفظات میں سے ایک۔ PIPC نے بڑی ملکی اور غیر ملکی کمپنیوں کو جرمانے پر آمادگی کا مظاہرہ کیا ہے۔ مزید برآں، PIPA کے تفصیلی نفاذ کے ضوابط GDPR کے اصول پر مبنی فریم ورک کے مقابلے متبادل تعمیل کے طریقوں کے لیے کم گنجائش چھوڑتے ہیں۔

PIPA کے تحت خفیہ کاری کے مخصوص تقاضے کیا ہیں؟

PIPA کے نفاذ کے ضوابط (ذاتی معلومات کے حفاظتی اقدامات کے معیارات) بتاتے ہیں: (1) پاس ورڈز کو ایک طرفہ ہیش فنکشن (bcrypt، Argon2، یا منظور شدہ الگورتھم) کا استعمال کرتے ہوئے ذخیرہ کیا جانا چاہیے — سادہ متن یا ریورس ایبل انکرپشن ممنوع ہے۔ (2) حساس معلومات، رہائشی رجسٹریشن نمبر، بائیو میٹرک معلومات، اور مالیاتی اکاؤنٹ نمبرز کو ذخیرہ کرنے کے لیے AES-128 کم از کم (AES-256 تجویز کردہ) کا استعمال کرتے ہوئے انکرپٹ کیا جانا چاہیے۔ (3) نیٹ ورک پر منتقل ہونے والی تمام ذاتی معلومات کو TLS 1.2 یا اس سے اوپر کا استعمال کرنا چاہیے؛ (4) موبائل آلات پر ذاتی معلومات کو خفیہ ہونا ضروری ہے۔ (5) کلاؤڈ بیسڈ سسٹمز کے لیے اینڈ ٹو اینڈ انکرپشن کی سفارش کی جاتی ہے۔

2023 PIPA ترمیمات کے تحت تخلصی معلومات کیا ہے؟

تخلص معلومات (가명정보) کو 2020 ترمیم (2023 سے مؤثر) میں ذاتی معلومات اور گمنام معلومات کے درمیان ایک زمرے کے طور پر متعارف کرایا گیا تھا۔ اس سے مراد ذاتی معلومات پر کارروائی کی جاتی ہے تاکہ اضافی معلومات کے استعمال کے بغیر کسی مخصوص فرد کی شناخت نہ کی جا سکے، جسے حفاظتی اقدامات کے ساتھ الگ سے رکھا جاتا ہے۔ تخلص معلومات کو اعداد و شمار کی تالیف، سائنسی تحقیق، یا عوامی ریکارڈ کے تحفظ کے لیے رضامندی کے بغیر استعمال کیا جا سکتا ہے - رازداری کے خطرے کو کم کرتے ہوئے ڈیٹا اینالیٹکس کو فعال کرنا۔ پروسیسرز کو لازمی ہے: اضافی معلومات (میپنگ ٹیبل) کو الگ اور محفوظ طریقے سے رکھیں۔ دوبارہ شناخت کی کوششوں کو روکنا؛ تخلص کے ریکارڈ کو برقرار رکھنا؛ تکنیکی اور انتظامی حفاظتی اقدامات کو نافذ کرنا۔

PIPA کے "جائز مفادات" کی بنیاد کیسے کام کرتی ہے؟

PIPA (آرٹیکل 15(1)(6)) کے تحت جائز مفادات کی بنیاد 2023 کی ترامیم میں متعارف کرائی گئی تھی۔ یہ پروسیسر کے جائز مفادات کے لیے جہاں واضح طور پر ضروری ہو، ڈیٹا کے مضامین کے حقوق کو زیر کیے بغیر پروسیسنگ کی اجازت دیتا ہے۔ یہ جی ڈی پی آر کے جائز مفادات کا آئینہ دار ہے لیکن اس کے استعمال میں بہت کم — PIPA کی قانون سازی کی تاریخ بتاتی ہے کہ اسے اتفاقی، ضمنی کارروائی کے لیے استعمال کیا جانا چاہیے نہ کہ رضامندی کی جگہ عام مقصد کی بنیاد کے طور پر۔ پروسیسر کو جائز دلچسپی کو دستاویز کرنا چاہیے، اس بات کا اندازہ لگانا چاہیے کہ آیا یہ ڈیٹا کے مضامین کے مفادات کو زیر کرتا ہے، اور حفاظتی اقدامات کو نافذ کرتا ہے۔ حساس معلومات کو جائز مفادات کے تحت جمع/استعمال نہیں کیا جا سکتا - اس کے لیے واضح رضامندی یا مخصوص قانونی اجازت درکار ہوتی ہے۔

ڈیٹا کی خلاف ورزی کے لیے PIPC کو 72 گھنٹے کی اطلاع کی ضرورت کیا ہے؟

72 گھنٹے کی اطلاع کی ضرورت اس وقت لاگو ہوتی ہے جب: (1) 1,000 یا اس سے زیادہ ڈیٹا کے مضامین نقصان، چوری، یا لیکیج سے متاثر ہوں؛ (2) حساس معلومات یا منفرد شناختی معلومات (رہائشی رجسٹریشن نمبر، پاسپورٹ نمبر، ڈرائیور کا لائسنس نمبر، اجنبی رجسٹریشن نمبر) کسی بھی خلاف ورزی میں ملوث ہے؛ (3) خلاف ورزی سیسٹیمیٹک ظاہر ہوتی ہے (وسیع تر خطرے کی تجویز کرتا ہے)۔ دیگر خلاف ورزیوں (غیر حساس ڈیٹا والے 1,000 سے کم افراد کو متاثر کرنے والے) کے لیے 5 کاروباری دنوں کے اندر اطلاع درکار ہوتی ہے۔ نوٹیفکیشن PIPC/KISA رپورٹنگ پورٹل (privacy.go.kr) کے ذریعے درج کیا جانا چاہیے۔ کسی بھی پیمانے سے قطع نظر انفرادی اطلاع کی ضرورت ہوتی ہے - خلاف ورزی کا پتہ چلنے کے فوراً بعد۔

---

اگلے اقدامات

جنوبی کوریا کا PIPA تعمیل کا ایک فریم ورک ہے جس کے لیے تنظیمی عمل اور تکنیکی انفراسٹرکچر دونوں میں سرمایہ کاری کی ضرورت ہوتی ہے۔ جنوبی کوریا کی مارکیٹ میں داخل ہونے والے یا موجودہ کوریا کے آپریشنز کو بڑھانے والے کاروباروں کے لیے، شروع سے ہی آپ کے سسٹم کے فن تعمیر میں PIPA کی تعمیل کرنا — خاص طور پر انکرپشن کے تقاضے اور لاگنگ تک رسائی — retrofitting سے نمایاں طور پر زیادہ موثر ہے۔

ECOSIRE کی ٹیکنالوجی پر عمل درآمد کرنے والی ٹیم PIPA کے مطابق آرکیٹیکچرز کو ڈیزائن کرنے، مطلوبہ مخصوص تکنیکی معیارات کو نافذ کرنے، اور جنوبی کوریا کی مارکیٹ کے لیے موزوں پرائیویسی مینجمنٹ پروسیس بنانے میں مدد کر سکتی ہے۔

مزید جانیں: ECOSIRE سروسز

ڈس کلیمر: یہ گائیڈ صرف معلوماتی مقاصد کے لیے ہے اور قانونی مشورے پر مشتمل نہیں ہے۔ PIPA میں نمایاں طور پر ترمیم کی گئی ہے اور اس کی ترقی جاری ہے۔ اپنی تنظیم کے لیے مخصوص مشورے کے لیے اہل کوریائی قانونی مشیر سے رجوع کریں۔