一、法案概述

2024年9月26日，韩国个人信息保护委员会发布《数据主体自动化决策权利指南》(具体名称在翻译上存在不同，基本内容为一份关于在自动化决策过程中数据主体也即个人信息主体所能行使的相关权利的指南，下称“指南”)。指南指出，人工智能技术的广泛应用使得自动化决策的社会影响力进一步提升，对数据主体相关权利义务产生重大影响，韩国高度关注人工智能自动化决策中透明度的提升，从而保护数据主体自由与权利，推动个人尊严与价值的实现。

2023年韩国《个人信息保护法》修订中引入了数据主体自动化决策相关权利的规定，明确数据主体拥有拒绝自动化决策和要求解释自动化决策相关事宜的权利，要求个人信息处理者应公开作出自动化决策的标准和程序以及处理个人信息的方法等，同时安排在后续施行令中释明拒绝权或解释权的行使程序和方法、个人信息处理者应对拒绝权或解释权的必要措施、作出自动化决策的标准和程序、公开个人信息的处理方法等事项。2024年3月6日，韩国《个人信息保护法施行令第二次修正案》相关决议在韩国国务会议通过，对前述事项作出了相应规定，并于2024年3月15日开始生效实施。

指南即是在上述法律法规的基础上，进一步说明自动化决策的范围、数据主体行使权利时个人信息处理者应采取的措施、对自动化决策标准、程序进行公开的具体要求等，以促进制度顺利落实，增进相关人员对制度的理解。

二、法案内容

指南共有七章，内容涵盖自动化决策权利引入的目的，自动化决策的适用对象，个人信息处理者所需采取的举措，对相关标准、程序及处理方式进行公开的要求，数据主体发出请求的程序及方法，以及处罚规定和问题解答。此外还包括三份附件，即用于自动化决策合规程度自我诊断的量表，可解释人工智能工具的使用要求，以及与自动化决策相关的法律及公告汇总。

（一）第一章 自动化决策权利引入的目的

指南指出，数据主体自动化决策权利的引入目的是增强自动化决策过程的透明度，保障数据主体的知情权及个人信息自主决策权。人工智能等完全自动化决策过程复杂程度较高，决策过程中存在“黑箱操作”的不透明性，由此带来的数据主体和个人信息处理者之间的信息不对称问题需要得到重视和解决。

指南重申了对自动化决策过程的要求和数据主体所享有的权利，包括：

1、自动化决策的事前公开要求（即保障数据主体知情权）：自动化决策的标准和程序应提前在官方网站等平台上公布；

2、数据主体解释权：数据主体有权要求个人信息处理者给出简明且有意义的解释；

3、数据主体意见提交与审查权：数据主体有权提交其意见并要求个人信息处理者予以审查并给出处理结果，处理者需要通报意见是否被采纳及具体的处理结果；

4、数据主体拒绝权：如果自动化决策对数据主体的权利或义务有重大影响，数据主体有权拒绝该决策，并可要求人力干预或重新处理。

（二）第二章 自动化决策的适用对象

韩国《个人信息保护法》第37条第2项自动化决策相关解释条文指出，自动化决策是指“通过完全自动化的系统（包括应用人工智能技术的系统）进行的对数据主体权利或义务产生重大影响的决策过程”，指南在此基础上进行了辨析释明。指南指出，在判断是否属于自动化决策时，应考虑以下几点：

1、决策是否没有经过任何有权个体进行实际且有意义的人工干预而通过完全自动化的系统做出；

2、自动化系统是否分析和处理了数据主体的个人信息，并提取了有意义的信息；

3、决策是否由个人信息处理者一方做出，并且该决策是否影响数据主体的权利或义务；

4、决策是否为影响数据主体权利或义务的最终决定；

5、个人信息的处理与决策之间是否存在实际关联；

6、是否有其他法律规定了与自动化决策相关数据主体权利的情形。

指南在前述基础上进一步解释，“完全自动化系统”的“完全性”在于，决策不包含人工干预的影响，如果在决策过程中仅有一些在职责和工作上并不会对决策造成影响的人员参与或者只是形式上的批准，则视为没有人工干预而仍为自动化决策。但若存在人工干预且自动化系统的输出结果仅作为人工判断的参考材料使用，则不属于自动化决策。

（三）第三章 个人信息处理者所需采取的举措

指南围绕个人信息处理者应对数据主体行使拒绝权、解释权时的一般处理措施、能够拒绝解释的正当理由以及处理期限与通知方式进行细化：

1、当数据主体行使其自动化决策拒绝权时，个人信息处理者应暂停自动化决策的适用，确保该决策不会对数据主体的权利或义务造成重大影响，并将结果通知相应的数据主体。如果个人信息处理者在暂停自动化决策后，重新审查该决策并决定进行调整，则需要根据数据主体的拒绝请求进行适当处理，并将处理结果通知数据主体。

2、数据主体有权行使其解释权，要求个人信息处理者提供有关自动化决策的解释，特别是该决策的主要标准、处理过程以及使用的个人信息类型。相应解释应简洁且有意义，以确保数据主体能够充分理解决策的影响。个人信息处理者仅可在作出相关解释将涉及他人的生命、财产安全或影响他人正当利益的情况下拒绝数据主体的解释要求，但仍需要提供正当的理由并通知相应的数据主体。

3、个人信息处理者在收到数据主体行使拒绝权或解释权的要求后，应当于30天内完成相关处理并将结果以书面或电子方式通知数据主体；在工作量激增或不可抗力等特殊情况下，可以延长最多60天的处理时间。

（四）第四章 对相关标准、程序及处理方式进行公开的要求

指南指出，个人信息处理者在自动化决策过程中应确保透明度，提供足够的信息帮助数据主体了解个人信息如何被处理，数据主体通过提前公开的相关标准、程序及处理方式可以在自动化决策过程中更好地行使自己的权利。为确保信息公开易于理解，个人信息处理者应使用标准化的术语，并尽可能采用视觉化方式（例如视频、图表等）进行信息展示，以帮助数据主体更清晰地理解自动化决策的标准及程序。

指南要求个人信息处理者应通过官方网站等途径，向数据主体公开以下内容：

1、自动化决策的标准、程序及处理方式；

2、自动化决策中所使用的主要个人信息类型；

3、决策过程中个人信息的处理步骤及对决策的影响；

4、涉及敏感信息或未满14岁儿童个人信息时，必须明确说明处理的具体目的及信息类型；

5、数据主体拒绝权、解释权的行使方式及程序。

（五）第五章 数据主体发出请求的程序及方法

指南要求个人信息处理者应当制定并公开数据主体行使权利的具体方法和程序，以便数据主体能够简单有效地提交请求，遵照韩国《个人信息保护法》第38条及其相关条款，应当允许数据主体通过书面、电子邮件、电话等方式提交请求。个人信息处理者需要确保程序简便且易于操作，操作难度上不得复杂于个人信息收集时的程序，除非因正当理由无法维持原信息收集渠道，否则应确保数据主体能够通过与个人信息收集时相同的窗口或方式提出拒绝或解释要求。

指南明确，如果个人信息处理者决定拒绝处理数据主体的请求，必须在收到请求后的10天内，以书面形式或其他适当方式告知数据主体拒绝理由，并提供相关申诉渠道。指南也指出，如果数据主体提出的意见已反映在决策过程中，或者数据主体多次重复提出相同要求，个人信息处理者可以不再处理请求。

（六）第六章 处罚规定

指南指出，韩国个人信息保护委员会可以要求违反规定的相关个人纠正其不当行为，包括停止侵犯个人信息行为、暂停个人信息处理或采取为保护个人信息及防止侵权所需的其他措施，如果未遵守相关命令将面临最高3000万韩元（约合16万元人民币）的罚款。此外，如果个人信息处理者（包括受托人）在没有正当理由的情况下，未能依规处理数据主体行使拒绝权或解释权的相关请求，也可被处以最高3000万韩元的罚款。

（七）第七章 相关问题解答

指南围绕相关规定在具体执行中可能存在的问题进行了预设和解答，这些问答进一步阐述了有关细节，对个人信息处理者理解指南并予以应用有着较好的实践指导价值。

例如，对于通过人工智能进行招聘时申请人是否可以行使拒绝权的情形，指南解释称法律法规授予数据主体自动化决策拒绝权是为了暂停对其权利和义务有重大影响的决策适用，给予其通过人工干预确认和重新处理的机会，避免因错误决策或不准确的个人信息而受到损害。如果人工智能仅通过面试做出“不合格”的决定，数据主体有权行使拒绝权，暂停适用该不合格决定并要求人工干预进行重新确认和处理。然而，这并不意味着必须做出“合格”的决定或必须设置人工干预的招聘程序。

又如，对于已经向数据主体解释了自动化决策但数据主体仍要求解释涉及算法或商业秘密内容的情形，指南指出，对自动化决策的解释并不要求涉及复杂的人工智能算法原理或技术细节。如果解释内容涉及个人信息处理者的商业秘密或其他合法权利，个人信息处理者可以以此作为正当理由，拒绝对数据主体予以进一步解释。

再如，对于数据主体自动化决策权利行使和现行个人信息相关请求之间的兼容问题，指南指出，如果常规客户服务窗口已经处理了个人信息的访问、修改、删除等请求，则不需要再单独设置自动化决策权的处理程序，对于自动化决策拒绝权与解释权可以整合到现有的客户服务流程中予以应对，自动化决策相关信息和程序也可与现有的个人信息处理政策一起公开，但必须确保数据主体能够轻松获取并应用相关信息、方法和程序。

三、结语 

通过本次指南的出台，韩国在自动化决策的立法层面实现了从《个人信息保护法》自动化决策权利专条到《个人信息保护法施行令》细化规定再到指南详细指引和解释的三层脉络构建，较好地释明了数据主体在自动化决策中所享有的权利和个人信息处理者的合规举措，方便民众了解知悉行使其正当权利的具体方式，也为韩国企业的合规经营提供了明确而清晰的方向。

参考文献：

1. 韩国个人信息保护委员会（PIPC）官网新闻稿，https://www.pipc.go.kr/np/cop/bbs/selectBoardArticle.do?bbsId=BS074&mCode=C020010000&nttId=10611；

2. 《数据主体自动化决策权利指南》原文下载页面，https://www.pipc.go.kr/np/cop/bbs/selectBoardArticle.do?bbsId=BS217&mCode=G010030000&nttId=10613；

3. South Korea: PIPC publishes guide on data subject rights regarding automated decisionshttps://www.dataguidance.com/news/south-korea-pipc-publishes-guide-data-subject-rights;

4. PERSONAL INFORMATION PROTECTION ACT，https://elaw.klri.re.kr/eng_service/lawView.do?hseq=62389&lang=ENG；

5. 国务会议决议通过《个人信息保护法施行令》修正案 https://www.shinkim.com/zho/media/newsletter/2426。

来源：信通院互联网法律研究中心

作者：

• 时圣辉，中国信通院互联网法律研究中心助理工程师
• 邵明宇，中国信通院互联网法律研究中心实习生