‘个人信息泄露最高罚款，营业额10%’，修订个人信息保护法将于9月11日实施

Source: Byline Network

概要

个人信息保护委员会于10日公布《个人信息保护法》修正案，内容包括加强最高经营者（CEO）的责任、信息保护及个人信息保护管理体系（ISMS‑P）认证义务化等，并将于9月 11日实施。

主要变更事项

处罚力度上调

• 对于重复或重大违规，可处以最高达**营业额的10 %**的罚款。
• 之前的上限为营业额的3 %以下。
• 适用标准：
  • 最近3年内因故意或重大过失重复违规，或
  • 因故意或重大过失导致超过1,000万人受害，或
  • 未履行整改命令导致泄露事故发生。

事前预防投资激励

• 为个人信息保护投入预算、人员、设施、设备等的，可减轻罚款。
• 但故意或重大过失的情况除外。

信息主体通知标准扩大

• 之前：仅在发现泄露事实时通知。
• 修正案：一旦确认泄露可能性即需立即通知，不能拖延。
• 用户可在早期阶段就更换密码、保护账户。

事故范围扩大

• 之前：以丢失、盗窃、泄露为中心。
• 修正案：伪造、篡改、损毁也纳入“泄露等事故”。
• 如因勒索软件等导致个人信息被损坏或更改，也属于通知对象。
• 通知时须新增告知受害者如何请求损害赔偿、调解争议等救济方式的义务。

CEO 与 CPO（个人信息保护负责人）责任加强

• CEO：作为个人信息处理·保护的最终责任人，明确其管理·监督义务。
• 达到一定规模的个人信息处理者在指定、变更、解除 CPO 时必须经董事会决议并向个人信息保护委员会备案。
• CPO：扩大其实务责任，包括管理所需专业人员、确保预算、向 CEO·董事会报告等。

ISMS‑P 认证义务化

• 对主要个人信息处理者（公共·民间）强制实行 ISMS‑P 认证。
• 之前为自愿认证，但对影响力大的企业·机构必须取得认证。
• 认证范围将在后续的实施令修订过程中具体化。

实施时间点

• 修订后的个人信息保护法：2024 年 9月 11日实施。
• ISMS‑P 认证义务化规定：自 2027 年 7月 1日起适用（考虑预算筹备与准备期间）。

个人信息保护委员会计划推动后续实施令的修订，并加强与产业界·公共机构的沟通。