数字经济时代数据隐私何去何从：金融业的改革

← 返回目录

随着韩国金融行业数字化转型加速，政府将数据利用置于优先地位，推出一系列兼顾创新与消费者保护的政策。其中，修订后的《信用信息使用及保护法》（信用信息法）建立的个人数据管理许可证制度——MyData，以及为适应人工智能和云计算技术而推行的网络隔离改革，是其中最重要的举措。本文重点梳理了个人信用信息保护领域的法律和政策发展，重点介绍MyData许可制度 及网络隔离改革。

主要政策概览

加强个人数据保护。信用信息法作为补充《个人信息保护法》（PIPA）的特别法，在涉及金融交易中信用信息使用的事项上优先适用；在信用信息法未作具体规定时，适用PIPA的通用条款。

为保护数据主体，信用信息法要求在收集信用信息前先取得数据主体的同意，必须明确告知收集的目的，并将数据使用限制在必要范围内；如须向第三方分享数据，必须另行取得针对数据共享的同意。

该法还要求金融机构简化并可视化同意流程，提供“数据使用同意评级”，说明潜在隐私风险和消费者利益。此举旨在支持金融消费者的知情同意。

鉴于自动化数据处理（如基于 AI 的信用评估和保险费率计算）日益普及，该法赋予消费者要求解释或反对画像的权利，并允许个人请求在机构间转移其信用信息。此外，该法要求持续审查数据实践以强化数据安全，在发生数据泄露时可判处最高五倍于实际损失的惩罚性赔偿。

MyData 政策的改进。信用信息法2020 年修订建立了 MyData 业务许可证制度，要求整合个人金融数据，基于这些数据提供产品推荐和金融顾问等服务的企业必须获得许可。

为鼓励中小型金融科技公司参与，法律设置了一个较低的资本要求——5亿韩元（352399美元），且不要求中小型企业履行适用于金融机构的出资义务。但经营者仍须满足人员配备、基础设施和业务计划等标准，才能获得金融服务委员会（ FSC）的批准。

外国企业若要在韩国经营 MyData 业务，须在当地设立子公司，并取得 MyData 业务许可证；作为主要股东，外国企业还需符合《实施令》规定的财务稳健性、信誉、运营完整性和资本能力要求。

金融版MyData服务于2022年1月5日推出，自此之后经过多次升级完善，以推动产业发展和加强消费者保护。截至 2022 年底，通过 金融版MyData 提供的信息范围已从最初的 492 项大幅扩大至720项，涵盖银行、保险、信用卡、金融投资和公共机构等所有金融领域。

2025 年 1 月 21 日，政府进一步修订了信用信息法框架下的《信用信息业务监督条例》。此次修订允许 MyData 经营者开展面对面销售活动，完善了未成年人使用 MyData 服务的规定，明确了 MyData 经营者的数据组合标准，同时还规定，运营者经数据主体同意向第三方出售信息时，必须使用金融安全局建立的 “MyData安全提供系统”。

网络隔离政策的改革

《电子金融交易监督条例》（《电子金融交易法》配套规则）要求实行物理网络隔离，以保护系统免受黑客袭击和外部威胁。内部业务系统必须与互联网、数据中心系统等外部网络隔断，与运营、开发或安全使用的终端也必须保持物理隔离。

尽管条例施行最初取得了效果，但在当今快速演变的 IT 环境中，韩国的物理网络隔离规定已不再适用。严格断开互联网连接限制了 SaaS、AI 及安全工具的使用，导致更新延迟，削弱了防御能力。金融业对这些低效问题、其对创新与研发的影响以及与全球标准日益拉大的差距表示担忧，并持续呼吁改革。

针对上述问题，政府于 2024 年 8 月宣布了新的网络隔离改革计划，计划分三个阶段，目前正推进第一阶段，主要关注：

1. 允许使用生成式人工智能（GenAI）。大多数GenAI服务运行于基于云的互联网环境；但由于网络隔离规定，其使用受到严重限制。此外，当前无法通过未在韩国设立服务器的海外AI模型处理或存储个人信用信息。为破解这些限制，政府计划通过监管沙盒给予豁免，允许金融机构使用GenAI处理经假名化的个人信用信息。在此框架下，FSC对申请进入沙盒的项目逐案审核，在批准进入沙盒前会评估AI使用目的、数据范围和安全措施等因素。
2. 扩大云端应用（SaaS）的使用范围。早在2023年9月已通过监管沙盒批准在内部网络中使用SaaS。近期改革进一步扩大了适用范围，经假名化处理的信用数据也获批，获准的应用程序不再局限于协作工具和ERP系统，安全、客户管理和业务自动化程序亦获纳入。获准SaaS访问的设备也由有线个人电脑扩展至移动设备。
   FSC在批准沙盒资格认定前，会依据SaaS使用范围、业务运营性质和安全措施水平逐案审查申请。鉴于SaaS使用范围的扩大，FSC还要求实施更严格的安全措施。
3. 放宽研发网络的网络隔离要求。 政府于2022年11月即豁免了研发网络的隔离要求，但由于难以在物理上将研发网络与业务网络隔离，这一规定影响有限。禁止使用个人信用数据也阻碍了服务开发。政府目前正在推动改革，允许在研发中采用逻辑隔离并使用经假名化处理的信用数据，以促进基于客户数据分析的新服务开发。

改革前景

随着网络隔离改革的推进，许多公司已获监管沙盒批准，通过云解决方案在内部网络中使用GenAI和SaaS。监管沙盒资格不限于国内资本设立的金融机构或电子金融业务经营者；根据韩国法律设立的外国公司的子公司也可申请。

2025年2月3日，作为网络隔离政策改革的一部分，《电子金融交易监督条例》进行了修订。因此，金融机构和电子金融业务经营者现被允许在研发网络中使用经假名化的个人信用信息。

金融领域的网络隔离政策的改革预计将持续推进。FSC计划评估在监管沙盒中获准在内部网络使用GenAI和SaaS的性能和安全影响。如果这些举措被评估为高效且不存在重大安全风险，FSC将修改现行法规，并将这些措施制度化。此外，FSC还在考虑将研发网络中允许使用的数据范围从经假名化数据扩大到实际个人信用信息。

与此同时，随着对云服务和数据中心的依赖日益加深，因第三方风险管理不足而产生的担忧仍然存在。为此，政府计划强化监管框架，以应对网络隔离规定放宽后与SaaS、GenAI及相关技术广泛使用相关的风险。

FSC已宣布将分阶段推进网络隔离改革计划，目标是构建一个基于自主防护和结果导向问责制的新安全框架。FSC还计划在将来颁布新法（暂定名为《数字金融安全法》）， 将监管模式从基于规则转向基于原则。

结语

政府的改革方向是促进数据经济发展的同时兼顾个人信息的保护。然而，黑客攻击和数据泄露等挑战仍存在，持续的技术改进是应对之策。明确服务提供者责任、完善消费者损害救济机制以及加强对弱势群体的保护依然是优先事项。随着数据在价值创造中发挥越来越核心的作用，公众对数据政策的讨论将愈加激烈，促使政府不断优化其应对策略。