韩国个人信息保护法：明确目的，合法收集最小限度个人信息

韩国2011年制定的《个人信息保护法》规定了八项原则：

1.目的应明确，并为达成必要目的合法正当收集最小限度的个人信息。

2.应在实现目的必要适当范围内处理个人信息，不得另作它用。

3.应确保个人信息的准确性、完整性和及时性。

4.应安全处理个人信息，防止信息主体的权利被侵犯。

5.应公开个人信息处理的相关事项，包括但不限于处理政策、信息主体的权利。

6.应尽可能以对信息主体隐私侵害最小化的方式处理个人信息。

7.应确保在任何可能的情况下对个人信息匿名化处理。(www.xing528.com)

8.应努力履行法定责任和义务，获得信息主体的信任。

同时，该法也对具体规则作出了规定：

1.收集使用规则：只有在取得信息主体同意、法律另有规定或为履行法定义务、公共机构因执行公务、为履行合同、为保障信息主体或第三人的人身和财产权益但无法事先征得同意、个人信息控制者为实现其合理必要的正当权益且已优先考虑过信息主体的权利等情形下，可以收集使用个人信息；处理敏感信息前需取得信息主体的单独同意；收集的个人信息应限于必要、最小的范围，该证明责任由个人信息控制者承担；收集最小限度之外的信息应先告知信息主体有不提供的权利，且不得以此为由拒绝向信息主体提供服务。

2.告知事项：在取得信息主体同意或向第三方提供个人信息时应告知收集使用目的、信息种类、保存期限、信息的接收者、信息主体有权拒绝及拒绝的不利后果，上述事项如变更也应告知并取得同意；从信息主体以外渠道收集信息时，经信息主体请求应向其告知收集来源、处理目的、信息主体可要求中止处理的权利。

3.对外提供：只有取得信息主体同意或法律另有规定的情形下，个人信息控制者可将个人信息向第三人提供；个人信息控制者以及从个人信息控制者处获取个人信息的机构和人员，不得超过既定范围使用或向第三人提供个人信息；向位于海外的第三人提供的同样应告知相关事项并取得同意，且不得违反本法达成跨境个人信息传输合同。

4.信息主体的权利：获取个人信息处理相关信息的权利；选择和决定是否同意处理其个人信息的权利；确认其个人信息是否被处理以及查阅、复制其个人信息的权利；要求暂停处理、更正、删除和销毁个人信息的权利；获取救济的权利。

5.个人信息控制者的责任：制定内部管理制度，采取技术、管理和物理等必要措施，防止个人信息丢失、被盗、泄露、篡改或毁损；制定个人信息处理政策，并以信息主体可阅览的方式公开；指定专人承担个人信息处理相关职责；除法律规定需要保存的情形外，当个人信息持有到期或达到处理目的后，应立即销毁个人信息，并采取措施避免个人信息被恢复或再利用。