정보 시대에서 정보란 일종의 석유(oil)라 할 수 있다. 사회경제적 및 정치적 여건이 서로 다르고 복잡함에도 불구하고, 많은 아시아 국가들이 개인정보 보호장치를 한층 강화하는 조치를 적극적으로 취하고 있다.

중국

인도

태국

필리핀 제도

중국

2021 개인정보보호법(PIPL)은 개인정보 보호에 관한 중국 최초의 포괄법(包括法)이다. 사적인 개인정보는 민법에 의거하여 프라이버시 권리로서 보호를 받고, 사적인 또는 공적인 개인 정보에 대한 개별 권리는 PIPL에 의거하여 보호를 받는다.

정보 보안(개인정보가 아닌 데이터 포함)과 사이버보안은 정보 보안법과 사이버보안법에 의거하여 규제를 받는데, 이는 PIPL과 함께 중국의 개인정보보호 및 정보 보안에 관한 법적 체제를 구성한다.

정보 관리 기관

정보 관리 업무를 시행하고 이를 실행하는 주무 기관은 국가사이버정보국(中华人民共和国国家互联网信息办公室; CAC)이다. 기타 산업별 지역별 여러 규제기관들이 관련 규칙의 시행을 공포한다.

정보 분류

중국의 정보 국가 보안 및 개인정보 보호 규칙을 시행할 수 있도록, 위험성과 중요성 정도에 따라 정보에 등급을 부여했다. 정보보안법에는 정보를 그 형태에 따라 그룹으로 분류하고 각 그룹의 정보에 개별 중요성을 할당하여 “분류하고 등급을 부여한” 정보 보호 시스템이 명시되어 있다. 국가 정보 보안 통합 장치를 통해 전반적인 계획을 수립하고, 국가위원회의 관련 부서들은 “중요 정보” 항목을 정하여 이들에 대한 보호 강화를 위해 협조한다.

PIPL은 ‘개인정보’와 ‘민감한 개인정보’를 구분하고 있다. 개인정보란 전자방식으로 또는 달리 기록되어 신원이 확인되거나 신원을 확인할 수 있는 자연인과 관련한 모든 종류의 정보를 의미한다(익명 처리된 정보는 제외). 민감한 개인정보란 공개되거나 불법적으로 이용하면 인간의 존엄성이 침해되거나 자연인에게 피해를 줄 수 있는 개인정보를 의미하고, 여기에는 생체 인식, 종교적 믿음, 의료 및 건강, 금융 계좌, 개인 위치 추적 및 기타 이와 유사한 정보와 14세 미만의 미성년자에 대한 개인정보가 포함된다.

정보 취급자

정보 관리 시스템에는 정보 관리자와 정보 처리자에 대한 정의가 따로 마련되어 있지 않다. PIPL은 개인정보의 처리 목적과 방법을 독립적으로 결정하는 조직이나 개인을 개인정보 취급자(PIH)로 정의한다. PIH는 개인정보 처리 업무를 다른 사람에게 위임할 수 있지만, 해당인의 작위(作爲) 및 부작위(不作爲)에 대해 책임져야 한다. PIH는 개인정보 보호에 필요한 조치를 취하고, 제3자 처리자가 관련 법을 준수하고 합의된 목적을 벗어나 개인정보를 처리하지 않도록 해야 한다.

법적 근거

PIPL은 다음의 경우에 PIH가 개인정보를 처리할 수 있는 것으로 명시하고 있다.

• 정보 주체로부터 합법적으로 동의를 받은 경우
• 계약의 체결이나 이행, 고용계약 등에 의거하는 인적 자원 관리와 관련하여 필요한 경우
• 법적 의무 이행에 필요한 경우
• 공중보건 비상사태, 생명 보호, 건강이나 재산의 안전 위험에 대응하기 위해 필요한 경우
• 뉴스 보도 또는 공익에 필요한 경우
• 개인에 의해 또는 법에 따라 개인정보가 공개되었으나 해당 정보를 합리적인 범위 내에서 처리할 수 있는 경우

국외 정보 이전

사이버보안법에는 중요정보 인프라 사업자(CIIO)가 생성하고 수집한 개인정보 및 중요 정보의 국외 이전에 적용되는 조항이 포함되어 있고, 예의 CIIO는 관련 기관에서 지정한다. 이와는 달리, PIPL에는 개인정보의 국외 이전에 필요한 포괄적인 기준이 명시되어 있다.

관련 규칙과 가이드라인을 실행하는 일부 법규(네트워크 정보 보안 관리에 관한 규정(NDSM), 국외 정보 이전의 보안 평가 조치(MSA) 포함)는 역외 정보 이전 문제를 다루고 있다. 몇몇 산업 분야의 법규와 규정은 특정 형태의 정보의 국외 이전을 제한하거나 금지하고 있다. PIH에 필요한 일반적인 요건은 다음과 같다.

• 개인정보의 국외 이전은 법적 근거가 있어야 한다.
• PIH는 이전된 개인정보가 PIPL에서 정한 것과 동일한 기준으로 해외의 수취인이 처리하고 보호할 수 있도록 이에 필요한 모든 조치를 취해야 한다.
• 중국 본토 밖으로 개인정보를 이전하기 전에 개인정보 보호와 관련한 영향 평가를 실시해야 한다.

또한, 정보 현지화 및 국가 보안 평가의 경우에는 특정의 PIH에게 다음과 같은 구체적인 요건이 필요하다.

• CIIO는 중국에서 업무를 진행하는 동안 수집하고 생성한 개인정보와 중요한 정보를 보관해야 한다.
• PIH의 개인정보 처리가 CAC에서 정한 상한선에 도달하면 정보 현지화 요건을 따라야 한다. 관련 규칙의 현재 상한선은 100만명 이상의 정보를 의미한다.
• 관련 법과 중국인민은행에 의해 구체적으로 허용되지 않는 한, 은행업무를 수행하는 금융기관은 개인금융정보를 해외로 제공할 수 없다.
• 개인정보 처리가 법적 상한선에 도달한 CIIO 또는 PIH가 해외 수취인에게 해당 정보를 제공하고자 하는 경우에는 국가 보안 평가를 통과해야 한다.
• 이전되는 정보에 “중요한 정보”가 포함되는 경우, 관련 규칙은 국가 보안 평가 요건을 다른 PIH까지 확대한다.
• MSA에서도 100,000명 이상의 개인정보 또는 10,000명 이상의 “민감한 개인정보”의 해외 이전에 국가 보안 평가 요건을 적용한다. 이러한 상한선은 누적되는 방식으로 적용된다.

국가 보안 평가가 필요하지 않은 경우, PIH는 지정된 전문 기관으로부터 개인정보 보호 인증서를 취득하거나 CAC가 정한 표준 조항이 포함된 정보 이전 계약서를 해외 수취인과 체결해야 한다. NDSM은 이러한 요건을 개인정보와 무관한 정보 취급자에게 확대한다.

먼저 관련 기관의 승인을 받지 않으면 어떠한 개인이나 조직도 중국 본토에 소재하는 정보를 외국의 사법기관이나 법 집행기관에 제공할 수 없다.

위반 및 책임

PIPL에는 다음과 같은 처벌 조항이 명시되어 있다.

• 1차 처벌에는 시정 명령, 경고, 불법소득 몰수 및 서비스 중단이 포함된다.
• 시정되지 않는 경우, 위반 사항에 대해서는 최대 100만 위안($150,000), 위반 사항을 초래하였거나 이에 대해 달리 책임져야 하는 사람에 대해서는 10,000~100,000 위안의 벌금이 부과된다.
• 심각한 위반의 경우, 5,000만 위안 또는 전년도 수익의 5%에 해당하는 벌금이 부과되고, 사업 중단이나 사업허가 취소의 처벌을 받는다.
• 정보 주체에게 피해가 발생하는 경우, PIH는 자신이 개인정보와 관련한 권리를 침해하지 않았다는 것을 입증해야 한다.
• PIH가 많은 사람의 권리를 침해하는 경우, CAC는 검사 또는 특정 기관에게 PIH를 고소할 수 있는 권한을 부여할 수 있다.

정보보안법과 사이버보안법에도 위반과 관련한 처벌 조항이 명시되어 있다.

정보 침해

사이버보안법은 체계적으로 분류된 보호 시스템을 실행한다. 정보 침해가 발생하면, 정보 관리 시스템에 따라 정보 취급자와 네트워크 사업자는 즉시 비상계획을 수립하고, 해당하는 시정 조치를 취하고, 필요한 바 대로 정보 주체에게 통지하며, 해당 사안을 CAC와 관련 규제기관에 보고해야 한다.

사이버보안 사고에 필요한 국가 비상계획 및 공공 인터넷의 예기치 않은 네트워크 보안 사고에 필요한 긴급 대응 계획에 의거하여, 사이버보안 사고는 그 정도에 따라 (1) 매우 중대한 사고, (2) 중대한 사고, (3) 비교적 중대한 사고 및 (4) 일반적인 사고로 분류된다. 관련 규정에는 규제기관, 모니터링 및 조기 경고 시스템, 비상 및 보고 시스템, 조사 및 평가, 보호 조치와 관련한 규칙이 구체적으로 명시되어 있다.

정보보호책임자(DPO)

PIPL에는 정보보호책임자(DPO) 지정이 명시되어 있는데, DPO의 역할과 책임은 다음과 같다.

• PIH의 정보 처리 활동과 보호 조치 등을 감독한다.
• PIH의 책임자에게 직접 보고한다.
• 개인 책임에는 위반의 경중에 따라 10,000~100만 위안의 벌금이 포함된다. 또한, DPO는 상위 직급으로 승진할 수 없거나, 사회적 신용 관련 문서에 부정적으로 기록되거나, 일반 대중에게 공개되거나, 최악의 경우에는 행정 구금이나 형사 고발의 위험도 부담한다.
• PIPL에는 DPO의 구체적인 업무가 명시되어 있지 않지만, 역할과 관련한 지침은 PIS 세부 자료에서 확인할 수 있다.

K&L GATES
44/F Edinburgh Tower, The Landmark
15 Queen’s Road Central, Hong Kong
전화: +852 2230 3500
www.klgates.com

맨 위로

인도

EU가 개인정보보호규정(GDPR)을 통해 개인정보에 대한 보호를 한층 강화하면서, 정보의 취약성을 줄이고 이용자의 프라이버시 훼손을 막기 위한 조치들을 시행해야 한다는 목소리가 전세계적으로 공감을 얻고 있다.

‘테크’ 공룡기업들이 개인정보를 남용하거나 잘못 취급했다는 일련의 주장은 정보 프라이버시 침해 문제를 바라보는 일반인들의 시각에 변화가 나타나는 중대한 계기가 되었다. 이에 따라 많은 국가들이 한층 엄격한 규제 정책으로 나아가는 토대를 마련하기 위해 기존 법을 대대적으로 점검하기 시작했다.

인도 또한 예외가 아니기 때문에 이 부분에 대한 노력을 기울이고 있다.

현재는 정보기술(IT)법과 정보기술(합리적인 보안 실무와 절차 및 민감한 개인정보) 규칙으로 관련 분야를 규제하고 있다. IT법 43A항에 따라, 정보 주체는 민감한 개인정보의 무단 공개에 대한 보상을 요구할 수 있다. 72A항은 처벌에 관한 조항으로, 이에 의거하여 누구나(민감한 개인정보를 동의 없이 공개하는 중개업자 포함) 징역형이나 벌금형의 처벌을 받을 수 있다.

그러나 이러한 법들은 그 범위가 제한적이기 때문에 충분하지 않다는 것이 중론이다. 이에 따라, 관련 규제 정책을 개편하기 위해 2018년 개인정보보호법안이라는 포괄적인 법안이 발의되었다. 이 법안의 목적은 국가 차원에서 정보의 ‘힘’을 적절하게 관리할 수 있도록 올바른 관리 장치를 마련하고 견고한 정보 인프라를 구축하는 것이다.

하지만 이 법안은 많은 논란을 불러일으키면서 지금까지 3차례나 수정되었다.

상원의원과 하원의원으로 구성된 공동의회위원회(JPC)에서 작성한 JPC 보고서가 2021년 12월 16일 수정된 정보보호법안과 함께 발표되었다. 새 법안은 ‘개인정보’와 ‘개인정보가 포함되지 않은 정보’ 모두를 규제하는 내용인데, 이는 관련 법의 범위가 확대되었다는 것을 의미한다.

발의된 법안은 KS Puttaswamy v Union of India 사건에서 인도 대법원이 제시한 원칙에 기반하고 있는데, 이에 따르면 개인의 프라이버시 권리를 제한하는 요소들은 법으로 금지하여 이를 남용하지 못하도록 절차적 안전장치를 마련해야 한다.

이 법안에서 가장 논란이 되었던 부분은 정부가 실질적으로는 아무런 책임도 부담하지 않는다는 내용이다. 35조를 보면, 인도의 주권과 영토보전, 국가 안보, 외국과의 우호관계 및 공공 질서를 위해 필요한 경우에는 정부의 조항 준수 의무가 면제된다. 그러나, 쏟아지는 비판에도 불구하고 JPC는 35조를 그대로 두었다.

정부의 감시 권한을 제한한다는 취지로 JPC는 모든 절차가 “공평하고 공정하고 합리적이고 균형을 유지해야 한다”는 설명을 덧붙였다. 면책 기준을 추가한 것은 환영할 만한 움직임이지만, 이것 만으로는 충분하지 않을 수 있다.

정부의 독단적인 조치를 막으려면 사법적 감독이 무엇보다 중요하고, 정부가 면책 조항의 적용을 요청하는 경우에는 법원의 허가를 받도록 해야 한다. 또한, 안전장치를 충분하게 제공하는 폭넓은 절차적 기준이 법안 자체에 반영되어 있어야 하고, 일부 JPC 의원들이 반대 의견서에서 주장한 바 대로 관련 조항을 구체적으로 적용할 수 있도록 “공공 질서”라는 포괄적인 표현은 삭제되어야 한다.

정보보호법 준수 및 이행 여부를 모니터링하는 정보보호국(DPA)에도 문제가 있다. 2019년 법안에 따르면, 모든 DPA 구성원은 국무조정실장 및 실장급 관료 2인으로 구성된 인선 위원회의 추천에 따라 중앙 정부에서 지정한다. 원안(原案)의 내용 때문에 비판을 받았던 JPC는 2021년 위원회 구성원으로 법무장권을 포함시켰다. JPA의 독립성을 충분하게 확보하려면 사법 기관의 참여를 고려할 수 있고, 선임 판사(데이터 및 개인정보보호와 관련하여 주목할 만한 판결을 내린 판사)가 구성원이 되어야 한다.

‘특정 국가에서 수집한 자료는 해당국 안에서만 저장하고 처리해야 한다’는 데이터 현지화 조항 또한 논란의 소지가 많다. 2018년 법안의 원안에는 포괄적인 데이터 현지화 조항이 포함되었는데, 이때문에 엄청난 비판을 받았다. 다른 국가들까지 크게 반발하면서 이후 해당 법안은 그 내용이 완화되었다. 2021년 정보보호법은 ‘절충된’ 현지화 조항을 명시하여 민감한 개인정보는 관련 파일을 복제하고 중요한 데이터는 반드시 현지에서 처리하도록 했다. 달리 말하면, 인도 이외의 지역에서도 민감한 개인정보의 이전이나 저장이 가능하지만 해당 사본은 현지에서 저장해야 한다.

민감한 개인정보에는 건강, 종교, 성생활, 정치적 신념, 생체, 유전 및 금융 등과 관련한 정보가 포함된다. 이러한 정보는 특정 조건에 부합되는 경우에만, 엄밀하게 말하면 GDPR의 개인정보보호 기준을 따르는 경우에만 역외로 이전할 수 있다. 그러나 매우 중요한 데이터를 나라 밖으로 이전할 때에는 제약을 받게 되는데, 반드시 인도 내에서만 해당 데이터를 처리하고 저장해야 한다. 하지만 ‘중요한 데이터’가 구체적으로 정의되어 있지 않기 때문에 어떤 유형의 데이터가 여기에 해당하는지는 확실하지 않다.

정부에서는 데이터 현지화가 인도에 어떤 도움을 주는지 적지 않은 근거를 제시해왔다. 데이터 시장 자체가 매우 크기 때문에 데이터의 상당 부분은 미국이나 아일랜드 등에 소재한 서버에 저장된다. 현지 저장을 의무화하면 대규모 데이터 센터가 인도로 통합되므로 현지 일자리 창출에 도움을 줄 수 있다. 인도의 전반적인 IT 또는 데이터 인프라가 활성화되면 경제 발전이 한층 빨라지는 것은 물론 글로벌 데이터 처리의 허브(hub)로 성장할 수 있을 것이다.

데이터 역외 이전에 대한 보호주의 정책이 좋게 보일 수도 있지만, 이를 실행하기 전에 어떤 부분에서 실질적인 혜택을 볼 수 있는지 면밀하게 따져보아야 한다. 이러한 정책을 통해 누릴 수 있는 이점이 무엇인지 확인하려면 데이터 현지화 요건을 준수해야 하는 부담이 가중되어 인도 내에서 데이터 기반 서비스를 제공하는 많은 외국 기업들이 떠날 가능성은 없는지 살펴보는 일이 무엇보다 중요하다. 또한, 외국 정부들이 인도 기업에 대해 보복 조치를 취할 가능성도 염두에 두어야 한다.

법 집행이 용이하다는 부분도 이점 중 하나이다. 인도의 집행기관들은 다른 나라에 저장된 데이터에 접근할 때 많은 제약을 받는다. 예를 들면, 인도에서 중대한 범죄가 발생하여 이에 대한 수사가 진행되는데 핵심 증거가 미국에 소재하는 서비스 제공업체에게 있는 경우에 정부는 인도와 미국이 체결한 국제사법공조조약(MLAT)에 의거하여 제공되는 데이터 수집 장치를 이용할 수밖에 없는데, 이는 매우 번거로운 과정이다.

미국 정부는 MLAT의 요청을 받아들이기 전에 법원 명령을 받으려 할 것이다. 미국 법원은 명령을 내리기 전에 인도의 요청이 법적 요건을 충족하고 있는지 확인한다. 법원에서 명령을 내리면, 미국의 서비스 제공업체는 필수적인 데이터를 생산하여 이를 최종적으로 인도로 이전하기 전에 법적 준수 여부를 확인하기 위해 미국 법무부와 그 내용을 공유한다. 하지만 이러한 과정에는 수 개월이 소요되기 때문에 적절한 시기에 데이터에 접근할 수 없으므로 수사에 지장을 줄 수 있다.

데이터 현지화를 통해 인도의 정부 기관들은 데이터에 쉽게 접근할 수 있다. 그러나, MLAT 시스템에 어느 정도 의존해야 하는 것인지 따져보고 분석하는 일이 매우 중요하다. 집행하는 기관들이 요구하는 데이터나 증거의 비율을 살펴볼 수도 있는데, (모든 개인정보가 아니라) 민감한 개인정보의 파일만 복제하도록 약간 변형된 데이터 현지화 프로그램을 채택하면 접근이 한층 쉬워질 것이다. 이러한 현지화 작업을 통해 MLAT 시스템은 물론 데이터에 직접 접근할 수 있도록 체결한 기타 양국간 실행 협약 내용을 보충할 수 있을 것이다. 그러나 과연 인도가 이러한 협약을 체결할 수 있는 자격이 있는지에 대한 문제까지 거론될 수 있는 ‘현지에 저장해야 한다는 강제 조항’ 부분에 대해서도 면밀하게 검토하여 이로 인한 부작용은 없는지 살펴보는 일이 중요하다.

이에 대한 각계 각층의 의견 또한 다양하다. 인도에 거점을 두고 있는 글로벌 싱크탱크 Observer Research Foundation은 인도의 ‘현지저장 강제조항’은 해외정보이용 합법화법(Clarifying Lawful Overseas Use of Data Act(CLOUD 법)에 의거하여 미국과 실무 협약을 체결할 때 장애 요소가 될 수 있다고 주장한다. CLOUD 법은 국가간 데이터 관련 법이 상충되는 경우에 “중대한 범죄”에 대해 수사할 수 있도록 외국 정부가 데이터에 접근할 수 있는 국제 공조의 길을 열어주는 미국의 수권법(授權法)이다.

인도가 CLOUD 협약에 서명하여 미국에 거점을 두고 있는 서비스 제공업체가 저장한 관련 데이터를 이용하여 범죄를 수사하는 경우, 미국의 영장이나 법원 명령 없이 해당 데이터에 접근할 수 있다. 이를 위해 인도 법원의 명령을 활용할 수 있다. 인도의 정부기관들은 미국의 서비스 제공업체에게 직접 연락하여 꼭 필요한 정보를 요구할 수 있다. 그러나, CLOUD 법에는 어느 정도까지 정보를 요구할 수 있는지 명시되어 있지 않다.

상황은 이러하지만, 인도는 아직까지 CLOUD 협약에 서명할 의사를 보이지 않고 있다. 설령 이에 대해 검토를 하고 있더라도, 현지화 강제 조항과 정부의 감시 권한 확대는 인도의 자격 적절성에 대해 영향을 줄 수 있다는 점을 명심해야 한다.

글로벌 데이터 경제의 규모가 방대하고 인터넷 이용자 수 또한 엄청나기 때문에 인도는 이를 최대한 활용할 계획을 갖고 있다. 그러나 실제로 제정되는 법이 국가의 비전에 반(反)하는 방향으로 가지 않도록 이번에 추진하는 법에 대해, 그리고 일부 조항의 위험 요소(특히 역외 이전 문제)에 대해 전반적으로 검토해야 한다는 점에 있어서 정보보호법안은 무엇보다 중요하다.

대두되는 문제들이 간단하지 않다는 부분에서 핵심 조항을 세밀하게 조율하여 공감을 이끌어내는 일이 결코 쉽지 않다는 것은 자명하다. 결국, 관련 법이 빛을 보려면 아직 더 많은 시간이 필요할 수 있다.

LEXORBIS
709-710 Tolstoy House
15-17 Tolstoy Road
New Delhi – 110001, India
이메일: mail@lexorbis.com

www.lexorbis.com

맨 위로

태국

태국의 2019년 개인정보보호법(PDPA)은 자연인의 개인정보가 무단으로 또는 불법적으로 수집, 이용 또는 공개되는 것으로부터 보호하기 위해 공포되었다. 이 법은 2019년 5월 27일부터 효력을 발생하였지만 정상적인 시행은 2번이나 연기되었고, 최근에는 2022년 6월 1일까지 연기되었다.

개인정보 관련 기관

PDPA에는 다음과 같은 의무가 있는 개인정보보호위원회(PDPC) 설립을 명시하고 있다.

• 개인정보 보호에 필요한 조치 또는 절차를 결정한다.
• 고지 또는 규제 사항을 발표한다.
• 정보보호 절차와 국외로 이전되는 정보 보호에 필요한 기준을 발표한다.
• 개인정보를 보호하고 관련 업무를 지원할 수 있는 마스터 플랜을 수립한다.

또한 PDPC는 특정 행위에 대한 검토 또는 이행에 필요한 소위원회를 지정하고, 불만사항에 대해 조사하고 검토하는 전문가 위원회를 설립하여 개인정보와 관련한 분쟁을 해결할 수 있다.

마지막으로, PDPA는 PDPC 사무국 및 감독위원회 설립을 명시하고 있다. 사무국에서는 PDPC, 소위원회 및 감독위원회를 위해 학술적 연구와 행정 업무를 수행한다. 또한, 사무국은 국제 정보 이전에 필요한 정책을 검토하고 확인할 수 있다.

자료 및 지역 범위

PDPA는 태국의 정보 관리자 또는 정보 처리자의 개인정보 수집, 이용 및 공개(이하 총괄하여 정보 처리 행위)를 규제하고 있는데, 이는 정보 처리 행위가 태국 내에서 이루어지는지 여부와 무관하다.

정보 관리자 또는 정보 처리자가 태국 이외의 곳에 있는 경우, PDPA는 이를 태국 내 정보 주체에 대한 정보 처리 행위로 간주한다. 정보 관리자 또는 정보 처리자의 활동에는 (1) 정보 주체가 비용을 지불했는지 여부와 무관하게 태국 내 정보 주체에 대한 상품 또는 서비스 제공 및 (2) 정보 주체의 태국 내 행동에 대한 모니터링이 포함된다.

그러나 다음의 정보에는 PDPA가 적용되지 아니한다.

• 개인적 이익을 위해 또는 해당인 고유의 가사 활동을 위해 수집된 정보
• 공공기관의 운영과 관련한 정보
• 대중매체, 순수예술이나 문학과 관련한 활동을 위해서만 수집한 정보
• 의회 또는 의회위원회의 의무와 권한에 해당하는 정보
• 법원의 재판과 판결 및 소송에서 수행되는 공무원의 업무와 관련한 정보
• 신용회사 및 그 구성원이 수집한 정보

수집, 이용, 공개

PDPA는 직접적으로 또는 간접적으로 신원확인이 가능한 사람과 관련한 모든 정보를 개인정보로 정의하고 있으나 사망한 사람에 대한 정보는 제외된다.

개인정보에는 일반적인 개인정보와 민감한 정보가 있다. 일반적인 개인정보는 민감하지 않은 모든 형태의 개인정보로 이루어진다. 민감한 정보에는 PDPC가 사전에 정한 바 대로 인종, 민족적 기원, 정치적 의견, 신흥 종교, 정치적 또는 철학적 믿음, 성적(性的) 행동, 범죄 기록, 장애, 노동조합 정보, 건강 정보, 유전자 정보 및 생체 정보에 관한 개인 정보, 정보 주체에게 영향을 줄 수 있는 기타의 정보가 포함된다.

달리 허용하는 법적 근거가 없는 한, 개인정보를 처리하려면 정보 주체의 명시적 동의가 필요하다. 그러나, 다음의 경우에는 동의 없이 개인정보를 처리할 수 있다. 연구, 국가 이익, 계약, 공익을 위해 또는 공식 승인에 의거하여 수행되는 작업, 정보 관리자의 합법적 이해관계(정보 주체의 권리에 상응하는 합법성), 합법적인 비영리 활동, 공적 정보, 법적 청구 및 법적 의무.

국외 이전

개인정보의 국외 이전은 PDPA에 의거하여 제한된 경우에만 허용되고, 여기에는 다음의 경우가 포함된다. (1) PDPC가 확인한 바 대로 적절한 정보보호 기준이 있는 도착지 국가로 이전되는 경우, (2) PDPC 사무국에서 검토하고 승인한 집단 정보보호 정책에 기반하여 이전하는 경우 및 (3) 일부 수정된 조건에 의거하는 경우(동의를 받고 이전하거나 동의를 받은 경우 포함). 다만, 도착지 국가의 정보보호 기준이 충분하지 않다는 것을 정보 주체에게 알려주어야 한다.

관리자 및 처리자

PDPA는 정보처리 행위에 대해 결정할 권한이 있는 ‘정보 관리자’와 정보 관리의 지시에 따르거나 정보 관리자를 대리하는 정보처리 행위와 관련한 업무를 수행하는 ‘정보 처리자’를 구분하고 있다.

정보 관리자는 보안 조치 및 검증 절차를 엄격하게 실행하고, 위반 사항을 PCPC 사무국에 통지해야 한다. PDPA는 정보 관리자가 개인정보의 무단 또는 불법적인 손상, 접근, 이용, 변경, 수정 또는 공개를 방지할 수 있도록 적절한 조치를 취하도록 요구하고 있다. 정보 관리자는 PDPA 준수를 위해 정보 처리자와 계약서를 체결해야 한다.

정보 처리자는 보안 조치를 담당하고, 위반 사항을 정보 관리자에게 통지하며, 일지를 작성하고 유지해야 한다.

투명성과 책임성

PADA에 의거하는 가장 핵심적인 원칙이 투명성이므로, 정보 관리자는 정보 수집 전에 또는 수집 시점에 다음의 사항을 정보 주체에게 알려주어야 한다.

• 수집 목적(법적 근거 포함)
• 정보를 제공하지 아니할 경우의 영향
• 수집할 정보 및 보관 기간
• 개인정보가 공개될 수 있는 사람이나 회사의 유형
• 정보 관리자, 그 대리인 또는 정보보호 담당 공무원(해당하는 경우)의 연락처, 주소 및 담당자
• 정보 주체의 권리

또한, 정보 주체가 새로운 목적에 대해 통지를 받거나 정보 주체의 사전 동의를 받지 않는 한, 정보처리 작업은 정보 주체에게 이전에 통지한 목적에 따라 진행해야 한다.

또한 PDPA에 의거하는 책임 문제와 관련하여, 정보 관리자는 다음의 사항을 기록하고 정보 주체 및 PDPC 사무국에서 이를 점검할 수 있도록 해야 한다.

• 수집된 개인정보
• 수집 목적
• 정보 관리자 관련 세부 정보
• 개인정보 보관 기간
• 개인정보에 접근할 수 있는 권리와 방법
• 동의 요건이 면제된 개인정보의 이용이나 공개
• 요청 거부 또는 반대
• 정보 침해 방지를 위한 적절한 보안 조치에 대한 설명

침해 통지

정보 침해가 정보 주체의 권리와 자유를 훼손할 가능성이 없는 한, PDPA는 정보 관리자가 개인정보 침해를 인지한 후 72시간 이내에 PDPC 사무국에 통지하도록 요구하고 있다. 침해로 인하여 정보 주체의 권리와 자유에 심각한 위험이 발생하는 경우, 정보 관리자는 이를 즉시 통지하고 시정 조치를 취해야 한다.

정보 주체의 권리

정보 주체는 정보 관리자에 대해 주장할 수 있는 권리가 있고, 여기에는 자신의 개인정보에 접근하거나, 그 사본을 확보하거나, 정보를 이동하거나, 정보 처리에 반대하거나, 잊혀지거나, 개인정보의 이용을 제한하거나 자신의 정보를 정확하게 수정하도록 요청할 수 있는 권리가 포함된다.

처벌

PDPA를 준수하지 아니하여 받을 수 있는 처벌에는 형사 처벌, 행정 처벌 및 민사 처벌이 포함된다. 형사 처벌에는 최대 1년의 수감 및/또는 최대 100만 태국 바트($29,250)의 벌금이 포함된다. 회사 책임자의 지시나 과실에 의해 위반하는 경우, 당사자 또한 동일한 처벌을 받을 수 있다. 민사상 책임에는 실제 피해액의 최대 2배에 상당하는 징벌적 피해배상이 포함되고, 민사상 피해배상은 집단 소송을 통해 청구할 수 있다. PDPC는 일반 정보에 대해서는 최대 300만 태국 바트, 민감한 정보에 대해서는 500만 태국 바트까지 과태료를 명령할 수 있다.

하위 규정

3개 그룹의 하위 규정에 대한 공청회가 진행되었고, 이들 모두 현재 다음의 사항과 관련하여 PDPC에서 검토하고 있다.

• 동의 취득의 기준과 방법
• 개인정보 처리
• 민감한 개인정보에 필요한 적절한 정보보호 방법
• 정보의 국외 이전에 필요한 기준과 보호
• 활동 기록, 정보 주체의 요청에 필요한 방법, 침해 보고서
• 정보보호 담당 공무원
• 외국 대리인 지정
• 특정 조항 준수에 필요한 업계의 예외 사항
• 정보 주체의 권리에 관한 의무
• 정보 처리자의 의무
• 행동수칙
• 정보보호 영향 평가 및 자동화된 의사결정
• 개인정보 보호 기준 및 인증

WEERAWONG CHINNAVAT & PARTNERS
22/F, Mercury Tower, 540 Ploenchit Road, Lumpini
Pathumwan, Bangkok 10330, Thailand
전화: +662 264 8215
www.weerawongcp.com

맨 위로

필리핀 제도

필리핀의 데이터 개인 정보 보호법(DPA)은 모든 유형의 개인 정보 처리 및 개인 정보 관리자나 처리자를 불문하고 이에 관련된 모든 자연인 또는 법인에게 적용됩니다.

이 법은 필리핀에서 발견되거나 설립되지 않았지만 필리핀에 있는 장비를 사용하거나 필리핀에 사무실, 지사 또는 대리인을 유지하는 개인정보 관리자(PIC) 및 처리자(PIP)에 대하여 DPA 제4절에 명시된 예외 하에 역외로 적용됩니다.

개인 정보

개인 정보는 “물질적 형태로 기록되었는지 여부에 관계없이 개인의 신원을 명백히 밝히거나 정보를 보유하는 실체가 합리적이며 직접적으로 개인의 신원을 확인할 수 있거나 다른 정보와 결합할 때 직접 확실히 개인을 식별할 수 있는 정보”를 의미합니다.

이 법은 또한 연령, 민족, 결혼 여부, 피부색, 종교, 철학 및 정치적 소속, 개인의 건강, 교육, 유전적 또는 성 정체성, 실행하였거나 혐의가 있는 범죄, 정부 발급 신분증, 건강 기록 및 세금 보고 등과 같은 민감한 개인 정보와 개인 정보를 구별합니다. 한편, ‘법원 규칙’에 따른 면책 정보, 즉 변호사-의뢰인 관계에서 공개된 정보는 민감한 개인 정보로 취급됩니다.

규율의 원칙

법률에서 의도한 바 처리의 개념은 “데이터의 수집, 기록, 정리, 저장, 업데이트나 수정, 인출, 협의, 사용, 통합, 차단, 삭제 또는 파기 등 개인 정보에 대하여 수행되는 모든 작업 또는 일련의 작업”을 의미합니다.

개인정보는 위 법 제11절 및 12절에 따른 요건을 준수하면 처리가 가능합니다. 제11절에 따라 처리는 투명성, 정당한 목적 및 비례의 원칙에 부합해야 합니다. 제12절은 정보주체의 동의, 계약 이행의 필요 또는 법적 의무 준수 등의 조건 중 적어도 하나가 존재하는 경우 처리는 법으로 금지되지 않고 허용된다고 명시하고 있습니다.

민감한 개인 정보의 처리는 일반적으로 금지됩니다. 예외는 다음과 같습니다. 데이터 주체가 동의한 경우, 기존 법률 및 규정에 의해 허용되는 경우, 정보주체가 자신의 동의를 표명할 수 없는 경우, 정보 주체 또는 타인의 생명과 건강을 보호하기 위해 필요한 경우, 공익 단체 및 그들의 협회의 합법적이고 비상업적 목적을 달성하는 데 필요한 경우, 의학적 치료를 위해 필요한 경우, 소송 절차에서 자연인 또는 법인의 합법적인 권리와 이익을 보호하는 데 필요한 경우, 또는 법적 청구권의 확립, 행사 또는 방어를 위한 경우, 또는 정부 또는 공공 기관에 제공되는 경우 등입니다.

마지막으로 2017년 8월에 발행된 ‘국가 프라이버시 위원회(NPC) 자문 의견’은 동의가 주어지는 방식을 명확히 설명하였습니다.

즉, 묵시적이거나 추정된 동의는 유효하지 않음을 강조하였고, “침묵, 사전 체크된 선택박스 또는 소극적 침묵은 동의가 되지 않음”을 명시한 EU의 ‘일반 데이터 보호 규정’의 서문 제32항을 인용했습니다.

데이터 주체의 권리. 데이터 주체는 DPA의 제16절에 따라 다음과 같은 권리를 갖습니다.

• 자동화된 의사 결정 및 프로파일링의 존재를 포함하여 개인 정보 처리에 대하여 통지받을 권리.
• 나아가 자신의 개인 정보가 누구에게 판매 또는 공개되는지 및 처리되는 개인 정보의 내용에 대한 정보 주체의 알 권리가 포함됩니다.
• 접근권.
• 처리에 반대할 권리.
• 삭제 또는 차단 권리.
• 배상 청구 권리.
• 사전 소진 및 적시성 요건에 의한 제한 하에 불만을 제기할 권리.
• 교정할 권리.
• 데이터 이동성에 대한 권리.

데이터 보호 책임자. 개인정보 관리자는 DPA에 따라 규정을 준수할 책임이 있는 데이터 보호 책임자를 지정해야 합니다.

등록. DPA 시행 규칙 및 규정은 다음과 같은 경우 해당 조직에 의한 개인 데이터 처리 시스템 등록을 의무화합니다.

• 1,000명 이상 개인들의 민감한 개인 정보를 처리하는 경우.
• 개인정보 관리자 또는 개인정보 처리자가 최소 250명을 고용한 경우.
• 고용된 인원이 250명 미만이지만 처리가 간헐적이지 않은 경우.
• 고용된 인원이 250명 미만이지만 정보 처리는 데이터 주체의 권리와 자유에 위험을 초래할 수 있는 경우.

이전. 개인정보 관리자는 제3자에게 이전되는 개인정보에 대해 책임을 집니다.

위반. 개인정보 관리자 또는 개인정보 처리자는 개인 데이터의 침해가 발견된 후 72시간 이내에 NPC 및 영향을 입은 데이터 주체에게 통지해야 합니다.

관련 업데이트

다음은 DPA의 최신 앱입니다.

연락처 추적 앱. NPC는 접촉 추적 앱이 “사용자에 의한 디지털 접촉 추적의 선택 및 해제를 허용해야 한다. 앱 사용은 자발적이어야 하며 정보주체는 언제든지 동의를 철회할 수 있어야 한다… 앱에 다른 목적이 존재하는 경우 별도의 동의가 있어야 하며 사용자에게 그 목적을 사전에 설명해야 한다” 라고 명확히 밝혔습니다.

직원 감시. NPC 자문 의견 제2018-084호에 의하면 회사에서 발급한 컴퓨터로 직원 활동을 모니터링하는 것은 DPA 하에서 허용될 수 있습니다. 단, 처리가 법 제12절 및/또는 13절에 따른 개인 데이터의 적법한 처리 기준을 충족해야 합니다.

위 의견은 “비밀감시”는 불쾌감을 주는 행태이며 “고용주는 컴퓨터 모니터링의 구체적인 목적, 범위 및 실제 모니터링 방법, 개인 데이터를 보호하기 위한 보안 조치, 데이터 주체인 직원의 권리가 침해된 경우 시정 절차 등 컴퓨터 모니터링의 작업을 직원들에게 설명할 의무가 있다…. 컴퓨터 모니터링이나 직원 모니터링을 수행하는 모든 고용주는 직접 수집된 데이터가 모니터링의 목적을 충족하고 해당 조직의 필요와 목적에 명확하게 일치하는지 확인해야 한다”라고 하였습니다.

그 이후 NPC 공중 보건 비상 게시판 제14호는 회사에서 지급한 장치에 작업 모니터링 소프트웨어를 설치할 수는 있지만 고용주는 직원에게 그러한 소프트웨어의 존재를 알리고 위험 및 완화 절차를 결정하기 위한 개인 정보 영향 평가를 수행하고 직원들을 모니터링하기 위해 프라이버시를 보다 덜 침해하는 수단을 사용할 의무가 있다고 밝혔습니다.

부연 설명하자면, 모니터링 수단은 의도한 목적에 비례적이어야 합니다. 따라서 직원들에게 근무 시간 동안 비디오 내에 있을 것을 요구하는 것은 과도한 조치로 간주됩니다. 모니터링 수단은 “충분, 적절, 적당, 필요하고, 과도하지 않아야” 합니다.

이러닝. NPC는 교사가 “온라인 수업 중 학생들 사이의 사생활, 형평성 및 특수성을 항상 고려해야 한다”고 권고합니다.

NPC는 온라인 수업에서 웹캠 사용을 선택 사항으로 할 것을 권장하지만 화상 회의가 온라인 시험 감독 혹은 감시 중에 도움이 될 수 있음을 이해합니다. NPC는 교사가 학생과 교육 기관의 이익을 균형 있게 조정하고 언제나 학생의 명시적인 동의를 받아야 한다고 조언합니다.

또한 NPC는 성적 및 과제 결과와 같은 개인 데이터를 공개적으로 게시하지 않도록 교사에게 환기시킵니다. 교사는 개인 데이터가 안전하게 보호되고 개인 계정이나 장치에 저장되도록 관리해야 합니다.

교사는 프로젝트 및 과제 제출의 대체 수단을 허용해야 하며, 웹캠의 비 사용이나 눈 맞춤없는 상황을 억제하거나 학생들에게 웹캠을 켜도록 강요해서는 안 됩니다.

백신 증명서. 사설 시설은 백신 접종 기록을 제시하지 않은 사람의 입장을 거부할 수 있습니다. 사설 시설에 대한 접근은 해당 시설의 소유주가 부과한 동의 및 조건에 따릅니다. 그러나 백신 접종 기록에는 민감한 개인정보가 포함되어 있어 사설 시설이 정보주체에게 이를 공개하도록 강요할 수 없습니다.

일부 관공서에서 기본적인 정부 서비스를 위해 백신 접종 기록을 제출하도록 요구하는 관행은 현시점에서 상당한 논란의 여지가 있습니다. 이것은 결국 시민들이 기본적인 정부 서비스를 이용하기 위해 예방 접종을 받으라는 간접적인 명령입니다. 그러나 Jacobson v Massachusetts 사건에서 미국 대법원은 각 주의 자결권으로 해당 주에서 의무적인 백신법을 제정할 수 있다고 판결했습니다.

감시 광고. NPC는 “공개적으로 접근 가능한 개인 데이터는 아무 규제 없이 어떤 목적으로든 추가로 사용되거나 공개될 수 있다고 생각하는 것은 오해”라고 강조합니다.

NPC는 또한 마케팅 담당자는 공개적으로 이용 가능한 출처로부터 획득한 잠재적 고객의 개인 정보에 대한 개인정보 관리자가 된다고 밝혔습니다. 따라서 마케팅 담당자는 DPA에서 규정된 개인 정보, 민감한 개인 정보 및 면책 정보의 합법적 처리 기준을 따라야 합니다.

DIVINALAW
8/F Pacific Star Building
Sen. Gil Puyat Ave. cor. Makati Ave.,
Makati City, Metro Manila – 1200
The Philippines
전화: +632 8822 0808
이메일: info@divinalaw.com

www.divinalaw.com

맨 위로