필리핀 데이터 개인정보 보호법 및 규정에 대한 개요

    저자: John Paul GABA, ACCRALAW
    0
    115
    LinkedIn
    Facebook
    Twitter
    Whatsapp
    Telegram
    Copy link

    메인

    인도

    대만

    공화국법 제10173호(RA10173) 또는 2012년 필리핀 데이터 프라이버시법(DPA)은 필리핀에서 개인 데이터 프라이버시 보호를 규율하는 포괄적인 법률이다. 국가개인정보보호위원회(NPC)는 해당 법률의 시행 규칙 및 규정을 통해 이를 감독한다.

    필리핀은 비즈니스 아웃소싱 처리 서비스 분야에서 세계적인 선두주자로 자리매김하고 있으며, RA10173은 글로벌 무대에서 개인 데이터를 보다 자유롭게 교환하고 데이터 보호를 위한 국제 표준을 설정함에 따라 제정됐다.

    John Paul Gaba
    John Paul GABA
    파트너 변호사
    ACCRALAW
    마닐라
    전화: (632) 8830-8000
    이메일: jmgaba@accralaw.com

    RA10173이 제정되기 전에는 개인 데이터 처리에 대해 중앙화된 규제 감독이나 정보 주체에 대한 포괄적인 보호 조치가 없었기 때문에, 방대한 개인 데이터가 남용 및 오용될 위험이 있었다.

    이는 초기 의도된 목적을 넘어서 연락처 정보의 무분별한 사용 및 공유에서부터 신원 도용과 보안 침해에 이르기까지 다양했으며, 이는 정보 주체의 헌법상 보장된 프라이버시 권리를 침해하는 결과를 초래했다.

    사실, RA10173의 기원은 2006년으로 거슬러 올라가는데, 당시 필리핀 무역산업부(DTI)가 개인 데이터 보호 지침을 발표한 것이 그 시작이었다.

    이는 현재 일반 데이터 보호 규정(GDPR)의 전신인 1995년 당시 유럽연합(EU)의 데이터 보호 지침을 본떠 만들어진 것이다.

    따라서 필리핀 DPA는 GDPR이 제시한 기준과 원칙에 깊이 뿌리를 두고 있다.

    법률의 적용

    RA10173은 모든 유형의 개인정보 처리에 적용되며, 민간 및 정부 부문에서 개인정보 처리에 참여하는 모든 자연인 또는 법인에 적용된다.

    이 법은 필리핀에 위치하지 않은 데이터 관리자와 처리자에게도 적용되며, 이들이

      1. 필리핀에 위치한 장비를 사용하는 경우, 또는
      2. 필리핀에 사무소, 지점 또는 대리점을 유지하고 있는 경우를 포함한다.

    RA10173의 적용 여부를 판단하는 이 기준 외에도, 이 법은 처리 중인 개인 데이터가 필리핀 시민 또는 거주자와 관련된 경우에도 적용되며, 이는 데이터 주체의 위치나 ‘처리’가 이뤄지는 장소와 관계없이 적용된다.

    예를 들어, 이는 해외에서 근무하는 해외 필리핀 근로자(OFW)의 개인 데이터가 필리핀 현지 은행에 의해 처리되는 경우 적용된다. 또한, OFW의 개인 데이터가 필리핀 외부에 있는 외국 은행에 의해 처리되는 경우에도 개인정보 보호법이 적용되지만, NPC가 해당 법을 어떻게 집행할 수 있는지는 완전히 다른 문제다.

    RA10173에서 ‘처리’는 개인정보에 대해 수행되는 모든 작업 또는 일련의 작업으로 정의되며, 여기에는 수집, 기록, 정리, 저장, 갱신, 수정, 검색, 조회, 사용, 통합, 차단, 삭제 및 파기 등이 포함된다.

    ‘개인정보 관리자’는 개인정보의 수집, 보유, 처리 또는 사용을 통제하는 모든 개인 또는 조직을 의미하며, 다른 개인이나 조직의 지시에 따라 행동하거나 개인, 가족 또는 가정과 관련된 사안에 관여하는 경우는 제외된다.

    한편, ‘개인정보 처리자’는 개인정보 관리자로부터 개인 데이터를 처리하도록 위탁받은 자연인 또는 법인을 의미한다. 그러나 일부 정보는 RA10173의 적용에서 제외된다.

    여기에는 다음이 포함된다:

      • 현직 또는 전직 공무원의 직위나 직무와 관련된 정보;
      • 정부 계약에 따라 개인이 수행한 서비스와 관련된 정보;
      • 정부가 개인에게 제공한 재량적 재정 혜택과 관련된 정보;
      • 언론, 예술, 문학 또는 연구 목적으로 처리된 개인정보;
      • 공공 권한의 기능 수행에 필요한 정보;
      • 은행 및 금융 기관이 자금세탁방지법을 준수하기 위해 필요한 정보;
      • 해외 관할권 거주자로부터 해당 법률에 따라 수집된 개인정보.

    개인정보와 민감한 개인정보

    RA10173은 ‘개인정보’와 ‘민감한 개인정보’를 구분하며, 합법적인 처리를 위해 서로 다른 요건을 규정하고 있다. ‘개인정보’는 개인의 신원이 명확히 드러나거나, 다른 정보와 결합했을 때 합리적으로 식별 가능하고 직접적으로 확인 가능한 정보를 의미한다.

    ‘민감한 개인정보’에는 인종, 결혼 여부, 나이, 민족뿐만 아니라 종교적, 철학적 또는 정치적 소속, 건강 기록, 학력, 법원 절차, 사회보장번호, 면허, 세금 신고서, 정부 발급 신분증 및/또는 그 번호, 그리고 법률이나 규정에 의해 명시적으로 기밀이라고 선언된 세부 정보 등이 포함된다.

    해당 법률과 시행 규칙은 개인 데이터를 처리하기 전에 일반적으로 정보 주체의 동의를 요구한다. 단, 명시적으로 규정된 조건에 해당하는 경우는 예외다.

    이 법은 “자유롭게 제공되고, 구체적이며, 충분히 고지된 의사의 표시로서 서면, 전자 또는 녹음된 방식으로 증명된 것”으로 정의되는 유효한 명시적 동의만을 인정하며, 묵시적 동의는 인정되지 않는다는 점에 유의해야 한다.

    인정된 권리

    RA10173은 개인정보 관련하여 정보 주체의 권리를 광범위하게 규정하고 있으며, 이는 EU의 GDPR에서 인정된 권리와 유사하다.

    여기에는 다음과 같은 권리가 포함된다:

      1. 알 권리;
      2. 접근할 권리;
      3. 이의를 제기할 권리;
      4. 삭제 및 차단할 권리;
      5. 수정할 권리;
      6. 불만을 제기할 권리;
      7. 손해배상을 받을 권리;
      8. 데이터를 이동할 권리.

    이러한 권리는 데이터 관리자와 처리자가 준수하고 존중해야 한다. 예외는 과학적 및 통계적 연구를 위해 사용되는 경우거나, 정보 주체와 관련된 활동이나 결정이 이뤄지지 않는 경우, 또는 정보 주체에 대한 형사, 행정 또는 세무 조사를 목적으로 수집된 경우에만 해당된다.

    감독

    개인정보 보안에 관한 일반 원칙뿐만 아니라, 법률은 개인정보 전송과 관련된 책임도 명시하고 있다.

    정부 내 민감한 개인정보의 보안에 관한 구체적인 조항이 마련됐으며, 데이터 유출 및 데이터 유출 사례 보고를 위한 기본 지침도 마련됐다.

    GDPR에서 시행된 제도와 유사하게, 개인정보 보호법 및 규정은 ‘개인정보 유출’이 발생한 경우 개인정보 관리자가 유출 통지 의무를 이행하도록 규정하고 있다. 이러한 유출 통지는 피해를 입은 정보 주체에게 전달되어야 하며, NPC에도 보고되어야 한다.

    유출 통지는 “개인정보 관리자 또는 개인정보 처리자가 통지를 필요로 하는 개인정보 유출이 발생했다고 인지하거나 그러한 사실이 합리적이라고 믿는 경우” 이를 인지한 시점으로부터 72시간 이내에 NPC에 제출되어야 한다.

    개인정보 보호 규정은 또한 개인정보 보호 책임자(DPO)의 지정/임명을 요구한다. 그러나 모든 DPO가 NPC에 등록할 필요는 없다.

    DPO를 NPC에 등록하는 것은 다음의 경우에만 의무적이다: (1) 해당 기관이 250명 이상의 직원을 고용한 경우; (2) 해당 기관이 최소 1000명의 민감한 개인정보가 포함된 기록을 ‘처리’하는 경우; (3) 해당 기관의 ‘개인정보 처리’가 “정보 주체의 권리와 자유에 위험을 초래할 가능성이 있는” 경우 또는 “일시적이지 않은” 것으로 간주되는 경우.

    마지막 기준 관련하여, NPC는 처리되는 정보 주체 또는 개인 정보의 수/규모와 관계없이 의무 등록 요건에 해당하는 것으로 간주되는 부문을 열거하는 지침을 발표했다.

    이러한 부문은 ‘중요하다’고 간주되며, 다음과 같다:

      1. 정부 기관;
      2. 은행 및 비은행 금융 기관;
      3. 통신 및 인터넷 서비스 제공업체;
      4. BPO 기업;
      5. 대학교, 대학 및 기타 모든 학교와 교육 기관;
      6. 병원, 클리닉 및 기타 의료 시설;
      7. 보험 회사 및 보험 중개업체;
      8. 직접 마케팅, 네트워킹 및 리워드 카드와 로열티 프로그램을 제공하는 기타 기업;
      9. 연구에 종사하는 제약 회사;
      10. 이러한 ‘중요’ 부문에 포함된 개인정보 관리자를 위한 개인정보 처리업체.

    DPO 외에도 시행 규칙 및 규정에 따라 특정 형태의 데이터 처리 시스템(DPS)은 NPC에 등록되어야 한다. NPC가 새로운 등록 포털을 출시함에 따라, NPC 등록 요건을 완료하려면 DPO 및 DPS 세부 정보를 모두 제출하는 것이 요구된다.

    처벌

    RA10173 위반 시 의무적으로 징역형 및/또는 벌금형이 부과되며, 이는 징역형을 처벌로 규정한 몇 안 되는 개인정보 보호법 중 하나다.

    민감한 개인정보가 관련된 경우 더 높은 수준의 처벌이 적용된다.

    최소 100명의 개인 정보가 영향을 받는 경우, 즉 ‘대규모’로 간주되는 경우에는 최대 처벌이 부과된다.

    NPC와 관련 부문에서 RA10173의 개정을 제안하여 징역형 처벌의 삭제를 포함하려는 움직임이 있지만, 앞선 팬데믹으로 인해 이 제안은 보류된 상태에 있다.

    ACCRALAW

    ACCRALAW
    22nd to 26th Floors, ACCRALAW Tower
    Second Avenue corner 30th Street,
    Crescent Park West, Bonifacio Global City,
    Taguig 1635, Metro Manila, Philippines
    전화: (632) 8830-8000
    팩스: (632) 8403-7007 / (632) 8403-7009
    이메일: jmgaba@accralaw.com | ipd@accralaw.com
    www.accralaw.com

    LinkedIn
    Facebook
    Twitter
    Whatsapp
    Telegram
    Copy link

    RELATED ARTICLESMORE FROM AUTHOR

    Cross-border service tax in Philippines
    로펌 정기 칼럼

    필리핀에서의 크로스보더 서비스 과세 해석과 그 변화

    저자: Euney Marie MATA PEREZ, Mata-Perez, Tamayo & Francisco (MTF Counsel)
    Geographical Indications Protection In The Philippines
    로펌 정기 칼럼

    필리핀의 지리적 표시: 인정에서 실질적 구현으로

    저자: Ranielle EVANGELISTA, Federis & Associates Law Offices
    konektadong-pinoy-act-expanding-access-redefining-competition
    로펌 정기 칼럼

    코넥타동 피노이 법: 접근성 확대와 경쟁 질서 재편

    저자: Jayson P Baltazar, ACCRALAW