데이터 프라이버시에 대한 규제 업데이트

개인 데이터 프라이버시 보호를 목표로 한 포괄적인 규제가 필리핀, 대만 및 인도에서 시행되고 있습니다

인도

필리핀

대만

인도의 데이터 보호 프레임워크가 정책 및 비즈니스에 미치는 영향

2023년 인도는 디지털 개인 데이터 보호법(DPDP법)을 제정하며 데이터 보호의 새로운 시대를 열었다. 이후 정부는 2025년 1월에 이해관계자 협의를 위해 디지털 개인 데이터 보호 규칙 초안(DPDP 규칙 초안)을 발표했으며, 이는 2025년 3월 5일에 마무리됐다.

DPDP법은 인도 대통령에 의해 서명되어 법으로 제정되었지만 아직 시행되지 않았다. 시행되기 전까지는 2011년 SPDI(민감한 개인 데이터 또는 정보) 규칙이 인도의 데이터 보호를 규율할 예정이다. 전자정보기술부(MeitY)는 기업이 DPDP법과 앞으로 제정될 규칙에 적응할 수 있도록 2년의 전환 기간을 고려하고 있다.

MeitY 장관의 최근 발언 중 일부는 정부가 기업이 DPDP법에 맞춰 정책과 관행을 조정하기를 기대하고 있지만, 이는 말처럼 쉽지 않다는 점을 시사한다. 이는 DPDP법의 다양한 조항에 대한 세부 사항이 아직 확정되지 않은 향후 규칙을 통해 명확해질 뿐만 아니라, 정부와 인도 데이터 보호 위원회(DPB)가 더 많은 운영적 측면을 의무화할 것으로 예상되기 때문이다. DPDP 규칙 초안이 확정되고 DPDP법이 시행되기 전까지, 기업은 SPDI 규칙을 계속 준수해야 하며 동시에 DPDP법과 규칙이 발효될 때 이를 준수할 수 있도록 정책과 관행을 미리 준비해야 한다.

한 가지 규제를 준수하면서 다른 규제에 맞출 준비를 하는 것은 특히 2년의 전환 기간을 고려할 때 실행 가능해 보인다. 그러나 현실은 크게 다르다. SPDI 규칙은 인도의 데이터 보호 관련하여 기초적인 프레임워크만을 제공하며, 요구 사항이 덜 엄격하고 집행이 일관되지 않아 DPDP법 준수로의 전환을 복잡하게 만든다. 게다가 DPDP법은 예상되는 DPDP 규칙과 함께 기본적인 데이터 보호 프레임워크로 작용하며, 특정 영역에서는 부문별 법률에 따르고 특히 개인 데이터의 크로스보더 전송 관련하여 부문별 규제가 추가적이거나 더 엄격한 요구 사항을 시행할 수 있도록 한다. 다른 규제와 일치해야 할 필요성은 운영 및 물류상에 상당한 장애를 초래할 수 있으며, 이는 특히 인프라와 자원이 부족한 스타트업과 소규모 기업의 비즈니스 용이성에 영향을 미칠 수 있다.

DPDP법의 원칙 기반 접근 방식은 정책 및 운영 측면에서 추가적인 과제를 제시한다.

잠재적인 정책 불확실성. DPDP법의 조항은 특히 부문별 법률의 요구 사항과 함께 해석될 때 정책 불확실성을 초래할 여지를 남긴다. 예를 들어, 2020년 정부는 ‘사용자 데이터를 무단으로 도용하고 전송’한 중국 모바일 앱들을 금지한 바 있다. 그러나 현재 정부의 중국 기술에 대한 입장은 설명되지 않은 채 변화를 보였다. 이는 데이터 보안 및 프라이버시 문제에 대한 우려를 완화하기 위해 중국의 오픈소스 AI 모델인 DeepSeek을 인도 서버에 호스팅하는 것과 관련하여 MeitY 장관이 최근 언급한 내용에서 드러난다.

DPDP법은 중앙 정부에 개인 데이터의 외국 또는 지역으로의 전송을 제한할 권한을 부여한다. 이러한 크로스보더 데이터 전송은 부문별 법률에 명시된 엄격한 보호 조치를 준수해야 한다. DPDP 규칙 초안은 인도 내외의 모든 데이터 전송이 중앙 정부의 일반 또는 특별 명령에서 명시된 제한, 특히 외국인이나 외국 국가와 관련된 기관에 대한 접근성과 관련된 제한을 준수해야 한다고 추가로 규정하고 있다.

그러나 이 법안은 크로스보더 데이터 전송에 대한 구체적인 보호 조치가 부족하고 행정 재량에 의존함으로써 자의적인 의사 결정과 빈번한 규제 변경의 위험을 초래할 수 있다. 이는 정책 불확실성을 야기하여 법적 체계에 대한 신뢰를 약화시킬 수 있다. 이러한 통지와 정책의 잠재적인 변화 가능성은 기업과 이해관계자들에게 준수의 어려움을 가중시키고 규제 위험을 높인다.

정책 불확실성을 초래할 가능성이 있는 또 다른 조항은 개인 데이터 침해 통지와 관련된 DPDP 규칙 초안의 조항이다. 해당 조항에 따르면, 데이터 신탁자는 모든 개인 데이터 침해 관련하여 영향을 받은 각 데이터 주체와 DPB에 ‘지체 없이’ 통보해야 한다. 이후 데이터 신탁자는 72시간 이내에 DPB에 상세 보고서를 제출해야 한다. 그러나 DPDP 규칙 초안에서는 ‘지체 없이’라는 용어가 정의되지 않았다. 초기 보고 기한이 명확히 규정되지 않은 점은 CERT-In이 의무화한 기존 규정과 충돌할 가능성이 있으며, 이는 고위험 사례에서 정책 불확실성과 불필요한 중복 노력을 초래할 수 있다.

개인 데이터 침해 통지의 어려움. DPDP 규칙 초안과 DPDP법은 모든 개인 데이터 침해를 DPB와 영향을 받은 데이터 주체에게 보고하도록 요구하지만, 이러한 침해를 보고할 기준이나 임곗값은 제공하지 않는다. 이로 인해 데이터 신탁자는 사소한 경우라도 모든 개인 데이터 침해 사례를 보고해야 하는 의무를 지게 된다. 사건의 성격, 규모 및 관련 위험에 대한 지침이 부족한 이 요구 사항은 DPB에 과도한 보고를 초래할 수 있으며, 침해로 인한 위험을 효과적으로 완화하는 능력을 저해할 수 있다. 또한, 이 규정은 시스템 장애를 개인 데이터 침해로 잘못 표현하여 혼란을 가중시키고, 영향을 받은 개인과 DPB에 엄청난 부담을 줘 궁극적으로 평판 손상을 초래할 가능성이 있다.

개인 데이터 침해 보고 요구 사항은 CERT-In의 사이버 보안 지침이나 2023년 통신법에 따라 발효된 2024년 통신(통신 사이버 보안) 규칙과 같은 다른 부문별 규정을 고려하지 않고 있다. 이러한 규정들은 유사한 데이터 침해를 다양한 규제 당국에 통지하도록 의무화하고 있다. 이러한 간과는 정부 당국이 개인 데이터 침해 보고를 위한 단일 창구 규제 경로를 수립하는 포괄적인 정부 차원의 접근 방식을 채택하지 않고, 분리된 방식으로 접근한 데서 비롯됐다. 여러 ‘보고 노드’는 취약성을 완화하기보다는 오히려 악화시킬 가능성이 크다.

모호한 데이터 현지화 요구 사항. 데이터 현지화 의무는 외국 정부 기관에 개인 데이터를 공개하거나 이전하는 것과 관련된 외국 법률의 다양한 요구 사항과 충돌할 가능성이 크다. DPDP 규칙 초안은 주요 데이터 신탁자에 대한 데이터 현지화 요구 사항을 제안하고 있으며, 중앙 정부가 설립한 위원회의 권고에 따라 특정 개인 데이터 세트와 트래픽 데이터의 인도 외부 이전을 금지하고 있다. 이는 엄격한 데이터 현지화 요구 사항에서 벗어나려는 정부의 이전 입장에서 바뀐 것을 나타낸다.

정보 요구에 대한 자의적인 권한. 데이터 신탁자 및 중개자로부터 정보를 요구할 수 있는 권한이 절차적 안전장치 없이 부여됐으며, 인도 헌법 제21조에 보장된 기본적 권리인 프라이버시 권리를 인정한 Justice KS Puttaswamy (Retd) & Anr v Union of India & Ors (2017) 사건에서의 대법원 판결과 모순되는 것으로 보인다. 해당 판결은 프라이버시 권리를 침해하는 데이터 공개 요청이 다음 세 가지 요건을 충족해야 한다고 명시했다:

1. 1. 해당 조치는 법에 의해 승인되어야 한다;
   2. 제안된 조치는 민주 사회에서 정당한 목적을 위해 필요해야 한다;
   3. 해당 조치는 비례적이어야 하며, 목표와 이를 달성하기 위해 채택된 수단 간에 합리적인 연관성이 있어야 한다.

DPDP 규칙 초안과 DPDP법은 이러한 세 가지 요건을 고려하지 않고, 대신 정부에 모든 정보를 요구할 수 있는 광범위한 재량권을 부여하고 있다. 이 권한은 절차적 안전장치나 정보를 요구할 근거가 없어 모호하고 자의적이다. DPDP법은 데이터 신탁자나 중개자가 정보 요청에 대해 이의를 제기하거나 이를 다툴 수 있는 선택권이나 구제책조차 제공하지 않는다.

DPDP 규칙 초안은 국가 안보, 법정 기능 수행 등 특정 목적을 위해 정보를 수집하도록 제안하고 있지만, 이러한 목적은 광범위하게 표현되어 있다. 이는 정부에 모든 정보를 수집할 수 있는 과도한 권한을 부여하며, 개인의 프라이버시 권리뿐만 아니라 비즈니스의 용이성에 비해 정부에 유리한 불균형을 초래한다.

결론적으로, DPDP법과 DPDP 규칙 초안은 전용 데이터 보호 법적 프레임워크를 제공하고 인도를 글로벌 프라이버시 기준에 맞추는 데 있어 중요한 진전을 이루긴 했지만, 여전히 여러 모호함과 운영상의 과제가 남아 있다. 이러한 과제 중 일부는 DPDP법 자체에서 비롯되지만, 일부 문제는 DPDP 규칙을 신중하게 설계하고 실행함을 통해 해결될 수 있을 것이다. 이는 개인의 프라이버시 권리, 보안, 혁신, 그리고 비즈니스 친화적인 시스템 간의 적절한 균형을 이루는 데 필수적일 것이다.

ADP LAW OFFICES
B 809, ATS Bouquet, Sector 132, Noida
Uttar Pradesh 201304, India
전화: +91 99100 31747
이메일: ameet@adplawoffices.com | www.adplawoffices.com

맨 위로 돌아가기

---

필리핀 데이터 개인정보 보호법 및 규정에 대한 개요

공화국법 제10173호(RA10173) 또는 2012년 필리핀 데이터 프라이버시법(DPA)은 필리핀에서 개인 데이터 프라이버시 보호를 규율하는 포괄적인 법률이다. 국가개인정보보호위원회(NPC)는 해당 법률의 시행 규칙 및 규정을 통해 이를 감독한다.

필리핀은 비즈니스 아웃소싱 처리 서비스 분야에서 세계적인 선두주자로 자리매김하고 있으며, RA10173은 글로벌 무대에서 개인 데이터를 보다 자유롭게 교환하고 데이터 보호를 위한 국제 표준을 설정함에 따라 제정됐다.

RA10173이 제정되기 전에는 개인 데이터 처리에 대해 중앙화된 규제 감독이나 정보 주체에 대한 포괄적인 보호 조치가 없었기 때문에, 방대한 개인 데이터가 남용 및 오용될 위험이 있었다.

이는 초기 의도된 목적을 넘어서 연락처 정보의 무분별한 사용 및 공유에서부터 신원 도용과 보안 침해에 이르기까지 다양했으며, 이는 정보 주체의 헌법상 보장된 프라이버시 권리를 침해하는 결과를 초래했다.

사실, RA10173의 기원은 2006년으로 거슬러 올라가는데, 당시 필리핀 무역산업부(DTI)가 개인 데이터 보호 지침을 발표한 것이 그 시작이었다.

이는 현재 일반 데이터 보호 규정(GDPR)의 전신인 1995년 당시 유럽연합(EU)의 데이터 보호 지침을 본떠 만들어진 것이다.

따라서 필리핀 DPA는 GDPR이 제시한 기준과 원칙에 깊이 뿌리를 두고 있다.

법률의 적용

RA10173은 모든 유형의 개인정보 처리에 적용되며, 민간 및 정부 부문에서 개인정보 처리에 참여하는 모든 자연인 또는 법인에 적용된다.

이 법은 필리핀에 위치하지 않은 데이터 관리자와 처리자에게도 적용되며, 이들이

1. 1. 필리핀에 위치한 장비를 사용하는 경우, 또는
   2. 필리핀에 사무소, 지점 또는 대리점을 유지하고 있는 경우를 포함한다.

RA10173의 적용 여부를 판단하는 이 기준 외에도, 이 법은 처리 중인 개인 데이터가 필리핀 시민 또는 거주자와 관련된 경우에도 적용되며, 이는 데이터 주체의 위치나 ‘처리’가 이뤄지는 장소와 관계없이 적용된다.

예를 들어, 이는 해외에서 근무하는 해외 필리핀 근로자(OFW)의 개인 데이터가 필리핀 현지 은행에 의해 처리되는 경우 적용된다. 또한, OFW의 개인 데이터가 필리핀 외부에 있는 외국 은행에 의해 처리되는 경우에도 개인정보 보호법이 적용되지만, NPC가 해당 법을 어떻게 집행할 수 있는지는 완전히 다른 문제다.

RA10173에서 ‘처리’는 개인정보에 대해 수행되는 모든 작업 또는 일련의 작업으로 정의되며, 여기에는 수집, 기록, 정리, 저장, 갱신, 수정, 검색, 조회, 사용, 통합, 차단, 삭제 및 파기 등이 포함된다.

‘개인정보 관리자’는 개인정보의 수집, 보유, 처리 또는 사용을 통제하는 모든 개인 또는 조직을 의미하며, 다른 개인이나 조직의 지시에 따라 행동하거나 개인, 가족 또는 가정과 관련된 사안에 관여하는 경우는 제외된다.

한편, ‘개인정보 처리자’는 개인정보 관리자로부터 개인 데이터를 처리하도록 위탁받은 자연인 또는 법인을 의미한다. 그러나 일부 정보는 RA10173의 적용에서 제외된다.

여기에는 다음이 포함된다:

• • 현직 또는 전직 공무원의 직위나 직무와 관련된 정보;
  • 정부 계약에 따라 개인이 수행한 서비스와 관련된 정보;
  • 정부가 개인에게 제공한 재량적 재정 혜택과 관련된 정보;
  • 언론, 예술, 문학 또는 연구 목적으로 처리된 개인정보;
  • 공공 권한의 기능 수행에 필요한 정보;
  • 은행 및 금융 기관이 자금세탁방지법을 준수하기 위해 필요한 정보;
  • 해외 관할권 거주자로부터 해당 법률에 따라 수집된 개인정보.

개인정보와 민감한 개인정보

RA10173은 ‘개인정보’와 ‘민감한 개인정보’를 구분하며, 합법적인 처리를 위해 서로 다른 요건을 규정하고 있다. ‘개인정보’는 개인의 신원이 명확히 드러나거나, 다른 정보와 결합했을 때 합리적으로 식별 가능하고 직접적으로 확인 가능한 정보를 의미한다.

‘민감한 개인정보’에는 인종, 결혼 여부, 나이, 민족뿐만 아니라 종교적, 철학적 또는 정치적 소속, 건강 기록, 학력, 법원 절차, 사회보장번호, 면허, 세금 신고서, 정부 발급 신분증 및/또는 그 번호, 그리고 법률이나 규정에 의해 명시적으로 기밀이라고 선언된 세부 정보 등이 포함된다.

해당 법률과 시행 규칙은 개인 데이터를 처리하기 전에 일반적으로 정보 주체의 동의를 요구한다. 단, 명시적으로 규정된 조건에 해당하는 경우는 예외다.

이 법은 “자유롭게 제공되고, 구체적이며, 충분히 고지된 의사의 표시로서 서면, 전자 또는 녹음된 방식으로 증명된 것”으로 정의되는 유효한 명시적 동의만을 인정하며, 묵시적 동의는 인정되지 않는다는 점에 유의해야 한다.

인정된 권리

RA10173은 개인정보 관련하여 정보 주체의 권리를 광범위하게 규정하고 있으며, 이는 EU의 GDPR에서 인정된 권리와 유사하다.

여기에는 다음과 같은 권리가 포함된다:

1. 1. 알 권리;
   2. 접근할 권리;
   3. 이의를 제기할 권리;
   4. 삭제 및 차단할 권리;
   5. 수정할 권리;
   6. 불만을 제기할 권리;
   7. 손해배상을 받을 권리;
   8. 데이터를 이동할 권리.

이러한 권리는 데이터 관리자와 처리자가 준수하고 존중해야 한다. 예외는 과학적 및 통계적 연구를 위해 사용되는 경우거나, 정보 주체와 관련된 활동이나 결정이 이뤄지지 않는 경우, 또는 정보 주체에 대한 형사, 행정 또는 세무 조사를 목적으로 수집된 경우에만 해당된다.

감독

개인정보 보안에 관한 일반 원칙뿐만 아니라, 법률은 개인정보 전송과 관련된 책임도 명시하고 있다.

정부 내 민감한 개인정보의 보안에 관한 구체적인 조항이 마련됐으며, 데이터 유출 및 데이터 유출 사례 보고를 위한 기본 지침도 마련됐다.

GDPR에서 시행된 제도와 유사하게, 개인정보 보호법 및 규정은 ‘개인정보 유출’이 발생한 경우 개인정보 관리자가 유출 통지 의무를 이행하도록 규정하고 있다. 이러한 유출 통지는 피해를 입은 정보 주체에게 전달되어야 하며, NPC에도 보고되어야 한다.

유출 통지는 “개인정보 관리자 또는 개인정보 처리자가 통지를 필요로 하는 개인정보 유출이 발생했다고 인지하거나 그러한 사실이 합리적이라고 믿는 경우” 이를 인지한 시점으로부터 72시간 이내에 NPC에 제출되어야 한다.

개인정보 보호 규정은 또한 개인정보 보호 책임자(DPO)의 지정/임명을 요구한다. 그러나 모든 DPO가 NPC에 등록할 필요는 없다.

DPO를 NPC에 등록하는 것은 다음의 경우에만 의무적이다: (1) 해당 기관이 250명 이상의 직원을 고용한 경우; (2) 해당 기관이 최소 1000명의 민감한 개인정보가 포함된 기록을 ‘처리’하는 경우; (3) 해당 기관의 ‘개인정보 처리’가 “정보 주체의 권리와 자유에 위험을 초래할 가능성이 있는” 경우 또는 “일시적이지 않은” 것으로 간주되는 경우.

마지막 기준 관련하여, NPC는 처리되는 정보 주체 또는 개인 정보의 수/규모와 관계없이 의무 등록 요건에 해당하는 것으로 간주되는 부문을 열거하는 지침을 발표했다.

이러한 부문은 ‘중요하다’고 간주되며, 다음과 같다:

1. 1. 정부 기관;
   2. 은행 및 비은행 금융 기관;
   3. 통신 및 인터넷 서비스 제공업체;
   4. BPO 기업;
   5. 대학교, 대학 및 기타 모든 학교와 교육 기관;
   6. 병원, 클리닉 및 기타 의료 시설;
   7. 보험 회사 및 보험 중개업체;
   8. 직접 마케팅, 네트워킹 및 리워드 카드와 로열티 프로그램을 제공하는 기타 기업;
   9. 연구에 종사하는 제약 회사;
   10. 이러한 ‘중요’ 부문에 포함된 개인정보 관리자를 위한 개인정보 처리업체.

DPO 외에도 시행 규칙 및 규정에 따라 특정 형태의 데이터 처리 시스템(DPS)은 NPC에 등록되어야 한다. NPC가 새로운 등록 포털을 출시함에 따라, NPC 등록 요건을 완료하려면 DPO 및 DPS 세부 정보를 모두 제출하는 것이 요구된다.

처벌

RA10173 위반 시 의무적으로 징역형 및/또는 벌금형이 부과되며, 이는 징역형을 처벌로 규정한 몇 안 되는 개인정보 보호법 중 하나다.

민감한 개인정보가 관련된 경우 더 높은 수준의 처벌이 적용된다.

최소 100명의 개인 정보가 영향을 받는 경우, 즉 ‘대규모’로 간주되는 경우에는 최대 처벌이 부과된다.

NPC와 관련 부문에서 RA10173의 개정을 제안하여 징역형 처벌의 삭제를 포함하려는 움직임이 있지만, 앞선 팬데믹으로 인해 이 제안은 보류된 상태에 있다.

ACCRALAW
22nd to 26th Floors, ACCRALAW Tower
Second Avenue corner 30th Street,
Crescent Park West, Bonifacio Global City,
Taguig 1635, Metro Manila, Philippines
전화: (632) 8830-8000
팩스: (632) 8403-7007 / (632) 8403-7009
이메일: jmgaba@accralaw.com | ipd@accralaw.com
www.accralaw.com

맨 위로 돌아가기

---

대만에서의 개인 데이터 보호

대만은 개인정보 보호와 관련된 사항을 전반적으로 규율하는 단일 법률인 개인정보보호법(PDPA)을 보유하고 있다. PDPA는 정부 기관뿐만 아니라 민간 기업과 개인에도 적용된다. 아울러 금융, 건강 및 보험을 포함한 특정 측면에서 개인정보를 보호하는 기타 법률 및 규정도 존재한다.

기본적인 수준의 데이터 보호를 제공하는 PDPA는 대만인과 외국인 모두에게 적용된다. 대만 국민의 개인정보를 수집, 처리 또는 사용하는 외국 단체도 PDPA에서 규정한 의무를 준수해야 한다.

감독 기관

대만 개인정보보호위원회(PDPC) 준비 사무국은 2023년 12월에 설립됐다. PDPC는 2025년 8월부터 단일 데이터 보호 기관으로 운영을 시작하며, PDPA를 집행하고 해석하며 데이터 보호와 관련된 사항을 감독할 예정이다.

동시에, 특정 산업에 대한 권한을 가진 다른 정부 기관들은 해당 특정 분야에서의 데이터 보호 문제를 계속 규제하게 된다.

예를 들어, 디지털 산업에 대한 권한을 가진 디지털부(MODA)는 PDPA 프레임워크를 기반으로 고급 데이터 보호 요건을 규정한 ‘디지털 경제 산업의 개인정보 안전 유지 규정'(MODA 규정)을 공포했다.

MODA 규정은 전자상거래, 소프트웨어, 컴퓨터 프로그래밍, 데이터 관리 및 정보 서비스 등의 사업에 적용된다.

사전 동의

PDPA에 따라 데이터 주체는 다음 사항을 통지받은 경우에만 유효한 정보 제공 동의를 할 수 있다:

1. 1. 수집/처리/사용 주체의 명칭;
   2. 수집/처리/사용의 목적;
   3. 수집된 개인정보의 유형;
   4. 수집된 개인정보의 사용 기간, 지역, 대상, 방법;
   5. 데이터 주체의 권리;
   6. 개인정보 공개 여부에 대한 데이터 주체의 결정이 그의 권리와 이익에 영향을 미치지 않는다는 점.

데이터 주체가 디지털 형식으로 동의를 제공할 수 있지만, 개인정보를 수집하는 주체는 데이터 주체가 적절히 동의했음을 입증할 책임이 있다.

개인 기관은 데이터 주체가 명시적으로 동의한 경우에만 수집 목적과 다른 목적으로 데이터 주체의 개인정보를 사용할 수 있다. 즉, 암묵적인 동의는 2차 사용에 적용되지 않는다.

데이터 주체의 명시적 동의를 받을 수 없는 경우, 해당 기관은 2차 사용에 대한 다른 법적 근거를 찾아야 한다.

데이터 보호 책임자

현행 PDPA에 따르면, 개인정보를 포함한 파일을 저장하는 민간 기관은 관리 인력이 포함될 수 있는 적절한 보안 조치를 취해야 한다. MODA 규정에 따라 디지털 경제 기관은 다음 업무를 전담하는 관리 인력을 지정해야 한다:

1. 1. 기관의 개인정보 보호 정책 수립/개정;
   2. 기관의 안전 유지 계획 수립/개정/시행.

2024년 12월, PDPC는 PDPA에 대한 개정을 제안하여 정부 기관과 PDPC가 지정한 민간 기관에 데이터 보호 책임자 및 데이터 보호를 담당하는 관리 인력을 임명할 의무를 부과했다. 기업들은 PDPA 개정의 향후 진행 상황에 주의를 기울이는 것이 현명할 것이다.

보안 조치

PDPA와 MODA 규정 모두 민간 기관이 수집하거나 저장한 개인정보의 보안을 보장하기 위한 의무에 대해 상세한 규정을 제시하고 있다. PDPA에 따르면, 민간 기관은 다음과 같은 데이터 보안 조치를 유지해야 한다:

1. 1. 관리 인력 지정;
   2. 개인정보의 범위 명확화;
   3. 위험을 평가하고 관리하는 메커니즘 채택;
   4. 데이터 유출 방지, 유출 사건 보고 및 즉각적인 조치를 위한 내부 규정 채택;
   5. 수집, 처리 및 사용에 대한 내부 표준 운영 절차(SOP) 채택;
   6. 정보 보안 담당자 임명/유지;
   7. 직원 대상 교육 세션 제공;
   8. 정보 서비스 장비의 보안을 보장하는 메커니즘 채택;
   9. 정보 보안 감사;
   10. 사용 기록 보존, 추적 및 증거화;
   11. 데이터 보호 관행을 개선하기 위한 계획 채택.

MODA 규정에 따르면, 디지털 경제 산업에 속한 기관은 직원들을 대상으로 다음과 같은 관리 활동을 수행해야 한다:

1. 1. 직원과 비밀유지계약(NDA)을 체결;
   2. 개인정보의 수집, 처리 또는 사용과 관련된 업무를 담당할 직원을 식별;
   3. 필요에 따라 각 직원의 개인정보 접근 권한을 결정하고, 해당 권한을 정기적으로 검토;
   4. 퇴사하는 직원에게 개인정보가 저장된 기기를 반환하고, 업무 수행 중 보유했던 개인정보를 삭제하도록 요청.

또한, MODA 규정에 따라 다음의 기록은 최소 5년간 보관되어야 한다:

1. 1. 수집, 처리 또는 사용 기록;
   2. 자동화 장비의 추적 정보;
   3. 기관의 데이터 보안 계획 준수를 입증하는 증거.

데이터 유출 통지

현행 PDPA에 따르면, 데이터 유출 사건이 발생한 경우, 민간 기관은 사건에 대한 명확한 이해를 얻은 후 정보 주체에게 이를 통지해야 한다.

통지는 정보 주체에게 구두/서면 진술, 전화 통화, 메시지, 이메일, 팩스 또는 기타 적절한 방식으로 이뤄질 수 있다. PDPA는 통지에 대한 특정 기한은 정하지 않았다.

반면, MODA 규정에 따르면 디지털 경제 산업에 속한 기관은 데이터 유출 사건 발생 후 72시간 이내에 관련 당국에 이를 보고해야 한다.

PDPA 개정안에 따르면, 민간 기관은 데이터 유출 사건을 인지했을 때, 그리고 해당 사건이 정보 주체의 권리와 이익에 심각한 피해를 줄 경우, 당국에 보고하고 정보 주체에게 통지해야 한다. 기업들은 PDPA 개정안의 향후 발전에 주의를 기울이는 것이 현명할 것이다.

마케팅 활용

PDPA에 따르면 정보 주체가 마케팅 목적의 모든 의사소통을 거부할 경우, 민간 기관은 즉시 해당 정보 주체의 개인 데이터를 마케팅 목적으로 사용하는 것을 중단해야 한다.

민간 기관은 처음으로 마케팅 목적으로 정보 주체에게 연락할 때, 옵트아웃할 수 있는 채널을 제공해야 한다. ‘마케팅’은 광범위하게 해석되며, eDM, 개인화된 서비스 또는 추천을 포함하여 제품이나 서비스를 홍보하는 거의 모든 종류의 활동을 포함한다.

크로스보더 전송

PDPA에 따르면, 정부 당국은 다음의 경우 민간 기관이 대만 영토 외부로 개인 데이터를 전송하는 것을 제한할 수 있다:

1. 1. 중대한 국가 이익이 관련된 경우;
   2. 국제 협정 또는 조약에 따라야 하는 경우;
   3. 수신국이 개인 데이터에 대한 적절한 보호를 제공하지 않는 경우;
   4. PDPA에 명시된 요구 사항을 회피하기 위해 전송이 이루어진 경우.

외국 기관도 동일한 의무를 부담해야 한다. MODA 규정에 따르면, 디지털 경제 산업에 속한 기관은 개인 데이터를 해외로 전송하기 전에 MODA가 부과한 제한 사항이 있는지 확인해야 한다. 또한, 해당 기관은 정보 주체에게 그들의 개인 데이터가 전송될 지역을 통지하고, 수신 기관의 이후 개인 데이터 사용을 감독해야 한다.

FORMOSA TRANSNATIONAL
Taipei 13th Fl, 136, Sec 3, Jen-Ai Road
Taipei 106 Taipei Taiwan
전화: 886 2 2755 7366
이메일: brian.hsieh@taiwanlaw.com
www.taiwanlaw.com/en/

맨 위로 돌아가기