동남아 국가별 개인정보 보호법 비교 

    저자: Agus Ahadi Deradjat, Kevin Omar Sidharta and Mahiswara Timur, ABNR
    0
    94

    아시아에서는 개인정보 보호법을 잘 이해하는 것이 매우 중요합니다. 아시아 국가 간 개인정보 보호법에는 유사한 부분도 있지만, ‘개인정보 보호 준수’라는 상대적으로 새로운 개념에 대해 국가별로 다른 접근법을 채택하고 있기 때문에 차이점도 분명히 존재합니다. 본 섹션은 필리핀, 태국, 인도네시아의 개인정보 보호법을 비교합니다.


    인도네시아

    필리핀

    태국

     

    IT 기술의 진보와 디지털 미디어 사용자의 증가에 따라, 인간의 기본권인 ‘개인정보 권리’에 대한 인식 또한 높아졌습니다. 개인 정보의 오용과 광범위한 사용으로 인해 개인정보 보호의 중요성은 그 어느 때보다 시급해졌습니다.

    Agus Ahadi Deradjat, Partner, ABNR, Jakarta
    Agus Ahadi Deradjat
    카르타 ABNR 파트너 변호사
    Email: aderadjat@abnrlaw.com

    인도네시아에서는 개인정보 보호와 관련된 규제가 여러 부처에 분산되어 있으며, “전자 정보 및 거래법(EIT법)” 외 의료 보건 기록 규제와 인구 통계 행정 관련법에서 관련 내용을 찾아볼 수 있습니다. 현재로서는 ELT법과 관련 규제가 전자 시스템과 관련한 개인정보 보호에서 주요 규제로 간주되며, 여러 분야에 적용되고 있습니다. 그러나 개인정보와 관련하여 일관되고 통합적인 규제 도입이 시급한 실정입니다.

    인도네시아 정부는 디지털 시대에서 개인정보 보호의 중요성을 인지하여 개인정보 보호 법안(PDP 법안)을 발의했으며, 현재 법안의 최종 단계에 있습니다. PDP 법안은 인도네시아에서 개인정보와 관련된 모든 법을 통합하기 위해 발의되었으며, EU의 GDPR에 의거하여 개인정보 보호와 관련한 여러 주요 변화를 도입했습니다. 본 법안을 통해 GDPR을 비롯한 여러 국가의 개인정보 보호법과 비슷한 기준을 도입할 수 있을 것으로 보입니다. PDP 법안에 따른 주요 변화는 다음과 같습니다.

    개인정보의 분류

    EIT법의 ‘전자 시스템과 거래 조항에 대한 정부 규제 2019년 제71호(GR 71)’와 정보기술통신부(MCIT)의 ‘전자 시스템에서의 개인정보 보호 규제 2016년 제20호(MR 20/2016)’는 개인 정보를 명시적으로 정의하고 있지는 않습니다. 본 규제에 따르면 개인정보는 “개인과 관련된 모든 정보로, 그 자체로 개인 식별이 가능하거나, 전자 시스템이나 비전자 수단을 통해 직간접적으로 해당 정보 또는 기타 정보를 함께 사용 시 개인 식별이 가능한 정보”라고 광의적으로 정의되어 있습니다.

    그러나 PDP 법안은 개인정보를 두 종류로 분류합니다. 이름, 성별, 국적, 종교 및 개인 식별이 가능한 기타 정보는 ‘일반 개인정보’, 건강, 생물학, 유전, 정치 성향, 범죄 기록, 개인 금융 정보, 성적 성향, 자녀 정보 및 기타 정보는 ‘특정 개인정보’로 정의됩니다.

    그러나 개인정보의 종류를 분류만 해두었을 뿐, 일반 개인정보와 특정 개인정보에 대한 법적 의무 사항에는 구분을 두지 않았습니다. 이에 따라 PDP 법안의 규제와 부처별 규제 이행을 위해 각 개인정보 범주에 상응하는 의무 사항이 구체화되어야 할 것입니다.

    Kevin Omar Sidharta, Partner, ABNR, Jakarta
    Kevin Omar Sidharta
    카르타 ABNR 파트너 변호사
    Email: ksidarta@abnrlaw.com

    데이터 통제자 vs 데이터 처리자

    현재 인도네시아의 법률 규제는 데이터 통제자(controller)와 처리자(processor)를 구분하지 않고 있습니다. 이에 따라 개인정보를 다루는 모든 당사자에게 개인정보 관련 업무 내용과 관련 없이 동일한 의무 및 준수 요건이 적용됩니다.

    PDP 법안은 이를 해결하기 위해 GDPR과 마찬가지로 데이터 통제자와 처리자를 구분하였습니다. 데이터 통제자는 개인정보 처리의 목적과 통제를 관리하며, 데이터 처리자는 통제자를 대신하여 개인 정보의 처리를 담당하는 개인으로 정의되었습니다.

    PDP 법안은 정보의 처리 책임이 처리자가 아닌 통제자에게 있다고 간주하여, 통제자와 처리자에게 적용되는 의무를 달리합니다. 그러나 데이터 처리자가 통제자가 사전 정의한 목적, 명령 및 지시와 다른 방식으로 정보를 처리한 경우, 통제자와 같은 역할로 간주하여 이에 대한 책임을 지게 됩니다.

    법적 근거

    GR 71 규제에 따라, 앞으로 개인정보를 적법하게 처리하기 위해서는 반드시 데이터 주체의 명시적인 동의를 얻어야 합니다. 현행법은 법률 행사의 경우를 제외하고는, 개인정보 처리 시 명시적 동의를 요구하고 있지 않습니다. 이에 따라 데이터 주체의 명시적 주체를 얻어야 하는 사업체들의 부담이 커질 것입니다.

    PDP 법안은 GDPR과 유사한 원칙을 도입하여, 개인정보의 처리 시 동의 외에도 여러 기타 의무 사항을 규정하고 있습니다. PDP 법안은 GDPR과 유사하게 동의가 필요하지 않은 개인정보 처리 예외 사항을 다음과 같이 정의합니다.

    (1) 데이터 주체가 당사자인 계약을 이행하기 위한 목적, 또는 계약을 체결하기에 앞서 데이터 주체의 요청을 수행하기 위한 목적

    (2) 데이터 통제자가 법적 의무를 준수하기 위한 목적,

    (3) 데이터 주체에게 중요한 이익을 실현하기 위한 목적

    (4) 법에 따라 데이터 통제자에게 부여된 권한을 행사하기 위한 목적

    (5) 데이터 주체가 공공 이익을 위해 준수해야 하는 공공 서비스 의무를 수행하기 위한 목적

    (6) 데이터 통제자 또는 데이터 주체의 합법적인 이해를 추구하기 위한 목적

    PDP 법안이 규정하는 명시적 동의 획득 의무의 예외 조항은 GR 71과 상충합니다. 그러나 PDP법이 GR 71보다 상위법으로 간주될 것이므로, 개인정보 처리의 법적 근거에 관하여 PDP법이 우선할 것입니다.

    국외 데이터 이전

    MR 20/2016 규제는 개인정보의 국외 이전이 데이터 주체의 동의를 받고, MCIT나 관련 당국의 승인을 받은 경우에는 이를 제한하지 않습니다. MCIT의 현행법에 따라 연간 보고서 제출을 통해 MCIT의 승인을 받을 수 있습니다.

    PDP 법안은 데이터 통제자 간의 국외 정보 이전에 관하여 다음과 같은 새로운 요건을 추가합니다.

    (1) 데이터 이전을 받는 국가가 PDP 법안과 동일하거나 더 높은 수준의 개인정보 보호 기준을 갖고 있어야 한다.

    (2) 양국 간 국제적 협약이 존재해야 한다.

    (3) 데이터 통제자 간의 계약에 개인정보 보호 조항이 포함되어 있어야 한다.

    (4) 데이터 주체의 동의를 얻어야 한다.

    그러나 위 요건은 통제자-처리자 간의 국외 정보 이전에는 적용되지 않습니다.

    Mahiswara Timur, Associate, ABNR, Jakarta
    Mahiswara Timur
    카르타 ABNR 소속 변호사
    Email: mtimur@abnrlaw.com

    개인정보 유출 사고

    개인정보 유출 사고 발생 시, GR 71과 MR 20/2016은 전자 시스템 운영자가 즉시 MCIT와 관련 기관에 유출 사실을 보고하고, 데이터 주체에게는 유출 사실 발견 후 14일 이내에 이를 통보할 것을 규정하고 있습니다.

    PDP 법안 또한 보고 의무에 대해 상세 요건을 규정하고 있으며, 이는 전자 처리 및 전통적인 개인정보 처리에 모두 적용됩니다. PDP 법안에 따르면, 데이터 통제자는 개인정보 유출 사고 발생 시 데이터 주체와 MCIT에 72시간 이내에 서면 통보를 해야 합니다. 통보에는 1) 유출된 데이터, 2) 데이터 유출이 언제 어떻게 발생했는지, 3) 유출 사고 관리 및 대응 방안이 포함되어야 합니다.

    데이터 보호 담당자

    PDP 법은 다음에 해당하는 데이터 통제자와 처리자가 데이터 보호 담당자를 고용해야 할 의무가 있다고 규정하고 있습니다.

    (1) 공공 서비스를 제공하기 위한 목적에서 데이터를 처리하는 경우

    (2) 데이터 통제자의 주요 활동이 대규모의 빈번하고 시스템적인 개인정보 처리의 모니터링을 포함하는 경우

    (3) 데이터 통제자의 핵심 활동이 대규모의 특정 개인정보 및 범죄 활동과 관련된 개인정보의 처리를 포함하는 경우

    데이터 보호 담당자는 전문 자격, 법적 지식, 데이터 보호 관련 실무 경험을 근거로 고용해야 합니다. 그러나 PDP 법안은 특정 자격, 능력 및 학력 요건에 대해서는 상세하게 규정하고 있지 않습니다. 데이터 보호 담당자의 역할은 데이터 통제자 및 처리자가 보유하고 있는 개인 정보의 보안을 보호하고 보장하는 것입니다.

    결론

    PDP 법안은 현재 국회에서 우선순위로 다뤄지고 있으나, 정확히 언제 최종 법안이 상정되어 발효될지는 미지수입니다. 또한 현재 코로나 상황으로 인해 최종 법안이 나오기까지 다소 시간이 걸릴 수 있습니다.

    본 법안은 통합적이고 일관된 개인정보 보호 규제의 틀을 마련할 것이므로, 업계의 높은 기대를 받고 있습니다. 대부분의 사업 활동이 크로스보더 비즈니스를 포함하기 때문에, 글로벌 디지털 세계에서 국제 수준을 따르며 사업을 영위하기 위해서는 PDP법의 도입이 필수 불가결한 것으로 받아들여지고 있습니다.

    ALI-BUDIARDJO,-NUGROHO,-REKSODIPUTRO-(ABNR)-Indonesia-legal-firm

    Ali Budiardjo Nugroho Reksodiputro Counsellors at Law (ABNR)

    Graha CIMB Niaga, 24/F

    Jl. Jend. Sudirman, Kav. 58

    Jakarta – 12190, Indonesia

    Tel: +62 21 250 5125/5136

    Email: info@abnrlaw.com

     

    www.abnrlaw.com