동남아 국가별 개인정보 보호법 비교 – 필리핀

    저자: John Paul M Gaba, ACCRALAW
    0
    150

    아시아에서는 개인정보 보호법을 잘 이해하는 것이 매우 중요합니다. 아시아 국가 간 개인정보 보호법에는 유사한 부분도 있지만, ‘개인정보 보호 준수’라는 상대적으로 새로운 개념에 대해 국가별로 다른 접근법을 채택하고 있기 때문에 차이점도 분명히 존재합니다. 본 섹션은 필리핀, 태국, 인도네시아의 개인정보 보호법을 비교합니다.


    인도네시아

    필리핀

    태국

     

    필리핀의 ‘2020년 개인정보 보호법’은 2012년 8월 15일에 서명되었으며, 필리핀의 모든 개인 정보 보호를 주관하는 통합법입니다. 개인정보 보호법과 ‘개인정보 보호법 시행 규칙 및 규제(IRR)’에 따라, 2016년 8월 24일 국가 개인정보 위원회(NPC)가 설립되었습니다.

    John Paul M Gaba, Partner, ACCRALAW, Manila
    John Paul M Gaba
    마닐라 ACCRALAW의 파트너 변호사
    Tel: +632 830 8047
    Email: jmgaba@accralaw.com

    개인정보 보호법은 글로벌 비즈니스 간 개인 정보의 자유로운 교환을 가능하게 하고, 필리핀의 데이터 보호 수준을 국제적 수준으로 높여 비즈니스 프로세스 아웃소싱(BPO) 분야에서 국가 경쟁력을 높이고자 발효되었습니다.

    2012년 이전에는 개인정보 처리를 담당하는 중앙화된 규제 기관이 없었으며, 데이터 주체를 보호하기 위한 통합적인 조치 또한 없었습니다. 개인 정보는 오용과 악용의 대상이 되어, 동의 용도 외의 목적으로 개인 정보가 사용되거나 신분 사기나 보안 위반 문제가 발생하였으며, 데이터 주체의 헌법상의 권리인 개인 정보에 대한 권리가 침해되었습니다

    필리핀에서 개인정보 보호라는 개념이 처음 법률에 등장한 것은 2006년으로, 필리핀 산업통상부(DTI)는 개인정보 보호 지침인 ‘DTI 행정 명령 제8-2006’을 발표한 바 있습니다. 본 명령은 유럽연합 GDPR의 전신인 1995년 개인정보 보호 지침을 기조로 만들어진 것이었습니다. 이에 따라 필리핀의 개인정보 보호법에는 GDPR의 기준과 원칙이 뿌리 깊게 존재합니다.

    개인정보 보호법은 모든 종류의 개인정보 처리에 적용되며, 민간 및 정부 분야에서 개인 정보를 처리하는 모든 자연인과 법인에 적용됩니다. 본 법은 필리핀에 근거지를 두지는 않았으나, 1) 필리핀에 소재한 장비를 사용하거나, 2) 필리핀에 사무소, 지점 또는 중개소를 보유한 데이터 통제자와 처리자에게도 적용됩니다.

    또한, 처리 대상인 개인 정보가 필리핀 시민이나 필리핀 거주자의 정보인 경우에도 데이터 주체의 현재 거주 국가나 데이터 처리 장소와 관계없이 적용됩니다.

    예를 들어 미국에서 일하는 국외 필리핀 노동자(OFW)의 개인정보를 필리핀 현지 은행이 처리하는 경우 본 법이 적용됩니다. 또한, 이와 같은 국외 필리핀 노동자의 개인 정보를 필리핀 국외에 위치한 외국 은행이 처리하는 경우에도 적용됩니다. 이러한 경우 NPC가 어떻게 해당 외국 은행에 법을 집행할지는 전혀 별개의 사안입니다.

    “개인 정보의 처리”는 개인 정보에 행해지는 모든 행위 또는 일련의 행위(예: 수집, 기록, 정리, 보관, 업데이트, 변경, 조회, 참조, 사용, 통합, 차단, 삭제 및 파기)로 정의되었습니다. “데이터 통제자”는 개인 정보의 수집, 보유, 처리 및 사용을 통제하는 모든 개인 및 단체를 일컬으며, 이러한 행위를 기타 개인 또는 데이터 주체의 지시에 의해 수행하거나, 자기 자신이나 가족과 관련하여 개인 정보를 처리하는 경우에는 제외됩니다. “데이터 처리자”는 개인 정보 통제자로부터 개인 정보 처리 업무를 위탁받은 자연인 또는 법인을 의미합니다.

    다음의 정보는 개인정보 보호법의 적용 대상에서 제외됩니다.

    1)현직및전직공무원의직무수행에관한정보

    2)정부계약을체결한개인의용역제공에관한정보

    3)정부가개인에게제공한재량적금융혜택에관한정보

    4)언론, 예술, 학문및연구에관한정보

    5)공공기관의기능수행에필요한정보

    6)반자금세탁법준수를위해은행및금융기관이필요한정보

    7)외국국적의거주자가해당국가의법을준수하여수집한개인정보

    필리핀의 개인정보 보호법은 “개인 정보”와 “민감한 개인 정보”를 분류하여, 각기 다른 개인 정보 처리 의무 사항을 규정하고 있습니다. 개인정보는 개인 식별이 그 자체로 분명하거나, 합리적으로 식별 가능한 정보 또는 기타 정보와 함께 사용 시 직접적으로 개인 식별이 가능한 정보를 의미합니다.

    민감한 개인정보는 인종, 기혼 여부, 나이, 종교, 사상 및 정치적 소속과 관련된 개인 정보입니다. 건강 및 교육 정보, 과거 법원 기록, 해당 개인에게 정부 기관이 제공한 정보(예: 주민등록번호, 건강 기록, 자동차 등록 번호, 세금 신고 기록), 관련법에 의해 민감한 개인정보로 분류된 정보도 여기에 포함됩니다.

    개인정보 보호법과 IRR은 개인정보를 적법하게 처리하기 위해서는 데이터 주체의 동의가 필요하다고 규정하고 있으며, 법에서 명시적으로 허용하는 개인정보의 경우는 적용에서 제외됩니다. 개인정보 보호법은 암묵적 동의가 아닌 명시적인 동의만을 유효한 것으로 간주하며, 이는 “데이터 주체의 자유의사에 의한 명시적인 의지 표명으로서 서명, 전자 또는 기타 기록 수단을 통해 증명될 수 있다”라고 규정되어 있습니다.

    개인정보 보호법은 개인 정보에 대한 데이터 주체의 권리에 대해 명시하고 있으며, 이는 GDPR에서 보장하는 데이터 주체의 권리와 유사합니다. 본 권리는 1) 정보를 고지받을 권리, 2) 정보에 접근할 권리, 3) 거부할 권리, 4) 정보의 삭제 및 차단 권리, 5) 정보의 정정 권리, 6) 불만 제기 권리, 7) 손해배상 청구 권리, 8) 데이터 이전 권리를 포함합니다.

    데이터 통제자와 처리자는 데이터 주체의 권리를 반드시 준수해야 하며, 과학 및 통계 연구 목적으로 개인정보가 사용되거나 데이터 주체에 대해 특정 활동이나 결정이 행해지지 않는 경우, 또는 데이터 주체의 범죄, 행정 및 세금 관련 조사 목적으로 수집된 경우는 제외로 합니다.

    본 법은 또한 개인 정보의 보안에 대한 원칙과 개인 정보의 이전과 관련된 책임에 관해서도 규정합니다. 정부의 민감한 개인 정보 보안과 관련하여 특정 규정이 마련되어 있으며, 개인정보 보호 위반 및 개인 정보 위반 발생 시의 지침에 관한 규정도 구체화되어 있습니다.

    GDPR과 마찬가지로 필리핀의 개인정보 보호법과 규제는 개인정보 침해 발생 시 개인 정보 통제자의 고지 의무를 규정하고 있습니다. 개인정보 침해의 고지는 해당 데이터 주체와 NPC에 이루어져야 합니다. NPC에 제출한 침해 고지는 침해 발견으로부터 72시간 내 또는 데이터 통제자 및 처리자가 합리적으로 판단하기에 고지가 필요한 데이터 침해가 발생했다고 생각하는 경우에 이루어져야 합니다.

    필리핀의 개인정보 보호법은 개인정보 보호 담당자(DPO)의 고용을 의무로 명시하고 있습니다. 그러나 모든 DPO가 NPC에 등록해야 하는 것은 아닙니다. DPO의 NPC 등록은 1) 사업체의 고용인이 250명 이상인 경우, 2) 사업체가 최소 1,000명의 민감한 개인 정보 기록을 보유한 경우, 3) 사업체의 개인정보 처리가 데이터 주체의 자유 권리 행사에 리스크로 작용하거나 빈번하게 처리하는 경우에만 의무화되어있습니다.

    특히 NPC는 3)의 상황과 관련하여, 데이터 주체의 규모나 처리하는 개인 정보 유형과 관계없이 반드시 DPO를 등록해야 하는 산업 부문을 별도로 규정했습니다. 이는

    1) 정부 기관,

    2) 은행 및 비은행 금융 기관,

    3) 이동통신사 및 인터넷 서비스 제공자,

    4) BPO 회사,

    5) 대학, 전문대학 및 기타 학교 및 연수 기관,

    6) 병원 및 기타 의료 시설,

    7) 보험사 및 보험 중개사,

    8) 직접 마케팅, 네트워킹에 관련된 개인 또는 리워드 카드나 로열티 프로그램을 제공하는 회사,

    9) 리서치를 수행하는 제약 회사,

    10) 위 부문에 종사하는 데이터 통제자를 위해 개인 정보를 처리하는 데이터 처리자입니다.

    DPO 외에도 IRR은 특정한 데이터 처리 시스템이 NPC에 등록되어야 한다고 규정하고 있습니다.

    개인정보 보호법의 위반은 구금 및 벌금형의 대상이 됩니다. 민감한 개인정보가 관련된 경우 벌금도 이에 상응하여 상향 책정됩니다. 최소 100명의 개인 정보가 침해된 경우에는 최대 벌금이 부과됩니다. NPC와 이해당사자들이 구금형과 관련된 내용은 삭제할 것을 제안했으나, 코로나 바이러스로 인해 현재로서는 이와 관련하여 진척이 없는 상황입니다.

    ACCRALAW

    22nd Floor, ACCRALAW Tower

    2nd Avenue corner, 30th Street
    Crescent Park West Bonifacio Global City,

    1635 Taguig, Metro Manila, Philippines

    Tel: +63 2 8830 8000

    Email: accra@accralaw.com


    www.accralaw.com