아시아에서는 개인정보 보호법을 잘 이해하는 것이 매우 중요합니다. 아시아 국가 간 개인정보 보호법에는 유사한 부분도 있지만, ‘개인정보 보호 준수’라는 상대적으로 새로운 개념에 대해 국가별로 다른 접근법을 채택하고 있기 때문에 차이점도 분명히 존재합니다. 본 섹션은 필리핀, 태국, 인도네시아의 개인정보 보호법을 비교합니다.
태국의 ‘2019년 개인정보 보호법(PDPA)’은 자연인의 개인정보를 적법하지 않거나 승인을 받지 않은 수집, 사용, 공개 행위로부터 보호하기 위해 제정되었습니다. 본 법은 2019년 5월 27일 발효되었으나, 코로나 바이러스로 인해 법의 시행일이 2021년 5월 31일로 연기됐습니다. 그러나 최소 보안 기준은 이미 적용되고 있습니다. 데이터 통제자는 고용인과 관련인에게 개인 정보 보호의 중요성에 대해 알려야 하며, 특정 행정, 기술 및 물리적 보안 장치가 반드시 마련되어야 합니다.
방콕 Weerawong Chinnavat & Partners의 시니어 파트너
Tel: + 66 2 264 8000
Email: veeranuch.t@weerawongcp.com
데이터 통제
개인정보 보호법에 따라 ‘개인정보 보호 위원회(PDPC)’가 발족됐으며, 위원회 산하에 전문가 위원회와 하위 위원회가 별도로 설립됐습니다. 개인정보 보호법 제16절에 따른 위원회의 의무는 다음과 같습니다.
1) 개인 정보 보호 절차 및 조치 결정
2) 규제 및 공지 발표
3) 개인정보 보호 절차와 국외 이전 개인정보에 대한 보호 범주 발표
4) 개인정보 보호를 위한 기본 계획 수립
개인정보 보호법에 따라 PDPC 사무소가 설립되어, 개인 정보 보호의 학술적 연구 센터이자 감독 기관의 기능을 수행하고 있습니다.
개인정보 보호법의 준수 요건은 하위 규제에 정의되어 있으며, PDPC가 발표 및 이행을 담당할 것입니다. 2021년 2월 정부는 2021년 6월 시행될 다음의 하위 규제에 대한 공청회를 실시했습니다.
1) 동의 획득 범주와 방법
2) 개인정보 처리 관련 통보 방법
3) 민감한 개인 정보 처리의 적절한 데이터 보호 방법
4) 개인정보의 국외 이전에 대한 보호 범주
5) 데이터 주체의 요청에 다른 개인정보 활동 기록과 방법, 개인정보 유출 시 보고 방법
6) 데이터 처리의 보호 조치
7) 데이터 보호 담당자
8) 불만 접수 및 행정적 시행에 대한 절차
제외 산업 및 기관
PDPA는 태국의 데이터 통제자 및 처리자에 의한 개인정보의 수집, 사용 및 공개를 관장합니다. 그러나 PDPA는 다음의 경우에는 적용되지 않습니다.
1) 개인 용도 또는 해당 개인의 가족 활동에 관한 목적으로 수집된 데이터
2) 공공 기관의 업무 수행
3) 언론, 예술, 문학 활동으로 수집된 데이터
4) 의회 및 의회 위원회의 의무와 권한에 의한 데이터
5) 법원 소송 및 소송 관련 업무
6) 신용 당국 및 직원에 의해 수집된 데이터
7) 고인의 데이터
신용 및 보건 관련 회사의 경우에는 개인정보 보호법이 아닌 다른 법과 하위 규제가 적용됩니다.
개인 정보
PDPA의 제6절은 개인정보를 ‘개인을 직접 또는 간접적으로 식별하는데 관련된 정보’로 규정하나, 고인의 정보는 포함하지 않습니다.
개인정보는 ‘일반 개인정보(제24절)’와 ‘민감한 정보(제26절)’로 분류됩니다. 일반 정보의 수집은 데이터 주체의 동의를 필요로 합니다. 개인정보의 예는 데이터 주체의 주소, 이메일 주소, 전화번호, 신용카드 정보 등입니다.
민감한 정보의 경우에는 보다 엄격한 규칙이 적용됩니다. PDPA의 제26절과 27절에 따라, 민감한 개인 정보의 처리는 데이터 주체의 명시적 동의가 반드시 필요합니다. 이때 동의는 암묵적 동의가 아닌 명백한 동의여야 합니다. 주요 이해, 공공 데이터, 법적 소송, 법적 의무 등과 같이 법적 근간이 있는 경우에는 동의 획득 의무에서 제외될 수 있습니다.
방콕 Weerawong Chinnavat & Partners의 소속 변호사
Tel: + 66 2 264 8000
Email: thaya.u@weerawongcp.com
데이터 통제자와 처리자
PDPA 제6절은 개인정보의 통제자와 처리자를 다음과 같이 구분합니다.
. 데이터 통제자는 개인정보의 수집, 사용, 공개에 관한 결정을 할 수 있는 권한을 가진 자연인 또는 법인이며,
. 데이터 처리자는 데이터 통제자 대신 또는 데이터 통제자의 지시에 따라 개인정보를 처리, 사용 및 공개와 관련된 업무를 하는 자연인 또는 법인입니다.
PDPA 제37절은 데이터 통제자의 의무를 규정하며, 이는 보안 및 인증 절차 수립과 개인정보 유출 사고 발생 시 PDPC에 보고해야 할 의무를 포함합니다.
PDPA 제37절은 데이터 통제자가 반드시 개인정보의 불법적 또는 승인되지 않은 유실, 접근, 사용, 수정, 정정 또는 공개를 예방하기 위해 적절한 보안 조치를 수립하고 유지해야 할 의무가 있다고 규정하고 있습니다.
PDPA 제40절은 데이터 처리자가 보안 조치를 마련하고, 개인정보의 유출 사고 발생 시 이를 데이터 통제자에게 통보하고, 기록 관리 의무가 있다고 규정하고 있습니다.
업무상 개인정보를 수집하는 대부분의 회사는 데이터 통제자 또는 처리자로 간주되며, PDPA를 준수해야 합니다. 데이터 통제자나 처리자가 태국 외에 소재한 경우, PDPA는 태국 거주민이 데이터 주체인 개인정보의 수집, 사용, 공개에 적용되며, 데이터 통제자와 처리자의 업무 행위가 1) 태국에 있는 데이터 주체자에게 상품이나 서비스를 제공하는 경우(데이터 주체의 결제 여부와 무관), 2) 데이터 주체의 행동 모니터링(해당 행동이 태국에서 발생)과 관련된 경우 PDPA가 적용됩니다.
데이터 수집
PDPA 제21절에 따라 개인정보의 수집, 사용, 공개는 데이터 주체에게 사전 통보한 목적 외로는 사용이 불가능하며, 데이터 주체가 새로운 용도에 대해 고지받고 이에 대해 사전 동의를 획득한 경우는 제외합니다.
PDPA 제23절은 데이터 통제자가 반드시 개인정보의 수집 전 또는 수집 시점에 데이터 주체에게 다음을 통보해야 한다고 규정합니다.
-
- 개인정보 수집 목적
- 개인정보 저장 기간
- 데이터 통제자의 신분(연락처)
- 데이터 주체가 개인정보를 공개해야 하는 이유
- 개인정보가 공개될 수 있는 수신인의 신분
- 수집되어야 하는 정보
- 데이터 주체의 권리
- 개인정보를 제공하지 않을 경우의 영향
제39절은 데이터 통제자가 반드시 다음의 기록을 보유해야 한다고 규정합니다.
-
- 수집된 개인 정보
- 개인정보의 수집 목적
- 데이터 통제자의 상세 정보
- 개인 정보의 유지 기간
- 개인 정보 접근 권리와 방법
- 동의 목적에서 제외되는 개인정보의 사용 및 공개
- 개인정보 수집 동의 요청의 거부 및 반대 의사 내용
- 개인정보 유출을 예방하기 위한 적절한 보안 조치에 대한 설명
제30절에 따라, 데이터 주체는 데이터 통제자의 책임 하에 있는 본인의 개인 정보에 대한 접근권과 복사본을 요청할 수 있는 권리가 있습니다. 제35절에 따르면, 데이터 통제자는 개인정보가 정확하고 최신의 정보이며 온전하고 오해의 소지가 없도록 유지해야 할 의무가 있습니다.
법적 근거
PDPA 제20절은 미성년자의 단독 행위가 허용되지 않는 상황(민사상사법 제22-24절)의 경우 해당 미성년자의 부모로부터 동의를 받아야 한다고 규정하고 있습니다. 미성년자가 만 10세 이하인 경우에도 부모의 동의가 필요합니다.
PDPA 제24절과 27절에 따라, 데이터 통제자는 개인정보의 처리 시 데이터 주체의 동의가 반드시 필요하며, 예외가 되는 법적 근거는 연구, 중대한 이익, 계약, 공공 업무 및 공공 기관 권한, 데이터 통제자의 법적 이익(데이터 주체의 권리와 균형 필요), 법적 의무입니다.
개인정보 유출 사고
제37(4)절은 데이터 통제자가 개인정보 유출 사고 발생 사실을 발견한 시점으로부터 72시간 내에 PDPC 사무소에 이를 통보해야 한다고 규정합니다.
이를 준수하지 않을 경우 형사 및 민사 처벌의 대상이 됩니다.형사 처벌의 경우 최대 1년 구금형 또는 100만 태국 바트(미$ 32,500)에 처합니다.
또한 유출 사고가 회사에 책임이 있는 이사 또는 개인의 지시 및 태만으로 발생한 경우, 해당인 또한 PDPA에 따라 동일 처벌 대상이 됩니다. 민사 책임은 실제 피해액의 최대 2배에 해당하는 처벌적 손해배상을 포함합니다. 민사 손해배상금은 또한 집단 소송에 의해 책정될 수도 있습니다. 또한, PDPC의 전문가 위원회는 해당인에 대해 최대 5백만 태국 바트(미$163,417)의 벌금을 부과할 수 있습니다.
결론
PDPA는 국외 적용이 되기 때문에 태국 국내 뿐만 아니라 태국 자연인의 개인정보를 수집 및 사용하거나 행동을 모니터링하고자 하는 태국 외의 사업에도 막대한 영향을 미칠 것입니다.
WEERAWONG CHINNAVAT & PARTNERS
22nd Floor, Mercury Tower
540 Ploenchit RoadLumpini Pathumwan
Bangkok 10330,Thailand
Tel: +662 264 8000
Fax: +662 657 2222
