아시아에서는 개인정보 보호법을 잘 이해하는 것이 매우 중요합니다. 아시아 국가 간 개인정보 보호법에는 유사한 부분도 있지만, ‘개인정보 보호 준수’라는 상대적으로 새로운 개념에 대해 국가별로 다른 접근법을 채택하고 있기 때문에 차이점도 분명히 존재합니다. 본 섹션은 필리핀, 태국, 인도네시아의 개인정보 보호법을 비교합니다.

항해

---

인도네시아

필리핀

태국

인도네시아

IT 기술의 진보와 디지털 미디어 사용자의 증가에 따라, 인간의 기본권인 ‘개인정보 권리’에 대한 인식 또한 높아졌습니다. 개인 정보의 오용과 광범위한 사용으로 인해 개인정보 보호의 중요성은 그 어느 때보다 시급해졌습니다.

인도네시아에서는 개인정보 보호와 관련된 규제가 여러 부처에 분산되어 있으며, “전자 정보 및 거래법(EIT법)” 외 의료 보건 기록 규제와 인구 통계 행정 관련법에서 관련 내용을 찾아볼 수 있습니다. 현재로서는 ELT법과 관련 규제가 전자 시스템과 관련한 개인정보 보호에서 주요 규제로 간주되며, 여러 분야에 적용되고 있습니다. 그러나 개인정보와 관련하여 일관되고 통합적인 규제 도입이 시급한 실정입니다.

인도네시아 정부는 디지털 시대에서 개인정보 보호의 중요성을 인지하여 개인정보 보호 법안(PDP 법안)을 발의했으며, 현재 법안의 최종 단계에 있습니다. PDP 법안은 인도네시아에서 개인정보와 관련된 모든 법을 통합하기 위해 발의되었으며, EU의 GDPR에 의거하여 개인정보 보호와 관련한 여러 주요 변화를 도입했습니다. 본 법안을 통해 GDPR을 비롯한 여러 국가의 개인정보 보호법과 비슷한 기준을 도입할 수 있을 것으로 보입니다. PDP 법안에 따른 주요 변화는 다음과 같습니다.

개인정보의 분류

EIT법의 ‘전자 시스템과 거래 조항에 대한 정부 규제 2019년 제71호(GR 71)’와 정보기술통신부(MCIT)의 ‘전자 시스템에서의 개인정보 보호 규제 2016년 제20호(MR 20/2016)’는 개인 정보를 명시적으로 정의하고 있지는 않습니다. 본 규제에 따르면 개인정보는 “개인과 관련된 모든 정보로, 그 자체로 개인 식별이 가능하거나, 전자 시스템이나 비전자 수단을 통해 직간접적으로 해당 정보 또는 기타 정보를 함께 사용 시 개인 식별이 가능한 정보”라고 광의적으로 정의되어 있습니다.

그러나 PDP 법안은 개인정보를 두 종류로 분류합니다. 이름, 성별, 국적, 종교 및 개인 식별이 가능한 기타 정보는 ‘일반 개인정보’, 건강, 생물학, 유전, 정치 성향, 범죄 기록, 개인 금융 정보, 성적 성향, 자녀 정보 및 기타 정보는 ‘특정 개인정보’로 정의됩니다.

그러나 개인정보의 종류를 분류만 해두었을 뿐, 일반 개인정보와 특정 개인정보에 대한 법적 의무 사항에는 구분을 두지 않았습니다. 이에 따라 PDP 법안의 규제와 부처별 규제 이행을 위해 각 개인정보 범주에 상응하는 의무 사항이 구체화되어야 할 것입니다.

데이터 통제자 vs 데이터 처리자

현재 인도네시아의 법률 규제는 데이터 통제자(controller)와 처리자(processor)를 구분하지 않고 있습니다. 이에 따라 개인정보를 다루는 모든 당사자에게 개인정보 관련 업무 내용과 관련 없이 동일한 의무 및 준수 요건이 적용됩니다.

PDP 법안은 이를 해결하기 위해 GDPR과 마찬가지로 데이터 통제자와 처리자를 구분하였습니다. 데이터 통제자는 개인정보 처리의 목적과 통제를 관리하며, 데이터 처리자는 통제자를 대신하여 개인 정보의 처리를 담당하는 개인으로 정의되었습니다.

PDP 법안은 정보의 처리 책임이 처리자가 아닌 통제자에게 있다고 간주하여, 통제자와 처리자에게 적용되는 의무를 달리합니다. 그러나 데이터 처리자가 통제자가 사전 정의한 목적, 명령 및 지시와 다른 방식으로 정보를 처리한 경우, 통제자와 같은 역할로 간주하여 이에 대한 책임을 지게 됩니다.

법적 근거

GR 71 규제에 따라, 앞으로 개인정보를 적법하게 처리하기 위해서는 반드시 데이터 주체의 명시적인 동의를 얻어야 합니다. 현행법은 법률 행사의 경우를 제외하고는, 개인정보 처리 시 명시적 동의를 요구하고 있지 않습니다. 이에 따라 데이터 주체의 명시적 주체를 얻어야 하는 사업체들의 부담이 커질 것입니다.

PDP 법안은 GDPR과 유사한 원칙을 도입하여, 개인정보의 처리 시 동의 외에도 여러 기타 의무 사항을 규정하고 있습니다. PDP 법안은 GDPR과 유사하게 동의가 필요하지 않은 개인정보 처리 예외 사항을 다음과 같이 정의합니다.

(1) 데이터 주체가 당사자인 계약을 이행하기 위한 목적, 또는 계약을 체결하기에 앞서 데이터 주체의 요청을 수행하기 위한 목적

(2) 데이터 통제자가 법적 의무를 준수하기 위한 목적,

(3) 데이터 주체에게 중요한 이익을 실현하기 위한 목적

(4) 법에 따라 데이터 통제자에게 부여된 권한을 행사하기 위한 목적

(5) 데이터 주체가 공공 이익을 위해 준수해야 하는 공공 서비스 의무를 수행하기 위한 목적

(6) 데이터 통제자 또는 데이터 주체의 합법적인 이해를 추구하기 위한 목적

PDP 법안이 규정하는 명시적 동의 획득 의무의 예외 조항은 GR 71과 상충합니다. 그러나 PDP법이 GR 71보다 상위법으로 간주될 것이므로, 개인정보 처리의 법적 근거에 관하여 PDP법이 우선할 것입니다.

국외 데이터 이전

MR 20/2016 규제는 개인정보의 국외 이전이 데이터 주체의 동의를 받고, MCIT나 관련 당국의 승인을 받은 경우에는 이를 제한하지 않습니다. MCIT의 현행법에 따라 연간 보고서 제출을 통해 MCIT의 승인을 받을 수 있습니다.

PDP 법안은 데이터 통제자 간의 국외 정보 이전에 관하여 다음과 같은 새로운 요건을 추가합니다.

(1) 데이터 이전을 받는 국가가 PDP 법안과 동일하거나 더 높은 수준의 개인정보 보호 기준을 갖고 있어야 한다.

(2) 양국 간 국제적 협약이 존재해야 한다.

(3) 데이터 통제자 간의 계약에 개인정보 보호 조항이 포함되어 있어야 한다.

(4) 데이터 주체의 동의를 얻어야 한다.

그러나 위 요건은 통제자-처리자 간의 국외 정보 이전에는 적용되지 않습니다.

개인정보 유출 사고

개인정보 유출 사고 발생 시, GR 71과 MR 20/2016은 전자 시스템 운영자가 즉시 MCIT와 관련 기관에 유출 사실을 보고하고, 데이터 주체에게는 유출 사실 발견 후 14일 이내에 이를 통보할 것을 규정하고 있습니다.

PDP 법안 또한 보고 의무에 대해 상세 요건을 규정하고 있으며, 이는 전자 처리 및 전통적인 개인정보 처리에 모두 적용됩니다. PDP 법안에 따르면, 데이터 통제자는 개인정보 유출 사고 발생 시 데이터 주체와 MCIT에 72시간 이내에 서면 통보를 해야 합니다. 통보에는 1) 유출된 데이터, 2) 데이터 유출이 언제 어떻게 발생했는지, 3) 유출 사고 관리 및 대응 방안이 포함되어야 합니다.

데이터 보호 담당자

PDP 법은 다음에 해당하는 데이터 통제자와 처리자가 데이터 보호 담당자를 고용해야 할 의무가 있다고 규정하고 있습니다.

(1) 공공 서비스를 제공하기 위한 목적에서 데이터를 처리하는 경우

(2) 데이터 통제자의 주요 활동이 대규모의 빈번하고 시스템적인 개인정보 처리의 모니터링을 포함하는 경우

(3) 데이터 통제자의 핵심 활동이 대규모의 특정 개인정보 및 범죄 활동과 관련된 개인정보의 처리를 포함하는 경우

데이터 보호 담당자는 전문 자격, 법적 지식, 데이터 보호 관련 실무 경험을 근거로 고용해야 합니다. 그러나 PDP 법안은 특정 자격, 능력 및 학력 요건에 대해서는 상세하게 규정하고 있지 않습니다. 데이터 보호 담당자의 역할은 데이터 통제자 및 처리자가 보유하고 있는 개인 정보의 보안을 보호하고 보장하는 것입니다.

결론

PDP 법안은 현재 국회에서 우선순위로 다뤄지고 있으나, 정확히 언제 최종 법안이 상정되어 발효될지는 미지수입니다. 또한 현재 코로나 상황으로 인해 최종 법안이 나오기까지 다소 시간이 걸릴 수 있습니다.

본 법안은 통합적이고 일관된 개인정보 보호 규제의 틀을 마련할 것이므로, 업계의 높은 기대를 받고 있습니다. 대부분의 사업 활동이 크로스보더 비즈니스를 포함하기 때문에, 글로벌 디지털 세계에서 국제 수준을 따르며 사업을 영위하기 위해서는 PDP법의 도입이 필수 불가결한 것으로 받아들여지고 있습니다.

Ali Budiardjo Nugroho Reksodiputro Counsellors at Law (ABNR)

Graha CIMB Niaga, 24/F

Jl. Jend. Sudirman, Kav. 58

Jakarta – 12190, Indonesia

Tel: +62 21 250 5125/5136

Email: info@abnrlaw.com

 

www.abnrlaw.com

---

필리핀

필리핀의 ‘2020년 개인정보 보호법’은 2012년 8월 15일에 서명되었으며, 필리핀의 모든 개인 정보 보호를 주관하는 통합법입니다. 개인정보 보호법과 ‘개인정보 보호법 시행 규칙 및 규제(IRR)’에 따라, 2016년 8월 24일 국가 개인정보 위원회(NPC)가 설립되었습니다.

개인정보 보호법은 글로벌 비즈니스 간 개인 정보의 자유로운 교환을 가능하게 하고, 필리핀의 데이터 보호 수준을 국제적 수준으로 높여 비즈니스 프로세스 아웃소싱(BPO) 분야에서 국가 경쟁력을 높이고자 발효되었습니다.

2012년 이전에는 개인정보 처리를 담당하는 중앙화된 규제 기관이 없었으며, 데이터 주체를 보호하기 위한 통합적인 조치 또한 없었습니다. 개인 정보는 오용과 악용의 대상이 되어, 동의 용도 외의 목적으로 개인 정보가 사용되거나 신분 사기나 보안 위반 문제가 발생하였으며, 데이터 주체의 헌법상의 권리인 개인 정보에 대한 권리가 침해되었습니다

필리핀에서 개인정보 보호라는 개념이 처음 법률에 등장한 것은 2006년으로, 필리핀 산업통상부(DTI)는 개인정보 보호 지침인 ‘DTI 행정 명령 제8-2006’을 발표한 바 있습니다. 본 명령은 유럽연합 GDPR의 전신인 1995년 개인정보 보호 지침을 기조로 만들어진 것이었습니다. 이에 따라 필리핀의 개인정보 보호법에는 GDPR의 기준과 원칙이 뿌리 깊게 존재합니다.

개인정보 보호법은 모든 종류의 개인정보 처리에 적용되며, 민간 및 정부 분야에서 개인 정보를 처리하는 모든 자연인과 법인에 적용됩니다. 본 법은 필리핀에 근거지를 두지는 않았으나, 1) 필리핀에 소재한 장비를 사용하거나, 2) 필리핀에 사무소, 지점 또는 중개소를 보유한 데이터 통제자와 처리자에게도 적용됩니다.

또한, 처리 대상인 개인 정보가 필리핀 시민이나 필리핀 거주자의 정보인 경우에도 데이터 주체의 현재 거주 국가나 데이터 처리 장소와 관계없이 적용됩니다.

예를 들어 미국에서 일하는 국외 필리핀 노동자(OFW)의 개인정보를 필리핀 현지 은행이 처리하는 경우 본 법이 적용됩니다. 또한, 이와 같은 국외 필리핀 노동자의 개인 정보를 필리핀 국외에 위치한 외국 은행이 처리하는 경우에도 적용됩니다. 이러한 경우 NPC가 어떻게 해당 외국 은행에 법을 집행할지는 전혀 별개의 사안입니다.

“개인 정보의 처리”는 개인 정보에 행해지는 모든 행위 또는 일련의 행위(예: 수집, 기록, 정리, 보관, 업데이트, 변경, 조회, 참조, 사용, 통합, 차단, 삭제 및 파기)로 정의되었습니다. “데이터 통제자”는 개인 정보의 수집, 보유, 처리 및 사용을 통제하는 모든 개인 및 단체를 일컬으며, 이러한 행위를 기타 개인 또는 데이터 주체의 지시에 의해 수행하거나, 자기 자신이나 가족과 관련하여 개인 정보를 처리하는 경우에는 제외됩니다. “데이터 처리자”는 개인 정보 통제자로부터 개인 정보 처리 업무를 위탁받은 자연인 또는 법인을 의미합니다.

다음의 정보는 개인정보 보호법의 적용 대상에서 제외됩니다.

1)현직및전직공무원의직무수행에관한정보

2)정부계약을체결한개인의용역제공에관한정보

3)정부가개인에게제공한재량적금융혜택에관한정보

4)언론, 예술, 학문및연구에관한정보

5)공공기관의기능수행에필요한정보

6)반자금세탁법준수를위해은행및금융기관이필요한정보

7)외국국적의거주자가해당국가의법을준수하여수집한개인정보

필리핀의 개인정보 보호법은 “개인 정보”와 “민감한 개인 정보”를 분류하여, 각기 다른 개인 정보 처리 의무 사항을 규정하고 있습니다. 개인정보는 개인 식별이 그 자체로 분명하거나, 합리적으로 식별 가능한 정보 또는 기타 정보와 함께 사용 시 직접적으로 개인 식별이 가능한 정보를 의미합니다.

민감한 개인정보는 인종, 기혼 여부, 나이, 종교, 사상 및 정치적 소속과 관련된 개인 정보입니다. 건강 및 교육 정보, 과거 법원 기록, 해당 개인에게 정부 기관이 제공한 정보(예: 주민등록번호, 건강 기록, 자동차 등록 번호, 세금 신고 기록), 관련법에 의해 민감한 개인정보로 분류된 정보도 여기에 포함됩니다.

개인정보 보호법과 IRR은 개인정보를 적법하게 처리하기 위해서는 데이터 주체의 동의가 필요하다고 규정하고 있으며, 법에서 명시적으로 허용하는 개인정보의 경우는 적용에서 제외됩니다. 개인정보 보호법은 암묵적 동의가 아닌 명시적인 동의만을 유효한 것으로 간주하며, 이는 “데이터 주체의 자유의사에 의한 명시적인 의지 표명으로서 서명, 전자 또는 기타 기록 수단을 통해 증명될 수 있다”라고 규정되어 있습니다.

개인정보 보호법은 개인 정보에 대한 데이터 주체의 권리에 대해 명시하고 있으며, 이는 GDPR에서 보장하는 데이터 주체의 권리와 유사합니다. 본 권리는 1) 정보를 고지받을 권리, 2) 정보에 접근할 권리, 3) 거부할 권리, 4) 정보의 삭제 및 차단 권리, 5) 정보의 정정 권리, 6) 불만 제기 권리, 7) 손해배상 청구 권리, 8) 데이터 이전 권리를 포함합니다.

데이터 통제자와 처리자는 데이터 주체의 권리를 반드시 준수해야 하며, 과학 및 통계 연구 목적으로 개인정보가 사용되거나 데이터 주체에 대해 특정 활동이나 결정이 행해지지 않는 경우, 또는 데이터 주체의 범죄, 행정 및 세금 관련 조사 목적으로 수집된 경우는 제외로 합니다.

본 법은 또한 개인 정보의 보안에 대한 원칙과 개인 정보의 이전과 관련된 책임에 관해서도 규정합니다. 정부의 민감한 개인 정보 보안과 관련하여 특정 규정이 마련되어 있으며, 개인정보 보호 위반 및 개인 정보 위반 발생 시의 지침에 관한 규정도 구체화되어 있습니다.

GDPR과 마찬가지로 필리핀의 개인정보 보호법과 규제는 개인정보 침해 발생 시 개인 정보 통제자의 고지 의무를 규정하고 있습니다. 개인정보 침해의 고지는 해당 데이터 주체와 NPC에 이루어져야 합니다. NPC에 제출한 침해 고지는 침해 발견으로부터 72시간 내 또는 데이터 통제자 및 처리자가 합리적으로 판단하기에 고지가 필요한 데이터 침해가 발생했다고 생각하는 경우에 이루어져야 합니다.

필리핀의 개인정보 보호법은 개인정보 보호 담당자(DPO)의 고용을 의무로 명시하고 있습니다. 그러나 모든 DPO가 NPC에 등록해야 하는 것은 아닙니다. DPO의 NPC 등록은 1) 사업체의 고용인이 250명 이상인 경우, 2) 사업체가 최소 1,000명의 민감한 개인 정보 기록을 보유한 경우, 3) 사업체의 개인정보 처리가 데이터 주체의 자유 권리 행사에 리스크로 작용하거나 빈번하게 처리하는 경우에만 의무화되어있습니다.

특히 NPC는 3)의 상황과 관련하여, 데이터 주체의 규모나 처리하는 개인 정보 유형과 관계없이 반드시 DPO를 등록해야 하는 산업 부문을 별도로 규정했습니다. 이는

1) 정부 기관,

2) 은행 및 비은행 금융 기관,

3) 이동통신사 및 인터넷 서비스 제공자,

4) BPO 회사,

5) 대학, 전문대학 및 기타 학교 및 연수 기관,

6) 병원 및 기타 의료 시설,

7) 보험사 및 보험 중개사,

8) 직접 마케팅, 네트워킹에 관련된 개인 또는 리워드 카드나 로열티 프로그램을 제공하는 회사,

9) 리서치를 수행하는 제약 회사,

10) 위 부문에 종사하는 데이터 통제자를 위해 개인 정보를 처리하는 데이터 처리자입니다.

DPO 외에도 IRR은 특정한 데이터 처리 시스템이 NPC에 등록되어야 한다고 규정하고 있습니다.

개인정보 보호법의 위반은 구금 및 벌금형의 대상이 됩니다. 민감한 개인정보가 관련된 경우 벌금도 이에 상응하여 상향 책정됩니다. 최소 100명의 개인 정보가 침해된 경우에는 최대 벌금이 부과됩니다. NPC와 이해당사자들이 구금형과 관련된 내용은 삭제할 것을 제안했으나, 코로나 바이러스로 인해 현재로서는 이와 관련하여 진척이 없는 상황입니다.

ACCRALAW

22nd Floor, ACCRALAW Tower

2nd Avenue corner, 30th Street
Crescent Park West Bonifacio Global City,

1635 Taguig, Metro Manila, Philippines

Tel: +63 2 8830 8000

Email: accra@accralaw.com

www.accralaw.com

---

태국

태국의 ‘2019년 개인정보 보호법(PDPA)’은 자연인의 개인정보를 적법하지 않거나 승인을 받지 않은 수집, 사용, 공개 행위로부터 보호하기 위해 제정되었습니다. 본 법은 2019년 5월 27일 발효되었으나, 코로나 바이러스로 인해 법의 시행일이 2021년 5월 31일로 연기됐습니다. 그러나 최소 보안 기준은 이미 적용되고 있습니다. 데이터 통제자는 고용인과 관련인에게 개인 정보 보호의 중요성에 대해 알려야 하며, 특정 행정, 기술 및 물리적 보안 장치가 반드시 마련되어야 합니다.

데이터 통제

개인정보 보호법에 따라 ‘개인정보 보호 위원회(PDPC)’가 발족됐으며, 위원회 산하에 전문가 위원회와 하위 위원회가 별도로 설립됐습니다. 개인정보 보호법 제16절에 따른 위원회의 의무는 다음과 같습니다.

1) 개인 정보 보호 절차 및 조치 결정

2) 규제 및 공지 발표

3) 개인정보 보호 절차와 국외 이전 개인정보에 대한 보호 범주 발표

4) 개인정보 보호를 위한 기본 계획 수립

개인정보 보호법에 따라 PDPC 사무소가 설립되어, 개인 정보 보호의 학술적 연구 센터이자 감독 기관의 기능을 수행하고 있습니다.

개인정보 보호법의 준수 요건은 하위 규제에 정의되어 있으며, PDPC가 발표 및 이행을 담당할 것입니다. 2021년 2월 정부는 2021년 6월 시행될 다음의 하위 규제에 대한 공청회를 실시했습니다.

1) 동의 획득 범주와 방법

2) 개인정보 처리 관련 통보 방법

3) 민감한 개인 정보 처리의 적절한 데이터 보호 방법

4) 개인정보의 국외 이전에 대한 보호 범주

5) 데이터 주체의 요청에 다른 개인정보 활동 기록과 방법, 개인정보 유출 시 보고 방법

6) 데이터 처리의 보호 조치

7) 데이터 보호 담당자

8) 불만 접수 및 행정적 시행에 대한 절차

제외 산업 및 기관

PDPA는 태국의 데이터 통제자 및 처리자에 의한 개인정보의 수집, 사용 및 공개를 관장합니다. 그러나 PDPA는 다음의 경우에는 적용되지 않습니다.

1) 개인 용도 또는 해당 개인의 가족 활동에 관한 목적으로 수집된 데이터

2) 공공 기관의 업무 수행

3) 언론, 예술, 문학 활동으로 수집된 데이터

4) 의회 및 의회 위원회의 의무와 권한에 의한 데이터

5) 법원 소송 및 소송 관련 업무

6) 신용 당국 및 직원에 의해 수집된 데이터

7) 고인의 데이터

신용 및 보건 관련 회사의 경우에는 개인정보 보호법이 아닌 다른 법과 하위 규제가 적용됩니다.

개인 정보

PDPA의 제6절은 개인정보를 ‘개인을 직접 또는 간접적으로 식별하는데 관련된 정보’로 규정하나, 고인의 정보는 포함하지 않습니다.

개인정보는 ‘일반 개인정보(제24절)’와 ‘민감한 정보(제26절)’로 분류됩니다. 일반 정보의 수집은 데이터 주체의 동의를 필요로 합니다. 개인정보의 예는 데이터 주체의 주소, 이메일 주소, 전화번호, 신용카드 정보 등입니다.

민감한 정보의 경우에는 보다 엄격한 규칙이 적용됩니다. PDPA의 제26절과 27절에 따라, 민감한 개인 정보의 처리는 데이터 주체의 명시적 동의가 반드시 필요합니다. 이때 동의는 암묵적 동의가 아닌 명백한 동의여야 합니다. 주요 이해, 공공 데이터, 법적 소송, 법적 의무 등과 같이 법적 근간이 있는 경우에는 동의 획득 의무에서 제외될 수 있습니다.

데이터 통제자와 처리자

PDPA 제6절은 개인정보의 통제자와 처리자를 다음과 같이 구분합니다.

. 데이터 통제자는 개인정보의 수집, 사용, 공개에 관한 결정을 할 수 있는 권한을 가진 자연인 또는 법인이며,

. 데이터 처리자는 데이터 통제자 대신 또는 데이터 통제자의 지시에 따라 개인정보를 처리, 사용 및 공개와 관련된 업무를 하는 자연인 또는 법인입니다.

PDPA 제37절은 데이터 통제자의 의무를 규정하며, 이는 보안 및 인증 절차 수립과 개인정보 유출 사고 발생 시 PDPC에 보고해야 할 의무를 포함합니다.

PDPA 제37절은 데이터 통제자가 반드시 개인정보의 불법적 또는 승인되지 않은 유실, 접근, 사용, 수정, 정정 또는 공개를 예방하기 위해 적절한 보안 조치를 수립하고 유지해야 할 의무가 있다고 규정하고 있습니다.

PDPA 제40절은 데이터 처리자가 보안 조치를 마련하고, 개인정보의 유출 사고 발생 시 이를 데이터 통제자에게 통보하고, 기록 관리 의무가 있다고 규정하고 있습니다.

업무상 개인정보를 수집하는 대부분의 회사는 데이터 통제자 또는 처리자로 간주되며, PDPA를 준수해야 합니다. 데이터 통제자나 처리자가 태국 외에 소재한 경우, PDPA는 태국 거주민이 데이터 주체인 개인정보의 수집, 사용, 공개에 적용되며, 데이터 통제자와 처리자의 업무 행위가 1) 태국에 있는 데이터 주체자에게 상품이나 서비스를 제공하는 경우(데이터 주체의 결제 여부와 무관), 2) 데이터 주체의 행동 모니터링(해당 행동이 태국에서 발생)과 관련된 경우 PDPA가 적용됩니다.

데이터 수집

PDPA 제21절에 따라 개인정보의 수집, 사용, 공개는 데이터 주체에게 사전 통보한 목적 외로는 사용이 불가능하며, 데이터 주체가 새로운 용도에 대해 고지받고 이에 대해 사전 동의를 획득한 경우는 제외합니다.

PDPA 제23절은 데이터 통제자가 반드시 개인정보의 수집 전 또는 수집 시점에 데이터 주체에게 다음을 통보해야 한다고 규정합니다.

1. 1. 개인정보 수집 목적
   2. 개인정보 저장 기간
   3. 데이터 통제자의 신분(연락처)
   4. 데이터 주체가 개인정보를 공개해야 하는 이유
   5. 개인정보가 공개될 수 있는 수신인의 신분
   6. 수집되어야 하는 정보
   7. 데이터 주체의 권리
   8. 개인정보를 제공하지 않을 경우의 영향

제39절은 데이터 통제자가 반드시 다음의 기록을 보유해야 한다고 규정합니다.

1. 1. 수집된 개인 정보
   2. 개인정보의 수집 목적
   3. 데이터 통제자의 상세 정보
   4. 개인 정보의 유지 기간
   5. 개인 정보 접근 권리와 방법
   6. 동의 목적에서 제외되는 개인정보의 사용 및 공개
   7. 개인정보 수집 동의 요청의 거부 및 반대 의사 내용
   8. 개인정보 유출을 예방하기 위한 적절한 보안 조치에 대한 설명

제30절에 따라, 데이터 주체는 데이터 통제자의 책임 하에 있는 본인의 개인 정보에 대한 접근권과 복사본을 요청할 수 있는 권리가 있습니다. 제35절에 따르면, 데이터 통제자는 개인정보가 정확하고 최신의 정보이며 온전하고 오해의 소지가 없도록 유지해야 할 의무가 있습니다.

법적 근거

PDPA 제20절은 미성년자의 단독 행위가 허용되지 않는 상황(민사상사법 제22-24절)의 경우 해당 미성년자의 부모로부터 동의를 받아야 한다고 규정하고 있습니다. 미성년자가 만 10세 이하인 경우에도 부모의 동의가 필요합니다.

PDPA 제24절과 27절에 따라, 데이터 통제자는 개인정보의 처리 시 데이터 주체의 동의가 반드시 필요하며, 예외가 되는 법적 근거는 연구, 중대한 이익, 계약, 공공 업무 및 공공 기관 권한, 데이터 통제자의 법적 이익(데이터 주체의 권리와 균형 필요), 법적 의무입니다.

개인정보 유출 사고

제37(4)절은 데이터 통제자가 개인정보 유출 사고 발생 사실을 발견한 시점으로부터 72시간 내에 PDPC 사무소에 이를 통보해야 한다고 규정합니다.

이를 준수하지 않을 경우 형사 및 민사 처벌의 대상이 됩니다.형사 처벌의 경우 최대 1년 구금형 또는 100만 태국 바트(미$ 32,500)에 처합니다.

또한 유출 사고가 회사에 책임이 있는 이사 또는 개인의 지시 및 태만으로 발생한 경우, 해당인 또한 PDPA에 따라 동일 처벌 대상이 됩니다. 민사 책임은 실제 피해액의 최대 2배에 해당하는 처벌적 손해배상을 포함합니다. 민사 손해배상금은 또한 집단 소송에 의해 책정될 수도 있습니다. 또한, PDPC의 전문가 위원회는 해당인에 대해 최대 5백만 태국 바트(미$163,417)의 벌금을 부과할 수 있습니다.

결론

PDPA는 국외 적용이 되기 때문에 태국 국내 뿐만 아니라 태국 자연인의 개인정보를 수집 및 사용하거나 행동을 모니터링하고자 하는 태국 외의 사업에도 막대한 영향을 미칠 것입니다.

WEERAWONG CHINNAVAT & PARTNERS

22nd Floor, Mercury Tower

540 Ploenchit RoadLumpini Pathumwan
Bangkok 10330,Thailand

Tel: +662 264 8000

Fax: +662 657 2222

 

www.weerawongcp.com