개인정보, 어떻게 보호해야 하나 : 필리핀

2012 필리핀 개인정보보호법(DPA, 또는 공화국법 제10173호)은 2012년 8월 15일 제정되었다. 이 법은 필리핀의 개인정보 보호를 규율하는 포괄적인 법이다. 이 법의 관리 및 시행을 감독하는 정부 기관인 국가개인정보보호위원회(NPC)는 2016년 8월 마지막 시행 규칙과 규정을 공포했다.

개인정보보호법은 글로벌 무대에서 개인정보의 자유로운 교환과 정보 보호에 대한 국제 표준 설정에 대응하기 위해 제정되었다. 이는 비즈니스 아웃소싱 처리 서비스 분야의 글로벌 리더인 필리핀에게 매우 중요하다.

공화국법 제10173호 이전에는 개인정보 처리에 필요한 중앙집중식 규제 감독이나 정보 주체에 대한 포괄적인 보호 조치가 없었기 때문에, 당시 방대한 규모의 개인정보는 처음에 의도한 목적 이외의 용도로 연락처 정보를 무분별하게 이용하고 공유하거나 신원을 도용하고 보안을 침해하는 등 오용과 남용의 대상이 되어 헌법적으로 보장된 정보 주체의 프라이버시 권리를 침해하는 결과를 초래했다.

2006년 초, 필리핀 무역산업부(DTI)는 개인정보 보호 지침에 관한 DTI 행정 명령 8호를 발표했다. 이는 EU 개인정보보호규정(GDPR)의 전신인 1995년 당시 EU의 정보보호 지침을 따른 것이다. 따라서 필리핀 DPA는 EU가 지지하는 표준과 원칙에 뿌리를 두고 있다.

공화국법 제10173호는 모든 유형의 개인정보 처리 및 여기에 관여하는 모든 자연인 또는 법인(민간 및 정부 모두)에게 적용된다. 이 법은 필리핀에 없는 정보 관리자 및 처리자에게도 적용되는데, 다음과 같은 경우가 포함된다.

• 리핀에 소재하는 장비를 사용하는 경우
• 필리핀에 사무실, 지사 또는 대리점이 있는 경우

이 법은 정보 주체의 소재지 및 정보가 처리되는 장소와 무관하게 필리핀 국민 또는 거주자의 개인정보에도 적용된다. 예를 들어, 미국에 있는 해외 필리핀 근로자가 필리핀 현지 은행에서 개인 정보를 처리하는 경우에는 공화국법 제10173호가 적용된다. 또한, 동일한 근로자의 개인정보가 필리핀 이외 지역의 외국 은행에서 처리되는 경우에도 현지 개인정보 보호법이 적용된다. 이 법이 어떻게 집행될 수 있는지에 대한 부분은 완전히 다른 문제이다.

공화국법 제10173호는 개인정보에 대해 수행되는 모든 작업 또는 일련의 작업을 ‘정보 처리’로 정의하고 있다(여기에는 수집, 기록, 정리, 보관, 업데이트, 수정, 검색, 상담, 사용, 통합, 차단, 삭제 또는 파기 등이 포함되나 이에 국한되지 않는다).

“개인정보 관리자”란 개인정보의 수집, 보유, 처리 또는 사용을 통제하는 사람이나 조직(다른 사람이나 조직의 지시에 따라 해당 기능을 수행하는 사람이나 조직, 그리고 개인이나 가족 또는 가정의 일과

관련하여 동일한 기능을 수행하는 개인은 제외한다)을 의미한다. 이에 비하여, ‘개인정보 처리자’란 개인정보 관리자가 개인정보 처리를 위탁할 수 있는 자연인 또는 법인을 의미한다.

공화국법 제10173호에서 제외되는 정보는 다음과 같다.

• 직위 또는 직무와 관련한 현직 또는 전직 공무원에 대한 정보
• 정부 계약에 따라 수행되는 개인의 서비스와 관련한 정보
• 정부가 개인에게 제공하는 임의의 재정적 혜택과 관련한 정보
• 저널리즘, 예술, 문학 또는 연구 목적으로 처리되는 개인 정보
• 공공 기관의 기능 수행에 필요한 정보
• 은행 및 금융 기관이 자금세탁방지법을 준수하는 데 필요한 정보
• 해당 외국 관할권의 법에 따라 외국 관할권 거주자로부터 수집한 개인 정보

공화국법 제10173호는 ‘개인정보’와 ‘민감한 개인정보’를 구분하여 합법적인 처리를 위한 다양한 요건을 규정하고 있다.

• ‘개인정보’란 개인의 신원을 명백히 알 수 있거나 합리적으로/직접적으로 확인할 수 있는 정보 또는 다른 정보와 함께 사용하면 직접적으로/확실하게 개인을 식별할 수 있는 모든 정보를 의미한다.
• ‘민감한 개인정보’란 인종, 결혼 여부, 나이, 피부색, 종교적/철학적/정치적 성향, 건강, 학력, 정부 기관에서 개인에게 고유하게 발급한 법정 소송 관련 정보(예: 주민등록번호, 건강 기록, 면허증, 세금 신고서, 정부 발급 신분증 사본 및/또는 그 번호), 관련 법이나 규정에 의해 특별히 분류된 것으로 확인된 개인 정보를 의미한다.

공화국법 제10173호 및 그 규칙이나 규정에 구체적으로 명시된 조건이 적용되는 경우를 제외하고, 일반적으로 개인정보를 유효하게 처리하기 전에 정보 주체의 동의를 받아야 한다. 이 법은 명시적 동의만 인정하고 묵시적 동의는 인정하지 않는다는 점에 유의해야 한다(이 법에서 동의는 “자유롭게 제공되고 구체적이며 정보에 입각한 의사 표시… [또한] 서면으로, 전자식으로 또는 녹음을 통해 입증되어야 한다”고 정의되어 있다).

공화국법 제10173호는 개인정보에 대한 정보 주체의 권리를 광범위하게 명시하고 있으며, 이는 EU GDPR에서 인정하는 권리와 유사하다. 여기에는 정보 제공, 접근, 이의 제기, 삭제 및 차단, 수정, 불만 제기, 손해 배상, 정보 휴대성 등의 권리가 포함된다.

정보 관리자와 정보 처리자는 이러한 권리를 준수하고 존중해야 한다. 단, 개인정보가 과학 및 통계 연구용이거나, 정보 주체와 관련하여 어떠한 활동도 수행하지 않고 결정을 내리지 않거나 또는 정보 주체의 형사, 행정 또는 조세 책임에 대한 조사를 위해 수집하는 경우는 제외한다.

이 법은 개인정보 보안에 관한 일반적인 원칙과 개인정보 이전에 대한 책임을 명시하고 있다. 정부의 민감한 개인정보 보안에 관한 구체적인 조항과 정보 침해에 관한 조항 및 정보 침해 사례 보고에 관한 기본 지침이 규정되어 있다.

GDPR과 마찬가지로, 현지 개인정보 보호법과 규정은 개인정보 침해 발생 시 개인정보 처리자에게 침해 통지 의무를 부과한다. ‘영향을 받은’ 정보 주체에게 이러한 침해 통지서를 송달하고, NPC에 보고해야 한다. 침해 통지서는 “통지가 필요한 개인정보 침해가 발생하였다는 것을 개인정보 관리자 또는 개인정보 처리자가 인지하거나 이렇게 믿을 만한 합리적인 근거가 있는 경우” 72시간 이내에 NPC에 제출해야 한다.

현지 개인정보 보호 규정에 따라 개인정보보호책임자(DPO)를 지정/임명해야 한다. 모든 DPO가 NPC에 등록해야 하는 것은 아니다. 그러나 다음의 경우에는 NPC에 의무적으로 등록해야 한다.

• 법인이 250명 이상의 직원을 고용하고 있는 경우
• 법인이 최소 1,000명 이상의 민감한 개인정보가 포함된 기록을 “처리”하는 경우
• 법인의 개인정보 처리가 “정보 주체의 권리와 자유에 위험을 초래할 가능성이 있거나” 또는 “임시적이지 않은 것”으로 간주되는 경우

마지막 기준과 관련하여, NPC의 가이드라인에는 처리되는 정보 주체 또는 개인정보의 수(數)/양(量)과 무관하게 의무 등록 요건이 적용되는 것으로 간주하는 부문이 명시되어 있다. 중요 부문의 예를 들면 다음과 같다:

• 정부 기관
• 은행 및 비은행 금융 기관
• 통신 및 인터넷 서비스 제공업체
• BPO(업무처리 아웃소싱) 기업
• 종합대학교, 전문대학교 및 기타 모든 학교 및 교육 기관
• 병원, 클리닉 및 기타 의료 시설
• 보험사 및 보험 중개인
• 다이렉트 마케팅, 네트워킹 및 기타 리워드 카드 및 로열티 프로그램을 제공하는 회사 관련자
• 연구에 종사하는 제약 회사
• 이러한 중요 부문에 포함된 개인정보 관리자를 위해 개인정보를 처리하는 개인정보 처리자

개인정보보호책임자(DPO) 외에도, 특정 형태의 정보 처리 시스템은 NPC에 등록해야 한다. NPC에서 새로운 등록 포털을 출시함에 따라 NPC 등록 요건을 전부 충족하려면 DPO 및 DPS 세부 정보를 모두 제출해야 한다.

마지막으로, 공화국법 제10173호를 위반하면 징역형과 벌금이 부과되는데, 이는 징역형으로 처벌하는 몇 안 되는 개인정보보호법 중 하나이다. 민감한 개인 정보가 관련된 경우에는 한층 ‘엄중한’ 벌금이 부과된다.

최소 100명 이상의 개인정보가 영향을 받은 경우에는 최고 수준의 처벌을 받을 수 있다. NPC를 비롯한 관련 부문에서 징역형을 삭제하는 내용을 담은 공화국법 제10173호 개정안을 제안하는 움직임이 있었지만, 유감스럽게도 코로나19 사태로 인해 보류되었다.

ANGARA ABELLO CONCEPCION REGALA & CRUZ LAW OFFICES (ACCRALAW)

22nd to 26th Floors ACCRALAW Tower, Second Avenue corner
30th Street, Crescent Park West, Bonifacio Global City
Taguig, Metro Manila, Philippines

전화: (632) 88308000

이메일: accra@accralaw.com

www.accralaw.com