아시아 각국의 정보보호법 비교: 필리핀 제도

0
68

정보 시대에서 정보란 일종의 석유(oil)라 할 수 있다. 사회경제적 및 정치적 여건이 서로 다르고 복잡함에도 불구하고, 많은 아시아 국가들이 개인정보 보호장치를 한층 강화하는 조치를 적극적으로 취하고 있다.

중국

인도

태국

필리핀의 데이터 개인 정보 보호법(DPA)은 모든 유형의 개인 정보 처리 및 개인 정보 관리자나 처리자를 불문하고 이에 관련된 모든 자연인 또는 법인에게 적용됩니다.

이 법은 필리핀에서 발견되거나 설립되지 않았지만 필리핀에 있는 장비를 사용하거나 필리핀에 사무실, 지사 또는 대리인을 유지하는 개인정보 관리자(PIC) 및 처리자(PIP)에 대하여 DPA 제4절에 명시된 예외 하에 역외로 적용됩니다.

개인 정보

개인 정보는 “물질적 형태로 기록되었는지 여부에 관계없이 개인의 신원을 명백히 밝히거나 정보를 보유하는 실체가 합리적이며 직접적으로 개인의 신원을 확인할 수 있거나 다른 정보와 결합할 때 직접 확실히 개인을 식별할 수 있는 정보”를 의미합니다.

이 법은 또한 연령, 민족, 결혼 여부, 피부색, 종교, 철학 및 정치적 소속, 개인의 건강, 교육, 유전적 또는 성 정체성, 실행하였거나 혐의가 있는 범죄, 정부 발급 신분증, 건강 기록 및 세금 보고 등과 같은 민감한 개인 정보와 개인 정보를 구별합니다. 한편, ‘법원 규칙’에 따른 면책 정보, 즉 변호사-의뢰인 관계에서 공개된 정보는 민감한 개인 정보로 취급됩니다.

규율의 원칙

Enrique Dela Cruz, DivinaLaw
Enrique Dela Cruz
시니어 파트너
Makati City 소재 DivinaLaw

법률에서 의도한 바 처리의 개념은 “데이터의 수집, 기록, 정리, 저장, 업데이트나 수정, 인출, 협의, 사용, 통합, 차단, 삭제 또는 파기 등 개인 정보에 대하여 수행되는 모든 작업 또는 일련의 작업”을 의미합니다.

개인정보는 위 법 제11절 및 12절에 따른 요건을 준수하면 처리가 가능합니다. 제11절에 따라 처리는 투명성, 정당한 목적 및 비례의 원칙에 부합해야 합니다. 제12절은 정보주체의 동의, 계약 이행의 필요 또는 법적 의무 준수 등의 조건 중 적어도 하나가 존재하는 경우 처리는 법으로 금지되지 않고 허용된다고 명시하고 있습니다.

민감한 개인 정보의 처리는 일반적으로 금지됩니다. 예외는 다음과 같습니다. 데이터 주체가 동의한 경우, 기존 법률 및 규정에 의해 허용되는 경우, 정보주체가 자신의 동의를 표명할 수 없는 경우, 정보 주체 또는 타인의 생명과 건강을 보호하기 위해 필요한 경우, 공익 단체 및 그들의 협회의 합법적이고 비상업적 목적을 달성하는 데 필요한 경우, 의학적 치료를 위해 필요한 경우, 소송 절차에서 자연인 또는 법인의 합법적인 권리와 이익을 보호하는 데 필요한 경우, 또는 법적 청구권의 확립, 행사 또는 방어를 위한 경우, 또는 정부 또는 공공 기관에 제공되는 경우 등입니다.

마지막으로 2017년 8월에 발행된 ‘국가 프라이버시 위원회(NPC) 자문 의견’은 동의가 주어지는 방식을 명확히 설명하였습니다.

즉, 묵시적이거나 추정된 동의는 유효하지 않음을 강조하였고, “침묵, 사전 체크된 선택박스 또는 소극적 침묵은 동의가 되지 않음”을 명시한 EU의 ‘일반 데이터 보호 규정’의 서문 제32항을 인용했습니다.

데이터 주체의 권리. 데이터 주체는 DPA의 제16절에 따라 다음과 같은 권리를 갖습니다.

  • 자동화된 의사 결정 및 프로파일링의 존재를 포함하여 개인 정보 처리에 대하여 통지받을 권리.
  • 나아가 자신의 개인 정보가 누구에게 판매 또는 공개되는지 및 처리되는 개인 정보의 내용에 대한 정보 주체의 알 권리가 포함됩니다.
  • 접근권.
  • 처리에 반대할 권리.
  • 삭제 또는 차단 권리.
  • 배상 청구 권리.
  • 사전 소진 및 적시성 요건에 의한 제한 하에 불만을 제기할 권리.
  • 교정할 권리.
  • 데이터 이동성에 대한 권리.

데이터 보호 책임자. 개인정보 관리자는 DPA에 따라 규정을 준수할 책임이 있는 데이터 보호 책임자를 지정해야 합니다.

등록. DPA 시행 규칙 및 규정은 다음과 같은 경우 해당 조직에 의한 개인 데이터 처리 시스템 등록을 의무화합니다.

  • 1,000명 이상 개인들의 민감한 개인 정보를 처리하는 경우.
  • 개인정보 관리자 또는 개인정보 처리자가 최소 250명을 고용한 경우.
  • 고용된 인원이 250명 미만이지만 처리가 간헐적이지 않은 경우.
  • 고용된 인원이 250명 미만이지만 정보 처리는 데이터 주체의 권리와 자유에 위험을 초래할 수 있는 경우.

이전. 개인정보 관리자는 제3자에게 이전되는 개인정보에 대해 책임을 집니다.

위반. 개인정보 관리자 또는 개인정보 처리자는 개인 데이터의 침해가 발견된 후 72시간 이내에 NPC 및 영향을 입은 데이터 주체에게 통지해야 합니다.

관련 업데이트

Ian Jerny De Leon, DivinaLaw
Ian Jerny De Leon
주니어 파트너
Makati City 소재 DivinaLaw

다음은 DPA의 최신 앱입니다.

연락처 추적 앱. NPC는 접촉 추적 앱이 “사용자에 의한 디지털 접촉 추적의 선택 및 해제를 허용해야 한다. 앱 사용은 자발적이어야 하며 정보주체는 언제든지 동의를 철회할 수 있어야 한다… 앱에 다른 목적이 존재하는 경우 별도의 동의가 있어야 하며 사용자에게 그 목적을 사전에 설명해야 한다” 라고 명확히 밝혔습니다.

직원 감시. NPC 자문 의견 제2018-084호에 의하면 회사에서 발급한 컴퓨터로 직원 활동을 모니터링하는 것은 DPA 하에서 허용될 수 있습니다. 단, 처리가 법 제12절 및/또는 13절에 따른 개인 데이터의 적법한 처리 기준을 충족해야 합니다.

위 의견은 “비밀감시”는 불쾌감을 주는 행태이며 “고용주는 컴퓨터 모니터링의 구체적인 목적, 범위 및 실제 모니터링 방법, 개인 데이터를 보호하기 위한 보안 조치, 데이터 주체인 직원의 권리가 침해된 경우 시정 절차 등 컴퓨터 모니터링의 작업을 직원들에게 설명할 의무가 있다…. 컴퓨터 모니터링이나 직원 모니터링을 수행하는 모든 고용주는 직접 수집된 데이터가 모니터링의 목적을 충족하고 해당 조직의 필요와 목적에 명확하게 일치하는지 확인해야 한다”라고 하였습니다.

그 이후 NPC 공중 보건 비상 게시판 제14호는 회사에서 지급한 장치에 작업 모니터링 소프트웨어를 설치할 수는 있지만 고용주는 직원에게 그러한 소프트웨어의 존재를 알리고 위험 및 완화 절차를 결정하기 위한 개인 정보 영향 평가를 수행하고 직원들을 모니터링하기 위해 프라이버시를 보다 덜 침해하는 수단을 사용할 의무가 있다고 밝혔습니다.

부연 설명하자면, 모니터링 수단은 의도한 목적에 비례적이어야 합니다. 따라서 직원들에게 근무 시간 동안 비디오 내에 있을 것을 요구하는 것은 과도한 조치로 간주됩니다. 모니터링 수단은 “충분, 적절, 적당, 필요하고, 과도하지 않아야” 합니다.

Terence Mark Arthur Ferrer, DivinaLaw
Terence Mark Arthur Ferrer
선임 준회원
Makati City 소재 DivinaLaw

이러닝. NPC는 교사가 “온라인 수업 중 학생들 사이의 사생활, 형평성 및 특수성을 항상 고려해야 한다”고 권고합니다.

NPC는 온라인 수업에서 웹캠 사용을 선택 사항으로 할 것을 권장하지만 화상 회의가 온라인 시험 감독 혹은 감시 중에 도움이 될 수 있음을 이해합니다. NPC는 교사가 학생과 교육 기관의 이익을 균형 있게 조정하고 언제나 학생의 명시적인 동의를 받아야 한다고 조언합니다.

또한 NPC는 성적 및 과제 결과와 같은 개인 데이터를 공개적으로 게시하지 않도록 교사에게 환기시킵니다. 교사는 개인 데이터가 안전하게 보호되고 개인 계정이나 장치에 저장되도록 관리해야 합니다.

교사는 프로젝트 및 과제 제출의 대체 수단을 허용해야 하며, 웹캠의 비 사용이나 눈 맞춤없는 상황을 억제하거나 학생들에게 웹캠을 켜도록 강요해서는 안 됩니다.

백신 증명서. 사설 시설은 백신 접종 기록을 제시하지 않은 사람의 입장을 거부할 수 있습니다. 사설 시설에 대한 접근은 해당 시설의 소유주가 부과한 동의 및 조건에 따릅니다. 그러나 백신 접종 기록에는 민감한 개인정보가 포함되어 있어 사설 시설이 정보주체에게 이를 공개하도록 강요할 수 없습니다.

일부 관공서에서 기본적인 정부 서비스를 위해 백신 접종 기록을 제출하도록 요구하는 관행은 현시점에서 상당한 논란의 여지가 있습니다. 이것은 결국 시민들이 기본적인 정부 서비스를 이용하기 위해 예방 접종을 받으라는 간접적인 명령입니다. 그러나 Jacobson v Massachusetts 사건에서 미국 대법원은 각 주의 자결권으로 해당 주에서 의무적인 백신법을 제정할 수 있다고 판결했습니다.

감시 광고. NPC는 “공개적으로 접근 가능한 개인 데이터는 아무 규제 없이 어떤 목적으로든 추가로 사용되거나 공개될 수 있다고 생각하는 것은 오해”라고 강조합니다.

NPC는 또한 마케팅 담당자는 공개적으로 이용 가능한 출처로부터 획득한 잠재적 고객의 개인 정보에 대한 개인정보 관리자가 된다고 밝혔습니다. 따라서 마케팅 담당자는 DPA에서 규정된 개인 정보, 민감한 개인 정보 및 면책 정보의 합법적 처리 기준을 따라야 합니다.

DivinaLaw Logo

DIVINALAW
8/F Pacific Star Building
Sen. Gil Puyat Ave. cor. Makati Ave.,
Makati City, Metro Manila – 1200
The Philippines
전화: +632 8822 0808
이메일: info@divinalaw.com

www.divinalaw.com