아시아 국가별 개인정보 보호법 비교

전 세계 각국에서 개인정보의 수집과 처리, 사용에 관한 규제를 강화하고 있습니다. 여러 국가들은 개인정보 보호법에서 국가 안보와 기업의 니즈, 국민의 권리 간에 균형을 맞추는 데 어려움을 겪고 있습니다.

항해

---

인도

필리핀

대만

태국

인도

지난 3~4년간 전 세계 각국에서는 국민의 개인정보 보호를 위한 규제를 도입했습니다. 그러나 인도에는 아직 개인정보를 위한 통합적인 법이 존재하지 않으며, 이와 관련된 사안은 2000년에 발효된 ‘IT법’과 관련 법규에 의존하고 있습니다. 통합적인 개인정보 보호법을 추진하고자 하는 시도가 몇 차례 있었으나, 안타깝게도 별다른 실효를 거두지 못했습니다.

EU의 ‘일반개인정보보호법(GDPR)’ 제정을 시작으로, 여러 국가에서 비슷한 수준의 개인정보 보호법이 도입되고 개인정보 보호에 대한 인식이 높아졌습니다. 또한, 최근 몇 년 여러 국가에서는 기업들이 개인정보를 유출해온 것이 드러나 비난을 받고, 개인정보 보호 규제를 시행해야 한다는 대한 목소리가 높아지고 있습니다. 인도에서는 최근 대법원이 ‘KS 푸타스와미 외 대 인도 정부 사건(KS Puttaswamy and Anr v Union of India and Ors)’에서 인도 헌법 제21장에 의거해 프라이버시를 개인의 권리로 인정한 것이 계기가 되어, 인도 국회에서도 개인정보와 정보주체의 권리 보호를 위해 EU의 GDPR과 같은 법적 장치의 필요성을 인식하게 되었습니다.

2017년 7월, 인도의 전자통신기술부는 BN 스리크리슈냐 판사와 9명의 전문가로 구성된 위원회를 발족했고, 위원회에서는 2018년 7월 27일 보고서와 함께 ‘2018년 개인정보 보호 법안(PDP)’의 초안을 수립했습니다. 이후 미미한 수정을 거쳐, ‘2019년 개인정보 보호 법안(PDP)’이라는 이름으로 인도 국회 하원에 상정되어, 국회의 담당 위원회에 회부되었습니다. 해당 법안이 하원과 상원 모두를 통과해 전면 발효되기까지는 IT법과 관련 법규가 인도의 개인정보 보호 관련 사안을 규제합니다.

현행법

위에서 언급한 바와 같이, 개인정보 보호 법안의 발효 전까지는 IT법과 2011년에 제정된 ‘IT 규칙(합리적인 보안 관행 및 절차와 민감한 개인정보 및 정보)’이 인도의 개인정보 보호 관련 문제를 규제합니다.

IT법은 인도 전역에 적용되며, 국외 거주자에 의한 모든 위법 및 위반 행위에도 적용됩니다. IT 규칙은 인도에 소재한 법인과 개인에게만 적용되어, 국외 정보주체의 개인정보를 인도에서 처리하는 경우에는 적용되지 않습니다. 또한, 일부 조항은 기업 간에는 적용되지 않고, 기업의 개인정보 수집에만 적용됩니다.

IT 규칙에 따른 주요 법적 의무는 ‘민감한 개인정보’라고 정의된 정보의 보호와 관련된 것입니다. 민감한 개인정보는 (ㄱ) 비밀번호, (ㄴ) 은행 계좌 및 신용카드, 체크카드 및 기타 결제 수단 정보와 관련된 금융 정보, (ㄷ) 신체, 심리 및 정신적 건강 상태에 관한 정보, (ㄹ) 성적 성향, (ㅁ) 의료 기록 및 병력, (ㅂ) 생체 정보, (ㅅ) 서비스 제공을 위해 해당 조항에 따라 법인이 수집한 정보 및 적법한 계약을 통해 저장 및 처리한 정보를 포함합니다.

IT 규칙은 또한 개인정보의 제3자 공개 및 다른 사업체로의 이전도 규제합니다.

개인정보 보호 법안

개인정보 보호 법안은 주 정부, 인도 법인, 인도 시민 및 인도 회사법에 의해 설립된 법인의 개인정보 처리에 모두 적용됩니다. 또한, 제 2조는 개인정보의 처리가 인도 내 정보주체에게 사업 및 서비스 등을 제공하는 것과 관련이 있는 경우, 정보 신탁 업무 및 정보 처리 사업자의 개인정보 처리에도 적용됩니다.

그러나, 익명화된 정보의 처리에는 일반적으로 적용되지 않으며, 정부에 공유되어야 하는 익명 정보에 대해서만 별도의 예외를 허용하고 있습니다.

개인정보 보호 법안은 ‘정보주체’와 ‘정보수탁자’를 구분합니다. 정보가 수집된 자연인은 ‘정보주체’로 정의되며, 해당 정보의 목적과 처리 수단을 결정하는 취급자는 ‘정보수탁자’로 정의됩니다.

정보수탁자는 주 정부, 법인 및 개인을 포함하며, 수탁자를 대신하여 정보를 처리하는 사업체는 ‘정보처리자’로 정의됩니다. ‘정보의 처리’는 광의로 정의되어, 개인정보에 대한 일련의 업무 수행 행위를 모두 포함합니다. 개인정보 보호 법안은 또한 정보수탁자인 ‘동의관리자’의 개념을 도입하여, 정보주체가 간편성, 투명성, 상호운용성이 보장된 플랫폼을 통해 본인의 개인 정보 처리에 관해 동의 검토, 관리, 철회를 할 수 있도록 지원합니다.

제 4조에 따르면, 개인정보는 명확성, 구체성, 적법성을 충족하는 목적에 기반해서만 처리될 수 있습니다. 개인정보를 처리하는 모든 개인은 정보주체의 개인정보를 존중하고, 공정하고 합리적인 방법으로 개인정보를 처리해야 할 책임이 있습니다.

또한, 해당 법안에 따라 정보주체의 동의가 필요하지 않은 경우를 제외한 모든 정보의 처리는 정보주체의 동의를 먼저 획득할 것을 명시하고 있습니다. 법에 의한 주 정부의 업무 수행, 인도 법원의 명령 및 판결에 따른 행위, 정보주체 및 기타 개인의 생명 위협 또는 건강의 막대한 위협으로 인한 의료적 긴급 상황, 전염병, 질병의 유행 및 공공 보건의 위협으로 인해 개인에게 의료 치료 및 보건 서비스를 제공해야 하는 경우, 재난 및 공공질서의 붕괴로 인해 개인의 안전을 보장하고 지원을 제공해야 하는 경우에는 정보주체의 동의 없이 개인정보의 처리가 가능합니다. 그러나 다른 국가들과는 달리, 본 법안은 적법한 계약에 따른 의무 수행을 위한 개인정보의 처리를 허용하지 않습니다.

2018년 개인정보 보호 법안은 모든 정보수탁자가 정보주체의 개인정보에 대해 최소 1개의 적절한 복사본을 인도에 위치한 서버 및 정보 센터에 저장해야 할 책임이 있음을 명시하고 있으나, 2019년 개정안에서는 이와 같은 ‘정보의 현지화’에 대한 의무 사항이 없어졌습니다. 민감한 정보의 경우에는 인도에 저장해야 할 의무가 있으나, 정보의 처리를 위해 인도 외로의 이전이 가능합니다. ‘적절한 복사본’이라는 애매모호한 용어 또한 개정안에서는 삭제되었습니다. 또한, ‘핵심 개인정보’로 분류된 개인정보의 경우 인도 국내 처리만 가능하다고 명시했으며, 핵심 개인정보의 국외 처리에 관한 예외 사항 또한 구체화하였습니다.

개정안은 또한 정보수탁자의 범주에 ‘소셜미디어 중개자’라는 새로운 항목을 추가했습니다. 이는 이용자가 정보를 제작, 수정, 업로드, 공유, 배포 및 열람할 수 있는 서비스를 제공하는 사업체를 의미합니다. 검색 엔진, 전자 상거래 사업자, 인터넷 서비스 사업자, 이메일 및 클라우드 서비스, 온라인 백과사전 서비스 사업자 등은 제외됩니다. 특정 규모 이상의 이용자를 보유하여 사업 행위가 선거 민주주의 및 인도의 국가 안보, 공공질서, 주권, 투명성 등에 영향을 미칠 가능성이 높은 소셜미디어 중개자의 경우, 인도 정부에서는 해당 사업체를 ‘핵심 정보수탁자’로 분류 및 통보합니다.

특수 목적에 따른 정보 처리의 예외 또한 규정되었습니다. 개인정보가 국가 안보 또는 법의 위반 행위에 대한 예방, 발견, 조사 및 처벌을 위해 처리된 경우와 법적 소송, 연구, 아카이빙 및 통계, 언론과 자국의 목적을 위해 처리된 경우에는 예외로 간주합니다.

개정안은 현재 의회 상정을 앞두고 상임 위원회에 계류 중으로 추가 개정이 이루어질 수도 있어, 인도에 통합적인 개인정보 보호법이 시행되기까지는 상당한 시간이 걸릴 것으로 보입니다. 그전까지는 종래와 마찬가지로 IT법과 2011년 시행 규칙이 주요 규제로 작용할 것입니다.

Legasis Partners
12A/09 13/F
Parinee Crescenzo,
G-Block BKC,
Bandra East, Mumbai 400051,
T: +91 22 3354 4000
E: mumbai@legasispartners.com
www.legasispartners.com

필리핀

2012년 필리핀은 공공 및 민간 IT 부문에서 개인정보를 보호하고자 ‘개인정보법(공공법 제10173호)’을 통과시켰습니다. 이에 따라 ‘국가 개인정보위원회(npc)’가 발족하였으며, 개인정보법의 집행과 시행 규칙 수립, 자문 등 준사법적인 권한을 부여했습니다.

2016년 9월 9일에는 시행 규칙 및 규제(IRR)가 공표되었습니다. 개인정보법의 제정 목적은 필리핀의 개인정보 보호 수준을 높이고, 국제 수준을 준수하기 위함입니다.

적용: 개인정보법은 ‘공공 사안’으로 간주하는 경우를 제외한 모든 개인정보의 처리에 적용되며, 국내(일부의 경우 국외도 포함) 개인정보의 처리에 관련된 모든 자연인과 법인을 대상으로 합니다. 해당 법의 국외 적용에 기반해, 개인정보위원회는 2018년 4월 약 120만 명에 달하는 필리핀 국민의 개인정보를 허가 없이 공유한 캠브리지 애널리티카 사건을 직접 조사한 바 있습니다.

일반적으로 개인정보가 공시된 경우 개인정보법이 적용되지 않는다고 생각하는데, 개인정보위원회는 “정보주체가 개인정보를 공개적으로 열람이 가능한 플랫폼에 제공했을지라도, 이것이 어떠한 목적으로든 자신의 정보를 사용할 수 있다는 포괄적인 동의를 의미하는 것은 아니다”라고 명확히 입장을 밝힌 바 있습니다. 이는 소셜미디어의 시대를 맞아 공공과 개인의 영역이 불분명해지는 와중에 개인정보의 범위를 신중하게 인식한 것으로, 매우 유의미한 행보라 할 수 있습니다.

규제 원칙: 개인정보법은 이전에 도입된 국제 개인정보 보호 프레임워크에 기반한 원칙을 채택했으며, 특히 투명성, 적법한 목적, 비례의 원칙을 적용했습니다. 개인정보관리자(PIC)의 적법한 이익과 같이 법의 목표에 합치하며 최소 1개의 적법한 근거가 있는 경우, 일반적으로 개인정보의 처리가 허용됩니다.

이에 따라 개인정보위원회는 개인정보관리자의 적법한 이익이 다음의 3단계 검사를 반드시 통과해야 한다고 명시했습니다.

(1) 목적 검사: 해당 정보 처리를 통해 얻고자 하는 바를 정의하고, 적법한 이익의 실존 여부가 명확히 수립되어야 함.

(2) 필요성 검사: 개인정보관리자나 개인정보를 처리하는 제3자가 추구하는 적법한 이익의 목적을 달성하는 데 있어, 개인정보의 처리가 아닌 다른 도구에 의해서는 합리적으로 수행이 불가능하며 이에 따라 개인정보의 처리가 꼭 필요함을 증명해야 함.

(3) 균형 검사: 개인정보관리자와 제3자의 적법한 이익 목적은 정보주체의 기본권과 자유권에 우선할 수 없으며, 정보주체에 미칠 수 있는 영향을 고려해야 함.

이와 반대로, 민감한 개인정보의 처리는 적법한 근거(예: 정보주체의 동의 및 법적/물리적 필요성)가 있는 경우를 제외하고는 일반적으로 금지됩니다.

정보주체의 권리: 정보주체의 권리는 다음과 같이 명시되었습니다.

() 고지받을 권리(특히 자동화 의사 결정 및 프로파일링의 여부), (2) 열람할 권리, (3) (직접 마케팅, 자동화 처리, 프로파일링 등의 목적으로 개인정보를 처리하는 것에 대해) 반대할 권리, (4) 특정 이유를 근거로 개인정보관리자의 시스템으로부터 본인의 개인정보를 삭제 및 차단할 권리, (5) 손해배상 청구 권리, (6) 소각 및 시한의 요청에 따라 소송을 제기할 권리, (7) 수정할 권리, (8) 개인정보 이동의 권리.

법적 의무: 시행 규칙에 따라, 개인정보관리자와 개인정보처리자(PIP)는 다음의 경우 개인정보위원회에 정보 처리 시스템을 등록해야 합니다.

(1) 최소 1,000명의 민감한 개인정보를 처리하는 경우, (2) 개인정보관리자 및 처리자의 고용인이 최소 250명인 경우, (3) 고용인이 250명 이하이나, 개인정보의 처리가 단발적이지 않은 경우, (4) 고용인이 250명 이하이나, 개인정보의 처리가 정보주체의 권리와 자유에 위협을 가할 수 있는 경우.

시행 규칙은 개인정보의 보호를 위해 다음의 보안 조치를 의무로 규정하고 있습니다.

• 개인정보 보호 및 보안 관련법과 규제의 준수를 담당하는 개인정보 보호 및 준수 책임자 임명.
• 조직 차원에서 적절한 개인정보 보호 정책과 물리적, 기술적 보안 조치 도입.
• 개인정보 처리 시스템의 기록 보관 및 개인정보에 접근 가능한 취급자의 의무와 책임 명시
• 개인정보에 접근할 수 있는 고용인, 중개인, 대리자의 지명 및 연수, 감독.
• 개인정보의 수집과 처리에 관한 정책 및 절차 수립 및 시행, 검토. 이에 따라 정보주체는 개인정보법에 따른 정보주체의 권리를 행사할 수 있으며, 정보관리자의 보안 및 기술적 문제, 개인정보 보관 명세, 시스템 모니터링, 프로토콜 정보를 열람할 수 있어야 함.
• 적절한 계약을 통해 개인정보처리자가 관련법과 시행 규칙에서 의무로 규정하는 보안 조치를 시행하도록 보장.
• 가능한 경우 시행 규칙에서 명시한 물리적 보안 가이드라인 준수.
• 개인정보의 처리, 컴퓨터 네트워크 방화벽, 보안 정책의 효율성에 대한 주기적 평가. 개인정보 암호화에 대한 보안 정책을 포함하나 이에 제한되지 않은 기술적 보안 장치의 채택 및 수립.

또한, 개인정보 관리자와 처리자는 개인정보위원회에 보안 및 개인정보 유출 사건을 보고해야 합니다. 정보 유출 발생 시, 담당 개인정보 관리자와 처리자는 발견 시점으로부터 72시간 이내에 개인정보위원회와 피해를 본 정보주체에게 이를 고지해야 할 의무가 있습니다.

준수 의무 사항

개인정보법의 준수를 위해, 개인정보위원회는 ‘5대 준수 요소’라는 5단계 가이드라인을 수립했습니다. 본 가이드라인은 개인정보법 및 개인정보위원회의 규정에 따른 주요 의무 사항을 요약한 것으로, 체크리스트로 활용할 수 있습니다.

-개인정보 보호책임자(DPO) 임명: 개인정보 보호책임자의 임명은 법적 의무이며, 조직의 준수 노력의 증거로 간주됩니다. 개인정보 보호책임자는 준법 감시 및 관리를 책임집니다. 주요 의무는 해당 조직의 개인정보 보호 프로그램 및 시행을 관리·감독하는 것으로, 개인정보 보호 정책의 수립, 리스크 평가 실시, 개인정보 유출의 관리를 포함합니다. 또한 개인정보위원회와 정보주체와의 주 연락 담당자입니다. 개인정보 보호책임자는 독립성을 보장하고, 개인정보 보호에 대한 전문 지식이 있으며, 해당 조직의 정보 처리 시스템에 대해 이해할 수 있어야 합니다.

-개인정보 영향 평가(PIA) 실시: 개인정보 영향 평가는 개인정보의 처리로 인해 발생할 수 있는 잠재 개인정보 리스크를 규명하고 평가하는 과정을 의미합니다. 이상적으로는 개인정보와 관련된 모든 프로젝트와 프로그램 및 업무 활동에 실시되어야 합니다. 본 평가는 특히, (1) 조직의 개인정보 흐름과 처리 활동에 대한 시스템적 설명, (2) 개인정보 원칙의 준수 및 보안 정책의 시행 평가, (3) 수반 리스크의 규명 및 평가, (4) 리스크 관리 조치 제안을 포함해야 합니다.

-개인정보 관리 프로그램(PMP) 수립: 개인정보 관리 프로그램은 조직의 모든 프로그램, 업무 활동, 서비스 및 계획에 개인정보와 정보 보호 조치가 통합될 수 있도록 보장하는 총체적 접근을 의미합니다. 이는 정보주체의 개인정보를 보호하기 위한 조직의 약속, 개인정보의 처리 및 관리에 대한 조직의 관행 및 절차에 대한 상세 설명을 포함합니다. 법적 의무사항 준수를 위해 자체적인 개인정보 정책, 절차 및 프로토콜을 수립하고 시행해야 합니다.

–개인정보 및 데이터 보호 장치 시행: 개인정보 관리 프로그램에서 명시된 정책 및 조치는 반드시 시행되어야 합니다. 이를 위해 조직 차원에서의 약속 뿐만 아니라, 아래 사항에 대한 프로그램의 제어 장치가 조직의 일상 업무에 통합되어야 합니다.

(1) 개인정보 처리 기록, (2) 리스크 평가 도구, (3) 등록, (4) 정책 및 조치, (5) 개인정보 보안, (6) 역량 강화, (7) 개인정보 보호 위반 관리, (8) 고지, (9) 제3자 관리, (10) 소통.

또한, 정기적으로 프로그램 제어 장치의 유효성에 대해 평가해야 합니다.

-개인정보 유출 관리: 개인정보 유출 시, 해당 조직은 민첩하고 효율적으로 대응해야 하며, 이에 대비한 정보 유출 관리 절차를 사전에 수립해야 합니다. 이는 유출 예방, 유출 대응, 조사, 유출로 인한 영향 완화, 고지 의무 준수, 재발 방지를 포함해야 합니다. 정보 유출 관리에 대한 법적 의무는 명확히 정의되고 시행되어야 하며, 정보 유출로 얻은 교훈이 추후 조직의 절차 및 관행에 통합되어야 합니다.

DivinaLaw
8/F Pacific Star Bldg
Sen Gil Puyat Ave.
cor Makati Ave.,
Makati City Philippines
T: +632 8822 0808
E: info@divinalaw.com
www.divinalaw.com

---

대만

대만의 데이터 프라이버시 관련 주요법은 ‘개인정보보호법(PDPA)’으로, 2015년 12월 개정 후 2016년 3월 15일 전면 시행되었습니다. 본 개정법은 대만에서의 모든 개인정보의 수집, 처리 및 사용을 규제하며, 관련 규제 기관에서는 부속 시행 규칙 및 규제를 제정했습니다.

대만의 개인정보보호법은 정부와 비정부 기관을 구분합니다. 개인정보의 수집, 처리, 사용에 관해, 정보관리자인(법령 자체에서 ‘관리자’라는 용어를 사용하고 있지는 않음) 정부와 비정부 기관에는 상이한 규칙이 적용됩니다. 비정부 기관은 대만 정부 기관이 아닌 개인 및 법인을 의미합니다. 외국 개인 및 법인이 대만 국민의 개인정보를 수집, 처리 및 사용하는 경우에도 본 법의 적용을 받습니다.

현재 대만 개인정보보호법 산하의 독립적인 규제 감독 기관은 없습니다. 2018년 7월 25일까지는 대만 법무부가 개인정보보호법의 해석에 있어 주무 기관의 역할을 했으나, 현재는 국가발전위원회(NDC)가 이를 관장하고 있습니다. 또한, 산업 부문별 담당 부처에서 각 산업의 정보관리자에 적용되는 규칙 및 규제를 제정할 수도 있습니다.

개인정보 및 민감한 정보

개인정보보호법에 따르면, 개인정보는 ‘자연인의 성명, 생년월일, 주민등록번호, 여권번호, 외모, 지문, 결혼 여부, 가족 정보, 학력, 직업, 병력, 의료 정보, 유전자 정보, 성생활에 대한 정보, 신체검사 기록, 범죄 기록, 연락처, 재정 상태, 사교 활동에 관련된 정보 및 직·간접적으로 해당 자연인의 신원을 식별할 수 있는 모든 정보’를 포함합니다.

자연인의 병력, 의료 및 유전자, 성생활, 신체검사, 범죄 관련 기록과 같은 민감한 개인정보의 수집, 처리 및 사용은 보다 더 높은 기준(아래 참조)이 적용됩니다. 그러나, 민감한 정보에 관해 별도의 규칙이 제정되지는 않았습니다.

개인정보의 수집, 처리 및 사용 요건: 본 기고의 목적을 고려하여 비정부 기관의 관련 요건만 다루도록 하겠습니다. 비정부 기관은 개인정보의 수집, 처리, 사용 시 아래의 요건을 충족해야 합니다.

(1) 정보주체에게 다음의 정보를 고지.

(ㄱ) 정보 수집/처리/사용 담당자 성명, (ㄴ) 정보 수집/처리/사용의 목적, (ㄷ) 수집/처리/사용된 개인정보의 종류, (ㄹ) 개인정보의 사용 기간, 영역, 타겟 및 사용 방법, (ㅁ) 개인정보 보호법 제3장에 따른 정보주체의 권리(아래 참조)와 이를 어떻게 행사할 수 있으며, 정보주체가 개인정보를 제공하지 않고자 할 때 정보주체의 권리와 이해에 어떠한 영향이 있는지.

(2) 개인정보의 수집/처리 시, 다음의 적법한 근거 중 최소 1개를 충족.

(ㄱ) 개인정보의 수집/처리가 법에 의해 특별히 허가된 경우, (ㄴ) 정보주체의 동의를 얻은 경우, (ㄷ) 정보주체의 개인정보를 정보주체가 공공에 이미 공개하거나, 적법한 방식으로 이미 공개된 경우, (ㄹ) 정보주체와의 계약적 또는 준계약적 관계를 통해 적절한 보안 조치가 채택된 경우, (ㅁ) 학문 연구 기관이 공익 증진 목적의 학문 연구 및 통계 수집을 위해 개인정보의 수집과 처리가 필요한 경우. 단, 정보주체의 신원을 식별할 수 있는 정보는 모두 삭제되어야 함, (ㅂ) 공익 증진을 위해 수집/처리가 필요한 경우, (ㅅ) 일반적으로 열람 가능한 출처를 통해 개인정보가 수집된 경우, 또는 (ㅇ) 정보의 수집/처리가 정보주체에게 아무런 손해를 입히지 않는 경우.

(3) 개인정보는 반드시 기존 수집 목적의 범위 내에서만 사용. 다음의 경우는 예외로 함.

(ㄱ) 법의 특정 조항의 시행을 위해 추가적인 사용이 필요한 경우, (ㄴ) 공익 증진을 위해 필요한 경우, (ㄷ) 정보주체의 생명, 신체, 자유 및 재산에 대한 리스크를 방지하기 위한 경우, (ㄹ) 제3자의 권리 또는 이익에 물리적인 피해를 방지하기 위한 경우, (ㅁ) 학문 연구 기관이 공익 증진 목적의 학문 연구 및 통계 수집을 위해 개인정보의 수집과 처리가 필요한 경우. 단, 정보주체의 신원을 식별할 수 있는 정보는 모두 삭제되어야 함, (ㅂ) 정보주체의 동의를 얻은 경우, (ㅅ) 추가적인 사용이 정보주체의 이익을 증진하는 경우.

민감한 정보의 수집, 처리, 사용 요건: 민감한 정보는 일반적으로 수집, 처리, 사용이 불가하나, 다음의 경우는 예외로 허용됩니다.

• 법에서 특별히 허용하는 경우
• 정부의 법적 의무 또는 비정부 기관의 법적 의무 수행을 위해 필요한 경우. 단, 민감한 정보의 수집, 처리, 사용에 앞서 적절한 보안 조치가 마련되어야 함.
• 정보주체의 개인정보가 정보주체에 의한 공개 또는 적법한 방법을 통해 이미 공시된 경우.
• 의료 치료, 공공 보건, 범죄 방지를 위한 목적으로 정부 기관 및 학문 연구 기관에서 통계 및 기타 학문 연구를 위해 필요한 경우. 단, 정보주체의 신원을 식별할 수 있는 모든 정보는 삭제되어야 함.
• 정부의 법적 의무 또는 비정부 기관의 법적 의무 수행 지원을 위해 필요한 경우. 단, 민감한 정보의 수집, 처리, 사용에 앞서 적절한 보안 조치가 마련되어야 함.
• 특정 목적의 수행을 위해 필요한 범위를 초과하지 않는 선 또는 기타 법령에 의해 제한이 없는 경우에 한해, 정보주체가 서면으로 동의한 경우. 단, 이러한 동의는 정보주체의 자유 의지에 반할 수 없음.

정보주체의 권리

개인정보 보호법 제 3장에 따라, 정보주체는 다음의 권리를 보유하며, 계약을 통한 사전 포기 및 제한이 불가합니다.

(1) 본인 개인정보에 관해 문의 및 검토할 권리

(2) 본인 개인정보의 복사본을 가질 권리

(3) 본인 개인정보를 보충 및 정정할 권리

(4) 본인 개인정보의 수집, 처리 및 사용을 중단할 권리

(5) 본인 개인정보를 삭제할 권리

개인정보의 국외 이전

개인정보 보호법 제21장에 따라, 주무 기관은 다음의 경우 개인정보의 국외 이전을 금지하고 제한할 권리를 지닙니다.

(1) 주요 국가 이해가 관련된 경우, (2) 국제 조약 및 협약이 국외 이전을 금지 및 제한하는 경우, (3) 개인정보가 이전되는 국가에 개인정보 보호에 관한 적절한 법이 마련되지 않아 정보주체의 이익에 영향 및 피해를 줄 수 있는 경우, (4) 제3국으로의 개인정보 이전이 대만 개인정보보호법에 따른 규제를 우회하기 위한 경우.

즉, 개인정보의 국외 이전은 일반적으로 허용되나, 주무 기관에서 상황에 따라 국외 이전을 금지 또는 제한할 수 있습니다. 또한, 산업 부문별 주무 기관이 해당 산업 부문의 정보관리자에 의한 개인정보의 국외 이전에 적용되는 규칙 및 규제를 제정할 수도 있습니다. 예를 들어, 대만의 금융 규제 기관에서는 금융 기관이 개인정보의 국외 이전을 포함하는 국외 업무를 수행하는 경우, 특정 요건을 충족해야 하며 당국으로부터 사전 승인을 받아야 할 것을 명시하고 있습니다.

최근 현황

대만 정부는 EU의 GDPR 기준을 준수하여 적절성 결정을 확보하기 위해, 올해 개인정보보호법 개정을 목표로 하고 있습니다. 국가발전위원회는 EU위원회와 개정 범위에 대해 몇 차례 면담을 가진 바 있으며, 개정안은 (ㄱ) 산업별 개인정보 보호 규제의 통합성과 일관성을 위해 독립적인 통합 규제 기관 설립, (ㄴ) 개인정보의 국외 이전 의무 요건 및 제한 추가 등을 포함할 것으로 보입니다.

Lee and Li
8F, No. 555,
Sec 4, Zhongxiao E Rd,
Taipei, Taiwan
Tel: +886 2 2763 8000
Email: attorneys@leeandli.com
www.leeandli.com

---

태국

태국은 2019년 5월 28일 ‘2019년 개인정보보호법(PDPA)’을 공표했습니다. 법의 준수에 필요한 준비 기간을 고려하여, 가장 중요한 조항들부터 우선적으로 2020년 5월 27일에 시행될 예정입니다. 우선적 시행 조항은 개인정보 보호 규제, 정보주체의 권리, 소송, 민사 책임, 처벌 등의 내용을 포함합니다.

개인정보보호법에 따른 후속 법안은 현재 준비 중으로, 개인정보 보호 범주, 소송, 행정 책임에 대한 내용을 포함할 것으로 보입니다. 개인정보보호법에 따른 모든 규제 및 공고는 본 법이 발효된 시점으로부터 1년 뒤인 2021년 5월 26일까지 모두 완료되어야 합니다.

개인정보 보호 담당 기구: 개인정보보호법은 ‘개인정보보호위원회’의 설립을 명시하고 있으며, 이는 전문가 위원회와 부위원회로 구성되어야 합니다. 제16조에 따른 개인정보보호위원회의 의무는 개인정보 보호 조치 및 절차 결정, 규제 및 공고 발표, 국외 이전 정보의 보호를 포함한 보호 조치의 적용 범주 발표 및 개인정보를 지원하고 보호하기 위한 기본 계획을 마련하는 것입니다.

또한, 학문 서비스와 개인정보 보호를 담당하는 국가 기관인 ‘개인정보위원회 사무소’를 설립하고, 감독 위원회를 수립할 것입니다.

개인정보보호법의 위반: 개인정보보호법은 개인정보 보호의 위반 시 민사, 형사, 행정적 처벌에 관해 규정하고 있습니다. 민사 책임은 실제 피해액의 2배를 초과하지 않는 선에서의 손해배상 및 징벌적 손해배상을 포함합니다. 형사 책임은 위반 행위의 위중도를 고려하여 최대 6개월의 징역형 및 500,000밧(US$16,000) 또는 양자에 처할 수 있습니다. 행정 책임은 위중도를 고려해, 최대 5백만밧의 행정 벌금형을 포함합니다. 또한, 태국 민사소송법에 의거해 집단 소송이 허용됩니다.

예외 분야 및 기관: 개인정보보호법은 태국의 정보관리자 및 처리자에 의한 개인정보의 수집, 사용 및 공개를 규제합니다. 그러나, 개인의 이익 및 가계, 공공 기관의 운영, 매스미디어 및 예술, 문학 활동 목적으로 수집된 정보, 태국 하원, 상원, 의회 및 의회 위원회 또는 법원의 판결에 따른 권한 및 의무 또는 법적 절차 및 법률 시행을 위한 공무원의 업무에 따른 정보, 신용조회기관에서 수집한 정보, 고인의 정보에는 적용되지 않습니다.

개인정보 형식: 개인정보보호법의 제6조에 따르면, 개인정보는 직·간접적으로 신원확인이 가능한 정보로, 고인의 정보는 제외됩니다.

태국의 개인정보보호법은 개인정보를 ‘일반 개인정보(제 24조)’와 ‘민감한 정보(제26조)’의 2가지 유형으로 구분합니다. 일반 개인정보는 정보주체의 동의를 받아야 수집할 수 있으며, 주소, 전화번호, 신용카드 정보 등을 포함합니다.

국외 적용: 국외 거주자인 정보관리자와 정보처리자가 태국에 있는 정보주체에게 재화나 서비스를 제공하는 경우 개인정보보호법이 적용되며, 대금지불이 정보주체에 의해 이루어졌는지 또는 정보주체의 행동에 대한 모니터링이 태국에서 이루어졌는지는 고려하지 않습니다.

개인정보의 국외 이전: 제28조에 따르면, 정보관리자가 개인정보를 국외로 이전하는 경우, 해당 정보관리자는 개인정보보호위원회가 명시한 정보 이전 규정(미정)을 준수해야 하며, 해당 개인정보를 이전받는 국가 및 국외 사업체가 위원회가 명시한 개인정보 보호 기준(미정)을 충족함을 보장해야 합니다.

개인정보 사용의 범위: 개인정보보호법은 개인정보관리자와 개인정보 처리 서비스 제공자를 구분하며, 의무사항 또한 다릅니다.

제37조는 정보관리자의 의무 사항을 명시하고 있는데, 보안 조치 및 인증 절차 마련, 개인정보의 유출 시 개인정보보호위원회 사무소로의 고지 의무 등을 포함합니다.

제40조는 정보처리자의 의무사항으로, 보안 조치 마련, 개인정보 유출 시 정보관리자에게 보고 의무, 기록 보관 및 유지 의무가 있습니다.

개인정보 처리의 적법한 근거: 제 24조와 27조에 따르면, 정보관리자는 정보주체의 동의 없이 개인정보를 처리할 수 없습니다. 그러나, 연구, 중요 이익, 계약, 공공 업무 및 공공 기관의 권한, 정보관리자의 적법한 이익(단, 정보주체의 권리를 고려해야 함), 법적 의무와 같은 법적 근거가 있는 경우에는 예외로 허용합니다.

개인정보의 적법한 처리 유형: 개인정보보호법은 민감한 개인정보에 더욱 엄격한 규칙을 적용하고 있습니다. 제26조와 27조에 따르면, 민감한 개인정보는 정보주체의 명시적 동의(행동으로 유추되는 동의가 아닌 명백한 동의 의사 표명) 없이는 처리할 수 없습니다. 중요 이익, 적법한 행위, 공시 정보, 법적 소송, 법적 의무와 같이 적법한 근거가 있는 경우에는 예외가 허용됩니다.

미성년자: 민사 및 상사법 제22조~24조에 따라 단독 행위를 할 수 있는 미성년자가 아닌 이상, 미성년자의 개인정보 관련 동의는 개인정보 보호법 제20조에 따라 부모의 동의를 필요로 합니다. 단독 행위를 할 수 있는 미성년자의 경우에도 만 10세 이하라면 부모의 동의가 필요합니다.

고지 의무: 제 23조에 따라 정보관리자는 개인정보의 수집 사전에 다음의 사항에 대해 정보주체에게 고지해야 합니다.

• 개인정보 수집의 목적(예: 활용 및 공개)
• 개인정보 보관 기간
• 정보주체자의 신원(연락처)
• 정보주체가 개인정보를 공개해야 하는 이유
• 개인정보가 공개될 수 있는 수취자의 신원
• 수집되는 정보
• 정보주체의 권리
• 정보를 제공하지 않을 시의 영향

개인정보의 정확성: 제 35조에 따라 정보관리자는 반드시 개인정보의 정확성, 최신성, 완전성을 보장하고, 오해의 여지가 없도록 해야 합니다.

개인정보 보관 및 기간: 제 37조 3항에 따라 정보관리자는 개인정보가 수집 목적과 무관하거나 그 범주를 벗어나는 경우 해당 개인정보의 삭제 및 파기를 위한 검토 시스템을 마련해야 할 의무가 있으나, 개인정보의 보유 기간에 대해 법에서 별도로 명시하고 있지는 않습니다.

변경 불가능의 원칙: 제21조에 따라, 정보주체에게 사전에 고지한 목적과 다른 목적으로 개인정보를 수집, 사용 및 공개하는 행위는 금지되며, 정보주체가 새로운 목적에 대해 고지를 받고 이에 대해 사전에 동의한 경우에만 가능합니다.

보안 의무: 제37조에 따라 정보관리자는 개인정보의 불법적인 정보손실 또는 사용, 변경, 정정, 공개 목적의 비허가 접근을 방지하기 위해 적절한 보안 조치를 제공하고 유지해야 할 의무가 있습니다.

개인정보 유출 고지 의무: 제37조 4항에 따라, 정보관리자는 개인정보의 유출 발견 시점으로부터 72시간 이내에 개인정보보호위원회 사무소에 이를 고지해야 할 의무가 있습니다.

개인정보보호 책임자: 정보관리자 및 처리자는 정보관리자 및 처리자의 행위가 막대한 양(미정)의 개인정보를 다루는 경우, 개인정보보호 책임자(미정)를 선임해야 합니다.

제 42조에 따르면, 개인정보보호 책임자는 정보관리자와 처리자의 개인정보보호법 준수 권고 및 준법 감시 의무가 있으며, 개인정보의 수집, 사용 및 공개와 관련하여 문제 발생 시, 개인정보보호위원회 사무소에 협조해야 할 의무가 있습니다.

기록의 보관: 제 39조는 정보관리자가 다음의 기록을 반드시 보유할 것을 명시하고 있습니다.

(1) 수집된 개인정보, (2) 개인정보의 수집 목적, (3) 정보관리자의 세부 사항, (4) 개인정보의 보관 기간, (5) 개인정보 관련 권리와 행사 방법, (6) 정보주체의 동의 절차가 면제된 개인정보의 사용 및 공개 내용, (7) 정보주체의 요청 거부 및 반대 사례, (8) 개인정보의 유출을 방지하기 위한 적절한 보안 조치에 대한 설명.

열람 권리: 제 30조에 따라 정보주체는 정보관리자의 책임하에 있는 본인의 개인정보를 열람하고 복사본을 요청할 권리를 갖고 있습니다. 해당 요청은 법에서 허용하거나 법적 명령에 따른 경우에만 거부될 수 있습니다.

Weerawong Chinavat & Partners
22nd Floor, Mercury Tower
540 Ploenchit Road
Lumpini, Pathumwan
Bangkok 10330
T: +662 264 8000
E: info@weerawongcp.com
www.weerawongcp.com