태국 개인 정보 보호법

전 세계 각국에서 개인정보의 수집과 처리, 사용에 관한 규제를 강화하고 있습니다. 여러 국가들은 개인정보 보호법에서 국가 안보와 기업의 니즈, 국민의 권리 간에 균형을 맞추는 데 어려움을 겪고 있습니다.

태국은 2019년 5월 28일 ‘2019년 개인정보보호법(PDPA)’을 공표했습니다. 법의 준수에 필요한 준비 기간을 고려하여, 가장 중요한 조항들부터 우선적으로 2020년 5월 27일에 시행될 예정입니다. 우선적 시행 조항은 개인정보 보호 규제, 정보주체의 권리, 소송, 민사 책임, 처벌 등의 내용을 포함합니다.

개인정보보호법에 따른 후속 법안은 현재 준비 중으로, 개인정보 보호 범주, 소송, 행정 책임에 대한 내용을 포함할 것으로 보입니다. 개인정보보호법에 따른 모든 규제 및 공고는 본 법이 발효된 시점으로부터 1년 뒤인 2021년 5월 26일까지 모두 완료되어야 합니다.

개인정보 보호 담당 기구: 개인정보보호법은 ‘개인정보보호위원회’의 설립을 명시하고 있으며, 이는 전문가 위원회와 부위원회로 구성되어야 합니다. 제16조에 따른 개인정보보호위원회의 의무는 개인정보 보호 조치 및 절차 결정, 규제 및 공고 발표, 국외 이전 정보의 보호를 포함한 보호 조치의 적용 범주 발표 및 개인정보를 지원하고 보호하기 위한 기본 계획을 마련하는 것입니다.

또한, 학문 서비스와 개인정보 보호를 담당하는 국가 기관인 ‘개인정보위원회 사무소’를 설립하고, 감독 위원회를 수립할 것입니다.

개인정보보호법의 위반: 개인정보보호법은 개인정보 보호의 위반 시 민사, 형사, 행정적 처벌에 관해 규정하고 있습니다. 민사 책임은 실제 피해액의 2배를 초과하지 않는 선에서의 손해배상 및 징벌적 손해배상을 포함합니다. 형사 책임은 위반 행위의 위중도를 고려하여 최대 6개월의 징역형 및 500,000밧(US$16,000) 또는 양자에 처할 수 있습니다. 행정 책임은 위중도를 고려해, 최대 5백만밧의 행정 벌금형을 포함합니다. 또한, 태국 민사소송법에 의거해 집단 소송이 허용됩니다.

예외 분야 및 기관: 개인정보보호법은 태국의 정보관리자 및 처리자에 의한 개인정보의 수집, 사용 및 공개를 규제합니다. 그러나, 개인의 이익 및 가계, 공공 기관의 운영, 매스미디어 및 예술, 문학 활동 목적으로 수집된 정보, 태국 하원, 상원, 의회 및 의회 위원회 또는 법원의 판결에 따른 권한 및 의무 또는 법적 절차 및 법률 시행을 위한 공무원의 업무에 따른 정보, 신용조회기관에서 수집한 정보, 고인의 정보에는 적용되지 않습니다.

개인정보 형식: 개인정보보호법의 제6조에 따르면, 개인정보는 직·간접적으로 신원확인이 가능한 정보로, 고인의 정보는 제외됩니다.

태국의 개인정보보호법은 개인정보를 ‘일반 개인정보(제 24조)’와 ‘민감한 정보(제26조)’의 2가지 유형으로 구분합니다. 일반 개인정보는 정보주체의 동의를 받아야 수집할 수 있으며, 주소, 전화번호, 신용카드 정보 등을 포함합니다.

국외 적용: 국외 거주자인 정보관리자와 정보처리자가 태국에 있는 정보주체에게 재화나 서비스를 제공하는 경우 개인정보보호법이 적용되며, 대금지불이 정보주체에 의해 이루어졌는지 또는 정보주체의 행동에 대한 모니터링이 태국에서 이루어졌는지는 고려하지 않습니다.

개인정보의 국외 이전: 제28조에 따르면, 정보관리자가 개인정보를 국외로 이전하는 경우, 해당 정보관리자는 개인정보보호위원회가 명시한 정보 이전 규정(미정)을 준수해야 하며, 해당 개인정보를 이전받는 국가 및 국외 사업체가 위원회가 명시한 개인정보 보호 기준(미정)을 충족함을 보장해야 합니다.

개인정보 사용의 범위: 개인정보보호법은 개인정보관리자와 개인정보 처리 서비스 제공자를 구분하며, 의무사항 또한 다릅니다.

제37조는 정보관리자의 의무 사항을 명시하고 있는데, 보안 조치 및 인증 절차 마련, 개인정보의 유출 시 개인정보보호위원회 사무소로의 고지 의무 등을 포함합니다.

제40조는 정보처리자의 의무사항으로, 보안 조치 마련, 개인정보 유출 시 정보관리자에게 보고 의무, 기록 보관 및 유지 의무가 있습니다.

개인정보 처리의 적법한 근거: 제 24조와 27조에 따르면, 정보관리자는 정보주체의 동의 없이 개인정보를 처리할 수 없습니다. 그러나, 연구, 중요 이익, 계약, 공공 업무 및 공공 기관의 권한, 정보관리자의 적법한 이익(단, 정보주체의 권리를 고려해야 함), 법적 의무와 같은 법적 근거가 있는 경우에는 예외로 허용합니다.

개인정보의 적법한 처리 유형: 개인정보보호법은 민감한 개인정보에 더욱 엄격한 규칙을 적용하고 있습니다. 제26조와 27조에 따르면, 민감한 개인정보는 정보주체의 명시적 동의(행동으로 유추되는 동의가 아닌 명백한 동의 의사 표명) 없이는 처리할 수 없습니다. 중요 이익, 적법한 행위, 공시 정보, 법적 소송, 법적 의무와 같이 적법한 근거가 있는 경우에는 예외가 허용됩니다.

미성년자: 민사 및 상사법 제22조~24조에 따라 단독 행위를 할 수 있는 미성년자가 아닌 이상, 미성년자의 개인정보 관련 동의는 개인정보 보호법 제20조에 따라 부모의 동의를 필요로 합니다. 단독 행위를 할 수 있는 미성년자의 경우에도 만 10세 이하라면 부모의 동의가 필요합니다.

고지 의무: 제 23조에 따라 정보관리자는 개인정보의 수집 사전에 다음의 사항에 대해 정보주체에게 고지해야 합니다.

• 개인정보 수집의 목적(예: 활용 및 공개)
• 개인정보 보관 기간
• 정보주체자의 신원(연락처)
• 정보주체가 개인정보를 공개해야 하는 이유
• 개인정보가 공개될 수 있는 수취자의 신원
• 수집되는 정보
• 정보주체의 권리
• 정보를 제공하지 않을 시의 영향

개인정보의 정확성: 제 35조에 따라 정보관리자는 반드시 개인정보의 정확성, 최신성, 완전성을 보장하고, 오해의 여지가 없도록 해야 합니다.

개인정보 보관 및 기간: 제 37조 3항에 따라 정보관리자는 개인정보가 수집 목적과 무관하거나 그 범주를 벗어나는 경우 해당 개인정보의 삭제 및 파기를 위한 검토 시스템을 마련해야 할 의무가 있으나, 개인정보의 보유 기간에 대해 법에서 별도로 명시하고 있지는 않습니다.

변경 불가능의 원칙: 제21조에 따라, 정보주체에게 사전에 고지한 목적과 다른 목적으로 개인정보를 수집, 사용 및 공개하는 행위는 금지되며, 정보주체가 새로운 목적에 대해 고지를 받고 이에 대해 사전에 동의한 경우에만 가능합니다.

보안 의무: 제37조에 따라 정보관리자는 개인정보의 불법적인 정보손실 또는 사용, 변경, 정정, 공개 목적의 비허가 접근을 방지하기 위해 적절한 보안 조치를 제공하고 유지해야 할 의무가 있습니다.

개인정보 유출 고지 의무: 제37조 4항에 따라, 정보관리자는 개인정보의 유출 발견 시점으로부터 72시간 이내에 개인정보보호위원회 사무소에 이를 고지해야 할 의무가 있습니다.

개인정보보호 책임자: 정보관리자 및 처리자는 정보관리자 및 처리자의 행위가 막대한 양(미정)의 개인정보를 다루는 경우, 개인정보보호 책임자(미정)를 선임해야 합니다.

제 42조에 따르면, 개인정보보호 책임자는 정보관리자와 처리자의 개인정보보호법 준수 권고 및 준법 감시 의무가 있으며, 개인정보의 수집, 사용 및 공개와 관련하여 문제 발생 시, 개인정보보호위원회 사무소에 협조해야 할 의무가 있습니다.

기록의 보관: 제 39조는 정보관리자가 다음의 기록을 반드시 보유할 것을 명시하고 있습니다.

(1) 수집된 개인정보, (2) 개인정보의 수집 목적, (3) 정보관리자의 세부 사항, (4) 개인정보의 보관 기간, (5) 개인정보 관련 권리와 행사 방법, (6) 정보주체의 동의 절차가 면제된 개인정보의 사용 및 공개 내용, (7) 정보주체의 요청 거부 및 반대 사례, (8) 개인정보의 유출을 방지하기 위한 적절한 보안 조치에 대한 설명.

열람 권리: 제 30조에 따라 정보주체는 정보관리자의 책임하에 있는 본인의 개인정보를 열람하고 복사본을 요청할 권리를 갖고 있습니다. 해당 요청은 법에서 허용하거나 법적 명령에 따른 경우에만 거부될 수 있습니다.