아시아 각국의 정보보호법 비교: 태국

0
54

정보 시대에서 정보란 일종의 석유(oil)라 할 수 있다. 사회경제적 및 정치적 여건이 서로 다르고 복잡함에도 불구하고, 많은 아시아 국가들이 개인정보 보호장치를 한층 강화하는 조치를 적극적으로 취하고 있다.

중국

인도

필리핀 제도

태국의 2019년 개인정보보호법(PDPA)은 자연인의 개인정보가 무단으로 또는 불법적으로 수집, 이용 또는 공개되는 것으로부터 보호하기 위해 공포되었다. 이 법은 2019년 5월 27일부터 효력을 발생하였지만 정상적인 시행은 2번이나 연기되었고, 최근에는 2022년 6월 1일까지 연기되었다.

개인정보 관련 기관

PDPA에는 다음과 같은 의무가 있는 개인정보보호위원회(PDPC) 설립을 명시하고 있다.

  • 개인정보 보호에 필요한 조치 또는 절차를 결정한다.
  • 고지 또는 규제 사항을 발표한다.
  • 정보보호 절차와 국외로 이전되는 정보 보호에 필요한 기준을 발표한다.
  • 개인정보를 보호하고 관련 업무를 지원할 수 있는 마스터 플랜을 수립한다.

또한 PDPC는 특정 행위에 대한 검토 또는 이행에 필요한 소위원회를 지정하고, 불만사항에 대해 조사하고 검토하는 전문가 위원회를 설립하여 개인정보와 관련한 분쟁을 해결할 수 있다.

마지막으로, PDPA는 PDPC 사무국 및 감독위원회 설립을 명시하고 있다. 사무국에서는 PDPC, 소위원회 및 감독위원회를 위해 학술적 연구와 행정 업무를 수행한다. 또한, 사무국은 국제 정보 이전에 필요한 정책을 검토하고 확인할 수 있다.

자료 및 지역 범위

PDPA는 태국의 정보 관리자 또는 정보 처리자의 개인정보 수집, 이용 및 공개(이하 총괄하여 정보 처리 행위)를 규제하고 있는데, 이는 정보 처리 행위가 태국 내에서 이루어지는지 여부와 무관하다.

정보 관리자 또는 정보 처리자가 태국 이외의 곳에 있는 경우, PDPA는 이를 태국 내 정보 주체에 대한 정보 처리 행위로 간주한다. 정보 관리자 또는 정보 처리자의 활동에는 (1) 정보 주체가 비용을 지불했는지 여부와 무관하게 태국 내 정보 주체에 대한 상품 또는 서비스 제공 및 (2) 정보 주체의 태국 내 행동에 대한 모니터링이 포함된다.

그러나 다음의 정보에는 PDPA가 적용되지 아니한다.

  • 개인적 이익을 위해 또는 해당인 고유의 가사 활동을 위해 수집된 정보
  • 공공기관의 운영과 관련한 정보
  • 대중매체, 순수예술이나 문학과 관련한 활동을 위해서만 수집한 정보
  • 의회 또는 의회위원회의 의무와 권한에 해당하는 정보
  • 법원의 재판과 판결 및 소송에서 수행되는 공무원의 업무와 관련한 정보
  • 신용회사 및 그 구성원이 수집한 정보

수집, 이용, 공개

Chumpicha Vivitasevi, Weerawong Chinnavat & Partners
Chumpicha Vivitasevi
파트너
방콕 소재 Weerawong Chinnavat & Partners
전화: +66 2264 8000 (ext. 8116)
이메일: chumpicha.v@weerawongcp.com

PDPA는 직접적으로 또는 간접적으로 신원확인이 가능한 사람과 관련한 모든 정보를 개인정보로 정의하고 있으나 사망한 사람에 대한 정보는 제외된다.

개인정보에는 일반적인 개인정보와 민감한 정보가 있다. 일반적인 개인정보는 민감하지 않은 모든 형태의 개인정보로 이루어진다. 민감한 정보에는 PDPC가 사전에 정한 바 대로 인종, 민족적 기원, 정치적 의견, 신흥 종교, 정치적 또는 철학적 믿음, 성적(性的) 행동, 범죄 기록, 장애, 노동조합 정보, 건강 정보, 유전자 정보 및 생체 정보에 관한 개인 정보, 정보 주체에게 영향을 줄 수 있는 기타의 정보가 포함된다.

달리 허용하는 법적 근거가 없는 한, 개인정보를 처리하려면 정보 주체의 명시적 동의가 필요하다. 그러나, 다음의 경우에는 동의 없이 개인정보를 처리할 수 있다. 연구, 국가 이익, 계약, 공익을 위해 또는 공식 승인에 의거하여 수행되는 작업, 정보 관리자의 합법적 이해관계(정보 주체의 권리에 상응하는 합법성), 합법적인 비영리 활동, 공적 정보, 법적 청구 및 법적 의무.

국외 이전

개인정보의 국외 이전은 PDPA에 의거하여 제한된 경우에만 허용되고, 여기에는 다음의 경우가 포함된다. (1) PDPC가 확인한 바 대로 적절한 정보보호 기준이 있는 도착지 국가로 이전되는 경우, (2) PDPC 사무국에서 검토하고 승인한 집단 정보보호 정책에 기반하여 이전하는 경우 및 (3) 일부 수정된 조건에 의거하는 경우(동의를 받고 이전하거나 동의를 받은 경우 포함). 다만, 도착지 국가의 정보보호 기준이 충분하지 않다는 것을 정보 주체에게 알려주어야 한다.

관리자 및 처리자

PDPA는 정보처리 행위에 대해 결정할 권한이 있는 ‘정보 관리자’와 정보 관리의 지시에 따르거나 정보 관리자를 대리하는 정보처리 행위와 관련한 업무를 수행하는 ‘정보 처리자’를 구분하고 있다.

정보 관리자는 보안 조치 및 검증 절차를 엄격하게 실행하고, 위반 사항을 PCPC 사무국에 통지해야 한다. PDPA는 정보 관리자가 개인정보의 무단 또는 불법적인 손상, 접근, 이용, 변경, 수정 또는 공개를 방지할 수 있도록 적절한 조치를 취하도록 요구하고 있다. 정보 관리자는 PDPA 준수를 위해 정보 처리자와 계약서를 체결해야 한다.

정보 처리자는 보안 조치를 담당하고, 위반 사항을 정보 관리자에게 통지하며, 일지를 작성하고 유지해야 한다.

투명성과 책임성

PADA에 의거하는 가장 핵심적인 원칙이 투명성이므로, 정보 관리자는 정보 수집 전에 또는 수집 시점에 다음의 사항을 정보 주체에게 알려주어야 한다.

  • 수집 목적(법적 근거 포함)
  • 정보를 제공하지 아니할 경우의 영향
  • 수집할 정보 및 보관 기간
  • 개인정보가 공개될 수 있는 사람이나 회사의 유형
  • 정보 관리자, 그 대리인 또는 정보보호 담당 공무원(해당하는 경우)의 연락처, 주소 및 담당자
  • 정보 주체의 권리

또한, 정보 주체가 새로운 목적에 대해 통지를 받거나 정보 주체의 사전 동의를 받지 않는 한, 정보처리 작업은 정보 주체에게 이전에 통지한 목적에 따라 진행해야 한다.

또한 PDPA에 의거하는 책임 문제와 관련하여, 정보 관리자는 다음의 사항을 기록하고 정보 주체 및 PDPC 사무국에서 이를 점검할 수 있도록 해야 한다.

  • 수집된 개인정보
  • 수집 목적
  • 정보 관리자 관련 세부 정보
  • 개인정보 보관 기간
  • 개인정보에 접근할 수 있는 권리와 방법
  • 동의 요건이 면제된 개인정보의 이용이나 공개
  • 요청 거부 또는 반대
  • 정보 침해 방지를 위한 적절한 보안 조치에 대한 설명

침해 통지

Thaya Uthayophas, Weerawong Chinnavat & Partners
Thaya Uthayophas
소속 변호사
방콕 소재 Weerawong Chinnavat & Partners
전화: +62 2264 8000 (ext. 8070)
이메일: thaya.u@weerawongcp.com

정보 침해가 정보 주체의 권리와 자유를 훼손할 가능성이 없는 한, PDPA는 정보 관리자가 개인정보 침해를 인지한 후 72시간 이내에 PDPC 사무국에 통지하도록 요구하고 있다. 침해로 인하여 정보 주체의 권리와 자유에 심각한 위험이 발생하는 경우, 정보 관리자는 이를 즉시 통지하고 시정 조치를 취해야 한다.

정보 주체의 권리

정보 주체는 정보 관리자에 대해 주장할 수 있는 권리가 있고, 여기에는 자신의 개인정보에 접근하거나, 그 사본을 확보하거나, 정보를 이동하거나, 정보 처리에 반대하거나, 잊혀지거나, 개인정보의 이용을 제한하거나 자신의 정보를 정확하게 수정하도록 요청할 수 있는 권리가 포함된다.

처벌

PDPA를 준수하지 아니하여 받을 수 있는 처벌에는 형사 처벌, 행정 처벌 및 민사 처벌이 포함된다. 형사 처벌에는 최대 1년의 수감 및/또는 최대 100만 태국 바트($29,250)의 벌금이 포함된다. 회사 책임자의 지시나 과실에 의해 위반하는 경우, 당사자 또한 동일한 처벌을 받을 수 있다. 민사상 책임에는 실제 피해액의 최대 2배에 상당하는 징벌적 피해배상이 포함되고, 민사상 피해배상은 집단 소송을 통해 청구할 수 있다. PDPC는 일반 정보에 대해서는 최대 300만 태국 바트, 민감한 정보에 대해서는 500만 태국 바트까지 과태료를 명령할 수 있다.

하위 규정

3개 그룹의 하위 규정에 대한 공청회가 진행되었고, 이들 모두 현재 다음의 사항과 관련하여 PDPC에서 검토하고 있다.

  • 동의 취득의 기준과 방법
  • 개인정보 처리
  • 민감한 개인정보에 필요한 적절한 정보보호 방법
  • 정보의 국외 이전에 필요한 기준과 보호
  • 활동 기록, 정보 주체의 요청에 필요한 방법, 침해 보고서
  • 정보보호 담당 공무원
  • 외국 대리인 지정
  • 특정 조항 준수에 필요한 업계의 예외 사항
  • 정보 주체의 권리에 관한 의무
  • 정보 처리자의 의무
  • 행동수칙
  • 정보보호 영향 평가 및 자동화된 의사결정
  • 개인정보 보호 기준 및 인증
WCP Logo

WEERAWONG CHINNAVAT & PARTNERS
22/F, Mercury Tower, 540 Ploenchit Road, Lumpini
Pathumwan, Bangkok 10330, Thailand
전화: +662 264 8215
www.weerawongcp.com