태국의 개인정보 보호 현황

과거 태국에는 개인정보 보호에 관한 구체적인 법안이 없었다. 특정의 법들은 국가 기관이 소유하거나 통제하는 개인정보 보호에만 적용되었고, 그 외의 개인정보 보호 규정은 일반 법(예: 헌법과 민상법에 명시된 불법 행위와 관련한 법)에 흩어져 있었다.

2019년, 국회 입법부는 태국 최초의 통합 개인정보보호법(PDPA)을 승인했고, 2022년 6월 1일부터 전면 시행되었다. PDPA는 세부 사항, 기준, 절차, 표준 또는 관련 지침에 대한 주요 보호 사항을 규정하고 있는데, 이는 개인정보보호위원회에서 발표했거나 또는 향후 발표할 하위 법령이나 규정에 명시되어 있다.

비즈니스 관행에 미치는 영향

PDPA는 처리되는 개인정보의 규모와 무관하게 개인정보를 수집, 사용, 공개 또는 전송하는 모든 개인/기업에 영향을 준다. 그러나 중소기업이나 자선단체 등 일부 사업체는 특정 기준에 따라 PDPA의 특정 요건에서 면제될 수 있다.

PDPA가 제정된 후 기업들은 개인정보(거래선, 고객, 비즈니스 파트너 및 직원의 개인정보 포함)를 수집, 사용, 공개 또는 전송하는 방식을 변경해야 한다. 이제는 더 이상 개인정보를 영구적으로 보관할 수 없으며, PDPA에 명시된 법적 근거에 기반하여 처리해야 한다. 미(未)준수 시 엄중한 처벌을 받게 되므로 태국의 기업들은 PDPA 시행 이후 개인정보 처리 방식을 적극적으로 수정하여 이를 준수하고 있다.

민사, 행정 및 형사상 처벌 내용은 다음과 같다:

• • 민사 책임: 실제 피해 금액의 최대 2배까지 배상
  • 행정 책임: 최대 5백만 바트($137,700))의 과태료
  • 형사 책임: 6개월~1년 이하의 징역, 50만~100만 바트 이하의 벌금, 또는 (경우에 따라) 두 가지 모두

사업체는 물론, 사업을 지시한 이사, 관리자 또는 권한 위임을 받은 사람 또한 동일한 형사처벌을 받을 수 있다는 점에 유의해야 한다. 따라서 태국에서 개인의 개인정보를 처리하는 모든 사업체는 개인정보를 처리하는 새로운 문화를 만들어 최고 경영진부터 운영 인력에 이르기까지 조직의 모든 구성원이 PDPA를 숙지하고 준수해야 한다.

또한, 개인정보 보호정책과 개인정보 처리의 흐름 및 절차를 마련하거나 재검토하여 PDPA를 준수해야 한다. PDPA를 준수하지 않으면 정보가 유출되어 해당 조직은 PDPA에 의거한 제재를 받을 수 있다.

PDPA 핵심 사항

개인정보란 무엇인가? PDPA는 적용 범위와 대상에 대해 명시하고 있다. 개인정보란 “직접 또는 간접적으로 개인을 식별할 수 있는 개인 관련 모든 정보(사망자의 정보는 포함하지 않음)”를 의미한다. 이러한 정의에 해당하는 모든 정보는 PDPA에 따라 보호된다.

PDPA는 또한 취급 시 특별한 주의가 필요한 정보에 대해서도 정의하고 있다. 이는 실질적으로 “민감한 정보”에 해당하는 것으로 인종, 민족, 정치적 견해, 문화, 종교 또는 철학적 신념, 성적 행동, 범죄 기록, 건강 데이터, 장애, 노동조합 정보, 유전 데이터, 생체 인식 데이터 또는 이와 같은 방식으로 정보 주체에게 영향을 줄 수 있는 모든 개인정보를 의미한다.

PDPA는 자신의 개인정보가 이 법에 의거하여 규제된 방식으로 정보 관리자 및/또는 정보 처리자에 의해 처리된 개인을 보호하는 경우에만 적용된다. 따라서 법인의 데이터는 PDPA에 의해 보호되지 않는다.

관련 당사자. PDPA에 따라 정보 주체, 정보 관리자, 정보 처리자, 정보 보호 책임자, 개인정보 보호위원회 등이 이 법의 적용 대상자 또는 관련 당사자이다.

정보 관리자는 개인정보의 수집, 사용 또는 공개에 관한 결정을 내릴 수 있는 권한과 책임이 있는 개인 또는 법인이다. 정보 처리자는 정보 관리자의 명령에 따라 또는 정보 관리자를 대리하여 개인정보의 수집, 사용 또는 공개와 관련하여 업무를 수행하는 개인 또는 법인을 의미하고, 해당 개인이나 법인은 정보 관리자가 아니어야 한다.

따라서 정보 관리자/정보 처리자는 개인 또는 법인이 될 수 있다. 그러나 정보 관리자는 자신의 재량에 따라 정보 주체의 개인정보를 수집, 사용, 공개 또는 전송하고, 정보 처리자는 정보 관리자를 대리하여 또는 정보 관리자의 명령에 따라 개인정보를 처리한다.

PDPA는 주로 정보 관리자에게 책임과 의무를 부여한다. 정보 관리자의 주요 책임은 다음과 같은 두 가지 범주로 나눌 수 있다:

• • 정보 주체에 대한 책임. 주요 책임에는 개인정보 처리와 관련하여 PDPA에 의거하여 필요한 최소한의 정보를 정보 주체에게 제공하고, 법에 따라 정보 주체의 권리를 인정하는 것이 포함된다.
  • 기업 내 책임. 주요 책임에는 개인정보 폐기 절차, 개인정보 침해 통지, 개인정보 처리 합의서 작성, 처리 활동 기록 보관, 개인정보가 전송되는 국가의 충분한 정보 보호 기준 보장 등의 보안 조치 이행이 포함된다.

PDPA는 정보 처리자에게 더 적은 책임을 부과하지만, 정보 처리자가 정보 관리자의 명령이나 지시를 넘어 개인정보를 처리하는 경우에는 정보 처리자도 정보 관리자와 마찬가지로 이 법에 따라 책임져야 할 수 있다.

정보 관리자 및 정보 처리자 외에 다른 사람을 정보 관리자 또는 정보 처리자로 지정해야 하는 경우도 있는데, 예를 들면 다음과 같다:

• • 정보보호 책임자(DPO). 정보 관리자/정보 처리자에게 조언을 제공하고 정보의 성과를 조사하여 위원회와 협력하고 조율해야 하므로 개인정보 보호와 관련한 지식이나 전문성을 갖추고 있어야 한다.
  • 개인정보가 해외에서 처리되는 경우, 태국 내 대리인.
  • 개인정보를 처리할 때에는 위원회가 PDPA의 준수를 보장하는 규제 기관이 된다.

적용 범위. PDPA는 역내 및 역외 기준을 모두 채택하고 있다. 특정의 예외 사항을 제외하고, 태국 및 해외의 정보 관리자와 정보 처리자 모두 태국 내 정보 주체의 개인정보를 처리하는 경우에는 PDPA의 적용을 받는다.

법적 근거. 동의를 구하는 것이 개인정보 처리의 핵심 원칙이지만, PDPA는 다음과 같은 근거에 따라 개인정보 처리에 대한 예외 사항을 규정하고 있다:

• • 역사적 목적, 연구 또는 통계
  • 중대한 이해관계
  • 법적 의무
  • 계약상 근거
  • 공공의 이익
  • 정당한 이해관계

민감한 정보를 처리하려면 특정의 추가적인 법적 근거가 충족되어야 한다.

정보 주체의 권리. 예외 사항을 제외하고, 정보 주체는 PDPA에 따라 다음과 같은 권리를 누릴 수 있다:

• • 정보를 받을 권리
  • 기록에 접근/열람할 권리
  • 데이터 이동성에 대한 권리
  • 이의를 제기할 권리
  • 삭제할 권리
  • 처리를 제한할 권리
  • 정정할 권리
  • 동의를 철회할 권리
  • 불만을 제기할 권리

위에서 언급한 내용에 기반하여, 처리할 개인정보의 유형과 보유 기간 등 개인정보 처리의 목적과 근거를 정보 주체에게 알리는 것이 중요하다.

개인정보를 공개할 수 있는 경우, 수집된 개인정보가 공개될 수 있는 개인이나 단체의 범주를 정보 주체에게 알려주어야 한다.

마지막으로, 정보 관리자와 그 대리인(해당하는 경우) 또는 정보보호 책임자의 정보 및 연락 채널 세부 사항(정보 주체의 권리 포함)도 알려주어야 한다.

준비 및 이행

아직 규정을 준수하고 있지 않은 경우, 기업은 실제 업무에서 PDPA를 준수하지 않는 부분을 파악할 수 있도록 분석을 시작하고, 각 활동의 개인정보 처리에 대한 법적 근거를 결정해야 한다. 기타 관련 정책 및 기본이 되는 문서를 포함하여 개인정보 처리 방침을 작성하거나 다시 검토해야 한다. 조직 내 모든 관련 인력은 교육을 받아야 하고, 모든 사업 파트너들은 회사의 개인정보 보호 문화가 변하였음을 인정해야 한다.

또한 기업은 개인정보 관리 과정과 IT 보안 조치의 동시 구현에 대해 검토할 수 있다. 보안 조치에는 위원회 고시에 명시된 최소한의 보안 기준이 있어야 하고, 이러한 최소한의 기준은 데이터의 기밀성, 무결성 및 가용성을 주요 개념으로 삼고 있는 국제표준화기구 및 국제전기기술위원회 표준 27001(ISO/IEC 27001)의 개념과 부합해야 한다.

다국적 기업

개인정보 보호규정(GDPR)은 그 시행을 포함하여 PDPA 초안을 작성할 때 지침으로 사용되었지만, 기업은 GDPR을 준수하는 기업들이 모든 부분에 있어서 PDPA를 준수하는 것은 아니라는 점을 명심해야 한다. 또한 기업은 PDPA를 준수할 수 있도록 개인정보 보호 체계를 조직 내에 구현해야 한다. 자회사 간의 개인정보 전송도 PDPA의 요건과 제한 사항을 따라야 한다.