전문가상담 코닷싱 전문가상담입니다. 목록
법률 | 개인 정보 보호법 (Personal Data Protection Act)
- 분류 법률
- 항목 칼럼
- 작성자 DuaneMorris
- 작성일17-11-24 10:26
- 조회 3,588
- 댓글 0
관련링크
본문
개인정보보호법
(Personal Data Protection Act)
1.0 –개요
2012년 10월 15일, 싱가포르 의회는 PDPA라 지칭되는 개인정보보호법(Personal Data Protection Act)을 통과시켰습니다. 개인정보의 사용, 수집, 공개 및 관리를 규제하기 위해 수립된 PDPA하의 실질조항들은 2014년 1월 2일자로 최초 시행된 광고전화금지(Do-Not Call(DNC) registry)제도를 시작으로 하여, 단계적으로 도입 중입니다. 2014년 7월 2일자로 법안의 나머지 사항들이 시행되면서, 사업체 및 기타 조직의 개인정보처리방식이 전면적으로 변화되고 있습니다.
PDPA가 제시하는 기준은 개인정보를 처리하는 기본적인 기준일 뿐이며, 다수의 기존 개인정보보호법을 대체하는 것이 아닌 보완하는 법이라는 점을 유념하여 주시기 바랍니다. 2014년 7월 2일자로 본 법안이 시행된다 하더라도, 은행법 상의 은행업무기밀유지 조항과 기밀누설에 관한 불법행위법(common law tort)과 같은 법정보호조항은 여전히 효력을 발휘합니다.
2.0 - 개인정보에 관한 정의
• “개인정보”라 함은 진위여부에 관계 없이 신원을 확인할 수 있는 한 개인에 관한 정보를 의미합니다.
o a) 해당 데이터를 사용한 신원확인, 또는
o b) 해당 조직이 보유한 또는 접근할 수 있는 기타 정보를 사용한 신원확인.
PDPA가 정의하는 개인정보라 함은, 정보를 수집하는 조직이 보유한 다른 정보와 함께, 혹은 해당 정보 자체만으로 한 개인의 신원을 확보하기 위해 사용할 수 있는 모든 정보를 의미합니다. 본 법령에서 적용하는 “개인정보”의 개념은 광범위하게 해석됩니다. 개인정보로 간주할 수 있는 정보는 진위여부에 구애 받지 않고, 전자파일 또는 기타 형식이어도 관계가 없습니다.
2.1 – “개인정보”의 판단기준
특정 정보를 개인정보로 판단하는 기준은, 해당 정보가 특정 개인에 관한 정보를 제공해줄 때 입니다. 정보를 수집하는 조직이 기타 가용정보를 통해 해당 정보를 특정 인물과 연관 지어서 해당 인물과 해당 정보 간의 관련성을 파악할 수 있도록 하는 정보가 이 범주에 포함됩니다.
한 개인의 성명 또는 사진은 개인의 신원을 직접적으로 밝히는 정보원임으로, 거의 대부분 개인정보로써 취급됩니다. 개인정보로 간주되는 기타 주요 정보유형으로는 싱가포르 주민등록번호(National Registration Identity Card number), 거주지 주소, 개인용 휴대전화번호 및 개인용 이메일 주소 등이 있습니다.
사례: 티파니 탠(Tiffany Tan)은 25세 싱가포르 국적 여성입니다. 여기에서 “여성”, “싱가포르인” 그리고 “25세”라는 정보는 개인정보로 간주하지 않습니다. 이는 해당 정보만으로는 특정인의 신원을 확인할 수 없기 때문입니다. 그러나, 어떤 사람이 신청서에 해당 여성의 성별, 국적 및 나이 옆에 해당 여성의 성명을 기재한 경우라면, 신원확인을 가능하게 해주는 해당 여성의 성명과 상기의 정보들간의 “연결고리”가 생기기 때문에, 해당 정보 또한 개인정보로 간주합니다. |
2.2 – “신원확인가능 정보”의 판단기준
정보를 수집하는 조직이 특정 정보를 사용하여 불특정 다수로부터 한 개인을 지목할 수 있다면, 해당 정보로써 그 사람의 신원을 확인하는 것이 가능한 것으로 봅니다. 단, 신원확인가능 정보를 이용하여 해당조직이 개인의 성명 또는 얼굴을 반드시 파악할 수 있다고 판단되는 것은 아닙니다. 특정 정보를 신원확인이 가능한 정보로 볼 것인지 그렇지 않을 것인지는 각 상황의 전후 상황에 따라 결정됩니다.
한 개인의 성명 또는 사진은 불특정 다수로부터 한 개인의 신원을 파악하기 위해 일반적으로 사용하는 정보임으로 거의 언제나 “신원확인가능정보”로 간주합니다. 개인정보로 간주하는 기타 주요 정보유형으로는 싱가포르 주민등록번호(National Registration Identity Card number), 거주지 주소, 개인용 휴대전화번호 및 개인용 이메일 주소 등이 있습니다.
사례: 재커리는 Somewhere Road 123번지에 위치한 주택에 홀로 거주하고 있습니다. 해당 주소지에 거주하는 거주민은 이 남성 한 명뿐임으로, 그의 주소는 개인정보로 간주할 수 있습니다. 그렇지만, 만약 재커리라는 인물이 해당 주소지에서 부모님과 아내, 세 명의 자녀, 여자 형제와 함께 살고 있다면, 그의 주소는 한 개인에 국한되어 직접적으로 연관된 정보가 아님으로 개인정보로 간주하지 않습니다. |
2.3 – 예외사항 - 업무용 연락정보
업무용 연락정보는 PDPA 보호조항의 적용대상이 아닙니다. PDPA 에서 규정하는 업무용 연락정보로는 성명, 직책 또는 직함, 사무실 전화번호, 사무실 주소, 업무용 이메일 주소, 또는 오로지 개인적인 용도로써 개인이 제공하는 것이 아닌 개인에 관한 기타 유사 정보 등이 있습니다. 특정 정보를 업무용 연락정보로 볼 것인지 여부는 해당 정보가 제공된 전후상황을 고려하여 결정합니다.
사례: 시몬 송은 본인의 회사를 위한 사무실 공간을 찾고 있었습니다. 그러던 와중 마크라는 중개인을 우연히 만나게 되었고, 그녀의 명함을 건네 주게 됩니다. 명함에 기재되어 있던 연락정보 및 기타 정보는 업무용 연락정보로 간주되며, PDPA상에서 보장하는 보호를 받을 수 없습니다. 같은 날, 시몬은 오랜 친구인 카르멘을 커피숍에서 만났습니다. 시몬은 동일한 명함을 카르멘에게 건네주며 서로 연락하며 지내자고 했습니다. 이는 개인적으로 명함을 건네 준 것이기 때문에, 명함에 기재된 정보는 업무용 연락정보로 간주하지 않게 됩니다. 이러한 경우, PDPA상에서 보장하는 보호를 받을 수 있습니다. |
2.4 –예외사항 - 2014년 7월 2일 이전에 수집한 정보
2014년 7월 2일 이전에 수집한 모든 정보는 PDPA 보호 대상에서 제외합니다. 2014년 7월 2일 이전에 수집한 정보는, PDPA의 효력이 적용되지 않았으므로, 정보를 수집한 조직은 이에 해당하는 정보를 자유로이 사용 그리고/또는 공개할 수 있습니다.
그러나, PDPA에 의거하여 개인정보를 보호받기 원하는 경우에는, 해당개인은 정보를 수집한 조직에게 해당 정보의 사용/공개에 관한 동의서를 철회함을, 또는 해당 정보의 사용/공개에 동의하지 않음을 통지하거나 기타 방법으로 알려주시면 되겠습니다.
3.0 – 누구의 정보를 보호할 것인가?
PDPA는 생존 또는 사망한 자연인 모두의 개인정보를 보호합니다. 법인과 같은 법적 비자연인에 관한 정보는 보호대상에서 제외됩니다.
사망한 지 적어도 10년 이상 된 개인에 관한 정보에는 본 규칙이 적용되지 않습니다. 마찬가지로, 기록시점으로부터 적어도 100년 이상 된 정보 또한 PDPA의 보호대상이 아닙니다.
4.0 - 개인정보의 수집, 사용 및 공개
PDPA에 의거하여 해당조직에게 적용되는 의무사항은 광범위하게 9가지 입니다.
1.동의 – 개인정보를 수집, 사용 또는 공개하고자 하는 조직은 해당 개인으로부터 사전에 동의를 얻어야 합니다. 동의를 얻는 시점에서, 해당 조직은 개인정보를 수집, 사용 또는 공개하는 목적에 대해 해당 개인이 알 수 있도록 해야 합니다. (특정 맥락에 따라 달라지겠지만) opt-out system(정보주체, 즉 개인의 동의를 받지 않고 개인정보를 처리하는 방식. 단, 개인이 거부 의사를 밝힌 경우에는 개인정보를 처리를 바로 중지. 예: 광고를 위한 메일을 보낼 때, 수신자가 발송자에게 수신거부 의사를 밝혀야만 메일발송을 금지하고 수신거부 의사를 밝히기 전에는 모든 수신자에게 메일을 보내는 경우) 하에서 개인정보 제공에 대한opt-out을 체크하지 않은 경우에는, 유효한 동의로 간주하지 않음을 유념하여 주시기 바랍니다. 조직이, 상품 또는 서비스를 제공하는 사전조건을 바탕으로, (상품 또는 서비스를 제공하기 위해) 필요한 정보의 범위를 초과하여 개인정보를 수집, 사용 또는 공개하기 위한 목적으로 개인에게 동의를 요청해서는 안됩니다.
사례: 휘트니스 센터 G에 등록하기 위해 회원카드를 작성하고 있던 대니얼에게 휘트니스 G 대표가 대니얼이 제공한 개인정보는 마케팅 목적으로 사용할 것이라고 알려주고, 대니얼은 이에 동의합니다. 이는 정당하게 대니얼의 동의를 얻은 것입니다. 한편, 인터넷 서비스 제공업체인 XYZNet측에서 대니얼에게 해당회사의 신규 서비스 요금제를 사용하려면 XYZ측이 대니얼의 개인정보를 마케팅 목적으로 사용할 수 있도록 동의해 주어야 한다고 알려주었고, 대니얼은 이에 동의합니다. 그러나, XYZ측이 서비스를 이용하는 사전조건으로써 동의를 구했기 때문에 이렇게 얻은 동의는 사실상 유효하지 않습니다. 마지막으로, 휘트니스 센터 G에서는 홍보목적으로 대니얼의 개인정보를 사용하기로 결정하였습니다. 휘트니스 센터 측은 이를 시행함에 앞서 이와 같이 홍보라는 신규목적으로 대니얼의 개인정보를 사용하여도 되는지 여부에 관해 대니얼의 사전 동의를 얻어야 합니다. 이는 대니얼이 본인의 개인정보를 사용할 수 있다고 사전에 동의한 내용에 이러한 신규 목적이 다뤄지지 않고 있기 때문입니다. |
동의한 것으로 간주함 – 개인이 자발적으로 개인정보 수집을 목적으로 하는 조직에게 정보를 제공하는 경우, 본인에 관한 개인정보 수집에 동의한 것으로 간주합니다. 해당 개인이 해당 정보를 자발적으로 제공하였을 것이라는 합당한 이유가 있을 경우에도 마찬가지로 간주합니다.
사례: 레이첼이 X상점의 계산대 직원에게 블라우스 값을 지불하기 위해 신용카드를 건넵니다. 이 때, 계산대 직원은 신용카드번호와 계산을 처리함에 있어 요구되는 기타 관련 정보 등에 대한 수집, 사용 또는 공개에 대해 레이철에게 동의를 구할 필요가 없습니다. 레이첼이 계산대 직원에게 자발적으로 신용카드(그리고 신용카드에 기재된 정보)를 건넸다는 것 만으로도, 계산을 처리하기 위한 목적으로 X상점이 해당 정보를 수집, 사용 그리고 공개하는 것에 레이첼이 동의했다고 간주하기 때문입니다. 마찬가지로, 레이첼의 거래은행, X상점의 거래은행, 그리고 계산과정에 관여하는 기타 다양한 이해관계자들 또한 레이첼의 신용카드상에 기재된 그녀의 개인정보를 수집, 사용 그리고 공개 하기 위해 레이첼의 허락을 얻을 필요가 없습니다. 레이첼이 계산에 필요한 정보를 자발적으로 제공했다고 가정하는 것이 합당하다면, 레이첼이 이해관계자들의 일련의 활동에 동의한 것으로 간주하기 때문입니다. |
2. 목적 관련 제한사항 – 조직은, 일반적인 상황에서 어느 누구라도 적절하다고 판단할 수 있는 경우에만 개인정보를 수집, 사용 또는 공개할 수 있습니다.
3. 통지 – 앞서 말씀 드린 대로, 한 조직이 개인정보를 수집, 사용 또는 공개하는 시점에서 혹은 그 이전에, 해당 정보를 수집, 사용 또는 공개하는 의도에 관해 해당개인에게 알려주어야 합니다.
4. 접근권 및 정보정정 – 개인의 요청이 있는 경우, 해당 조직은 다음의 의무가 있습니다:
a. 해당 조직이 보유 또는 관리하고 있는 요청자에 관한 모든 개인정보를 제공합니다,
b.요청일로부터 일년 이내에 해당 정보가 어떠한 목적으로 사용 또는 공개되었는지 알려줘야 합니다, 그리고
c.정보를 정정해서는 안 된다는 합당한 근거가 있는 경우를 제외하고, 해당 조직이 보유 또는 관리하고 있는 개인정보 상에서
잘못된 또는 누락된 내용이 있다면 정정해야 합니다.
i. 정정을 하게 되는 경우, 해당 정보가 공개된 모든 대상 조직에게 해당 조직은 정정된 정보를 다시 제공합니다.
ii. 정정을 하지 않는 경우, 해당조직은 정정거부에 관한 주석을 붙이도록 합니다.
사례: 존은 최근에 결혼했습니다. 존은 A회사에게 본인에 관한 개인정보를 업데이트 해 줄 것을 요청하였습니다. 존의 요청사항을 거절할 만한 타당한 사유가 없었기 때문에, 해당 회사는 데이터베이스 상에 저장된 존의 정보를 업데이트 하기로 결정하였습니다. B회사 또한 존으로부터 유사한 요청을 받았습니다. 그러나, 미혼 및 기혼 남성 모두를 겨냥하는 상품을 팔고 있던 B회사는 존의 결혼여부를 파악할 필요가 없다고 결정합니다. 이는, 존의 정보를 업데이트 하지 않는 타당한 이유가 되는 것입니다. 해당 회사는 이러한 결정에 대해 기록을 남겨둡니다. |
5. 정확성 – 하기에 해당되는 경우, 한 조직이 수집하는 또는 제3자가 해당조직을 대신하여 수집하는 모든 개인정보를 정확하게
수집하기 위해서 해당 조직은 합리적인 수준의 노력을 하여야 합니다.
a. 해당 조직이 개인정보에 근거하여 개인에게 영향을 미치는 의사결정을 내릴 가능성이 있는 경우, 또는
b. 해당 조직이 해당 정보를 다른 조직에게 누설할 가능성이 있는 경우.
본 의무사항을 이행하기 위해, 해당 조직은 수집한 모든 개인정보를 정확하게 기록하고 필요하다고 판단되는 수준까지 정보를 업데이트함은 물론 완전하게 갖춰놓고 있어야 합니다.
6.보호 – 조직이 보유하고 있거나 관리하고 있는 개인정보를 무단으로 접근, 수집, 사용, 공개, 복제, 수정, 폐기 가능성, 그리고
이와 유사한 위험 등으로부터 해당정보를 보호하기 위해서 해당조직은 합리적인 수준의 보안조치를 취하여야 합니다.
7. 정보보유에 관한 제한사항 – 다음의 상황을 가정할 만한 타당성이 존재하는 경우, 해당조직은 개인정보를 모두 폐기하거나,
특정 개인과의 “연결고리”가 제거된 “일반적인” 형태로써 정보를 보유하여야 합니다.
a. 개인정보를 수집하여 달성하려 했던 애초의 목적이 더 이상 해당정보로 충족되지 않는 경우, 그리고
b. 법률상의 또는 업무상의 목적 어떤 것을 위해서도 해당 정보의 보유가 필요하지 않는 경우.
사례: 한 사립학교에서 학비청구와 동문 연락망 관리의 목적으로 학생들의 개인정보를 수집하였습니다. 학생들이 졸업을 한 이후 더 이상 학비를 내지 않는 경우에도 해당 개인정보를 보유할 수 있는 것이었습니다. (동문 연락망 관리차원에서) 해당 정보를 보유할 만한 타당한 이유가 있기 때문입니다. 만약 학교 측에서 동문 연락망을 더 이상 유지관리하지 않겠다고 결정하는 경우, 해당 학교는 해당 정보를 보유할 만한 타당한 사유가 더 이상 없음으로 해당 개인정보를 파기하거나 폐기/익명처리 하여야 합니다. 해당개인과 관련한 문건을 반납, 분쇄, 소각 또는 신원확인가능 정보를 해당 페이지에서 삭제하는 방식으로 해당정보를 폐기할 수 있습니다. |
8. 정보이전에 관한 제한사항 – 한 조직이 싱가포르 국외로 개인정보를 이전하는 행위는 일반적으로 금하고 있습니다. 국외로
개인정보를 이전할 수 있는 유일한 경우는 이전을 실시하는 해당 조직이 다음의 사항을 엄수하기 위해 타당한 조치를 취했을
때입니다:
a. 정보를 이전하는 주체가 해당 정보를 보유 또는 관리하는 기간 동안 해당 정보에 적용되는 PDPA를 준수하고
b. 해당 정보를 수신하는 주체가 PDPA에서 제공하는 보호기준에 준하는 또는 그 이상의 기준을 제시하는 법적 구속력이 있는
의무사항의 적용을 받습니다. 이러한 의무사항은 외국법률, 계약서, 또는 구속력이 있는 일련의 회사정책 등을 근거로 할 수
있습니다.
9. 개방성 - PDPA에 의거한 조직의 의무사항을 이행하기 위한 정책 및 관행을 조직 차원에서 수립하고 실행해야 합니다. 이에는 다음이 해당됩니다:
a. 상기 이행과 관련한 피드백을 수신하고 이에 대응하는 프로세스, 그리고
b. 대중이 요청하는 즉시 (9a에서 언급한 사항을 포함하는) 해당 정책 및 관행을 수립하는 방법.
5.0 –처벌
처벌을 명시하는 경우를 제외하고, PDPA에 의거한 조항을 위반하는 자는 3년 이하의 징역 또는 SGD 10,000 이하의 벌금에 처하거나, 상기의 징역과 벌금 모두에 처하게 됩니다.
유죄 판결 이후에도 거듭하여 위반행위를 저지르는 자는 위법행위가 이루어지는 모든 해당일에 대하여 또는 모든 해당일의 일부에 대하여 SGD 10,000 이하의 추가적인 벌금형을 처벌받게 됩니다.
5.1 – 타인의 개인정보에 대한 접근 또는 정정을 시도한 것에 관한 처벌
접근 및 정정에 관한 의무사항(Obligation of Access and Correction)에 의거하여 타인의 개인정보에 접근 또는 이를 정정하기 위한 요청을 한 자는 12개월 이하의 징역 또는 SGD 5,000 이하의 벌금형을 받을 수 있으며, 징역 및 벌금 모두를 처벌받게 될 수도 있습니다.
5.2 – 접근 및 정정에 관한 의무사항을 회피하거나 회피하려 시도한 자에 관한 처벌
해당정보를 변경, 은폐 또는 폐기하여 접근 및 정정에 관한 의무사항을 회피하려 시도한 자는 또는 상기 행위를 타인에게 사주한 자는 자연인의 경우는 SGD 5,000, 비자연인의 경우는 SGD 50,000 이하의 벌금에 처해집니다.
마찬가지로, 위원회 그리고/또는 업무를 수행 중인 위원회 관계자를 방해하려 하거나, 또는 의도적으로 혹은 무모하게 허위진술을 하거나, 또는 의도적으로 위원회를 호도하려 하는 자는 12개월 이하의 징역 또는 SGD 10,000 이하의 벌금형을 받을 수 있으며, 또는 자연인의 경우 상기의 징역 및 벌금 모두에 처해질 수 있으며, 비자연인의 경우 SGD 100,000 이하의 벌금형이 내려질 수 있습니다.
5.3 –직원의 행위에 관한 고용주의 법적 책임
고용기간 동안 고용인이 저지른 모든 위법행위에 대해서는 고용주가 전반적인 책임을 집니다. 고용주가 인지하지 못하고/못하거나 승인하지 않은 상태에서 해당 행위가 발생하였다고 하더라도 마찬가지 입니다. 그러나, 고용주 또한 이러한 대리책임(vicarious liability)으로부터 스스로를 방어할 수 있습니다. 이는 고용인이 해당행위를 저지르는 것을 방지하기 위해 고용주가 합리적인 수준의 조치를 취했다는 것을 증명함으로써 가능합니다.
6.0 – PDPA 준수
PDPA에 따라, 개인정보를 수집, 사용, 공개 또는 취급하는 각 조직은 본 법령을 준수하기 위해 한 명 이상의 전담직원을 배정해야 합니다. 이렇게 배정된 담당자는 PDPA에서 명시하는 모든 의무사항을 조직차원에서 이행할 수 있도록 해당 프로세스 및 정책의 수립을 관장하는 역할을 맡습니다. 이러한 담당자가 맡아야 하는 업무는 이하와 같습니다:
• 개인정보를 수집, 사용 또는 공개함에 앞서 해당 개인으로부터 유효한 동의를 얻도록 합니다.
• 일반인의 시각에서 합리적이라 사료되는 목적만을 위해 해당조직이 개인정보를 수집, 사용 그리고 공개하도록 합니다.
• 해당조직이 개인정보를 수집하는 목적을 모든 수집대상 개인에게 항상 알리도록 합니다.
• 정보접근 또는 정정에 관한 개인의 모든 요청사항에 대해 해당조직이 신속하고 효율적으로 처리할 수 있도록 하며, 일반인이
해당조직에게 이와 같은 요청사항을 쉽게 전달할 수 있는 창구를 마련하도록 합니다.
• 수집된 개인정보를 사용하여 의사결정을 내리거나 타 조직에게 공개하기 이전에, 필요하다고 판단되는 범위 내에서 해당정보
모두를 정확하고, 완전하며, 업데이트 된 상태로 관리합니다.
• 수집된 개인정보를 무단으로 접근, 변경, 복사, 공개, 수정하는 것을 방지하고, 이와 유사한 위험 등으로부터 보호하기 위해
해당조직이 합리적인 수준의 예방조치를 취하도록 합니다. 자물쇠와 같은 물리적 수단, 방화벽 및 비밀번호 보호기능과 같은
전자적 수단, 그리고 적절한 보안정책 등을 모두 사용하여 해당 정보를 보호하도록 합니다.
• 해당조직이 해당정보를 보유할 만한 정당한 사유가 소멸한 경우, 모든 개인정보는 즉각적으로 폐기하거나 익명 처리하도록
합니다.
• PDPA에서 제공하는 관리 및 보호기준에 준하는 또는 그 이상의 기준을 제시하는 법률상의 의무를 준수해야 하는
외국단체에게만 개인정보가 이전될 수 있도록 합니다.
• PDPA이행여부와 관련하여 피드백을 제시하거나 해당법률 관련사항에 대해 해당조직에게 연락을 취할 수 있는 일반인들을 위한
창구를 마련하도록 합니다.
마지막으로, 이러한 담당자 중 적어도 한 명에 관한 업무용 연락정보를 일반인들이 볼 수 있도록 해야 합니다. 이는 접근관련 요
사항을 전달하거나 기타 유사한 신청을 하는 개인들을 위한 창구를 마련해 주기 위함입니다.
* 본 매뉴얼은 여러분께 개인정보보호법에 관한 간단한 개요를 제공 드리기 위해 작성되었습니다. 숙련된 변호사가 제공하는 조언을 갈음하시거나, 해당 법률 및 규정에 대한 자의적 판단에 사용하지 마시기 바랍니다.