국가정보_말레이시아

법률체계

1개요1)

말레이시아의 법원(法源)은 주로 영국의 보통법(Common Law)을 중심으로 하고 있으며, 여기에 이슬람법(Islamic Law)과 관습법을 결합한 다원적인 법률체계를 보유하고 있다.

말레이시아의 성문법은 크게 ▲연방헌법(Perlembagaan Persekutuan) ▲주(州)헌법(Perlembagaan Negeri) ▲연방법률(Akta) ▲주(州)법률(Enakmen) ▲위임입법(Peraturan)으로 구성되어 있다. 연방헌법은 1957년 최초로 제정되었으며, 현행 연방헌법 제4조제1항은 헌법을 ‘연방의 최고법’으로 지칭하고 있다. 연방헌법에는 자유권, 평등권 등 국민의 기본권을 규정하고 있으나(제5조~제13조), 개인정보를 보호받을 권리에 관해서는 직접적인 규정을 두고 있지 않다. 이와 관련하여, 말레이시아 연방대법원은 판례2)를 통해 연방헌법 제5조제1항의 자유권에서 개인의 프라이버시권을 도출할 수 있다는 입장을 취한 바 있다.

1) https://www.aseanlawassociation.org/legal-system-in-malaysia/
https://www.moleg.go.kr/mpbleg/mpblegInfo.mo?mid=a10402020000&mpb_leg_pst_seq=130888
2)Sivarasa v Badan Peguam Malaysia & Anor, [2010] 3 CLJ 507

2말레이시아 개인정보보호법(Akta Perlindungan Data Peribadi 2010, 이하 APDP)

가. 개요

말레이시아는 최초의 포괄적 개인정보보호법인 APDP를 2010년 5월에 제정했으며 2013년 11월 15일부터 시행해 오고 있다. 말레이시아는 싱가포르와 함께 동남아시아 국가 중 개인정보보호에 관한 일반법을 선도적으로 도입한 국가로 일컬어지고 있다. APDP는 개인정보보호 법률의 국제적 기준으로 주로 거론되는 EU 개인정보보호법(General Data Protection Regulation, 이하 GDPR)의 전신(前身)인 EU 개인정보보호 지침(Directive 95/46/EC)을 모델로 하여 제정된 것으로3)무엇보다도 개인정보보호와 관련한 각종 절차와 세부사항을 법률 조문에 담고 있는 특징을 지닌다.

말레이시아 개인정보 감독기구를 이끌고 있는 개인정보보호 커미셔너는 APDP에 대한 지속적인 검토의 일환으로, 2018년과 2020년 각각 법률의 개선사항과 관련한 의견수렴에 나선 바 있다. 2018년에는 개인정보 침해 사고 발생 시 통지 및 보고를 의무화하는 제도 도입에 대해 의견을 수렴한 바 있으며, 2020년 2월에는 ‘공개 협의문 제01/2020호 – 개인정보보호법 검토서(PC01/2020)’를 통해 총 22개 이슈(▲개인정보 이동권 ▲개인정보보호책임자 지정 ▲정보주체의 동의 명확화 등)에 대한 국민들의 의견을 수렴하였다. 말레이시아 정부는 이를 바탕으로 개인정보 침해 사고에 대한 필수적 통지 및 보고 의무 도입, DPO 지정의무 도입, 위반행위자에 대한 처벌 강화 등을 중심으로 한 APDP 개정을 추진할 예정이다.

3) https://thelawreviews.co.uk/title/the-privacy-data-protection-and-cybersecurity-law-review/malaysia 4) https://www.mondaq.com/data-protection/1246022/personal-data-protection-department-provides-updates-to-proposed-amendments-to-malaysian-personal-data-protection-act-

나. 개인정보 및 민감정보의 정의

개인정보는 상거래(commercial transaction)와 관련하여 정보주체와 직접·간접적으로 연관된 식별가능한 정보를 뜻한다. 다만 개인정보는 다음의 요건을 충족해야 한다. (제4조)
① 상거래 목적을 위해 자동으로 작동하는 장비를 이용하여 전체 또는 부분적으로 처리되는 정보
② 해당 장비를 이용하여 전체 또는 부분적으로 처리할 의도를 갖고 기록된 정보
③ 상거래 관련 파일링 시스템의 일부로 기록되거나 파일링 시스템의 일부를 구성할 의도로 기록된 정보

APDP는 개인정보의 개념에 정보주체의 민감한 정보를 포함시키고 있으며, 다만 2010년 신용평가기관법에 따라 신용평가기관이 신용평가 업무 목적으로 처리하는 정보는 제외한다. 민감정보는 정보주체의 신체적 또는 정신적 건강 및 상태, 정치적 의견, 종교적 신념 또는 유사한 성격의 기타 신념, 범죄 또는 범죄 혐의에 대한 정보로 구성된 개인정보이거나 장관이 관보에 게재함으로써 정할 수 있는 기타 개인정보를 의미한다. (제4조)

다. 적용 범위

(1) 원칙

APDP는 상거래와 관련된 개인정보를 처리하는 자와 상거래와 관련된 개인정보를 통제하거나 그 처리를 승인하는 자에게 적용되는데, 그 요건은 다음과 같다. (제2조)
① 자연인 또는 법인이 말레이시아에 거주하거나 설립되었고, 해당 자연인 또는 법인이 직접 개인정보를 처리하거나 혹은 해당 자연인 또는 법인이 고용한 다른 사람이 개인정보를 처리하는 경우
② 자연인 또는 법인이 말레이시아에 거주하거나 설립되어 있지 않지만, 해당 자연인 또는 법인이 개인정보 처리를 위해 말레이시아에서 장비를 사용하는 경우

(2) 적용 제외

이 법은 연방정부 및 주(州)정부, 말레이시아 역외에서 처리되는 개인정보에는 적용되지 않으며, (제3조) 개인이 여가 목적을 포함하여 개인, 가족, 가사 목적을 위해서 개인정보를 처리하는 경우 해당 개인정보 또한 이 법의 적용대상이 되지 않는다. (제45조제1항)

이외에, APDP 제45조제2항에서는 동법 일부조항의 적용을 받지 않는 항목을 아래와 같이 나열하고 있다
① 범죄 예방 또는 탐지 또는 조사 목적, 범죄자의 체포 또는 기소 목적, 세금 또는 관세의 평가나 징수 목적으로 처리된 개인정보
② 정보주체의 신체적 또는 정신적 건강과 관련하여 처리된 정보
③ 통계 작성 또는 연구 수행을 위해 처리된 개인정보
④ 법원의 명령 또는 판결을 목적으로 하거나 이와 연관하여 처리된 개인정보
⑤ 규제 기능을 수행하기 위해 처리된 개인정보
⑥ 언론, 문학 또는 예술적 목적을 위해 처리된 개인정보

라. 개인정보보호 원칙

APDP 제6조 이하(제6조~12조)에서는 개인정보 이용자(Data User)5)가 준수해야 할 개인정보보호 7대 원칙을 규정하고 있다. 7대 원칙은 ① 일반 원칙, ② 통지 및 선택 원칙, ③ 제공 원칙, ④ 보안 원칙, ⑤ 보유 원칙, ⑥ 개인정보 무결성 원칙, ⑦ 열람 원칙으로 구성되어 있다.

이 원칙은 최소한으로 준수해야 할 기준으로서 개인정보 이용자가 이러한 원칙을 준수하지 않는 것은 법률을 위반한 것이 되어 형사처벌이 내려질 수 있다. (제5조제2항)

5) APDP에서는 컨트롤러, 개인정보 취급사업자와 유사한 의미로서 개인정보 이용자라는 표현을 사용한다.

(1) 일반 원칙

개인정보 이용자는 정보주체가 개인정보 처리에 동의하지 않는 한 정보주체에 대한 개인정보를 처리할 수 없으며, 민감한 개인정보의 경우 제40조(민감정보 처리)에 따른 처리를 제외하고 정보주체의 민감정보를 처리할 수 없다. (제6조제1항) 그러나 APDP는 개인정보 이용자가 정보주체의 동의가 없는 경우라 할지라도 개인정보를 처리할 수 있는 예외적인 사유를 다음과 같이 규정하고 있다. (제6조제2항)
① 정보주체가 당사자인 계약이행을 위한 목적
② 정보주체의 요청에 따라 계약을 체결하기 위해 조치를 취할 목적
③ 계약상 부과된 의무를 제외하고 개인정보 이용자가 지켜야 할 법적 의무를 준수하기 위한 목적
④ 정보주체의 중요한 이익을 보호할 목적
⑤ 사법 행정 목적
⑥ 법률에서 부여한 직무의 행사 목적

그밖에, 동법은 아래의 경우에도 일반적으로 개인정보 처리가 가능하다고 규정하고 있다. (제6조제3항)
① 개인정보 이용자의 활동과 직접적으로 관련된 합법적인 목적을 위해 개인정보를 처리하는 경우
② 개인정보 처리가 해당 목적을 위해 필요하거나 해당 목적과 직접 관련이 있는 경우
③ 개인정보가 해당 목적과 관련하여 적절하면서도 과도하지 않은 경우

(2) 통지 및 선택 원칙(Notice and Choice Principle)

개인정보 이용자는 서면을 통해 정보주체에게 다음의 내용을 알려야 한다. (제7조)
① 정보주체의 개인정보가 개인정보 이용자에 의해 또는 개인정보 이용자를 대신하여 처리되고 있다는 사실 및 해당 개인정보에 대한 설명
② 개인정보가 수집 중이거나 수집되어 추가적으로 처리될 목적
③ 해당 개인정보의 출처와 관련하여 개인정보 이용자가 제공할 수 있는 모든 정보
④ 열람권 및 정정권과 같은 정보주체의 권리, 개인정보와 관련된 문의 또는 불만사항에 대해 개인정보 이용자에게 연락하는 방법
⑤ 개인정보 이용자가 개인정보를 제공하거나 제공할 수 있는 제3자의 유형
⑥ 개인정보 처리를 제한하기 위해 개인정보 이용자가 정보주체에게 제공하는 개인정보 선택권 및 수단
⑦ 정보주체가 개인정보를 제공하는 것이 의무인지 혹은 자발적인 것인지 여부
⑧ 정보주체가 개인정보를 제공할 의무가 있는 상황에서 개인정보를 제공하지 않을 경우 정보주체 자신에게 미치는 결과

개인정보 이용자는 아래 세 가지 상황에 직면한 경우(▲개인정보 이용자가 정보주체에게 처음으로 정보주체 개인정보를 제공하도록 요청한 경우 ▲개인정보 이용자가 정보주체의 개인정보를 처음 수집한 경우 ▲개인정보 이용자가 개인정보가 수집된 목적 이외의 목적으로 정보주체의 개인정보를 사용하거나 개인정보를 제3자에게 제공하려고 하는 경우), 가능한 한 빨리 정보주체에게 상기 정보를 제공해야 한다. 통지는 공용어 및 영어로 작성해야 하며, 개인정보 이용자는 정보주체가 공용어 및 영어로 자신의 선택권을 행사할 수 있도록 쉽고 명확한 수단을 제공해야 한다.

(3) 제공 원칙(Disclosure Principle)

APDP 제39조(개인정보 제공 수준)에 따라 정보주체의 동의 없이는 ▲개인정보 수집 당시 개인정보를 제공하려던 목적 ▲개인정보 제공 목적과 직접적으로 관련된 목적 등을 제외한 다른 목적으로는 어떠한 개인정보도 제공할 수 없다.

(4) 보안 원칙(Security Principle)

개인정보 이용자는 개인정보를 처리할 때 손실, 오용, 수정, 무단 또는 우발적 접근 및 제공, 변경, 파기로부터 개인정보를 보호하기 위한 실질적인 조치를 취해야 한다. 해당 조치를 취할 때에는 아래의 사항을 고려해야 한다. (제9조)
① 개인정보의 특성, 개인정보의 손실, 오용, 수정, 무단 또는 우발적 접근 및 제공, 변경, 파기로 인해 발생할 수 있는 피해
② 개인정보가 저장된 장소 또는 위치
③ 개인정보가 저장된 장비에 통합된 보안 조치
④ 개인정보를 열람할 수 있는 직원의 신뢰성, 무결성, 능력을 보장하기 위해 취해진 조치
⑤ 개인정보의 안전한 전송을 보장하기 위해 취한 조치

프로세서가 개인정보 이용자를 대신하여 개인정보를 처리하는 경우, 개인정보 이용자는 손실, 오용, 수정, 무단 또는 우발적 접근 및 제공, 변경, 파기로부터 개인정보를 보호할 목적으로, 프로세서가 아래의 사항을 수행하는지 확인해야 한다.
① 수행할 처리를 관리하는 기술적 및 관리적 보안 조치와 관련하여, 충분한 보증 제공 여부
② 상기 내용을 준수하기 위해 합리적인 조치를 취하는지 여부

(5) 보유 원칙(Retention Principle)

어떤 목적으로 처리된 개인정보이든지, 해당 목적을 달성하는 데 필요한 것보다 더 오래 보유할 수 없다. 개인정보 이용자는 모든 개인정보가 처리 목적을 위해 더 이상 필요하지 않게 된 경우 개인정보를 파기하거나 영구적으로 삭제하는 합리적인 조치를 취해야 할 의무를 부담한다. (제10조)

(6) 개인정보 무결성 원칙(Data Integrity Principle)

개인정보 이용자는 개인정보를 수집해서 처리한 목적 및 그에 직접 관련된 목적을 고려하여, 개인정보가 정확하고 완전하며 오해의 소지가 없으며 최신 상태로 유지되도록 합리적인 조치를 취해야 한다. (제11조)

(7) 열람 원칙(Access Principle)

정보주체는 개인정보 이용자가 보유한 자신의 개인정보를 열람할 수 있어야 하며 개인정보가 부정확하거나 불완전하거나 오해의 소지가 있거나 최신 정보가 아닌 경우 해당 개인정보를 수정할 수 있어야 한다. 다만, 열람이나 정정 요청을 이 법에 따라 거부하는 경우는 예외로 한다. (제12조)

바. 정보주체의 권리

APDP는 제30조~44조에서 정보주체의 권리 조항을 두고 있다. 동법에서는 열람권과 정정권에 대해 EU GDPR에 버금가는 세부적이고 구체적인 권리사항을 규정하고 있으며, 삭제권의 경우에는 법체계상 정정권에 준해서 권리를 행사할 수 있도록 하고 있다. 더불어, 정보를 제공받을 권리와 반대권은 명문 규정은 없을지라도, 정보를 제공받을 권리의 경우에는 개인정보 이용자의 광범위한 정보 제공으로 인한 반사적 효과로서, 반대권의 경우에도 동의 철회권이나 피해 또는 고통을 유발할 수 있는 처리를 방지할 수 있는 권리 등의 행사를 통해 각각 그 효과를 향유할 수 있도록 하고 있다. 반면, 동법은 정보주체의 처리제한권이나 이동권에 관해서는 별도의 규정이 없으며, 묵시적으로도 그 권리 행사를 보장하고 있지 않다.

(1) 정보를 제공받을 권리

APDP는 명시적으로 정보를 제공받을 권리를 규정하고 있지 않지만, 개인정보 이용자가 통지 및 선택 원칙(제7조)에 따라 정보주체에 정보를 알릴 의무를 이행함으로써 정보주체가 필수적 항목에 대해 정보를 제공받을 수 있도록 지원하고 있다. 이에 따라 정보주체는 개인정보 이용자로부터 아래의 정보를 제공받을 수 있다.
① 정보주체의 개인정보가 개인정보 이용자에 의해 또는 개인정보 이용자를 대신하여 처리되고 있다는 사실 및 해당 개인정보에 대한 설명
② 개인정보가 수집 중이거나 수집되어 추가적으로 처리될 목적
③ 해당 개인정보의 출처와 관련하여 개인정보 이용자가 제공할 수 있는 모든 정보
④ 열람권 및 정정권과 같은 정보주체의 권리, 개인정보와 관련된 문의 또는 불만사항에 대해 개인정보 이용자에게 연락하는 방법
⑤ 개인정보 이용자가 개인정보를 제공하거나 제공할 수 있는 제3자의 유형
⑥ 개인정보 처리를 제한하기 위해 개인정보 이용자가 정보주체에게 제공하는 개인정보 선택권 및 수단
⑦ 정보주체가 개인정보를 제공하는 것이 의무인지 혹은 자발적인 것인지 여부
⑧ 정보주체가 개인정보를 제공할 의무가 있는 상황에서 개인정보를 제공하지 않을 경우 정보주체 자신에게 미치는 결과

해당 권리가 직접적으로 정보주체의 권리로써 규정되어 있지 않은 만큼, 정보를 제공받을 권리를 행사하는 요건 및 방법, 절차 등에 관해서는 별도의 법률조항이 없다.

(2) 열람권


정보를 제공받을 권리와는 대조적으로, APDP 제12조(열람 원칙), 제30조(개인정보 열람권)는 정보주체에게 명시적으로 열람권을 부여하고 제31조~33조에서는 열람권에 대한 절차 및 거부사유 등을 규정하고 있다.

정보주체는 개인정보 이용자가 보유한 자신의 개인정보를 열람할 수 있으며, (제12조) 개인은 정보주체로서 개인정보 이용자가 자신의 개인정보를 처리하고 있는지, 혹은 개인정보 이용자의 대리인이 해당 개인정보를 처리하고 있는지 여부를 개인정보 이용자로부터 통보받을 권리가 있다. (제30조) 정보주체는 일정 비용을 지불함으로써, 개인정보 이용자 또는 개인정보 이용자를 대신하여 개인정보를 처리하는 자에 대해 이해할 수 있는 형태로 개인정보 사본을 자신에게 전달해 주도록 서면으로 요청할 수 있다.

개인정보 이용자는 정보주체의 요청을 수신한 날로부터 21일 이내에 개인정보 열람 요청에 응해야 한다. (제31조) 개인정보 이용자가 21일 내에 개인정보 열람 요청에 응하지 못할 경우 해당 기간이 만료되기 전에 요청자에게 열람 요청에 응할 수 없음과 그 사유를 서면으로 통지하고, 개인정보 이용자가 할 수 있는 범위 내에서 개인정보 열람 요청에 응해야 한다. 이러한 사항에도 불구하고 개인정보 이용자는 동 조항에 명시된 21일의 기간이 만료된 후 14일 이내에는 개인정보 열람 요청에 전체적으로 응해야 한다.

개인정보 이용자는 아래의 요건이 충족될 경우 개인정보 열람 요청을 거부할 수 있다(제32조).
① 요청자가 정보주체로서 신원 확인을 위한 만족스러운 정도의 정보를 개인정보 이용자에 제공하지 않는 경우
② 요청자가 정보주체와 관련인임을 주장하는 경우, 요청자가 정보주체의 신원에 대해 확인 가능할 정도의 정보를 제공하지 못하면서, 동시에 요청자가 정보주체와 관련하여 관련인이라는 정보 또한 제공하지 못한 경우
③ 개인정보 이용자가 열람 요청과 관련된 개인정보를 찾아내기 위해 합리적으로 필요로 하는 정보를 제공받지 못한 경우
④ (열람 요청 거부 등으로 인한) 정보주체의 개인정보 권리 침해 위험과 비교해 보았을 때, 개인정보 이용자가 열람을 허용할 때 소요되는 부담이나 비용이 불균형적인 경우
⑤ 개인정보 이용자가 해당 정보에서 식별될 수 있는 타인과 관련된 개인정보를 공개하지 않고는 열람 요청에 응할 수 없는 경우
⑥ 타 개인정보 이용자가 개인정보 열람 요청과 관련된 개인정보의 처리를 전체 또는 부분적으로 통제하여, 정보 열람 요청에 응하지 못하도록 하는 경우
⑦ 열람을 허용하면 법원 명령을 위반할 수 있는 경우
⑧ 열람을 허용하면 상업적 비밀 정보를 유출할 우려가 있는 경우
⑨ 타 법률에서 해당 개인정보 열람을 규제하는 경우
이때, ⑥번 항목과 같이 타 개인정보 이용자의 개인정보 통제로 인해 개인정보 열람 요청을 거부하는 것을, 개인정보 이용자는 개인정보 열람 요청을 거부하는 사유로 악용하지 않아야 한다.

개인정보 이용자가 개인정보 열람 요청에 응하기를 거부하는 경우 요청을 수신한 날짜로부터 21일 이내에 서면 통지를 통해 요청자에게 거부 사실과 거부 사유를 알리고, 타 개인정보 이용자가 개인정보 열람 요청과 관련된 개인정보의 처리를 전체 또는 부분적으로 통제하는 경우에는 타 개인정보 이용자의 이름과 주소를 알려야 한다. (제33조)

(3) 정정권


정보주체의 정정권은 APDP 제12조(열람 원칙) 및 제34조(개인정보 정정권)에 근거하고 있으며, 동법 제35저~제37조는 정정권의 절차 등에 대해 명시하고 있다.

정보주체는 개인정보가 부정확하거나 불완전하거나 오해의 소지가 있거나 최신 정보가 아닌 경우 자신의 개인정보를 정정할 수 있다. (제12조) 구체적으로, 정보주체는 아래의 경우 개인정보의 정정을 요청할 수 있다. (제34조).
① 개인정보 이용자가 제30조에 근거하여 열람 요청자에게 개인정보 사본을 제공했는데, 요청자가 개인정보가 부정확하거나 불완전하거나 오해의 소지가 있거나 최신 정보가 아니라고 판단하는 경우
② 개인정보 이용자가 보유한 정보주체의 개인정보가 정확하지 않거나 불완전하거나 오해의 소지가 있거나 최신 정보가 아님을 정보주체가 알고 있는 경우

개인정보 이용자는 개인정보 정정 요청을 수신한 후 21일 이내에 ① 개인정보 정정을 수행하고 ② 정정된 개인정보 사본을 정보주체에 제공해야 한다. 또한 ③ 개인정보 정정 이전 12개월 동안 개인정보가 제3자에 제공된 경우에는, 제3자가 제공 받은 목적대로 개인정보를 이용하던 것을 중단했을 것이라고 믿을 만한 상당한 이유가 없는 경우에는 그 제3자에도 서면으로 정정 사유를 명시하여 정정된 개인정보 사본을 제공하기 위해 실행할 수 있는 모든 조치를 취해야 한다. 만약, 개인정보 이용자가 21일 내에 개인정보 정정 요청을 이행할 수 없는 경우 해당 기간이 만료되기 전에 정정 요청 기간 내에 정정 요청을 이행할 수 없는 사유를 서면으로 요청자에게 통지하고, 가능한 범위 내에서 개인정보 정정 요청을 이행해야 한다. 이와 같은 사항에도 불구하고 개인정보 이용자는 규정된 21일의 기간이 만료된 후 14일 이내에 개인정보 정정 요청을 전체적으로 이행해야 한다. (제35조)

APDP는 열람권과는 대조적으로 정정권 행사 시 정보주체의 비용 납부 여부를 명시적으로 다루지 않는다. 또한, 정보주체로 하여금 정정 요청 형식을 서면으로 하도록 요구하는 것과는 달리, (제34조) 정정 요청에 대한 개인정보 이용자의 응답 형식을 별도로 규정하지 않고 있다.

한편, 개인정보 이용자는 아래의 경우에 개인정보 정정 요청을 거부할 수 있다. (제36조).
① 요청자가 정보주체로서 신원 확인을 위한 만족스러운 정도의 정보를 개인정보 이용자에 제공하지 않는 경우
② 요청자가 정보주체와 관련인임을 주장하는 경우, 요청자가 정보주체의 신원에 대해 확인 가능할 정도의 정보를 제공하지 못하면서, 동시에 요청자가 정보주체와 관련하여 관련인이라는 정보 또한 제공하지 못한 경우
③ 개인정보 이용자가 정정 요청과 관련해서 개인정보의 어느 부분이 부정확하거나 불완전한지, 오도할 가능성이 있거나 최신 정보가 아닌지 확인할 수 있도록 합리적인 수준의 필요한 정보를 제공받지 못한 경우
④ 정정 요청한 개인정보가 부정확하거나 불완전하거나 오해의 소지가 있거나 오래된 정보가 아닌 경우
⑤ 개인정보 정정 요청 자체가 정확하고, 완전하며, 오해의 소지가 없고, 최신 상태로 정정요청 하는 것이 아닌 경우
⑥ 타 개인정보 이용자가 개인정보 정정 요청과 관련된 개인정보의 처리를 전체 또는 부분적으로 통제하여, 정보 정정 요청에 응하지 못하도록 하는 경우
이때, ⑥번 항목과 같이 타 개인정보 이용자의 개인정보 통제로 인해 개인정보 정정 요청을 거부하는 것을, 개인정보 이용자는 개인정보 정정 요청을 거부하는 사유로 악용하지 않아야 한다.

개인정보 이용자가 개인정보 정정 요청을 이행하기를 거부하는 경우 요청을 받은 날로부터 21일 이내에 서면 통지를 통해 요청자에게 거부 사실과 거부 사유를 알리고, 타 개인정보 이용자가 개인정보 정정 요청과 관련된 개인정보의 처리를 전체 또는 부분적으로 통제하는 경우 타 개인정보 이용자의 이름과 주소를 알려야 한다. (제37조)

(4) 삭제권(잊힐 권리)

APDP는 삭제권(잊힐 권리)을 명시적으로 규정하지 않는다. 다만, 동법의 정의를 규정하고 있는 제4조에서 '정정'이 수정, 변경, 삭제를 모두 포함한다고 명시하고 있어, 기본적으로 제34조(개인정보 정정권) 이하에 따라 정정권을 행사함으로써 삭제권과 동등한 효과를 얻을 수 있다고 해석이 가능하다.

(5) 반대권

APDP는 일반적인 반대권을 명시적으로 규정하지 않지만, 정보주체는 동법 제38조에 근거한 동의를 철회할 수 있는 권리를 행사하여 반대권 행사와 유사한 효과를 누릴 수 있다. 그밖에, 동법 제42조에서는 정보주체에게 손상 또는 고통을 유발할 가능성이 있는 개인정보 처리를 방지하는 권리를 제공하고, 제43조에서 직접 마케팅 목적의 처리를 방지할 수 있는 권리를 제공하는 등 반대권과 유사한 일련의 권리를 규정하고 있다.

1) 동의 철회권

정보주체는 서면 통지를 통해 개인정보 처리에 대한 동의를 철회할 수 있다. 개인정보 이용자는 제38조에 근거한 통지를 받으면 개인정보 처리를 중단해야 한다. 만약 개인정보 이용자가 정보주체의 동의 철회에도 불구하고 개인정보 처리를 중단하지 않는 경우 형사처벌을 부과 받을 수 있다. (제38조제1항, 제2항 및 제4항)

한편, 정보주체가 동의 철회권을 행사하지 않더라도, 동법에서 부여한 기타 정보주체의 권리에는 영향을 미치지 않는다. (제38조제3항)

2) 피해 또는 고통을 유발할 수 있는 처리를 방지할 수 있는 권리

정보주체는 언제든지 특정 상황에서의 합리적인 기간 말미에, "정보주체 통지서"라고 하는 서면 통지를 통해 개인정보 이용자에 ① 특정 목적 또는 방식으로 아래의 개인정보 처리를 중단할 것과, ② 특정 목적 또는 방식으로 아래의 개인정보 처리를 시작하지 말 것을 요구할 수 있다. (제42조제1항) 동조에서 언급하는 ‘아래의 개인정보 처리’는 다음을 의미한다.
① 처리 목적이나 방식에 맞는 개인정보 처리가 본인 또는 타인에게 상당한 피해 또는 고통을 초래하거나 유발할 가능성이 있는 개인정보 처리로서,
② 피해나 고통이 부당하거나 부당하였을 것

전항의 ‘피해 또는 고통을 유발할 수 있는 처리를 방지할 권리’는 다음의 경우에는 적용되지 않는다. (제42조제2항)
① 정보주체가 동의한 경우
② 개인정보 처리가 ▲정보주체가 당사자인 계약이행인 경우 ▲정보주체의 요청에 따라 계약을 체결하기 위한 조치를 취하기 위한 경우 ▲계약에 따라 부과된 의무 외에 개인정보 이용자가 법적 의무를 준수하기 위한 경우 ▲정보주체의 중요한 이익을 보호하기 위한 경우
③ 관보에 게재된 명령으로써 장관이 정하는 기타 경우

개인정보 이용자는 제42조제1항에 따른 정보주체 통지서를 받은 날로부터 21일 이내에 정보주체에게 아래의 내용을 서면으로 통지해야 한다. (제42조제3항)
① 정보주체 통지서를 준수했거나 준수할 의향
② 정보주체 통지서를 준수하지 않는 사유, 만약 일정 부분 준수하거나 준수할 의향이 있는 경우에는 그 사유

정보주체가 제42조제1항에 따라 개인정보 이용자가 정보주체 통지서를 전체적으로 또는 부분적으로 준수하지 않은 데 불만이 있는 경우, 개인정보 이용자로 하여금 정보주체 통지서를 준수하도록 요구하는 신청서를 개인정보보호 커미셔너(이하 커미셔너)에게 제출할 수 있다. (제42조제4항) 커미셔너는 정보주체의 신청서 내용이 어느 정도 정당하다고 판단하는 경우, 정보주체 통지서 준수를 위해 개인정보 이용자로 하여금 그러한 조치를 취하도록 요구할 수 있다. (제42조제5항) 만약 커미셔너의 요구를 준수하지 않을 경우 마찬가지로 개인정보 이용자에게 형사처벌이 부과될 수 있다. (제42조제6항)

3) 직접 마케팅 목적의 처리를 방지할 수 있는 권리

정보주체는 언제든지 특정 상황에서의 합리적인 기간 말미에, 서면으로 통지함으로써 개인정보 이용자에 직접 마케팅을 목적으로 자신의 개인정보 처리를 중단하거나 시작하지 않도록 요구할 수 있다(제43조제1항). 개인정보 이용자가 통지의 전부 또는 일부를 준수하지 않은 데 불만이 있는 정보주체는, 개인정보 이용자로 하여금 정보주체의 통지를 준수하도록 요구하는 신청서를 커미셔너에게 제출할 수 있다. (제43조제2항) 커미셔너는 정보주체의 신청서 내용이 어느 정도 정당하다고 판단하는 경우, 개인정보 이용자로 하여금 통지 내용의 준수를 위한 특정 조치를 취하도록 요구할 수 있다. (제43조제3항) 만약 커미셔너의 요구를 준수하지 않을 경우 개인정보 이용자에게 형사처벌이 부과될 수 있다. (제43조제4항)

사. 컨트롤러 및 프로세서의 의무

APDP은 제6조 이하(제6조~12조)에서 개인정보보호 원칙과 관련한 광범위한 의무사항을 규정하는 것 이외에, 개인정보 이용자에 대해 일반적인 의무사항을 명시한 조항은 개인정보 처리 활동 기록 의무를 규정하는 제44조에 불과하다. APDP에서는 개인정보 영향평가 수행 의무나 DPO 지정 의무 등을 도입하지 않고 있어, 개인정보 영향평가 및 DPO 지정은 반드시 이행할 필요는 없다.

그러나, APDP에서는 총 13개 유형의 개인정보 이용자 유형을 지정하여 개인정보 감독기구에 등록을 의무화하는 특수한 의무사항을 규정하고 있는데, 해당 의무를 준수하지 않을 경우 상황에 따라 형사처벌을 받을 수 있으므로 유의해야 한다.

한편, APDP는 개인정보 이용자를 대신하여 개인정보를 처리하는 ‘프로세서’ 개념을 두고 있으나, 프로세서에 APDP에 따른 직접적인 법률상 의무를 부과하지 않는 것 또한 특징이다.

(1) 개인정보 처리 활동 기록 의무

APDP 제44조는 개인정보 이용자의 개인정보 처리 기록 의무를 규정한다. 개인정보 이용자는 자신이 처리했거나 처리 중인 개인정보와 관련된 모든 신청, 통지, 요청 또는 기타 정보를 기록하고 유지해야 한다. 커미셔너는 개인정보 처리 활동 기록이 유지되는 방식과 형식을 결정할 수 있다.

(2) 개인정보 이용자 등록 의무

통신디지털부(Kementerian Komunikasi dan Digital) 장관은 커미셔너의 추천을 받아 관보에 명령을 게시함으로써, 이 법 하에서 개인정보 이용자 등록 의무가 발생하는 개인정보 이용자 유형을 지정할 수 있다. (제14조) 이에 따라 해당 유형에 속하는 개인정보 이용자는 커미셔너가 정하는 방식과 형식으로 커미셔너에게 등록 신청서를 제출해야 한다. (제15조)

이와 관련, 現 통신디지털부의 전신인 당시 통신멀티미디어부 장관은 APDP 제14조에 근거하여 2013년 개인정보보호(개인정보 이용자 유형) 명령(Personal Data Protection (Class of Data Users) Order 2013)을 발령함으로써 말레이시아 개인정보 감독기구에 등록의무를 부담하게 되는 개인정보 이용자 유형 총 11가지를 설정한 바 있으며, 2016년에는 개정 명령(Personal Data Protection (Class of Data Users) (Amendment) Order 2016)을 발령하여 2개 유형을 추가함으로써 현재 총 13개 유형의 개인정보 이용자가 등록 의무를 부담하고 있다.

[표 1] 등록 대상 개인정보 이용자 유형 및 목록

등록 대상 개인정보 이용자 유형 및 목록
부문 개인정보 이용자

통신

● 통신멀티미디어법(1998)에 따라 인가를 받은 사업자
● 우편서비스법(2012)에 따라 인가를 받은 사업자

금융

● 금융서비스법(2013)에 따라 인가를 받은 은행 및 투자은행
● 이슬람금융서비스법(2013)에 따라 인가를 받은 이슬람 은행 및 국제 이슬람 은행
● 개발금융기관법(2002)에 따른 개발금융기관

보험

● 금융서비스법(2013)에 따라 인가를 받은 보험사
● 이슬람금융서비스법(2013)에 따라 인가를 받은 이슬람보험(takaful) 운영사 및 국제 이슬람보험(takaful) 운영사

보건

● 민간보건시설서비스법(1998)에 따라 인가를 받은 사업자
● 민간보건시설서비스법(1998)에 따른 개인 의원 또는 개인 치과의원 등록증명서 소지자
● 약사등록법(1951)에 따라 등록된 법인

관광 및 숙박

● 관광산업법(1992)에 따라 인가를 받은 관광 교육기관 운영자, 여행사, 여행 에이전트, 여행 가이드
● 관광산업법(1992)에 따른 등록 관광 숙박시설 운영자

교통

● 말레이시아 항공 시스템, 에어아시아, 마스윙스(MASwings), 에어아시아X 등

교육

● 사립고등교육기관법(1996)에 따른 등록 사립 고등교육기관
● 교육법(1996)에 따른 등록 사립학교 및 사립교육기관

직접 판매

● 직접판매다단계판매방지법(1993)에 따라 인가를 받은 사업자

서비스

● 회사법(1965)에 따라 등록된 회사 또는 합자회사법(1961)에 따라 파트너십을 맺은 자로서, ▲법률 ▲감사 ▲회계 ▲엔지니어링 ▲건축 업무를 수행하는 자
● 회사법(1965)에 따라 등록된 회사 또는 합자회사법(1961)에 따라 파트너십을 맺은 자로서, 통제공급법(1961)에 따라 소매 또는 도매 거래를 수행하는 자
● 회사법(1965)에 따라 등록된 회사 또는 합자회사법(1961)에 따라 파트너십을 맺은 자로서, 민간고용대행법(1981)에 따라 민간 고용 대행 사업을 수행하는 자

부동산

● 주택개발(통제 및 인가)법(1966)에 따라 인가된 주택 개발업자
● 사바(Sabah)주(州) 주택개발(통제 및 인가)법(1978)에 따라 인가를 받은 주택 개발업자
● 사라왁(Sarawak)주 주택개발업자(통제 및 인가)조례(1993)에 따라 인가를 받은 주택 개발업자

수도, 전력 등

● 테나가 나쇼날(전력회사) (Tenaga Nasional Berhad)
● 사바 전력 (Sabah Electricity Sdn. Bhd.)
● 사라왁 전력공급회사 (Sarawak Electricity Supply Corporation)
● SAJ 홀딩 (SAJ Holding Sdn. Bhd.)
● 아이르 클란탄(수도사업소) (Air Kelantan Sdn. Bhd.)
● LAKU 매니지먼트(수도사업소) (LAKU Management Sdn. Bhd.)
● 페낭 수력공급회사 (Perbadanan Bekalan Air Pulau Pinang Sdn. Bhd.) 등

전당포

● 전당포법(1972)에 따라 인가를 받은 사업자

대부(貸付)

● 대부업법(1951)에 따라 인가를 받은 사업자

커미셔너는 개인정보 이용자의 신청서를 검토한 다음, ① 등록증명서를 발급하거나 ② 신청서를 반려하거나 ③ 조건부 또는 제한부로 등록증명서를 발급할 수 있다. (제16조제1항 및 제2항) 커미셔너는 신청서를 반려할 경우 신청인에게 반려 사실 및 그 이유를 통지서로 알려야 한다. 만일 등록 의무를 이행해야 하는 자가 등록증명서 없이 개인정보를 처리할 경우 형사처벌을 받을 수 있다. (제16조제4항)

아. 개인정보 국외이전

APDP는 제129조에서 개인정보의 국외이전에 대한 사항을 규정하고 있다. 개인정보 이용자는 통신디지털부장관이 커미셔너의 추천을 받아 관보에 고시(notification)를 게시함으로써 지정한 장소가 아니라면, 원칙적으로 정보주체의 개인정보를 말레이시아 역외의 장소로 이전할 수 없다. (제129조제1항) 그러나 통신디지털부장관은 예외적으로 아래의 경우에 말레이시아 역외의 장소를 지정할 수 있는데, 이 경우 개인정보 국외이전이 제한적으로 가능하다. (제129조제2항)
① APDP와 실질적으로 유사하거나 APDP와 동일 목적을 수행하는 법률이 해당 장소에서 시행되고 있는 경우
② 해당 장소가 개인정보 처리와 관련하여 APDP가 제공하는 보호 수준과 최소한 동일한 수준의 적절한 보호를 보장하는 경우

동법 제129조 제1항에도 불구하고, 개인정보 이용자는 아래의 경우 개인정보를 말레이시아 외부의 장소로 이전할 수 있으며, 이때도 예외적으로 개인정보 국외이전이 가능한 것으로 해석할 수 있다.
① 정보주체가 이전에 동의한 경우
② 정보주체와 개인정보 이용자 간의 계약이행을 위해 국외이전이 필요한 경우
③ 개인정보 이용자와 제3자 사이에 ㉠ 정보주체의 요청에 따라 계약이 체결되었거나 ㉡정보주체의 이익에 속하는 계약이 체결됨으로써, 이와 같은 계약의 체결 또는 이행을 위해 이전이 필요한 경우
④ 국외이전이 법적 절차 또는 법적 자문을 구하거나 법적 청구권의 입증, 행사, 방어를 위한 경우
⑤ 개인정보 이용자가 ㉠ 국외이전이 정보주체에 대한 불리한 활동을 회피 또는 최소화하기 위한 것이라고 믿었고 ㉡ 국외이전에 대해 정보주체로부터 서면 동의를 얻는 것이 현실적으로 불가능하다고 믿었으며, ㉢ 만약 동의를 얻는 것이 가능했다면 정보주체가 동의했을 것이라고 믿었을 만한 합리적인 근거가 있는 경우
⑥ 개인정보 이용자는 국외 장소에 있는 개인정보가 APDP를 위반하는 방식으로 처리되지 않도록, 모든 합리적인 예방 조치를 취하고 선량한 관리자의 주의를 다한 경우
⑦ 정보주체의 중요한 이익을 보호하기 위해 이전이 필요한 경우  
⑧ 통신디지털부장관이 정하는 상황에서 이전이 공익을 위해 필요하다고 인정되는 경우

커미셔너는 동조 제1항에 명시된 장소에서 이 법과 실질적으로 유사하거나 동일한 목적을 수행하는 법률이 더 이상 시행되지 않는다고 믿을 만한 합리적인 근거가 있는 경우, 고시를 취소 또는 정정함으로써 해당 장소가 개인정보 국외이전이 가능한 장소에서 제외되도록 통신디지털부장관에게 권고해야 하며, 개인정보 이용자는 고시에 장관이 지정한 시간부터 해당 장소로의 개인정보 이전을 중단해야 한다. (제129조제4항)

한편, 동조 제1항을 위반할 경우 범죄로 간주되어 유죄판결시 형사처벌이 부과될 수 있다. (제129조제5항)

자. 집행

커미셔너는 APDP 제104조에 근거하여 정보주체로부터 민원을 접수받은 경우 동법에 따라 개인정보 이용자에 대한 조사 권한을 행사할 수 있으며, 조사를 통해 개인정보 이용자의 규정 위반 여부를 검토할 수 있다. (제105조) 조사가 완료되면, 커미셔너는 개인정보 이용자의 규정 위반을 확인한 경우 개인정보 이용자에게 집행통지서를 송달하여 커미셔너의 의견과 그 이유 등을 전달하고, 특정 문제사안을 시정하도록 지시할 수 있다. (제110조)

개인정보보호 의무 미준수와 관련, APDP는 동법상 의무 위반 시 금전적 처벌과 함께 징역형을 부과할 수 있다고 규정하는 등 형사처벌 가능성만을 대체로 명시하고 있고, 커미셔너 등에게 행정 과징금을 부과할 수 있는 권한은 부여하고 있지 않다. 따라서 APDP 위반에 따른 제재는 검사의 기소를 바탕으로 하여 법원이 판단하는 등 제재 권한이 법원 관할에 속하는 특징을 보인다. (제134조 및 제135조)

처벌 강도는 법원이 징역형을 선택할 경우에는 최대 3년의 징역에 처하게 되므로 제재가 상당히 무겁지만, 대조적으로 법원이 벌금형을 선택할 경우에는 벌금액의 최대치가 50만 링깃(약 11만 5,000 미국 달러)에 불과하므로 EU GDPR에서 정하는 최대 과징금 액수인 2,000만 유로와 비교 시 상대적으로 제재가 낮은 편이다. 구체적인 위반행위별 처벌 기준은 아래 표와 같다.

[표 2] APDP에 따른 위반행위별 처벌 수준6)

APDP에 따른 위반행위별 처벌 수준
근거조항 위반행위 처벌

제5조제2항
개인정보보호 원칙 위반

● 개인정보보호 원칙을 준수하지 않는 개인정보 처리 ● 30만 링깃(약 6만 9,000 미국 달러) 이하의 벌금 또는/및
● 2년 이하의 징역

제16조제4항
등록증명서 미발급

● 커미셔너에 등록 의무 있는 개인정보 이용자가 제16조제1항 따라 등록증명서를 발급받지 않고 개인정보 처리 ● 50만 링깃(약 11만 5,000 미국 달러) 이하의 벌금 또는/및
● 3년 이하의 징역

제18조제4항
등록 취소 후 개인정보 처리

● 커미셔너가 개인정보 이용자의 등록을 취소한 후에도 개인정보 처리 ● 50만 링깃(약 11만 5,000 미국 달러) 이하의 벌금 또는/및
● 3년 이하의 징역

제19조제2항
등록증명서 미반납

● 개인정보 이용자가 등록이 취소된 후 커미셔너에게 등록증명서 반납 미이행 ● 20만 링깃(약 4만 6,000 미국 달러) 이하의 벌금 또는/및
● 2년 이하의 징역

제29조
행동규약 미준수

● 개인정보 이용자에 적용되는 행동규약(code of practice) 조항 미준수 ● 10만 링깃(약 2만 3,000 미국 달러) 이하의 벌금 또는/및
● 1년 이하의 징역

제37조제4항
정정 거부 시 의무 위반

● 정보주체의 정정 요청을 거부하면서, 제37조제2항에 규정된 메모 작성 의무 등 미준수 ● 10만 링깃(약 2만 3,000 미국 달러) 이하의 벌금 또는/및
● 1년 이하의 징역

제38조제4항 동의 철회 후 개인정보 처리

● 정보주체로부터 동의 철회 통지를 수신한 후 개인정보 처리를 중단하지 않음 ● 10만 링깃(약 2만 3,000 미국 달러) 이하의 벌금 또는/및
● 1년 이하의 징역

제40조제4항
민감정보의 처리 요건 미준수

● 제40조제1항 요건을 준수하지 않는 민감정보 처리 ● 20만 링깃(약 4만 6,000 미국 달러) 이하의 벌금 또는/및
● 2년 이하의 징역

제42조제6항
피해 등 유발 처리 방지 권리 관련 커미셔너 요구 미이행

● 정보주체가 피해 등을 유발할 수 있는 처리를 방지할 권리를 거부당한 후 커미셔너가 이를 정당하다고 판단하고 개인정보 이용자에 이행을 요구했으나 해당 요구 미이행 ● 20만 링깃(약 4만 6,000 미국 달러) 이하의 벌금 또는/및
● 2년 이하의 징역

제43조제4항
직접마케팅 목적 처리 방지 권리 관련 커미셔너 요구 미이행

● 정보주체가 직접 마케팅 목적의 처리를 방지할 권리를 거부당한 후 커미셔너가 이를 정당하다고 판단하고 개인정보 이용자에 이행을 요구했으나 해당 요구 미이행 ● 20만 링깃(약 4만 6,000 미국 달러) 이하의 벌금 또는/및
● 2년 이하의 징역

제108조제8항
시정 조치 미이행

● 민원에 따른 조사 완료 후 커미셔너가 APDP 위반을 확인하여 집행통지서를 발행해 시정 조치를 요구했으나 해당 요구 미이행 ● 20만 링깃(약 4만 6,000 미국 달러) 이하의 벌금 또는/및
2년 이하의 징역

제113조제7항
영장 집행에 근거한 봉인 손상

● 합법적인 권한 없이 영장 집행에 따라 실행한 봉인의 훼손, 변조, 손상 ● 5만 링깃(약 1만 1,500 미국 달러) 이하의 벌금 또는/및
● 6개월 이하의 징역

제120조
수색 등 방해

● 권한이 부여된 직원의 수색을 거부하거나, 공격, 방해, 혹은 지연 초래 ● 1만 링깃(약 2,300 미국 달러) 이하의 벌금 또는/및
● 2년 이하의 징역

제129조제5항
국외이전 요건 위반

● 제129조제1항에 명시된 개인정보 국외이전 요건을 위반하여 국외이전 수행 ● 30만 링깃(약 6만 9,000 미국 달러) 이하의 벌금 또는/및 ● 2년 이하의 징역

제130조제7항
개인정보 불법 수집 등

● 개인정보 이용자의 동의 없이 개인정보 이용자가 보유하는 개인정보를 고의 또는 무모하게 수집, 제공, 제공 주선 ● 50만 링깃(약 11만 5,000 미국 달러) 이하의 벌금 또는/및
● 3년 이하의 징역

제131조제1항 및 제2항
교사, 미수, 예비

● 이 법에 규정된 범죄를 교사(敎唆)하거나 미수(未遂)에 그친 경우, 혹은 각 범죄를 범할 목적으로 예비(豫備)행위를 한 경우 ● 징역형 부과 시 각 범죄별로 규정된 상한의 2분의 1을 초과할 수 없음

제141조제2항
비밀유지 위반

● 커미셔너, 부커미셔너 등이 직무상 얻은 정보에 대해 직무 중 혹은 직무 후 비밀 유지 미준수 ● 10만 링깃(약 2만 3,000 미국 달러) 이하의 벌금 또는/및
● 1년 이하의 징역

제143조제3항
하위법령 위반

● 장관이 하위법령에서 동법의 취지에 어긋나는 작위 또는 부작위를 범죄로 규정 가능 ● 하위법령에서는 25만 링깃(약 5만 7,000 미국 달러) 이하의 벌금 또는 2년 이하의 징역에 처한다고 규정할 수 있음

6) https://www.pdp.gov.my/jpdpv2/assets/2019/09/SENARAI_KESALAHAN_DAN_HUKUMAN-1.pdf

위와 별개로, 커미셔너는 일정 범위 내에서는 요건을 갖추어 금전적 제재 권한을 제한적으로 행사할 수 있다. 커미셔너는 검찰의 서면 동의를 얻어 개인정보보호(처벌 감경)규정(Personal Data Protection (Compounding of Offences) Regulations 2016) 부칙1에서 규정한 ‘처벌 감경 가능 범죄’ 목록의 범죄에 대해서는 위반행위자에게 각 처벌조항에 규정된 최대 벌금액의 50%를 초과하지 않는 금액을 커미셔너에게 납부하는 조건으로 처벌을 종결할 수 있도록 서면 제안할 수 있다. (제132조제1항) 해당 제안을 수락하는 위반행위자는 위반행위에 대해 형사절차로 나아가기 전 단순히 벌금을 납부함으로써 사안을 마무리할 수 있는 선택권을 가지게 된다. 상기 규정 부칙1에 규정된 감경 가능 범죄 목록은 다음과 같다.
① ADPD ▲제5조제2항 ▲제16조제4항 ▲제18조제4항 ▲제19조제2항 ▲제37조제4항 ▲제38조제4항 ▲제40조제3항 ▲제43조제4항 ▲제108조제8항
② 개인정보보호규정(Personal Data Protection Regulations 2013) ▲제3조제1항 ▲제6조 ▲제7조 ▲제8조
③ 개인정보보호(개인정보 이용자 등록)규정(Personal Data Protection (Registration of Data User) Regulations 2013) ▲제5조제2항 ▲제6조제5항 ▲제8조제3항

한편, APDP에 따른 범죄를 저지른 자가 법인일 경우, 범죄를 저지를 당시에 이사, 최고경영자, 최고운영책임자, 관리자, 비서 또는 기타 유사한 법인의 임원 등은 그 법인 단체와의 동일한 법적 절차에 따라 개별적 또는 공동으로 법적 책임을 질 수 있다. 또한, 그 법인이 범죄를 저지른 것으로 판명되면, 이사, 최고경영자, 최고운영책임자, 관리자, 비서 또는 기타 유사한 법인의 임원 등은 자신이 다음의 사실을 증명하지 않는 한 해당 범죄를 저지른 것으로 간주한다. (제133조제1항)
① 그 범죄가 자신이 모르는 채 자신의 동의나 묵인 없이 발생했다는 사실
② 자신이 그 범죄행위를 방지하기 위해 모든 합리적인 예방 조치를 취했다는 사실

이와 유사하게, 누구든지 동법에 따라 작위, 부작위, 태만, 불이행으로 인해 형사책임을 지는 경우에는, 자신의 직원이나 대리인 또는 대리인의 직원이 각각의 상황에서 저지른 작위, 부작위, 태만, 불이행에 대해 자신도 동일한 형사책임을 진다. (제133조제2항)

3기타 관련 법령

말레이시아는 일반적 개인정보보호법 이외에도 각 분야별 법령에서 특수성을 가진 개인정보보호 규정을 두고 있다. 예컨대, 금융서비스법(Financial Services Act 2013)은 금융안정 및 국가 경제성장, 금융소비자 보호를 위해 제정된 법률로서, 이 법에서는 금융소비자의 금융정보를 보호하기 위한 조항을 별도로 규정하고 있다. 또한 법률은 아니지만 2006년 제정 민간보건시설서비스(민간 의원 또는 민간 차과의원)규정(Private Healthcare Facilities and Services (Private Medical Clinics or Private Dental Clinics) Regulations 2006)에서도 각 민간 의료기관이 보유한 환자 의료 기록에 대해 두터운 보호를 보장하고 있다.

금융서비스법 제133조는 금융기관 고객의 업무 또는 계좌와 관련된 문서/정보에 접근할 수 있는 자로 하여금 해당 고객의 문서/정보를 타인에게 제공하는 것을 금지하고 있다. 또한, 상기 행위로 인해 금융기관 고객과 관련한 문서/정보를 갖게 된 사람은 마찬가지로 이를 타인에게 제공할 수 없도록 하고 있다. 만약 상기 의무를 위반할 경우 유죄판결에 따라 5년 이하의 징역 또는/및 1,000만 링깃(약 230만 미국 달러) 이하의 벌금에 처한다.

민간보건시설서비스(민간 의원 또는 민간 차과의원)규정 제29조에 따르면, 민간 의원 또는 민간 치과의원은 환자의 진료기록을 보관하기 위한 시설, 절차, 조직으로 구성된 환자 진료기록시스템을 적절히 갖추어야 한다. 각 의원은 환자별 등록번호가 부여된 환자별 진료기록을 각각 보관해야 하며, 환자의 진료기록부를 분실, 변조, 무단 이용으로부터 보호할 책임이 있다. 동 조항을 위반하여 유죄판결을 받을 경우 1만 링깃(약 2,300 미국 달러) 이하의 벌금 또는/및 3개월 이하의 징역에 처할 수 있다.

동 규정 제30조에서는 환자의 진료기록은 법원의 명령이 있는 경우를 제외하고는 각 의원 또는 치과의원에서 반출할 수 없으며, 법원의 명령에 따른 반출의 경우에도 그 사본을 각 의원에 보유하도록 규정하고 있다. 또한 제31조 및 제32조에서는 각 의원 또는 치과의원으로 하여금 제한 기간과 관련하여 법률에 명시된 기간 동안 적어도 모든 환자의 원본 진료 기록 또는 해당 기록과 관련된 문서를 보관하도록 의무화하고 있다. 환자에게 의료 서비스를 제공한 의료 전문인은 민사 소송에서 자신을 방어하기 위해 일정 요건 하에서 환자의 의료 기록에 접근하는 것이 가능하나, 그러한 경우에도 각 의원 또는 치과의원이 보유한 환자 기록의 기밀성 유지 의무에 대한 책임면제를 허용하는 것은 아니다.

top