국가정보_말레이시아

  • 유럽
  • 미국
  • 일본
  • 중국
  • 영국
  • 독일
  • 호주
  • 캐나다
  • 싱가포르
  • 베트남
  • 러시아
  • 프랑스
  • 태국
  • 대만
  • 필리핀

법률체계

1개요

말레이시아는 최초의 포괄적인 개인정보보호 법안인 PDPA(Personal Data Protection Act 2010)를 2010년에 제정하여 2013년 11월 15일부터 시행하고 있다. 최근 2020년에는 PDPA에 대한 지속적인 검토의 일환으로 말레이시아 정부의 통신멀티미디어부의 개인정보보호위원장은 2020년 2월 14일자 “공개 협의 문서 No. 01/2020 – 개인정보보호법 2020 검토서(PC01/2020)”를 발행했다. 이후 2020년 PC01/2020에 명시된 22개 문제(개인정보 이동권, 개인정보책임자 지정, 정보주체의 동의 명확화 등)에 대한 국민들의 견해와 의견을 2020년 12월까지 수렴했다.

2말레이시아 법률체계

가. 개요

말레이시아는 1957년 연방헌법(Federal Constitution of Malaysia)을 제정하였으며, 이 연방헌법에서는 기본적인 권리(생명과 자유 권리, 평등 등), 연방과 주의 관계, 시민권 등에 대해 규정한다. 이 연방헌법에서는 개인정보보호에 관한 규정을 두고 있지 않는다.

또한 말레이시아는 각 영역별로 해당 법률을 제정하여 시행하고 있으며, 각 영역의 해당 기관들이 개인정보 관련 사용자의 역할을 수행한다. 방송통신 관련 통신멀티미디어부는 상업거래 부문에 적용되는 개인정보보호법을 제정하여 시행하고 있다.

[표 1] 부문별 법률과 개인정보 사용자(Data User)의 유형(Class)

부문별 법률과 개인정보 사용자(Data User)의 유형(Class)
순번 부분 법률과 관련 개인정보 사용자
1

방송통신

통신 및 미디어법(1999)과 관련 인허가 기관

우편서비스법(2012)과 관련 인허가 기관

2

은행 및 금융기관

금융서비스법(2013)과 관련 투자은행

이슬람 금융서비스법(2013)과 관련 이슬람 은행

개발금융기관법(2002)와 관련 개발금융기관

3

보험

금융서비스법(2013)과 관련 보험기관

이슬람 금융서비스법(2013)과 관련 보험 관련 운영기관

4

의료

민간의료시설 및 서비스법(1998)과 관련 병원과 클리닉 기관

의약등록법(1951)과 관련 의약기관

5

관광 및 숙박업

관광산업법(1992)과 관련 여행 기관

6

교통

항공사

7

교육

사립고등교육기관법(1996)과 관련 사립고등교육기관

교육법(1996)과 관련 사립학교와 교육기관

8

직접 판매

직접판매 및 다단계판매방지법(1993)과 관련 인허가 기관

9

서비스

법률, 감사, 회계, 공학, 건축 기업

통제공급법(1961)과 관련 도소매

민간고용기관법(1981)과 관련 민간고용기관

10

부동산

주택개발(통제 및 인허가)법(1996)과 관련 주택개발자

11

시설

전기 및 수자원

12

전당

전당포법(1972)과 관련 인허가 기관

13

대출

대츨법(1951)과 관련 인허가 기관

3말레이시아 개인정보보호법

가. 개요

2009년에 최초로 말레이시아의 개인정보보호법(Personal Data Protection Bill 2009)이 입안되고, 2010년에 개인정보보호법(Personal Data Protection Act 2010, PDPA) 이 국회에서 통과되어 2013년 1월부터 시행 예정이었으나 시행이 연기된 후, 2013년 11월부터 시행되고 있다. 이 법은 상업적 성격을 갖는 상업거래(제품·서비스의 공급, 은행·보험, 재무, 투자, 계약 등)에 적용하며, 고용인-피고용인 관계, 인수합병 등 다양한 상업거래 관계에 영향을 미칠 수 있다. 말레이시아의 개인정보보호법에서 연방정부 및 주정부는 적용 대상이 아니다. 또한 사적인 목적으로 처리되는 개인정보, 여가목적으로 처리되는 개인정보 등은 이 법이 적용되지 않으며 통계작성, 연구, 문학, 예술, 언론 목적으로 처리되는 개인정보는 부분적으로 작용된다.  

나. 개인정보 및 민감정보의 정의

(1) 개인정보의 정의

개인정보보호법(Personal Data Protection Act 2010)에서 개인정보는 상업거래(commercial transaction) 관점에서 정보주체를 식별할 수 있는 정보를 의미한다. 동 법에서 상업거래 관점에서의 개인정보를 아래와 같이 정의한다(제4조).

  • 상업거래 목적의 지침에 따라 자동으로 작동하는 장비를 이용하여 전체로 또는 부분적으로 상업거래를 처리되는 정보
  • 위 ①에서 기술된 장비를 이용하여 전체적으로 또는 부분적으로 처리할 의도를 갖고 기록된 정보
  • 상업거래 관련 파일 시스템의 일부로 기록되거나 관련 파일 시스템의 일부를 구성할 의도로 기록된 정보

상업거래의 개인정보는 민감정보 및 정보주체에 대한 의견 표현을 포함하여 해당 정보, 또는 해당 정보와 개인정보 사용자가 소유한 기타 정보를 이용하여 식별되거나 식별 가능한 정보주체와 직간접적으로 관련되는 정보를 의미하나, 2010년 신용보고기관법에 따라 신용보고기관이 수행하는 신용보고 업무의 목적으로 처리되는 정보는 포함되지 않는다.

(2) 민감정보의 정의

'민감정보'는 정보주체의 신체적 또는 정신적 건강 또는 상태, 그의 정치적 의견, 종교적 신념 또는 유사한 성격의 기타 신념에 대한 정보로 구성된 개인정보를 의미한다.

“민감정보"는 정보주체의 신체적 또는 정신적 건강 또는 상태, 그의 정치적 견해, 종교적 신념 또는 유사한 성격의 기타 신념, 범죄 또는 범죄 혐의에 대한 정보로 구성된 개인정보이거나 장관이 관보에 게재된 명령으로 결정할 수 있는 기타 개인정보를 의미한다(제4조).

다. 적용범위

(1) 적용범위

PDPA는 상업거래와 관련된 개인정보를 처리하는 사람과 상업거래와 관련된 개인정보를 통제하거나 처리를 승인하는 자연인에게 적용한다(제2조).

위의 조건으로 PDPA는 아래의 경우에 개인정보와 관련하여 자연인에게 적용된다.

  • 해당 자연인이 말레이시아에 거주하고, 그 자연인의 개인정보가 처리되는 경우(말레이시아 거주 환경이나, 해당 시설에서 고용되거나 관여한 사람이 그 자연인인지 타 자연인인지는 관련 없음)
  • 개인이 말레이시아에 거주하지는 않지만 말레이시아를 경유하는 목적 이외의 개인정보 처리를 위해 말레이시아에서 장비를 사용하는 경우

위의 ② 경우에 해당하는 자연인은 이 법의 목적을 위해 말레이시아에 설립된 대리인을 지명해야 한다.

위의 목적에 대해 아래 각각은 말레이시아에 거주하는 것으로 본다.

  • 자연인의 말레이시아 내 거주 지역이 한 회계연도 기간에 180일 이상인 경우
  • 회사법(1965)에 따라 설립된 기관
  • 말레이시아의 성문법에 따라 형성된 파트너십 또는 기타 비법인 협회
  • s위의 경우에 속하지 않지만 말레이시아에서 활동 중인 사무실이나 지사 또는 기관, 또는 정기적인 활동을 수행하는 자연인

(2) 면제사항

PDPA는 상업거래 영역인 서비스, 투자, 교역, 은행, 보험 등의 사업 활동에 적용되지만, 연방 및 주정부에는 적용되지 않는다.

PDPA 제45조는 면제조항이 적용되는 분야를 규정한다. PDPA는 레저 목적을 포함하여 개인이나 가정적인 사항만 관련된 개인정보에 대해서는 적용되지 않는다. 또한 PDPA는 제46조(추가적인 예외사항)에 따라 면제되는 분야와 대상 원칙과 조항을 규정해놓았다.

(3) 사용자 등록

개인정보의 사용에 관해서는 정보소유자에게 사용됨을 알려야 하고, 관련 부분 장관의 승인이 없는 한 정보의 해외 유출은 금지된다. 2013년 ‘개인정보 보호 명령(데이터 사용자 클래스)’에는 개인정보보호위원회에 등록해야 하는 데이터 사용자(컨트롤러)의 11개 범주가 열거되었으며, 2016년에 전당포와 대부업 두 분야가 추가되었다. 개인정보 사용 사용자로 등록하지 않을 경우 범법행위가 되어, 형사처벌의 대상이 된다.

  • 은행업과 금융업
  • 보안업
  • 정보통신업
  • 공익시설사업
  • 보건업
  • 접객업 및 관광
  • 교육
  • 부동산과 개발업
  • 직접판매업
  • 법률/회계/경영컨설팅/엔지니어링/건축/고용중개기관/수송의 서비스업v
  • 소매 및 도매 판매업
  • 전당포
  • 대부업

라. 개인정보보호 원칙

PDPA 제1장(개인정보보호 원칙)의 제6조에서 제12조까지 개인정보보호 관련 7대 원칙, 즉 ① 일반 원칙, ② 통지 및 선택 원칙, ③ 공개 원칙, ④ 보안 원칙, ⑤ 보존 원칙, ⑥ 개인정보 무결성 원칙, ⑧ 열람 원칙을 따르도록 규정한다.

이 원칙은 최소한의 준수해야할 기준으로 컨트롤러 등 해당 조직이 이러한 원칙을 준수하지 않는 것은 법을 위반한 것이 되어, 형사처벌이 가능하다.

(1) 일반 원칙(General Principle)

개인정보 사용자는 아래의 행위를 할 수 없다

  • 정보주체가 개인정보 처리에 동의하지 않는 상황에서 정보주체에 대한 개인정보를 처리
  • 제40조(민감정보 처리)에 따른 처리를 제외하고 정보주체에 대한 민감정보를 처리

위의 정보주체의 개인정보 처리를 동의하지 않는 상황에도 불구하고, 개인정보 사용자는 아래의 행위를 위한 처리가 필요한 경우 정보주체에 대한 개인정보를 처리할 수 있다.

  • 정보주체가 당사자인 계약의 이행
  • 정보주체의 요청에 따라 계약체결의 조치를 수행
  • 계약에 의해 부과된 의무 이외의 개인정보 사용자에게 적용되는 법적 의무 준수
  • 정보주체의 중요한 이익을 보호
  • 사법 행정
  • 법률에 따라 또는 법률에 따라 개인에게 부여된 기능의 실행

개인정보는 아래의 경우에 한하여 처리할 수 있다.

  • 개인정보 사용자의 활동과 직접적으로 관련된 합법적인 목적을 위해 개인정보를 처리하는 경우
  • 개인정보 처리가 해당 목적을 위해 필요하거나 해당 목적과 직접 관련이 있는 경우
  • 개인정보가 해당 목적과 관련하여 적절하지만 과도하지 않은 경우

(2) 통지 및 선택 원칙(Notice and Choice Principle)

개인정보 사용자는 서면 통지를 통해 정보주체에게 다음 사항을 알려야 한다.

  • 정보주체의 개인정보가 개인정보 사용자에 의해 또는 개인정보 사용자를 대신하여 처리되고 있다는 사실에 대해 해당 정보주체에게 설명을 제공함
  • 개인정보가 수집되고 있거나 수집되어 추가적으로 처리될 목적
  • 해당 개인정보의 출처와 관련하여 개인정보 사용자가 사용할 수 있는 모든 정보
  • 개인정보 열람을 요청하고 개인정보의 수정을 요청할 수 있는 정보주체의 권리 및 개인정보와 관련된 문의 또는 불만사항이 있는 개인정보 사용자에게 연락하는 방법
  • 개인정보 사용자가 개인정보를 공개하거나 공개할 수 있는 제3자 유형
  • 해당 개인정보에서 식별될 수 있는 다른 사람과 관련된 개인정보를 포함하여 개인정보 처리를 제한하기 위해 개인정보 사용자가 정보주체에게 제공하는 개인정보 선택 및 수단
  • 정보주체의 개인정보 제공이 의무적인지 또는 자발적인 것인지 여부
  • 정보주체의 개인정보 제공이 의무인 상황에서 개인정보를 제공하지 않을 경우 정보주체에 미치는 결과

개인정보 사용자는 위 사하에 대한 통지를 가능한 신속히 아래와 같이 제공해야 한다.

  • 개인정보 사용자가 정보주체에게 처음으로 자신의 개인정보를 제공하도록 요청한 시점에 제공
  • 개인정보 사용자가 정보주체의 개인정보를 처음 수집한 시점에 제공
  • 기타의 경우, 개인정보 사용자가 개인정보가 수집된 목적 이외의 목적으로 정보주체의 개인정보를 사용하거나, 개인정보를 제3자에게 공개하기 이전에 제공

통지는 자국어 및 영어로 작성되어야 하며 개인이 필요한 경우 스스로 자국어 및 영어로 언어를 선택을 행사할 수 있는 명확하고 쉽게 접근할 수 있는 수단을 제공해야 한다.

(3) 공개 원칙

제39조(개인정보 공개 수준)에 따라 정보주체의 동의 없이 아래의 목적으로 개인정보를 공개할 수 없다.

  • 개인정보 수집 시 갖고 있던 개인정보를 공개할 목적이나 직접적으로 관련된 목적이 아닌 다른 목적
  • 제3자 개인정보 사용자 유형에 제공할 목적

(4) 보안 원칙(Security Principle)

개인정보 사용자는 개인정보를 처리할 때 다음 사항을 고려하여 손실, 오용, 수정, 무단 또는 우발적인 열람, 공개, 변경 또는 파괴로부터 개인정보를 보호하기 위한 실질적인 조치를 취해야 한다.

  • 개인정보의 특성, 개인정보의 손실, 오용, 수정, 무단 또는 우발적 열람 또는 공개, 변경 또는 파괴로 인해 발생할 수 있는 피해
  • 개인정보가 저장된 장소 또는 위치
  • 개인정보가 저장되는 장비에 통합된 보안 조치
  • 개인정보를 열람할 수 있는 직원의 신뢰성, 정직성, 능력을 보장하기 위해 취해진 조치
  • 개인정보의 안전한 전송을 보장하기 위해 취한 조치

프로세서가 개인정보 사용자를 대신하여 개인정보를 처리하는 경우 개인정보 사용자는 손실, 오용, 수정, 무단 또는 우발적인 열람 또는 공개로부터 개인정보를 보호할 목적으로, 변경 또는 파괴, 프로세서가 아래의 사항을 수행하는지 확인해야 한다.

  • 수행될 처리를 규율하는 기술적 및 조직적 보안 조치와 관련하여 충분한 보증 제공
  • 위의 조치의 준수를 보장하기 위해 합리적인 조치를 수행

(5) 보존 원칙

어떤 목적으로든 처리된 개인정보는 해당 목적을 달성하는 데 필요한 것보다 더 오래 보관할 수 없다. 모든 개인정보가 처리 목적을 위해 더 이상 필요하지 않은 경우 모든 개인정보를 파기하거나 영구적으로 삭제하는 모든 합리적인 조치를 취하는 것은 개인정보 사용자의 의무이다.

(6) 개인정보 무결성 원칙

어떤 목적으로든 처리된 개인정보는 해당 목적을 달성하는 데 필요한 것보다 더 오래 보관할 수 없다. 모든 개인정보가 처리 목적을 위해 더 이상 필요하지 않은 경우 모든 개인정보를 파기하거나 영구적으로 삭제하는 모든 합리적인 조치를 취하는 것은 개인정보 사용자의 의무이다.

(7) 열람 원칙

정보주체는 개인정보 사용자가 보유한 자신의 개인정보를 열람할 수 있어야 하며 개인정보가 부정확하거나 불완전하거나 오해의 소지가 있거나 최신 정보가 아닌 경우 해당 개인정보를 수정할 수 있어야 한다. 단, 이 법에 따라 열람이나 정정 요청을 거부하는 경우는 예외이다.

마. 개인정보처리 동의

PDPA에 개인정보 처리 동의의 정의나 특징을 별도의 조항으로 규정하고 있지 않으나 개인정보보호 원칙이나 정보주체의 권리 차원에서 개인정보 처리 동의에 대한 사항을 규정하고 있다.

개인정보보호에 관한 일반원칙에서 개인정보 사용자는 정보주체가 개인정보 처리에 동의하지 않는 상황에서 정보주체에 대한 개인정보를 처리할 수 있다고 규정한다(제6조 제1항). 또한 공개 원칙에서 제39조(개인정보 공개 수준)에 따라 정보주체의 동의 없이 개인정보 수집 시 갖고 있던 개인정보를 공개할 목적이나 직접적으로 관련된 목적이 아닌 다른 목적이나 제3자 개인정보 사용자 유형에 제공할 목적으로 개인정보를 공개할 수 없다고 규정한다(제8조). 개인정보 사용자가 정보주체의 개인정보 열람 요청을 거부할 수 있는 경우 중 하나로 개인정보 사용자는 해당 정보에서 식별할 수 있는 타인과 관련된 개인정보를 공개하지 않고 데이터 열람 요청을 응할 수 없는 경우(타인이 요청자에게 정보 공개에 동의하거나 타인의 동의 없이 개인정보 열람 요청을 응하는 것이 항상 합리적인 경우는 제외)를 규정한다(제32조1)를 들 수 있다. 또한 규정 준수로 타인의 동의 없이 개인정보 열람 요청을 응하는 것이 항상 합리적인지 여부를 결정할 때 특히 타인에 대한 기밀 유지 의무, 타인의 동의를 구하기 위해 개인정보 사용자가 취한 모든 조치, 타인이 동의할 수 있는지 여부, 타인의 명시적 동의 거부를 고려하도록 규정한다(제32조 제2항).

또한 개인정보 처리 동의에 대해 정보주체는 서면 통지를 통해 자신이 정보주체인 개인정보 처리에 대한 동의를 철회할 수 있다(제38조),

개인정보의 공개의 수준 관련, 정보주체의 개인정보는 수집 당시 개인정보가 공개되도록 한 목적 또는 해당 목적과 직접적으로 관련된 목적이 아닌 다른 목적으로 개인정보 사용자에 의해 공개될 수 있는 상황에 대해 정보주체가 공개에 동의한 경우와 개인정보 사용자가 정보주체가 개인정보의 공개와 그러한 공개 상황을 알았다면 정보주체의 동의를 얻었을 것이라는 합리적인 믿음으로 행동하는 경우를 포함한다(제39조).

민감정보 처리 관련에서 정보주체의 동의 요건을 많이 포함한다. 즉 개인정보 사용자는 아래 조건에 해당하는 경우를 제외하고 정보주체의 민감정보를 처리할 수 없다(제40조)

  • 정보주체가 개인정보 처리에 대한 명시적 동의를 제공한 경우
  • 고용과 관련하여 개인정보 사용자에게 법률에 의해 부여되거나 부과되는 권리 또는 의무를 행사하거나 수행할 목적으로 처리가 필요한 경우
  • 정보주체에 의해 또는 정보주체를 대신하여 동의가 제공될 수 없거나 개인정보 사용자가 정보주체의 동의를 얻을 것으로 합리적으로 기대할 수 없는 시, 정보주체 또는 다른 사람의 중요한 이익을 보호하기 위해 개인정보 처리가 필요한 경우
  • 정보주체에 의한 또는 정보주체를 대리하는 동의가 부당하게 보류 시 다른 사람의 중요한 이익을 보호하기 위해 개인정보 처리가 필요한 경우
  • 의료 전문가가 의료 목적으로 개인정보 처리가 필요하거나 특정한 자연인이 의료 전문가였다면 발생할 수 있는 상황에서 동등한 기밀 유지 의무를 지고 있는 자연인이 의료 목적으로 개인정보 처리가 필요한 경우
  • 법률 자문을 받을 목적으로 개인정보 처리가 필요한 경우
  • 법적 권리를 설정, 행사 또는 방어할 목적으로 개인정보 처리가 필요한 경우
  • 사법 집행을 위해 개인정보 처리가 필요한 경우
  • 성문법에 의해 또는 이에 따라 사람에게 부여된 기능의 수행을 위해 개인정보 처리가 필요한 경우
  • 장관이 적절하다고 생각하는 기타 목적을 위해 개인정보 처리가 필요한 경우

손상 또는 고통을 유발할 가능성이 있는 처리를 방지할 수 권리 관련, 정보주체는 "정보주체 통지"라고 하는 서면 통지를 통해 언제든지 개인정보 사용자에게 상황에 따라 합리적으로 특정 목적 또는 특정 방식으로 개인정보 처리 또는 처리를 중단할 것, 특정 목적 또는 특정 방식으로 개인정보 처리 또는 처리를 시작하지 말 것을 요구할 수 있으나, 정보주체가 동의한 경우에는 적용하지 않는다(제42조).

개인정보 역외 이전 관련, 개인정보 사용자는 정보주체가 개인정보 국외 이전에 동의한 경우, 개인정보 사용자가 모든 상황에서 ① 국외 이전이 정보주체에 대한 불리한 활동에 대한 방지 또는 완화 조치이고, ② 해당 이전 대상 개인정보에 대한 서면 동의를 얻는 것이 현실적으로 불가능하고 ③ 이러한 동의를 얻는 것이 실행 가능했다면 정보주체는 동의했을 것이라고 믿을 수 있는 합리적인 근거가 있는 경우 등에서 개인정보를 말레이시아 외부의 장소로 전송할 수 있다(제129조).

개인정보의 불법적 수집 관련, 자연인은 개인정보 사용자의 동의 없이 고의로 또는 무모하게 개인정보 사용자가 보유한 개인정보를 수집이나 공개하거나, 개인정보 사용자가 보유한 개인정보를 다른 사람에게 공개하도록 할 수 없다(제130조).

바. 정보주체의 권리

PDPA 4장(30~44조)에서 정보주체의 권리를 규정한다.

(1) 정보를 제공받을 권리

PDPA는 명시적으로 정보를 제공받을 권리를 규정하고 있지 않지만, 개인정보 사용자가 통지 및 선택 원칙(7조)에 따라 정보주체에게 정보를 알리도록 요구한다.

개인정보 이용자는 서면 통지로 정보주체에게 아래의 사항을 통지해야 한다.

  • 정보주체의 개인정보가 개인정보 사용자에 의해 처리되는지 또는 개인정보 사용자를 대신하여 처리되는지 여부
  • 개인정보에 대한 설명
  • 개인정보를 수집하거나 추가적인 처리를 하는 목적
  • 해당 개인정보의 출처와 관련하여 개인정보 사용자가 사용할 수 있는 모든 정보
  • 개인정보에 대한 접근을 요청하고 수정을 요청할 수 있는 정보주체의 권리, 개인정보와 관련된 문의 또는 불만사항이 있는 개인정보 사용자에게 연락하는 방법
  • 개인정보 사용자가 개인정보를 공개하거나 공개할 수 있는 제3자의 유형
  • 해당 개인정보로부터 식별될 수 있는 다른 사람과 관련된 개인정보를 포함하여 개인정보 처리를 제한하기 위해 개인정보 사용자가 정보주체에게 제공하는 선택사항과 수단들
  • 정보주체의 개인정보 제공이 의무인지 자발적인지 여부 
  • 정보주체가 개인정보를 제공할 의무가 있는 경우와 개인정보를 제공하지 않을 경우 정보주체에게 미치는 결과

개인정보 사용자는 아래의 경우 가능한 신속히 통지해야 한다.

  • 개인정보 사용자가 정보주체에게 처음으로 개인정보를 제공하도록 요청한 경우
  • 개인정보 사용자가 정보주체의 개인정보를 처음 수집하는 경우
  • 개인정보 사용자가 개인정보가 수집된 목적 이외의 목적으로 정보주체의 개인정보를 사용하는 경우나 개인정보를 제3자에게 공개하는 경우

개인정보 사용자는 자국어 및 영어로 통지하고, 필요 시 자국어 및 영어로 선택할 수 있는 명확하고 쉽게 접근할 수 있는 수단을 제공해야 한다.

(2) 열람권

PDPA의 제12조(열람 원칙), 제30조(개인정보 열람권)는 정보주체의 개인정보 연람 권한을 규정하고 제31~33조에서는 열람 권한에 대한 절차를 규정한다.

정보주체는 개인정보 사용자가 보유한 자신의 개인정보를 열람할 수 있다.

개인은 자신의 개인정보가 개인정보 사용자에 의해 또는 개인정보 사용자를 대신하여 처리되는지 여부를 개인정보 사용자로부터 제공받을 권리가 있다(제30조). 요청자는 개인정보 사용자가 처리하는 또는 개인정보 사용자를 대신하여 처리하는 정보주체의 개인정보에 대한 정보에 대해 이해할 수 있는 형태로 개인정보 사본을 자신에게 전달하도록 서면으로 개인정보 열람을 요청할 수 있다.

개인정보 사용자는 요청을 받은 날로부터 21일 이내에 개인정보 열람 요청에 응해야 한다(제31조). 그러나 개인정보 사용자가 지정된 기간 내에 개인정보 열람 요청에 응하지 못하는 경우 해당 기간이 만료되기 전에 요청자에게 해당 기간 내에 개인정보 열람 요청에 응할 수 없음과 그 사유를 서면으로 통지하고, 개인정보 사용자가 할 수 있는 범위 내에서 개인정보 열람 요청에 응해야 한다. 이러한 사항에도 불구하고 개인정보 사용자가 명시된 21일의 기간이 만료된 후 14일 이내에는 개인정보 열람 요청에 응해야 한다.

개인정보 사용자는 아래의 경우 개인정보 열람 요청을 거부할 수 있다(제32조).

  • 요청자가 정보주체로서의 요청자의 신원을 확인하기 위해 합리적으로 요구한 정보가 제공되지 않는 경우
  • 요청자의 정보 열람 요청에 관련된 개인정보를 찾을 수 있는 정보가 제공되지 않는 경우
  • 열람을 제공하는 부담이나 비용이 정보주체의 개인정보 침해 위험에 비례하지 않는 경우
  • 개인정보 사용자는 해당 정보에서 식별할 수 있는 타인과 관련된 개인정보를 공개하지 않고 개인정보 열람 요청에 응할 수 없는 경우(타인이 요청자에게 정보 공개에 동의하거나 타인의 동의 없이 개인정보 열람 요청에 응하는 것이 항상 합리적인 경우는 제외
  • 타 개인정보 사용자가 개인정보 열람 요청과 관련된 개인정보의 처리를 전체 또는 부분적으로 통제하는 경우
  • 열람을 제공하면 법원 명령을 위반할 수 있는 경우
  • 열람을 제공하면 기밀 상업 정보를 유출할 수 있는 경우
  • 타 법률에서 해당 개인정보 열람을 규제하는 경우

규정 준수로 타인의 동의 없이 개인정보 열람 요청을 응하는 것이 항상 합리적인지 여부를 결정할 때 특히 다음 사항을 고려해야 한다(제32조).

  • 타인에 대한 기밀 유지 의무
  • 타인의 동의를 구하기 위해 개인정보 사용자가 취한 모든 조치
  • 타인이 동의할 수 있는지 여부
  • 타인의 명시적 동의 거부

타 개인정보 사용자의 개인정보 통제로 인한 개인정보 열람 요청 거부는 개인정보 사용자가 관련 금지 사항을 위반하지 않고 개인정보 열람 요청에 응할 수 있는 범위 내에서 개인정보 사용자가 개인정보 열람 요청을 거부하는 사유로 이용되지 않아야한다.

개인정보 사용자가 개인정보 열람 요청에 응하기를 거부하는 경우 요청을 받은 날짜로부터 21일 이내에 서면 통지를 통해 요청자에게 거부사실과 거부사유를 알리고, 타 개인정보 사용자가 개인정보 열람 요청과 관련된 개인정보의 처리를 전체 또는 부분적으로 통제하는 경우에는 타 개인정보 사용자의 이름과 주소를 알려야 한다(제33조) 

(3) 정정권

PDPA의 제12조(열람 원칙)와 제34조(개인정보 정정권)는 정보주체의 개인정보 정정 권한을 규정하고, 제35~제37조는 정정할 권리에 대한 절차를 규정한다.

정보주체는 개인정보가 부정확하거나 불완전하거나 오해의 소지가 있거나 최신 정보가 아닌 경우 자신의 개인정보를 수정할 수 있다(제12조).

정보주체가 아래의 경우 개인정보 수정 요청을 할 수 있다(제34조).

  • 개인정보 열람 요청에 따라 개인정보 사용자가 개인정보 사본을 제공했으며 요청자가 개인정보가 부정확하거나 불완전하거나 오해의 소지가 있거나 최신 정보가 아니라고 판단하는 경우
  • 정보주체가 개인정보 사용자가 보유하고 있는 자신의 개인정보가 정확하지 않거나 불완전하거나 오해의 소지가 있거나 최신 정보가 아님을 알고 있는 경우

개인정보 사용자는 개인정보 정정 요청을 받은 후 21일 이내에 개인정보 사용자는 개인정보에 필요한 개인정보 수정을 수행하고 정정된 개인정보 사본을 정보주체에게 제공하며, 개인정보 정정 이전 12개월 동안 제3자에게 공개된 경우와 개인정보가 제3자에게 공개된 직접적인 목적을 포함하여 제3자가 개인정보 사용을 중단했다고 개인정보 이용자가 판단할 이유가 없는 경우에는 서면으로 정정 사유 통지와 정정된 개인정보 사본을 제3자에게 제공하기 위해 실행 가능한 모든 조치를 취해야 한다(제35조).

지정된 기간 내에 개인정보 정정 요청을 이행할 수 없는 개인정보 사용자는 해당 기간이 만료되기 전에 정정 요청 기간 내에 정정 요청을 이행할 수 없는 사유를 서면으로 요청자에게 통지하고, 가능한 범위 내에서 개인정보 정정 요청을 이행해야 한다. 이와 같은 사항에도 불구하고 개인정보 사용자는 규정된 21일의 기간이 만료된 후 14일 이내에 개인정보 정정 요청을 전체적으로 이행해야 한다.

개인정보 사용자가 요청자의 신원을 확인하기 위해 합리적으로 요구할 수 있는 정보가 개인정보 사용자에게 제공되지 않은 경우 개인정보 정정 요청을 거부할 수 있다(제36조).

PDPA는 개인정보 수정 요청과 관련된 수수료 부과를 명시적으로 다루지 않는다.

정정 요청 형식 관련 요청자가 개인정보 사용자에게 서면으로 개인정보 수정 요청을 할 수 있다고 명시되어 있으나(제34조), 정정 요청에 대한 응답 형식을 명시적으로 규정하지 않고 있다.

  • 개인정보 사용자가 정보주체로서의 요청자의 신원을 확인하기 위해 합리적으로 요구한 정보가 제공되지 않는 경우
  • 개인정보가 부정확하거나, 불완전하거나, 오도하거나, 최신 정보가 아니라고 확인하기 위해 합리적으로 요구할 수 있는 정보가 제공되지 않는 경우,
  • 개인정보 사용자가 개인정보 정정 요청과 관련된 개인정보가 정확하지 않거나 불완전하거나 오해의 소지가 있거나 최신 정보가 아니라는 점에 만족하지 않는 경우
  • 개인정보 사용자가 개인정보 정정 요청의 주체가 요구한 정정사항이 정확하지 않거나 불완전하거나 오해의 소지가 있거나 최신 정보가 아니라는 점에 만족하지 않는 경우
  • 타 개인정보 사용자가 개인정보 정정 요청과 관련된 개인정보의 처리를 전체 또는 부분적으로 통제하는 경우

타 개인정보 사용자의 개인정보 통제로 인한 개인정보 정정 요청 거부는 개인정보 사용자가 관련 금지 사항을 위반하지 않고 개인정보 정정에 요청을 이행할 수 있는 범위 내에서 개인정보 사용자가 개인정보 정정 요청을 거부하는 사유로 이용되지 않아야한다(제36조).

개인정보 사용자가 개인정보 정정 요청을 이행하기를 거부하는 경우 요청을 받은 날로부터 21일 이내에 서면 통지를 통해 요청자에게 거부사실과 거부사유를 알리고, 타 개인정보 사용자가 개인정보 열람 요청과 관련된 개인정보의 처리를 전체 또는 부분적으로 통제하는 경우에는 타 개인정보 사용자의 이름과 주소를 알려야 한다(제37조).

(4) 삭제권(잊힐 권리)

PDPA는 삭제권(잊힐 권리)을 명시적으로 규정하지 않는다.  다만, PDPA의 목적상 개인정보와 관련한 '정정'에는 수정, 변경, 수정 또는 삭제가 포함된다(제4조).  따라서 기본적으로 제34조(개인정보 정정권)의 규정을 따른다.

(5) 처리제한권

PDPA는 처리제한권을 명시적으로 규정하지 않는다.

(6) 이동권

PDPA는 이동권을 명시적으로 규정하지 않는다. 

(7) 반대권

PDPA는 반대권을 명시적으로 규정하지 않지만, 제38조에서 동의를 철회할 수 있는 권리를 제공한다. 또한 제42조에서 손상 또는 고통을 유발할 가능성이 있는 처리를 방지할 수 권리를 제공하고, 제43조에서 직접 마케팅 목적의 처리를 방지할 수 있는 권리를 제공한다. 각각의 권리에 대해 아래의 (8), (9), (10)에서 설명한다.

(8) 동의를 철회할 수 있는 권리

정보주체는 서면 통지를 통해 자신이 정보주체인 개인정보 처리에 대한 동의를 철회할 수 있다(제38조). 개인정보 사용자는 제38조에 따른 통지를 받으면 개인정보 처리를 중단해야 한다. 정보주체가 제38조에 의해 부여된 권리를 행사하지 않아도, 관련하여 부여된 다른 권리에는 영향을 미치지 않는다. (4) 하위 항목 제38조 제2항을 위반하는 개인정보 사용자는 범죄에 해당되고, 유죄 판결 시 10만 링깃(ringgit) 이하의 벌금 및/또는 1년 이하의 징역에 처해질 수 있다.

(9) 손상 또는 고통을 유발할 가능성이 있는 처리를 방지할 수 권리

정보주체는 "정보주체 통지"라고 하는 서면 통지를 통해 언제든지 개인정보 사용자에게 상황에 따라 합리적으로 아래의 사항을 요구할 수 있다(제42조).

  • 특정 목적 또는 특정 방식으로 개인정보 처리 또는 처리를 중단할 것
  • 특정 목적 또는 특정 방식으로 개인정보 처리 또는 처리를 시작하지 말 것

위 사항 관련 정보주체가 명시한 이유는 아래와 같다.

  • 해당 개인정보의 처리 또는 그러한 목적 또는 방식의 개인정보 처리가 본인 또는 타인에게 상당한 손해 또는 고통을 야기하거나 야기할 가능성이 있는 경우
  • 손해나 고통이 정당하지 않거나 정당하지 않을 수 있는 경우

제42조 제1항은 아래의 경우에는 적용되지 않는다.

  • 정보주체가 동의한 경우
  • 개인정보 처리가 ㉠ 정보주체가 당사자인 계약의 이행, ㉡ 계약을 체결하기 위해 정보주체의 요청에 따라 조치 수행, ㉢ 계약에 의해 부과된 의무 외에 개인정보 사용자가 적용되는 법적 의무 준수, ㉣ 정보주체의 중요한 이익을 보호하기 위해 개인정보 처리가 필요한 경우
  • 관보에 게재된 명령으로 장관이 정하는 기타 경우

개인정보 사용자는 제42조 제1항에 따른 정보주체 통지를 받은 날로부터 21일 이내에 정보주체에게 아래의 내용을 서면으로 통지해야 한다.

  • 정보주체 통지를 준수했거나 준수할 의향
  • 정보주체 통지를 정당화하지 않는 사유, 어느 정도 정당화하거나 준수할 의향이 있는 경우 그 사유

정보주체가 제42조 제1항에 따라 개인정보 사용자가 정보주체 통지를 전체적으로 또는 부분적으로 준수하지 않은 데 불만이 있는 경우 정보주체는 개인정보 사용자가 정보주체 통지를 준수하도록 요구하는 신청서를 개인정보보호위원장에게 제출할 수 있다.

개인정보보호위원장은 제42조 제4항에 따른 정보주체의 신청서 내용이 어느 정도 정당화되거나 정당하다고 판단되는 경우, 정보주체 통지를 준수하기 위해 개인정보 사용자에게 그러한 조치를 취하도록 요구할 수 있다.

제42조5항에 따른 개인정보보호위원장의 요구사항을 준수하지 않는 개인정보 사용자는 범죄에 해당되고 유죄 판결 시 20만 링깃(ringgit) 이하의 벌금 및/또는 2년 이하의 징역에 처해질 수 있다.

(10) 직접 마케팅 목적의 처리를 방지할 수 있는 권리

정보주체는 개인정보 사용자에게 서면 통지를 통해 언제든지 상황에서 합당한 기간이 끝날 때 개인정보 사용자에게 직접 마케팅을 위한 개인정보 처리를 중단하거나 시작하지 않도록 요구할 수 있다(제43조).

정보주체가 제43조에 따라 개인정보 사용자가 통지사항을 전부 또는 부분적으로 준수하지 않은 데 불만이 있는 경우, 정보주체는 개인정보 사용자가 정보주체 통지를 준수하도록 요구하는 신청서를 개인정보보호위원장에게 제출할 수 있다.

개인정보보호위원장은 제43조 제2항에 따른 정보주체의 신청서 내용이 어느 정도 정당화되거나 정당하다고 판단되는 경우, 정보주체 통지를 준수하기 위해 개인정보 사용자에게 그러한 조치를 취하도록 요구할 수 있다.

제43조 제3항에 따른 개인정보보호위원장의 요구사항을 준수하지 않는 개인정보 사용자는 범죄를 저지르고 유죄 판결 시 20만 링깃(ringgit) 이하의 벌금 및/또는 2년 이하의 징역에 처해질 수 있다.

제43조에서 "직접 마케팅"은 특정 개인을 대상으로 하는 모든 광고 또는 마케팅 자료를 통한 커뮤니케이션을 의미한다.

사. 컨트롤러 및 프로세서의 의무

PDPA에서 컨트롤러에 해당하는 '개인정보 사용자'는 단독으로, 공동으로 또는 다른 사람과 공동으로 개인정보를 처리하거나 개인정보 처리를 통제하거나 승인하지만 프로세서는 포함하지 않는 자연인을 의미한다(제4조).

PDPA에서 프로세서에 해당하는 “개인정보 프로세서”는 개인정보 사용자를 대신하여 개인정보를 처리하고, 자신의 목적을 위해 개인정보를 처리하지 않는 개인정보 사용자의 직원이 아닌 모든 자연인을 의미한다(제4조).

(1) 개인정보 처리 활동 기록 의무

PDPA 제44조는 개인정보 사용자의 개인정보 처리활동 기록 의무를 규정한다. 개인정보 사용자는 자신이 처리했거나 처리 중인 개인정보와 관련된 모든 신청, 통지, 요청 또는 기타 정보를 기록하고 유지관리 해야 한다. 반면 PDPA는 프로세서에 적용 가능한 기록 유지 요구사항을 명시적으로 규정하지 않는다.

개인정보보호위원장은 개인정보 처리 활동 기록이 유지되는 방식과 형식을 결정할 수 있다. PDPA는 개인정보 처리 기록을 사용할 수 있도록 하기 위한 특정 요구사항을 제공하지 않으며, 개인정보 처리 기록 요구 사항에 대한 특정 면제사항도 제공하지 않는다.

(2) 개인정보 영향 평가

PDPA는 개인정보 영향 평가에 대한 요구사항을 규정하지 않고 있다.

(3) DPO(Data Protection Office) 지정

PDPA는 DPO 지정에 대한 의무사항을 규정하지 않고 있다.

그러나 PC01/2020에 따라 개인정보보호위원장은 개인정보 사용자가 개인정보보호책임자를 임명하고 그러한 임명과 관련된 지침을 도입해야 하는 의무를 PDPA에 도입하는 것을 고려하고 있다.

아. 개인정보 역외 이전(Transfer)

PDPA 제129조는 개인정보의 역외 이전에 대한 사항을 규정한다.

개인정보 사용자는 관보에 게시된 통지에 의해 개인정보보호위원장의 추천에 따라 장관이 지정한 장소가 아닌 한 정보주체의 개인정보를 말레이시아 외부의 장소로 이전할 수 없다.

제129조 제1항의 목적을 위해 PDPA와 실질적으로 유사하거나 PDPA와 동일한 목적을 수행하는 법률이 해당 장소에서 시행되고 있는 경우 또는 해당 장소가 개인정보 처리와 관련하여 PDPA가 제공하는 보호 수준과 최소한 동일한 수준의 적절한 보호를 보장하는 경우에 장관은 말레이시아 이외의 특정한 장소를 지정할 수 있다.

제129조 제1항에도 불구하고, 개인정보 사용자는 아래의 경우 개인정보를 말레이시아 외부의 장소로 전송할 수 있다.

  • 정보주체가 이전에 동의한 경우
  • 정보주체와 개인정보 사용자 간의 계약 이행을 위해 전송이 필요한 경우
  • 개인정보 사용자와 제3자 간의 정보주체의 요청에 따르거나 또는 정보주체의 이익을 위해 계약의 체결 또는 이행을 위해 전송이 필요한 경우
  • 국외 이전이 법적 절차의 목적 또는 법적 조언을 구하거나 법적 권리를 설정, 행사 또는 방어하기 위한 경우
  • 개인정보 사용자는 사건의 모든 상황에서 ㉠ 국외 이전이 정보주체에 대한 불리한 활동에 대한 방지 또는 완화 조치, ㉡ 해당 이전 대상 개인정보에 대한 서면 동의를 얻는 것이 현실적으로 불가능, ㉢ 이러한 동의를 얻는 것이 실행 가능했다면 정보주체는 동의했을 것이라고 믿을 수 있는 합리적인 근거가 있는 경우
  • 개인정보 사용자는 모든 합당한 예방 조치를 취하고 개인정보가 해당 위치기 말레이시아라면 PDPA를 위반하는 방식으로 처리되지 않도록 합리적인 수준의 주의성실을 다한 경우  
  • 정보주체의 중요한 이익을 보호하기 위해 전송이 필요한 경우  
  • 장관이 정하는 상황에서 공익을 위해 필요하다고 인정되는 경우

제129조 제1항에 명시된 장소에서 이 법과 실질적으로 유사하거나 이 법과 동일한 목적을 수행하는 법률이 더 이상 시행되지 않는다고 믿을 만한 합리적인 근거가 있는 경우, 개인정보보호위원장은 제129조 제1항에 따라 작성된 통지를 취소하거나 수정하여 해당 장소가 제129조에 따라 개인정보가 이전될 수 있는 장소가 되지 않도록 해야 하는 장관에게 그러한 권고를 해야 하며, 개인정보 사용자는 통지서에 장관이 지정한 시간부터 해당 장소에 대한 정보주체의 개인정보 전송을 중단해야 한다.

제129조 제1항을 위반하는 개인정보 사용자는 범죄를 저지르고 유죄 판결 시 30만 링깃(ringgit) 이하의 벌금 및/또는 2년 이하의 징역에 처해질 수 있다.

제129조에서 정보주체와 관련하여 부정적 활동은 정보주체의 권리, 혜택, 특권, 의무 또는 이익에 부정적인 영향을 미칠 수 있는 모든 조치를 의미한다.

자. 집행

(1) 과징금과 형사처벌

PDPA는 금전적 처벌 가능성을 규정하고 있으며, 투옥을 포함한 처벌의 가능성도 제공한다. 또한 PDPA는 완화 요소에 대해서는 자세히 설명하지 않으며 유럽의 GDPR에 제공된 벌금에 비해서는 훨씬 낮은 벌금을 부과한다. 개인정보보호위원장은 PDPA에 따라 자신의 기능을 수행하는 데 필요하거나 편리한 모든 작업을 수행할 수 있는 모든 권한을 갖는다(제49조). 또한 개인정보보호위원장은 제50조 및 제51조에 따라 임명된 공무원 또는 공무원이 PDPA에 따라 집행 권한을 행사하도록 서면으로 승인할 수 있다.

제45조(예외사항)와 제46조(예외 추가의 권한)에 따라 제5조 제1항을 위반하는 개인정보 사용자는 유죄 판결 시 300,000 링깃(ringgit) 이하의 벌금 및/또는 2년 이하의 징역에 처해질 수 있다(제5조2). 제5조 제1항은 개인정보 사용자의 개인정보 처리는 개인정보보호 원칙, 즉 ① 일반 원칙, ② 통지 및 선택 원칙, ③ 공개 원칙, ④ 보안 원칙, ⑤ 보존 원칙, ⑥ 개인정보 무결성 원칙, ⑧ 열람 원칙을 따르도록 규정한다.

제14조에 따라 지정된 명령에 따라 개인정보 사용자 유형에 속하고 제16조 제1항(a)에 따라 발급된 등록 인증서 없이 개인정보를 처리하는 사람은 유죄 판결 시 500,000 링깃(ringgit) 이하의 벌금 및/또는 3년 이하의 징역에 처해질 수 있다(제16조).

제18조에 따라 등록이 취소되고 그 후에도 개인정보를 계속 처리하는 개인정보 사용자는 유죄 판결 시 500,000 링깃(ringgit) 이하의 벌금 및/또는 3년 이하의 징역에 처해질 수 있다(제16조).

제130조(개인정보의 불법 수집 등)에 따라 범죄를 저지른 사람은 유죄 판결 시 500,000 링깃(ringgit) 이하의 벌금 및/또는 3년 이하의 징역에 처해질 수 있다.

PDPA는 매출 비율의 형태로 금전적 처벌을 제공하지 않는다. 또한 PDPA는 완화 요인을 명시적으로 언급하지 않는다. 그러나 법인이 PDPA에 따른 범죄를 저지르는 경우, 범죄를 저지를 당시에 이사, 최고경영자, 최고운영책임자, 관리자, 비서실장 또는 기타 유사한 법인의 임원 또는 그러한 자격으로 행동한다고 ​​주장하거나 법인의 업무관리에 대해 어떤 방식이나 범위에서 책임을 지거나 그러한 관리를 지원하는 법인이 범죄를 저지른 것으로 밝혀지면 해당 권한과 모든 상황에서 자신의 기능 특성을 고려하여 아래를 모두 증명하지 않는 한 해당 범죄를 저지른 것으로 간주된다(제133조).

  • 범죄가 그의 인지, 동의 또는 묵인 없이 저질러졌다는 것
  • 범죄의 실행을 방지하기 위해 모든 합리적인 예방 조치를 취하고 상당한 주의를 기울였다는 사실

누구든지 이 법에 따라 자신의 행위, 누락, 태만 또는 불이행에 대한 형벌 또는 과징금에 대한 책임이 있는 경우, 그는 직원의 모든 행위, 태만, 태만 또는 불이행에 대해 동일한 형벌 또는 형벌을 받을 책임이 있다(제133조).

현재 2021년 10월 기준 개인정보보호감독기구(JPDP)에 게시된 2010년 개인정보보호법에 따른 위반행위 및 처벌 기준은 다음의 표와 같다.1)

[표 2] 개인정보보호법에 따른 위반행위 및 처벌 기준

개인정보보호법에 따른 위반행위 및 처벌 기준
순번 법률 조항 위반행위 과징금
1

제5조(2)
개인정보보호 원칙

개인정보보호 원칙을 준수하지 않는 개인정보 처리의 경우 RM 300,000 이하의 벌금 또는 2년 이하의 징역 또는 둘 다
2

제16조(4)
등록증명서

16조(1)(a)에 따라 발급된 등록 증명서 없는 개인정보 처리의 경우 RM 500,000 이하의 벌금 또는 3년 이하의 징역 또는 둘 다
3 제18조(4)
등록의 말소
등록 취소 후 개인정보 처리의 경우 RM 500,000 이하의 벌금 또는 3년 이하의 징역 또는 둘 다
4 제19조(2)
등록증 제출
등록증이 말소된 후 등록증을 제출하지 않은 경우 등록증이 말소된 후 등록증을 청장에게 제출하지 않은 경우
5 제29조
행동강령 위반
개인정보 사용자에게 적용되는 행행강령의 조항을 준수하지 않는 경우 RM 100,000 이하의 벌금 또는 1년 이하의 징역 또는 둘 다
6 제37조(4)
개인정보 정정 요구에 대한 거부 통지
제37조(2)에 규정된 사항을 준수하지 않는 경우 RM 100,000 이하의 벌금 또는 1년 이하의 징역 또는 둘 다
7 제38조(4)
개인정보 처리 동의 철회
정보주체로부터 동의철회 통지를 받은 후 개인정보 처리를 중단하지 않는 경우 RM 100,000 이하의 벌금 또는 1년 이하의 징역 또는 둘 다
8 제40조(3)
민감정보의 처리
법의 40조(1)항을 준수하지 않는 민감정보의 처리의 경우 RM 200,000 이하의 벌금 또는 2년 이하의 징역 또는 둘 다
9 제42조(6)
손해나 고통을 유발할 수 있는 처리를 방지할 권리
42조(5)항에 따른 개인정보보호위원장의 요구사항을 준수하지 않는 경우 RM 200,000 이하의 벌금 또는 2년 이하의 징역 또는 둘 다
10 제43조(4)
직접 마케팅 목적의 처리를 방지할 권리
43조(3)항에 따른 개인정보보호위원장의 요구사항을 준수하지 않는 경우 RM 200,000 이하의 벌금 또는 2년 이하의 징역 또는 둘 다
11 제108조(8)
집행 통지
집행통재 불이행 RM 200,000 이하의 벌금 또는 2년 이하의 징역 또는 둘 다
12 제113조(7)
영장이 있는 수색 및 압수
합법적인 권한 없이 제113조(6)에 언급된 컴퓨터, 책, 계정, 전산자료 또는 기타 문서, 간판, 카드, 편지, 소책자, 전단지, 통지서, 장비, 도구에 대한 봉인을 훼손, 변조 또는 손상 RM 50,000 이하의 벌금 또는 6개월 이하의 징역 또는 둘 다
13 제120조
탐색의 장애물
누구든지 권한이 부여된 임원에 대한 열람 허용을 거부, 권한 있는 공무원을 폭행, 방해, 방해 또는 지연, 범죄 또는 의심되는 범죄와 관련하여 권한 있는 공무원에게 정보 제공을 거부하는 행위를 하는 경우 2년 이하의 징역 또는 RM 10,000 이하의 벌금 또는 둘 다
14 제129조(5)
말레이시아 이외의 장소로 개인정보 전송
129조(1)에 명시된 사항을 준수하지 않음 - 관보에 게시된 통지에 의해 개인정보보호위원장의 추천으로 장관이 지정한 장소가 아닌 말레이시아 외부의 장소로 개인정보 주제에 대한 개인정보 전송 RM 300,000 이하의 벌금 또는 2년 이하의 징역 또는 둘 다.
15 제130조(7)
개인정보의 불법수집 등
130조에 명시된 범죄를 저지른 경우 RM 500,000 이하의 벌금 또는 3년 이하의 징역 또는 둘 다
16 제131조(1)/(2)
방조 및 시도는 범죄로 처벌
131조(1)에 따라 범죄를 방조하거나 범하려고 시도하는 것은 해당 범죄에 대해 유죄이며 유죄 판결을 받으면 해당 범죄에 대해 규정된 처벌을 받을 수 있음 부과된 구금 기간은 범죄에 대해 규정된 상한 기간의 2분의 1을 초과할 수 없음
131조(2)에 따라 범죄를 저지를 준비를 하거나 그 범행을 연장하는 행위를 하는 것은 해당 범죄에 대해 유죄이며 유죄 판결을 받으면 해당 범죄에 대해 규정된 처벌을 받을 수 있음 부과된 구금 기간은 범죄에 대해 규정된 상한 기간의 2분의 1을 초과할 수 없
17 141조(2)
기밀유지 의무
141조(1) (a) 및 (b) RM 100,000 이하의 벌금 또는 1년 이하의 징역 또는 둘 다
18 제143조(3)
규제 권한
규제 권한 조항에 따라 만들어진 기타 보조 규정 또는 법률을 준수하지 않는 경우 RM 250,000 이하의 벌금 또는 2년 이하의 징역 또는 둘 다

1)https://www.pdp.gov.my/jpdpv2/assets/2019/09/SENARAI_KESALAHAN_DAN_HUKUMAN-1.pdf

3기타 관련법령

말레이시아에 PDPA 이외의 개인정보보호와 직접적인 관련된 법령은 없다.

top