말레이시아 개인정보보호법을 시행하는 기관은 말레이시아 개인정보 감독기구(Jabatan Perlindungan Data Peribadi, 이하 JPDP)로, 말레이시아의 상거래와 관련된 개인정보 처리를 감독하는 비독립적 정부 산하기관이다. 2011년 5월 16일 최초 설립되었으며, 현 소재지는 말레이시아의 행정수도인 푸트라자야(Putrajaya)이다.

말레이시아 통신디지털부는 APDP에 근거하여 개인정보보호 커미셔너(Personal Data Protection Commissioner (말레이어 Ketua Pengarah))를 임명함으로써 말레이시아 국민의 개인정보보호를 총괄 담당하는 권한을 부여하고 있다. 더불어, 부처 산하에는 커미셔너의 업무를 지원하기 위해 개인정보 감독기구를 설립, 운영하고 있으며, 개인정보보호 자문워원회(Personal Data Protection Advisory Committee)를 설립해 커미셔너에게 자문을 제공하도록 하고 있다.

JPDP는 커미셔너 이하 총 3개 영역별 부서로 구성되어 있으며, 일부 단위 조직은 커미셔너 직속으로 편성되어 있다. 2023년 2월 현재 커미셔너는 공석으로, 2019년 1월 임명되었던 전임 마즈말렉 빈 모하마드(Mazmalek bin Mohamad) 커미셔너⁷⁾가 퇴임한 후 후임이 임명되지 않은 상태이다. 부커미셔너는 2023년 1월 통신디지털부에서 전임한 노르만 아나크 페테르(Norman Anak Peter)⁸⁾부커미셔너이다.

[그림 1] JPDP 조직도 (2023년 2월 기준)⁹⁾

출처 : JPDP 홈페이지, 넥스텔리전스 재구성 (2023. 2.)

JPDP는 말레이시아 국민의 정보주체로서의 권리를 보장하고 개인정보 이용자의 개인정보 처리 활동을 감독하는 등 직접 혹은 간접적으로 국민의 개인정보를 보호하는 업무를 수행한다. 또한 개인정보보호에 관한 대중의 인식 제고와 교육을 통해 개인정보보호에 관한 지식 함양에 이바지하고, 개인정보 침해 발생 시에는 조사 권한 행사를 통해 민원인의 피해 구제를 위해 노력한다.

7) https://www.kkd.gov.my/en/569-penempatan-dan-pertukaran/14474-penempatan-pegawai-2019
마즈말렉 빈 모하마드 커미셔너는 2014년 10월~2016년 12월초까지 커미셔너직을 역임한 바 있으며, 2019년 재차 커미셔너에 임명됨으로써 커미셔너직을 두 번 수행했다.
https://www.pdp.gov.my/jpdpv2/assets/2020/02/Buletin_2019_1.pdf 8) https://www.kkd.gov.my/warga/penempatan-dan-pertukaran-pegawai/pertukaran-pegawai 9) https://www.pdp.gov.my/jpdpv2/mengenai-kami/profil/carta-organisasi/

[표 3] JPDP 연락처

구체적으로, JPDP가 공개하고 있는 주요 부서별 소관 사무는 다음과 같다.

[표 4] JPDP 주요 부서별 업무

(1) 개인정보보호 커미셔너(Personal Data Protection Commissioner)

통신미디어부장관은 APDP에 따른 커미셔너의 기능과 권한을 수행하게 할 목적으로, 적합한 요건을 갖춘 자를 커미셔너로 임명하고 관보에 게재하며, 임명된 커미셔너는 영구 승계 및 공동 인장이 있는 법인의 형태를 갖추며 자신의 법인 이름으로 소송을 제기할 수 있다. (제47조) 커미셔너의 임기는 최대 3년으로 하며 재임명될 수 있다. (제53조)

APDP 제48조에서는 커미셔너의 기능을 아래와 같이 열거하고 있다.
① 개인정보보호를 위한 국가 정책 및 기타 모든 관련 문제에 대해 장관에게 조언 제공
② 개인정보보호 운영 정책 및 절차 수립을 포함하여 개인정보보호법의 시행 및 집행 담당
③ 개인정보 이용자를 대표하는 협회 또는 단체로 하여금 개인정보보호법의 목적을 위해 행동규약을 마련하고 구성원에게 이를 배포하도록 장려 및 촉진
④ 커미셔너의 기능을 수행할 목적으로 단체 또는 정부기관과 협력
⑤ 동법 제129조(개인정보 국외이전)에 따라 특정 외국이 동법에서 제공하는 것과 실질적으로 유사하거나 동등한 목적을 수행하기 위한 개인정보보호 시스템을 갖추고 있는지 여부 결정
⑥ 개인정보 처리의 발전과 관련해 연구 및 모니터링을 수행함으로써 개인의 프라이버시에 미칠 수 있는 영향 검토
⑦ 회람문서, 집행통지서, 기타 문서의 발행을 통해 APDP 준수 여부에 대한 모니터링 및 감독 수행
⑧ 동법의 운영과 관련한 정보에 대해 대중 인식 제고 및 보급 촉진
⑨ 개인의 프라이버시에 관련된 문제 등에 대해, 말레이시아 역외 장소에서 유사한 개인정보보호 기능을 수행하는 사람과 연락 및 협력
⑩ 말레이시아 국내 및 국외에서 통신미디어부장관이 승인한 개인정보보호 관련 행사에 참여하여 말레이시아를 대표
⑪ 동법의 관리에 필요하고 적절한 업무를 수행하거나 통신미디어부장관이 지시하는 동법에 부합하는 기타 목적 수행

또한, 커미셔너는 APDP에 따른 직무 수행을 위하거나 또는 이와 관련하여 필요한 모든 업무를 할 수 있는 권한을 보유하며, 여기에는 아래의 권한을 포함한다. (제49조)
① 통신미디어부장관이 정한 수수료 징수
② 자신의 직무 수행에 도움이 될 수 있는 적합한 대리인, 전문가, 자문역 등 임명
③ 자신의 직무를 적절하고 효과적으로 수행하기 위한 인적자원 개발과 협력 프로그램 공식화
④ 계약 체결
⑤ 자신의 직무 수행을 위해 동산 또는 부동산 취득, 구매, 보유 등을 수행하거나, 인도, 위탁, 양도, 포기, 청구, 저당, 소멸, 이전, 처분 등 수행
⑥ 장관이 수시로 정하는 기타 기능 수행
⑦ 자신의 직무 수행으로 인해 부수적이거나 결과적으로 발생할 수 있는 기타 모든 업무 수행

한편, APDP는 커미셔너에게 장관의 승인을 받아 자신의 기능 수행과 권한 행사에 필요한 수의 공무원을 부커미셔너(Deputy Commissioner)와 커미셔너보(Assistant Commissioner)로 임명할 수 있도록 하고 있다. 임명된 부커미셔너 및 커미셔너보는 커미셔너가 통신미디어부장관의 승인을 얻어 결정한 임기, 보수, 수당, 혜택을 보장 받으며, 마찬가지로 해당 장관의 승인을 얻어 커미셔너가 결정한 복무 조건에 따라야 한다. (제50조) 그밖에도 커미셔너는 자신의 기능 수행 및 권한 행사에 필요한 기타 임원 및 직원을 스스로 결정한 조건에 따라 고용할 수 있다. (제51조)

(2) 개인정보보호 자문위원회(Personal Data Protection Advisory Committee)

개인정보보호 자문위원회는 커미셔너에게 자문을 제공하기 위한 목적으로 설립한다. 자문위원회는 ① 개인정보보호에 관련된 제반사항과 APDP의 적법한 관리 및 집행에 대해, 그리고 ② 커미셔너가 자문위원회에 회부한 사안에 대해 조언을 제공한다. 다만, 커미셔너는 자문위원회의 조언에 구속되지 않는다. (제70조~제71조)

자문위원회는 ▲의장 ▲공공부문의 위원 3인 ▲7인 이상 11인 이하의 기타 위원 등 최소 11인의 구성원으로 조직되며 통신미디어부장관이 각 구성원을 임명한다. (제72조). 각 구성원은 특별한 사유가 없는 한 통신미디어부장관이 임명 시 결정한 3년 이하의 임기 동안 직위를 유지하는데, 재임은 가능하지만 2회를 초과하여 연속으로 재임명될 수는 없다. (제73조) 따라서 자문위원회 위원이 2회 연달아 재임 후, 임기를 연속하지 아니하고 차후 다시 임명되는 것은 법률조항 해석상 가능한 것으로 풀이된다.

(3) 개인정보 이용자 포럼

APDP는 특정 유형별 개인정보 이용자의 모임인 개인정보 이용자 포럼에 대해 규정하고 있다. 커미셔너는 APDP의 목적을 위해 특정 단체에 서면으로 통지함으로써 해당 단체를 특정 유형의 개인정보 이용자와 관련한 개인정보 이용자 포럼으로 지정할 수 있다. 다만 커미셔너가 이용자 포럼으로 지정할 해당 단체는 아래의 요건을 만족해야 한다. (제21조제1항)
① 해당 단체의 회원 자격이 동일 유형의 모든 개인정보 이용자에게 열려 있어야 함
② 해당 단체가 ​​동법의 관련 규정에서 요구하는 대로 업무 수행이 가능해야 함
③ 해당 단체가 명문으로 된 정관을 보유해야 함
이때, 해당 단체는 커미셔너가 개인정보 이용자 포럼 등록부에 포럼 지정 사실을 등록하기 전, 개인정보 이용자 포럼으로 지정되는 것을 서면으로 동의해야 한다. (제21조제2항)

한편, 커미셔너는 위의 절차에 따라 개인정보 이용자 포럼으로 지정한 기존 단체가 상기 요건을 더 이상 충족하고 않음을 확인한 경우 개인정보 이용자 포럼이 아니라고 결정할 수 있다. 이 경우 커미셔너는 포럼 지정을 철회하고 포럼 등록부에서 지정 등록을 취소해야 한다. (제21조제3항 및 제4항)

개인정보 이용자 포럼은 아래와 같은 다양한 업무를 수행한다.¹⁰⁾

① APDP에 따라 정보주체의 권리를 보호하기 위한 행동규약 작성, 개발, 수정 및 검토
② 포럼의 업무 범위 내에 포함된 사안에 대한 연구 수행 이외에, 포럼의 목적에 적절하거나 유익한 것으로 간주하는 통계의 수집, 준비 및 배포
③ 분쟁 및 불만 제기를 위한 채널 제공
④ 분쟁해결을 위한 저렴하고 실용적인 대안 절차 제공
⑤ 행동규약 위반 시 정보주체에 대한 배상 절차 또는 기타 수단 제안
⑥ 운영 및 관리 지원을 위한 사무국 설립

10) https://www.pdp.gov.my/jpdpv2/mengenai-kami/maklumat-organisasi/forum-pengguna-data/