국가정보_말레이시아
피해구제체계
1개인정보 침해 신고 및 통지 관련
APDP는 개인정보 이용자가 개인정보 침해 시 커미셔너 및 정보주체에게 해당 사실을 신고 또는 통지해야 하는 필수 의무가 없다. 그중에 커미셔너에 대한 신고는 필수 의무사항은 아니지만 자발적 신고가 가능하도록 웹페이지(https://daftar.pdp.gov.my/)상에 시스템을 개발해 둔 상태이나, 2023년 2월 현재 해당 항목은 일시적으로 작동하고 있지 않는 상태이다. JPDP는 필수적 개인정보 침해 통지 체계를 도입하기 위해 2018년 및 2020년 총 두 차례에 걸쳐 공개 의견수렴에 나선 바 있으며(PC-1/2018, PC 01/2020)11) , 향후 APDP 개정 시 해당 의무가 법률에 도입될 가능성이 큰 편이다.
11) https://fpmpam.org/files/ImplementationOfDataBreachNotification.pdf https://www.pdp.gov.my/jpdpv2/assets/2020/02/Public-Consultation-Paper-on-Review-of-Act-709_V4.pdf
2정보주체의 권리 구제
모든 개인 또는 관련인은 정보주체로서 개인정보와 관련된 사항에 대해, 개인정보 이용자가 수행 또는 관여했거나 수행 중 또는 관여 중인 것으로서 APDP를 위반할 수 있는 행위, 절차 등을 대상으로 커미셔너에 서면으로 민원을 제기할 수 있다. (제104조) 정보주체는 JPDP가 운영하고 있는 개인정보보호 시스템(https://daftar.pdp.gov.my/p_aduan) 플랫폼을 통해 온라인 양식에 기입함으로써 JPDP에 민원을 신청할 수 있다. 그러나 APDP에서는 민원 접수 시 커미셔너의 조사 수행 거부통지 기한(민원 접수일로부터 30일)만을 규정하고 있을 뿐, 민원접수 후 처리 시까지 커미셔너가 준수해야 할 처리기간 제한이 없어 실제 민원 처리에는 많은 시간이 소요될 수 있음을 감안해야 한다. 이와 관련해, JPDP 공식 웹사이트에는 고객헌장 메뉴를 통해 정보주체의 민원에 대해 빠르고 정확하게 대응하기 위해 노력한다고 명시하고 있다. 해당 정보에 따르면 민원신청 시 영업일 기준 1일 이내 접수 확인을, 영업일 기준 3일 이내에 초기 응답을 제공한다고 언급하고 있다. 이처럼 민원을 접수한 커미셔너는 민원사항에 명시된 행위 등이 이루어졌거나 이루어지고 있다고 믿을 만한 합리적인 근거가 있는 경우 APDP 위반 여부를 확인하기 위해 개인정보 이용자와 관련된 조사를 수행할 수 있다 (제105조) 특별한 조사 거부사유나 민원을 철회한 경우가 아니라면, 커미셔너는 조사가 완료된 후 APDP를 위반하고 있거나 위반이 지속될 가능성이 있는 개인정보 이용자에, ▲커미셔너가 판단하는 개인정보 이용자의 법률 위반 사실 및 ▲법률 위반이라고 판단하게 된 이유 ▲특정 문제사안에 대한 시정 조치 지시 ▲필요한 경우 위반사항 시정 시까지 개인정보 처리 중단 지시 등을 명시한 집행통지서를 송달할 수 있다. (제108조) 한편, JPDP는 민원청구인으로 하여금 동일 플랫폼 내의 메뉴를 통해 자신이 개인정보보호 시스템을 통해 제기한 민원의 진행상황을 추적할 수 있도록 함으로써, 민원청구인에게 보다 투명한 정보를 제공하기 위해 노력하고 있다.
3처리 실적
JPDP는 2021년 총 580건의 민원을 접수하였으며, 그 중 JPDP 관할 민원으로 총 326건을 분류하였다. 326건의 민원 중에서는 개인정보보호 원칙 위반 관련 민원이 271건으로 절대 다수를 차지했고, 직접 마케팅 목적의 처리를 방지할 수 있는 권리 행사 관련 민원(34건), 개인정보 불법 수집과 관련한 민원(14건) 등이 그 뒤를 이었다.
[표 5] JPDP에 접수된 분야별 민원 건수 및 비율
| 구분 | 민원선수 | 비율(%) |
|---|---|---|
| 통신 | 41 | 7.07 |
| 금융 | 34 | 5.86 |
| 보험 | 13 | 2.24 |
| 의료 | 10 | 1.72 |
| 관광 및 숙박 | 4 | 0.69 |
| 교통 | 5 | 0.86 |
| 교육 | 6 | 1.03 |
| 직접판매 | 18 | 3.10 |
| 서비스 | 28 | 4.83 |
| 부동산 | 44 | 7.59 |
| 수도, 전력 등 | 3 | 0.52 |
| 전당포 | 0 | 0.00 |
| 대부(貸付) | 57 | 9.83 |
| 기타 | 63 | 10.86 |
| 기타 | 63 | 10.86 |
| 소계 | 326 | 56.21 |
| 기타JPDP 관할 외 | 254 | 43.79 |
| 합계 | 580 | 100 |
출처: JPDP 2021년 연례보고서12),
[표 6] PDP에 접수된 침해 유형별 민원 건수
| 유형 | 건수 |
|---|---|
| 제130조: 개인정보 등의 불법 수집 관련 | 14 |
| 제16조: 등록증명서 발급 관련 | 1 |
| 제38조: 개인정보 처리에 대한 동의 철회권 행사 관련 | 5 |
| 제40조: 민감정보 처리 관련 | 1 |
| 제43조: 직접 마케팅 목적의 처리를 방지할 수 있는 권리 행사 관련 | 34 |
| 제5조: 개인정보보호 원칙 관련 | 271 |
| 합계 | 326 |
출처: JPDP 2021년 연례보고서13)
한편, JPDP가 2021년 한 해 동안 부과한 금전 제재 사례는 1건으로 집계되었는데, 행위자는 교통 분야의 개인정보 이용자로서 동법 제5조제1항제(d)호의 보안 원칙을 위반한 사안이었다. 해당 개인정보 이용자에는 JPDP의 처벌 감경을 통해 3만 7,500 링깃(약 8,500 미국 달러)의 벌금이 부과되었다.14)
12) https://www.pdp.gov.my/jpdpv2/laporan_tahunan/laporan-tahunan-2021/ 45페이지 참고 13) https://www.pdp.gov.my/jpdpv2/laporan_tahunan/laporan-tahunan-2021/ 46페이지 참고 14) https://www.pdp.gov.my/jpdpv2/laporan_tahunan/laporan-tahunan-2021/ 47페이지 참고
