국가정보_필리핀

  • 유럽
  • 미국
  • 일본
  • 중국
  • 영국
  • 독일
  • 호주
  • 캐나다
  • 싱가포르
  • 베트남
  • 러시아
  • 프랑스
  • 태국
  • 대만
  •  말레이시아

법률체계

1개요

필리핀의 법제도는 성문법, 관습법, 이슬람율법(샤리아), 토착법의 요소가 혼합된 독특한 법제를 채택하고 있다. 특히 필리핀 성문법 체계는 입법기관(의회) 뿐만 아니라 행정부 수장인 대통령도 그에 준하는 법률제정 권한을 인정하는 독특한 형태로 구성된다. 필리핀 법령체계는 ① 헌법, ② 입법기관이 제정한 국내법과 및 의회의 비준을 통해 발효된 국제협정을 포함한 공화국법, ③ 공화국법의 시행을 위해 추가적으로 발효되는 법령, 그리고 ④ 각 지방자치단체가 제정하는 조례 등을 포함한 기타 법규범으로 구성된다.

① 헌법(Constitution)

필리핀 최상위 법 규범으로 법률체계의 근간이 된다.

② 공화국법(Republic Act)

· 국내법 : 입법기관(상원, 하원)에 의해 제정되어 의회의 표결을 통과한 후 대통령의 서명을 통해 정식으로 제정된 법률이다.

· 조약(Treaty) : 국가 간에 서면으로 체결한 국제협약에 의하여 규율되는 법규범이다. 의회에 의해 승인된 조약은 국내법과 동등하게 법률로서의 효력을 가지며, 필리핀 공화국법을 구성하고 있다.

③ 공화국법(Republic Act)의 시행을 위한 법령

· 필리핀 헌법과 법률이 정한 권한에 따라 행정부가 시행하는 시행규칙, 행정명령, 집행명령, 포고령(Proclamation) 등을 포함하고 있다.

· 시행규칙(Implementing Rules and Regulations, IRR)은 행정부가 입법기관(상원, 하원)에 의해 제정된 법률을 집행하기 위해 규제기관 또는 관련부서를 통해 법적 구속력을 지닌 지침과 규칙을 공표한다. 이러한 규정은 법률이 부여한 행정기관의 직무 수행과 업무처리의 기준을 제시할 목적으로 제정되어 필리핀 법제의 주요한 구성요소로 작용하고 있다.

④ 기타의 법규범

· 조례(Ordinances) : 지방자치단체가 제정하는 법규범이다.

· 법원의 판결 : 필리핀 최고법원인 대법원 판결은 법률로서 효력을 가진다.

· 대통령령(Presidential Decree) : 마르코스 대통령이 선포한 계엄령 시기에 제정되었으며 법률로서의 효력을 가진다.

· 1987년 헌법 제8조 5항에 따라 대법원은 조약(treaty), 국제협정(international or executive agreement), 법률(law), 대통령령(presidential decree), 포고령(Proclamation), 명령(order), 지시(instruction), 조례(ordinance) 또는 규정(regulation)에 문제가 있는 경우 권한을 행사한다.

[그림 1] 필리핀 법률체계

필리핀 법률체계

2필리핀 개인정보보호 법령체계

필리핀 개인정보보호법(DPA, Data Privacy Act)은 2012년 9월 8일에 발효되었으며, 이후 동 법을 관장하기 위한 실무를 담당하는 국가 개인정보 위원회(NPC, National Privacy Commission)가 2016년에 출범되었다. 그리고 2016년 9월에는 국가 개인정보위원회(NPC)의 실무규정과 지침을 구현하는 개인정보보호법 시행규칙(IRR, Implementing Rules of the Republic Act No. 10173)이 제정되어 오늘에 이르고 있다.

가. 필리핀 개인정보보호법(DPA, Data Privacy Act)

(1) 개요

개인정보보호법(DPA) 이전에는 필리핀에서 개인정보활동(수집·이용·보관·공개·이전·폐기)을 규제하는 공식적인 법규와 기구가 없었으며 정보주체의 권리보호를 위한 통합적인 조치 또한 시행된 바가 없었다. 이러한 관련 법령의 부재는 필리핀 내에서 개인정보의 악의적인 오남용과 침해사례를 낳았으며, 또한 수집된 개인정보가 정보주체의 동의 목적과 무관한 용도로 사용되는 등 개인정보와 관련한 기본적인 권리조차 보호받지 못하는 상황이 지속적으로 전개되었다. 이러한 상황 가운데 개인정보보호법(DPA)은 정보주체의 정보활동에 안전성을 강화하고, 국제기준에 부합하는 정보보호 수준을 달성함으로써 국가경쟁력에 기여하고자 개인정보 보호에 대한 필요성이 본격적으로 요구되는 시점에서 등장하였다.

역사적으로 보면, 필리핀 법률체계에서 개인정보보호 개념이 처음 등장한 것은 2006년으로 거슬러 올라간다. 당시 필리핀 산업통상부가 개인정보보호에 관한 지침 ‘산업통상부 행정명령 제8-2006호’를 발표한 바 있는데, 이는 EU GDPR의 전신인 개인정보보호지침 1995를 참고하여 작성된 것으로서, 현재 필리핀 개인정보보호법(DPA)이 EU GDPR의 기준과 원칙을 준용하고 있다고 평가받는 근거가 되고 있다.

필리핀 개인정보보호법(DPA)에서도 다른 국가의 개인정보보호법 체계에서와 마찬가지로 개인정보에 관한 정보주체의 권리보호를 핵심적인 가치로서 명시하고 있다. 이는 GDPR이 보장하는 정보주체의 권리와 매우 유사한 것으로, 동 법은 정보주체의 권리로서 ① 정보를 고지 받을 권리, ② 정보에 접근할 권리, ③ 거부할 권리, ④ 개인정보의 삭제 및 차단 권리, ⑤ 정보의 정정 권리, ⑥ 불만 제기 권리, ⑦ 손해배상 청구 권리, ⑧ 개인정보 이전에 관한 권리를 포함한다고 명시하고 있다.

개인정보 컨트롤러와 프로세서는 이러한 정보주체의 권리를 반드시 준수해야 하며, 법률이 정한 특정한 상황을 제외한 일반적인 상황에서는 이러한 정보주체의 권리행사에 대해 적극적이고 즉각적으로 대응하도록 규정하고 있다. 또한, GDPR과 마찬가지로 개인정보보호법(DPA)은 개인정보 침해 발생 시 개인정보 컨트롤러의 고지의무를 규정하고 있다. 즉, 동 법은 개인정보 침해는 해당 정보주체와 국가 개인정보위원회(NPC)에 침해사고는 발생시점으로부터 72시간 내 또는 개인정보 컨트롤러(프로세서)가 합리적 판단에 따라서 고지가 필요한 개인정보 침해가 발생했다고 인지하는 즉시 고지가 이루어져야 한다고 명시하고 있다.

(2) 개인정보의 정의

개인정보보호법(DPA) 제1장 3조은 ‘개인정보’를 “실물 형태로 기록여부와 관계없이 개인의 신원을 명백하게 보여주거나, 해당 정보를 보유하는 주체를 합리적이고 직접적으로 확인할 수 있거나, 다른 정보와 취합 시 개인을 직접적으로 확실하게 식별할 수 있는 정보”로 정의하고 있다. 또한 같은 조항은 ‘민감한 개인정보’를 아래와 같이 예시하고 있다.

  • 개인의 인종, 출신 민족
  • 결혼여부, 연령, 피부색, 종교 및 철학 또는 정치적 배경에 관한 정보
  • 개인의 건강이나 교육
  • 유전자, 성생활 또는 그가 범하였거나 혐의를 받는 범죄에 대한 소송절차, 해당 소송에 따른 처분 또는 법원 선고에 관한 정보
  • 사회보장번호나 과거 또는 현재의 의료기록, 면허나 면허 거절·중지·취소에 관한 기록, 세금신고 등의 정보를 포함하되 이에 국한하지 아니하고 정부기관이 발행한 특정 개인에 관련된 고유정보
  • 행정명령이나 의회가 제정한 법이 기밀로 유지되도록 정한 정보

(3) 적용범위

개인정보보호법(DPA)은 개인정보 ‘처리’를 “개인정보의 수집⋅기록⋅구성⋅저장⋅ 업데이트 또는 수정⋅검색⋅참조⋅사용⋅통합⋅차단⋅삭제⋅파기를 포함하되 이에 국한되지 않고 개인정보에 대하여 수행하는 일련의 작업”(이하, ‘개인정보 처리’)으로 정의하고 있다.

동 법 제1장 제4조는 적용범위를 “모든 개인정보 형식의 처리와 개인정보 컨트롤러 또는 정보 프로세서를 포함하여 필리핀에 설립되지 아니하더라도 ① 필리핀 소재의 장비를 사용하거나, ② 필리핀에 사무소나 지점⋅대리점을 유지하는 자를 포함하여 개인정보 처리에 관여하는 모든 자연인과 법인에 적용한다. “고 규정하고 있다.1) 또한, 제1장 제6조 역외적용에 관한 규정은 ③ 정보주체가 필리핀 시민이나 필리핀 거주민인 경우에는 현재 거주국가나 정보처리 위치에 상관없이 동법의 적용대상으로 인식한다고 언급하고 있다.

이러한 기준에 따르면, 미국에 체류하고 있는 필리핀 국적 해외노동자의 개인정보를 필리핀에 소재한 금융기관이 처리하는 경우에도 동 개인정보보호법(DPA)을 적용하고, 국외에 거주하는 필리핀 국적 해외노동자의 개인정보를 제3국의 은행이 처리하는 경우에도 동일하게 적용 받도록 규정하고 있다.

그러나 개인정보보호법(DPA)은 정보주체가 자신의 개인정보를 처리하거나 정보주체의 지시에 의해 처리되는 개인정보는 동 법에 의한 규제가 적용되지 않으며, 또한 특정 개인이 자녀의 은행거래를 위한 계좌에 필요한 자녀의 개인정보를 제공하는 것과 같이 자신과 가족구성원의 편익을 위해 개인정보를 처리하는 경우에는 규제의 적용대상이 아니라고 명시하고 있다. 또한 동 법 제1장 제4조는 아래의 정보는 적용범위에서 제외하도록 규정하고 있다.

1) 다만, 제 5 조 “언론인 및 취재원의 보호”의 요건이 준수되어야 한다.

· 다음 각 호를 포함하여 개인의 직위나 업무에 관한 전⋅현직 정부기관의 임직원에 관한 정보

  • 개인이 정부 기관의 전⋅현직 임직원이라는 사실
  • 개인의 직급과 업무용 주소와 전화번호
  • 개인이 재직하는 직위의 분류와 호봉, 책무
  • 개인이 정부 취업 과정에서 작성하는 문서에 등재된 개인의 이름

· 정부기관의 계약에 따라 서비스를 수행 중이거나 수행한 개인에 관하여 계약약관 및 해당 서비스 수행 과정에서 제공된 해당인의 이름을 포함한 정보

· 정부가 개인에게 부여하는 면허나 허가와 같이 재정적 성격의 재량 편익에 관하여 해당 개인의 이름과 편익의 정확한 성격을 포함한 정보

· 언론이나 예술, 문학, 연구 목적을 위하여 처리되는 개인정보

· 독립된 중앙 통화당국과 법집행 및 규제기관이 헌법과 법률에 따라 규정된 기능의 수행을 위하여 필요한 개인정보의 처리를 포함하여, 공공기관의 기능 수행을 위하여 필요한 정보2)

· 독립된 중앙 통화 당국 또는 필리핀 중앙은행이 관할하는 은행이나 기타 금융기관이 공화국법 제9510호,「자금세탁방지법」으로 알려진 공화국법 제9160 호와 그 밖의 관련 적용법을 준수하기 위하여 필요한 정보

· 개인정보보호 관련 법률을 포함하여 해외법률에 따라 해외 관할구역의 주민으로부터 최초로 수집되고 필리핀에서 처리되는 개인정보

2) 이 법의 규정은 「은행예금비밀보호법」으로 알려진 공화국법 제 1405 호나 「외화예금법」으로 알려진 공화국법 제 6426 호, 「신용정보시스템법」으로 알려진 공화국법 제 9510 호를 개정하거나 폐지한다고 해석되어서는 아니 된다.

또한 동 법 제1장 제6조는 물리적으로 필리핀 내에서 소재하거나 발생하지 않은 개인정보 관련 사안이라 하더라도 아래의 경우 동법의 적용을 받도록 규정하고 있다.

· 해당 행위나 관행, 처리가 필리핀 시민이나 주민에 대한 개인정보와 관련이 있는 경우

· 해당 주체가 필리핀과 관련이 있고 필리핀에서 개인정보를 처리하거나, 필리핀 외부에서 처리하더라도 다음 각 호를 포함하되 이에 국한하지 아니하고 필리핀 시민이나 주민과 관련이 있는 경우

  • 필리핀 내에서 계약이 체결되는 경우
  • 법인이 필리핀에 설립되지 아니하였으나 필리핀 국내에서 통제가 이루어지는 경우
  • 지점이나 대리점, 사무소

· 자회사가 필리핀에 있고 필리핀 법인의 모회사나 계열사가 개인정보에 접근하는 경우

· 해당 주체가 다음 각 호를 포함하되 이에 국한하지 아니하고 필리핀 국내에 다른 연고가 있는 경우

  • 해당 주체가 필리핀에서 사업을 영위하는 경우
  • 필리핀 소재 주체가 개인정보를 수집 또는 보유한 경우

(4) 정보주체의 권리

개인정보보호법 (DPA) 제4장 제16조는 정보주체의 권리에 관해 아래와 같이 언급하고 있다.

· 본인에 관한 개인정보가 처리 중이거나 처리된 또는 처리될 사실을 고지 받을 권리

· 본인의 개인정보가 개인정보 컨트롤러의 처리시스템에 입력되기 전 또는 이후 가능한 때에 다음 각 호의 정보를 받을 권리3)

  • ­­시스템에 입력되는 개인정보에 대한 설명
  • ­­개인정보가 처리되는 목적
  • ­­개인정보 처리의 범위와 방법
  • ­-해당 개인정보를 받아볼 수 있는 수령인이나 수령인의 유형
  • ­­정보주체가 허용하는 경우
  • ­­정보에 자동적 접근을 위하여 사용되는 방법과 해당 접근의 허용 범위
  • ­­개인정보 컨트롤러나 그 대리인의 신원과 연락처
  • ­­정보가 저장되는 기간
  • ­­정보의 접근과 정정에 대한 권리뿐만 아니라 국가개인정보보호위원회에 고발장을 제출할 수 있는 권리의 존재

3) 정보주체에 제공되는 정보나 설명은 정보주체의 사전 통보 없이 개정할 수 없다. 다만, 계약이나 서비스의 이행 또는 이와 관련하여 필요하거나 노사관계에서 수집인과 정보주체 사이에 필요하거나 바람직한 경우, 법적 의무로 인하여 정보가 수집 및 처리되는 경우를 포함하여 수집과 처리가 명백한 목적을 위해 이루어지는 경우 또는 소환장에 의하여 개인정보가 필요한 경우에는 개인정보가 개인정보 컨트롤러의 처리 시스템에 입력되기 전 또는 이후 가능한 때의 고지를 적용하지 아니한다.

· 다음 각 호에 대한 합당한 접근 요구

  • ­­기 처리된 개인정보의 내용
  • ­­개인정보가 입수된 출처
  • ­-개인정보 수령인의 이름과 주소
  • --해당 정보가 처리된 방식
  • ­-수령인에게 개인정보가 공개되는 사유
  • ­-정보주체에 중대한 영향을 미치거나 미칠 가능성이 있는 결정의 유일한 근거로서 정보가 생성되는 자동 절차에 관한 정보
  • ­­정보주체에 관한 개인정보가 최종 접근 및 수정된 날짜
  • --개인정보 컨트롤러의 명칭이나 이름, 신원, 주소

· 요청이 남용되거나 그 밖에 부당한 경우를 제외하고, 개인정보의 부정확한 내용이나 오류에 이의를 제기하고 개인정보 컨트롤러에게 즉시 이를 정정하도록 요구할 권리4)

· 개인정보가 불완전하거나, 최신의 정보가 아니거나, 허위이거나, 불법으로 입수되었거나, 승인되지 않은 목적으로 사용되었거나, 개인정보 수집 목적에 더이상 필요하지 않았다는 사실이 확인되고 실질적으로 입증된 경우 개인정보 컨트롤러의 입력 시스템에서 본인의 개인정보를 정지, 철회하거나 차단⋅삭제⋅파기를 지시할 권리5)

· 위와 같이 개인정보가 불완전하거나, 최신의 정보가 아니거나, 허위이거나 불법으로 획득되거나 승인되지 않은 목적으로 사용되는 개인정보로 인하여 입은 손해를 배상 받을 권리

4) 개인정보가 정정된 경우, 정보 컨트롤러는 신규 및 취소 정보에 대한 접근성과 신규 및 철회 정보 수령인의 동시 수령을 보장한다. 다만, 정보주체의 합리적 요청이 있을 경우 이전에 해당 개인정보를 수령한 제 3 자에게 해당 정보의 부정확성과 정정 사실을 고지하여야 한다.
5) 이 경우 정보 컨트롤러는 해당 개인정보를 종전에 수령한제 3 자에게 통보할 수 있다.

그러나 개인정보보호법 (DPA) 제4장 제19조는 처리된 개인정보가 과학과 통계 조사의 필요에 의해서만 사용되고, 이를 바탕으로 다른 활동이 수행되지 아니하고 정보주체에 관한 결정이 내려지지 아니할 경우에는 앞서 기재한 정보주체의 권리가 적용되지 않는다고 규정하고 있다. 그러나 정보주체의 권리가 적용되지 않는 상황에서도, 개인정보는 대외비로 보관하고 공표된 목적으로만 사용하여야 하다고 규정하고 있다. 한편, 정보주체의 범죄나 행정, 조세채무에 관한 조사를 위하여 수집되는 개인정보의 처리에 대해서는 앞서 언급한 정보주체의 권리가 적용되지 않는다.

(5)컨트롤러 및 프로세서의 의무

개인정보보호법(DPA)은 개인정보 컨트롤러를 개인정보 처리에 관한 일련의 업무를 주관하는 개인이나 단체로 정의하고, 정보 프로세서는 개인정보 컨트롤러로부터 개인정보 처리업무를 위탁받아 수행하는 자연인 또는 법인으로 정의하고 있다. 동 법의 제3장 11조는 개인정보 컨트롤러와 프로세서가 개인정보의 수집 및 처리 시에 준수해야 할 일반원칙을 아래와 같이 제시하고 있다.

· 수집 전이나 수집 직후 가능한 한 조속히 결정 및 공표되는 적법한 특정목적을 위하여 수집하고, 향후 이와 같이 결정 및 공표된 적법한 목적에 부합하는 방식으로만 처리하여야 한다.

· 공정하고 적법하게 처리하여야 한다.

· 정확하고 타당성이 있어야 하며, 개인정보 처리에 사용될 목적으로 필요한 경우, 최신 정보를 유지하여야 한다.

· 개인정보가 수집 및 처리 목적과 관련하여 적절해야 하며 과도해서는 안 된다.

· 정보를 입수한 목적을 이행 또는 법적 청구권의 입증⋅행사⋅방어나 적법한 사업 목적을 위하여 필요한 기간 또는 법률로 정하는 기간 동안에만 보유하여야 한다.

· 정보가 수집 및 처리된 목적에 필요한 기간 이후에는 정보주체를 식별할 수 있는 양식으로 보관하여서는 안 된다. 다만, 그 밖의 목적을 위하여 수집된 개인정보는 역사나 통계, 과학적 목적을 위해 사용될 수 있으며, 법률로 정한 경우 장기간 저장할 수 있다. 또한, 개인정보의 처리를 허가하는 전술한 법률은 적절한 보호수단을 보장하여야 한다. 아울러, 개인정보 컨트롤러는 이법에서 명시하는 개인정보 처리 원칙의 이행을 보장하여야 한다.

1) 동의

개인정보보호법(DPA)과 개인정보보호법 시행규칙(IRR, Implementing Rules of the Republic Act No. 10173)은 개인정보를 적법하게 처리하기 위해서는 정보주체의 동의가 필요하다고 규정하고 있다. 동 법은 “동의는 정보주체가 자유의사에 따라 정보에 기반을 두어 본인에 관한 개인정보 수집 및 처리에 동의한다는 구체적인 의사의 적시를 말한다. 동의는 서면이나 전자 또는 기록 수단으로 증명하며 정보주체가 구체적으로 위임하는 대리인이 정보주체를 대신하여 동의 절차의 적법성을 갖추어 제공할 수 있다.”고 명시함으로써, 정보주체의 ‘명시적인 동의’만 유효한 것으로 인정하고 있다. 한편 동 법에서 요구하는 동의에 관한 사항은 기타 법률이 명시적으로 동의를 면제하는 경우에는 예외적인 상황으로 인식하고 동의 의무 적용을 면제하고 있다.

또한 개인정보보호법(DPA) 제3장 제12조는 개인정보 컨트롤러와 프로세서의 개인정보 처리에 관한 적법성 여부를 판단에 아래와 같은 기준을 제시하고 있다.

· 정보주체가 동의를 한 경우

· 개인정보의 처리가 필요하고 정보주체와 체결한 계약의 이행과 관계가 있거나 계약을 체결하기 전에 정보주체가 요청하는 조치를 취하기 위하여 필요한 경우

· 개인정보 컨트롤러에게 적용되는 법적 의무를 준수하는데 필요한 경우

· 생명과 건강을 포함하여, 정보주체의 주요 이익을 보호하기 위해 처리가 필요한 경우

· 국가 비상사태에 대응 또는 공공질서 및 안전 요건을 준수하거나 개인정보의 처리가 불가피하게 포함되는 공공기관의 직무 이행에 정보 처리가 필요한 경우

· 개인정보 컨트롤러나 정보가 공개되는 제3자가 추구하는 적법한 이익을 위하여 처리가 필요한 경우. 다만, 필리핀 헌법에 따라 보호하여야 하는 정보주체의 기본권과 자유가 해당 이익에 우선하는 경우는 예외로 한다.

한편 개인정보보호법(DPA) 제3장 제13조는 민감한 개인정보와 비닉정보의 처리는 금지하고 있으나, 다음 각 항의 어느 하나에 해당하는 경우에 대해서는 예외로 인정하고 있다.

· 정보주체가 처리 전에 목적에 동의하거나, 비닉정보의 경우 교환 당사자 전원이 처리 전에 동의한 경우

· 기존 법규에서 해당 정보의 처리를 정하고 있는 경우. 다만, 해당 법규는 민감한 개인정보와 비닉정보의 보호를 보장하여야 한다. 또한, 민감한 개인정보나 비닉정보의 처리를 허용하는 법규상 정보주체의 동의가 의무가 아닌 경우여야 한다.

· 정보주체나 타인의 생명과 건강을 보호하기 위하여 처리가 필요하고, 정보주체가 법적으로나 신체적으로 처리 전 동의를 표명할 능력이 없는 경우

· 공공기관 및 유관단체의 적법하고 비영리적인 목표를 달성하기 위하여 처리가 필요한 경우. 다만, 전술한 처리는 해당 조직이나 단체의 정회원 및 그와 관련된 것으로 제한한다. 또한, 민감한 개인정보는 제3자에게 전달하여서는 아니 된다. 아울러, 처리 전에 정보주체의 동의를 구하여야 한다.

· 의사나 의료기관이 의료 목적으로 처리가 필요하고, 개인정보의 적절한 보호가 보장되는 경우

· 해당 개인정보의 처리가 소송에서 자연인이나 법인의 법적 권리와 이익을 보호하거나 법적 청구권을 입증⋅행사 또는 방어하는데 필요하거나 정부나 공공기관에 제공되는 경우

2) 보안

개인정보보호법(DPA) 제5장 제20항은 수집된 개인정보의 보관과 저장에 관해 아래와 같이 요구사항을 제시하고 있다.

· 정보 컨트롤러는 우발적이거나 불법적인 파기, 변경 및 공개는 물론 기타 불법적인 처리로부터 개인정보를 보호하기 위한 합리적이고 적합한 조직적·물리적·기술적 조치를 구현해야 한다.

· 정보 프로세서는 우발적인 멸실 또는 파괴와 같은 자연적 위험과 불법적 접근, 부정사용, 불법적 파괴, 변조 및 오염과 같은 인적 위험으로부터 개인정보를 보호하기 위해 합리적이고 적절한 조치를 취해야 한다.

· 본 조항에 따른 적절한 보안 수준의 결정은 보호할 개인정보의 특성, 처리로 인한 위험, 조직의 규모와 운영 복잡성, 현재의 정보 개인정보 보호 모범 사례 및 보안 구현 비용을 고려해야 한다.

· 또한 구현될 보안대책에는 국가 개인정보위원회(NPC)가 발행할 수도 있는 지침에 따라 아래의 사항을 포함하도록 요구하고 있다.

  • ­­­우발적, 불법적 또는 무단 사용 또는 기능 또는 가용성에 대한 간섭 또는 방해로부터 컴퓨터 네트워크를 보호하기 위한 보호 장치
  • 개인정보 처리에 관한 보안정책
  • 컴퓨터 네트워크에서 합리적으로 예측 가능한 취약성을 식별·액세스하고 보안위반으로 이어질 수 있는 사고를 예방·시정·완화하기 위한 프로세스
  • ­보안 침해에 대한 정기적인 모니터링과 침해로 이어질 수 있는 보안사고에 대한 예방·시정·완화하기 위한 대처 프로세스

· 정보 컨트롤러는 자신을 대신하여 개인정보를 처리하는 제3자6)가 이 조항에서 요구하는 보안조치를 구현하도록 추가적으로 보장해야 한다.

6) 정보 프로세서

· 개인정보 처리에 관여하는 정보 프로세서의 직원이나 대리인은 개인정보의 공개를 목적으로 하지 않는 한, 개인정보가 엄격한 기밀상태로 운영되고 보유될 수 있도록 해야 한다. 이 의무는 해당 직무를 그만두거나 다른 직책으로 이동하거나 고용관계가 종료된 후에도 계속 유지되어야 한다.

· 정보 컨트롤러는 민감한 개인정보 또는 신분사기에 이용될 수 있는 기타의 정보가 승인되지 않은 사람에 의해 침해되었다고 합리적으로 의심될 때에는 국가 개인정보위원회(NPC)와 영향을 받는 정보주체에게 즉시 해당 사실을 통지해야 한다. 개인정보 컨트롤러 또는 개인정보위원회(NPC)는 이러한 침해의 영향을 받은 정보주체에게 심각한 피해를 줄 수 있는 실제 위험을 초래할 가능성이 있다고 판단되는 경우, 통지를 통해 최소한 침해의 성격과 그와 관련된 민감한 개인정보의 내용, 침해에 대응하기 위해 기업이 취한 조치에 관한 내용을 전달해야 한다. 이러한 통지는 침해범위를 확인하거나 또는 추가적인 침해를 방지하거나, 정보통신시스템에 대한 무결성 회복을 위해 합리적으로 필요한 범위 내에서만 지연될 수 있다.

  • 개인정보위원회(NPC)는 통지가 적절한지 여부를 평가할 때 개인정보 컨트롤러가 동 조항에 따른 의무를 준수하고 개인정보 수집한 신의성실이 있는지를 고려할 수 있다.
  • 개인정보위원회(NPC)는 합리적인 판단에 따라 그러한 통지가 공공의 이익이나 영향을 받는 정보주체의 이익에 맞지 않는 경우 개인정보 컨트롤러에게 통지를 면제할 수 있다.
  • 개인정보위원회(NPC)는 중대한 위반과 관련된 범죄수사 진행을 방해할 우려가 있는 경우 통지의 연기를 승인할 수 있다.

3) 이전과 공개

개인정보보호법(DPA)은 개인정보 보호에 관한 원칙과 함께 정보 이전에 관한 책임도 명시하고 있다. 본 규정은 모든 컨트롤러는 자신의 관리 하에 보관되고 있는 개인정보에 대해 전적인 책임을 진다고 규정하고 있으며, 이러한 개인정보 컨트롤러의 책임 및 의무는 국내·외를 막론하고 제3자에 대한 개인정보 이전에 대해서도 확장되어야 한다고 규정되어 있다. 동 법의 제6장 21조는 개인정보 컨트롤러의 책임을 다음과 같이 명시하고 있다.

· 개인정보 컨트롤러는 본 법의 요건을 준수할 책임이 있으며, 제3자에 의해 정보가 처리되는 동안 동등한 수준의 보호를 제공하기 위해 계약상 또는 기타 합리적인 수단을 사용해야 한다.

· 개인정보 컨트롤러는 조직이 동 법의 준수에 관한 책임이 있는 개인정보보호 담당자를 지정해야 한다. 그렇게 지정된 개인정보보호 담당자의 정보는 요청에 따라 모든 정보주체에게 제공되어야 한다.

정부의 민감한 개인정보 보안과 관련하여 특별규정이 마련되어 있으며, 개인정보 보호 위반 및 개인정보 위반 발생 시의 지침에 관한 규정도 구체화하고 있다

4) 개인정보 보호책임자(Data Protection Officer)

개인정보보호법(DPA)은 모든 조직의 개인정보 활동과정에서 관계법령 준수를 관할하는 개인정보 보호책임자(DPO)의 임명과 운영을 요구하고 있다. 또한 개인정보 보호책임자(DPO)의 정보는 정보주체의 개인정보 권리요청에 대응하기 위해 공개하도록 요구하고 있다.

동 법은 개인정보 보호책임자(DPO)의 시민권과 거주권 요건에 관한 별도의 규정이나 임명과 관련한 과징금 처분에 관한 내용은 구체적으로 제시하고 있지 않으나, ① 고용인이 250명 이상인 조직, ② 1,000명의 민감한 개인정보를 보유한 조직, ③ 해당 조직의 개인정보 처리에 따라 정보주체의 권리행사를 저해할 요인이 있거나 개인정보를 처리가 빈번한 조직의 경우에는 반드시 개인정보보호 담당자(DPO)를 국가 개인정보위원회(NPC)에 반드시 등록하도록 요구한다.

앞서 제시된 조건들 이외에도 추가적으로 아래 부문에 종사하는 조직은 반드시 개인정보보호 담당자(DPO) 정보를 등록할 것을 요구하고 있다.

  • -­­정부 기관
  • -­­은행 및 비-은행 금융기관
  • -이동통신사 및 인터넷서비스 제공자
  • -BPO회사7)
  • -대학, 전문대학 및 기타 학교 및 연수기관
  • -병원 및 기타 의료기관
  • -보험사 및 보험 중개사
  • -직접 마케팅, 네트워킹에 관련된 개인 또는 리워드 카드나 로열티 프로그램을 제공하는 회사
  • -리서치를 수행하는 제약 회사
  • -상기한 부문에 종사하는 정보 컨트롤러를 대신하여 개인정보를 처리하는 정보 프로세서
7) BPO는 ‘비즈니스 프로세스 아웃소싱(Business Process Outsourcing)'의 약자로 회사 업무처리의 일부 또는 전 과정을 외부업체에 맡기는 아웃소싱 방식을 의미한다.

나. 개인정보보호법 시행규칙 10173호 (Implementing Rules of the Republic Act No. 10173)

국가 개인정보위원회(NPC)는 개인정보보호법(DPA)의 실체적 구현을 위하여 2016년 8월 24일 개인정보보호법 시행규칙 10173호를 공포하였다. 동 시행규칙은 입법부에 의해 제정된 개인정보보호법(DPA)의 실무적인 적용에 필요한 프레임워크를 제시하고 있다고 알려져 있으며, 보다 구체적으로 아래와 같이 일부 법률 조항의 내용을 보다 구체적으로 규정하고 있다.

· 특히, 동 시행규칙은 개인정보보호법(DPA)의 관할권에 관한 내용을 정리하고 있다. 국외에서 수집된 개인정보를 국내에서 처리하는 개인정보 활동을 예로 들면 국외의 수집과정에서 발생한 사안은 해당 국가의 개인정보보호법으로 관할하고, 필리핀 내에서 이루어진 처리과정에서 발생한 사안은 필리핀 개인정보보호법(DPA)을 적용한다고 명시함으로써 복수 개인정보보호 법률 적용기준 마련에 필요한 법적의무가 교차하는 시점을 확립하였다. 이는 특정 활동이 이루어진 물리적 위치를 기준으로 규제법률 간의 잠재적인 관할권 상충문제를 해결한 것으로 평가된다.

· 또한 동 시행규칙은 (1) 개인정보 보호책임자(Data Protection Officer)의 임명과 관련한 사항, (2) 개인정보 처리와 관련한 활동기록에 관한 요구사항, (3) 물리적 보안조치와 기술적 보안조치의 이행에 필요한 제반 요구사항, (4) 침해방지 모니터링 활동을 위한 요구사항 등을 포함하여 개인정보 컨트롤러의 내부운영 규칙을 제시하고 있다.

· 한편 동 시행규칙은 필리핀 개인정보보호법(DPA)의 준수실패에 따른 조치사항을 보다 실무적으로 제공하고 있다. 개인정보보호법(DPA)이 모든 요구사항에 대한 일률적인 요구사항을 제시하고 있는데 반해 동 시행규칙은 대상이 되는 개인정보의 특성, 정보 처리로 인해 초래되는 위험, 각 조직의 운영규모와 복잡성, 정보보호 구현에 소요되는 비용 등 잠재적이며 복잡한 요구사항을 감안하여 시행방법과 시기에 대한 고려요인을 반영하고 있다.

· 또한 동 시행규칙은 정보주체가 정보처리에 대한 동의를 보류하거나 이의를 제기할 수 있는 추가적인 권한을 부여하고 있다. 이러한 권리는 개인정보보호법(DPA)에서는 규정되지 않은 권리로서 정보주체의 새로운 권리로 평가된다. 이러한 권리는 직접마케팅8), 자동처리정보9) 또는 프로파일링에 적용된다.

· 동 시행규칙은 침해사고 통지의 요구사항도 보다 명확하게 제공하고 있다.
정보주체는 (1) 민감한 개인정보 또는 신원도용에 사용될 수 있는 정보가 모두 포함된 경우, (2) 개인정보 컨트롤러는 침해사고로 인해 정보주체에게 심각한 영향을 끼칠 수 있다고 판단되는 경우에는 72시간 이내에 사고발생사실과 관련된 사항을 통지해야 하며, 특수한 상황에서 통지지연에 관한 규정도 포함하고 있다. 특히 동 시행규칙 초안이 모든 개인정보, 민감한 개인정보 또는 비닉10)정보와 관련된 침해사고 발생의 경우 해당 정보주체에게 통보하도록 요구하고 있었으나, 실제 시행되고 있는 시행규칙은 이러한 요구사항에 대해 실무적으로 접근함으로써 구체적으로 ‘의미 있는 개인정보’로 제한된 범주 내의 침해사고에 대해서만 통지하도록 허용하고 있다. 그에 따라 침해사고 통지의 기준을 보다 명확하게 규정하고 있다고 평가받고 있다. 그러나 한편으로 동 시행규칙은 개인정보 컨트롤러에게 정보보안사고 서면보고서를 매년 작성하여 개인정보위원회(NPC)에 요약자료를 제출토록 규정함으로써 정보주체의 권리보호와 통지업무에 따른 개인정보 컨트롤러의 과중한 의무를 합리적으로 조정했다고 평가받는다.

8) “직접 마케팅”이란 수단에 관계없이 특정 개인을 대상으로 하는 광고나 마케팅 자료의 통신을 말한다. (필리핀 개인정보보호법 제1장 3조)
9) 정보주체에 중대한 영향을 미치거나 미칠 가능성이 있는 결정의 유일한 근거로서 정보가 생성되는 자동 절차에 관한 정보
10) “공개를 거부하는”, “비밀(秘密)리에 은닉(隱匿)하는”
top