국가정보_필리핀
법률체계
1개요1)
필리핀 법률체계는 ① 헌법, ② 의회가 제정한 국내법과 의회의 비준을 통해 발효된 국제조약 등을 아우르는 공화국법, ③ 공화국법의 시행을 위해 추가적으로 제정하는 법령, 그리고 ④ 각 지방자치단체가 제정하는 조례 등을 포함한 기타 법규범으로 구성된다. 특히 필리핀 법체계는 성문법 이외에도 관습법, 이슬람율법(샤리아), 토착법 등 다양한 요소가 혼합된 독특한 형태를 나타내고 있으며, 특히 성문법 체계에서는 입법부가 제정한 법률뿐만 아니라 행정부 수장인 대통령이 제정한 대통령령(법률로서의 효력을 지님)을 성문법 체계의 일부로 받아들이고 있는 특징을 보인다.
[표 1] 필리핀 성문법 법률체계
필리핀 성문법 법률체계
헌법
● 필리핀 최고의 법규범으로 필리핀 법체계의 근간
공화국법
● (국내법) 입법기관(상원, 하원)이 제안하여 표결을 거친 후 대통령의 서명을 통해 정식으로 제정한 법률
● (국제조약) 국가 간에 서면으로 체결한 국제협약을 의미하며, 의회의 승인을 얻은 조약은 국내법과 동등한 법률로서의 효력을 지님
공화국법 시행을 위한 법령
● 헌법과 법률이 정한 권한에 따라 행정부가 시행하는 시행규칙, 행정명령, 집행명령, 포고령(Proclamation) 등을 포함
시행규칙
● 입법부가 제정한 법률을 집행하기 위해 규제기관 또는 관련부서에서 제정하는 법적 구속력을 지닌 법규범
● 통상적으로 법률이 부여한 행정기관의 직무 수행과 업무처리의 기준을 제시할 목적으로 제정
조례
● 지방자치단체가 제정하는 법규범
법원 판결
● 법률에 근거해 사법부가 내리는 판결을 의미하며, 필리핀 대법원 판결은 법률로서의 효력을 지님
대통령령(Presidential Decrees)
● 1970년대 마르코스 대통령이 선포한 계엄령 시기에 제정된 약 2,000 여개의 법규범으로서, 행정부 수장이 제정한 것이기는 하나 법률로서의 효력을 가짐
1) https://world.moleg.go.kr/cms/commonDown.do?DLD_CFM_NO=UQRKK03AF1IHC6SO3P9G&FL_SEQ=36135
가2. 필리핀 개인정보보호 법령체계
가. 필리핀 개인정보보호법(Data Privacy Act)
필리핀 개인정보보호법은 2012년 6월 6일에 의회를 최종 통과하여 같은 해 8월 15일 대통령의 승인을 얻어 제정되었다. 동법의 제정에 따라 개인정보보호법을 관장하기 위한 감독당국의 설립 근거가 마련되었으며, 이를 바탕으로 2016년 개인정보 감독기구(National Privacy Commission. 이하 NPC)가 공식 출범했다. 이후 NPC는 같은 해 9월, 개인정보보호법을 보완하고 보다 실무적·세부적 내용을 담은 개인정보보호법 시행규칙(Implementing Rules of the Republic Act No. 10173)을 제정했다.
(1) 개요
필리핀에는 개인정보보호법 제정 이전 개인정보 수집·이용·보관·공개·이전·폐기 등을 규제하는 포괄적인 법규범이 없었다. 이러한 관련 법령의 부재는 필리핀 내에서 개인정보의 악의적인 오남용과 침해사례를 낳았으며, 또한 수집된 개인정보가 정보주체의 동의 목적과 무관한 용도로 사용되는 등 개인정보와 관련한 기본적인 권리조차 보호받지 못하는 상황이 지속적으로 전개되었다. 이러한 가운데 개인정보보호법은 정보주체의 활동에 안전성을 강화하고 국제기준에 부합하는 정보보호 수준을 달성함으로써 국가 경쟁력 강화에 기여하기 위해 개인정보보호에 대한 규범의 필요성이 본격적으로 요구되는 시점에서 등장하였다.
역사적으로 보면, 필리핀 법률체계에서 개인정보보호 개념이 처음 등장한 것은 2006년으로 거슬러 올라간다. 당시 필리핀 산업통상부가 개인정보보호에 관한 지침인 ‘산업통상부 행정명령 제8-2006호’를 발표한 바 있는데, 이는 EU 개인정보보호법(General Data Protection Regulation, 이하 GDPR)의 전신인 EU 개인정보보호 지침(Directive 95/46/EC)을 참고하여 마련한 것으로서, 현재 필리핀 개인정보보호법이 EU GDPR의 기준과 원칙을 따르고 있다고 평가받는 근거가 되고 있다.
필리핀 개인정보보호법은 다른 국가의 개인정보보호법에서와 마찬가지로 개인정보에 관한 정보주체의 권리보호를 핵심적인 가치로 보고 있다. 이는 GDPR이 보장하는 정보주체의 권리와 매우 유사한 것으로, 동법은 정보주체의 권리로서 ① 정보를 제공 받을 권리, ② 개인정보에 접근할 권리, ③ 잘못된 개인정보 등을 정정할 권리, ④ 개인정보의 삭제할 권리 ⑤ 개인정보의 처리를 제한하거나 처리를 반대할 권리 ⑥ 민원을 제기할 권리, ⑦ 손해배상 받을 권리, ⑧ 개인정보 이전에 관한 권리를 규정하고 있다. 컨트롤러와 프로세서는 이러한 정보주체의 권리를 반드시 준수해야 하며, 법률이 정한 특정한 상황을 제외한 일반적인 상황에서는 이러한 정보주체의 권리행사에 대해 적극적이고 즉각적으로 대응해야 한다.
또한, GDPR과 마찬가지로 개인정보보호법과 개인정보보호법 시행규칙에서 개인정보 침해 발생 시 컨트롤러의 통지 의무를 명시하고 있다. 개인정보보호법에서는 개인정보 침해 발생 시 통지 의무에 관한 개괄적인 사항을 제시하고 있으며, 개인정보보호법 시행규칙에서는 이를 더욱 구체화하여, 개인정보 침해 시 영향을 받은 정보주체와 NPC에 침해 사고 발생시점으로부터 72시간 내 또는 컨트롤러(또는 프로세서)가 합리적 판단에 따라서 고지가 필요한 개인정보 침해가 발생했다고 인지하는 즉시 고지가 이루어져야 한다고 규정하고 있다.
(2) 개인정보 및 민감정보의 정의
개인정보보호법 제3조은 ‘개인정보’를 “실물 형태로 기록되는지 여부와 관계없이 개인의 신원을 명백하게 보여주거나, 해당 정보를 보유하는 주체를 합리적이고 직접적으로 확인할 수 있거나, 다른 정보와 조합 시 개인을 직접적으로 확실하게 식별할 수 있는 정보”로 정의하고 있다.
또한 동조에서는 ‘민감한 개인정보’를 아래와 같이 정의하고 있다. (제3조제(l)힝)
① 개인의 인종, 출신 민족, 결혼 여부, 연령, 피부색, 종교 및 철학 또는 정치적 배경에 관한 정보
② 개인의 건강이나 교육, 유전자, 성생활 또는 그가 범하였거나 혐의를 받는 범죄에 대한 소송 절차, 해당 소송에 따른 처분 또는 법원 선고에 관한 정보
③ 사회보장번호나 과거 또는 현재의 의료기록, 면허나 면허거절·중지·취소에 관한 기록, 세금신고 등의 정보를 포함하되 이에 국한하지 아니하고 정부기관이 발행한 특정 개인에 관련된 고유정보
④ 기밀 유지를 위해 법률 또는 행정명령에서 특별히 정한 정보
(3) 적용범위
필리핀 개인정보보호법은 모든 형식의 개인정보 처리 및 개인정보 처리에 관련된 자연인 및 법인을 그 적용범위 및 적용대상으로 한다. 여기서 법인은 필리핀에 설립된 법인뿐만 아니라, 필리핀에 설립되지 아니하더라도 ① 필리핀 소재의 장비를 사용하거나, ② 필리핀에 사무소나 지점⋅대리점을 유지하는 법인까지 모두 포함한다. (제4조)
영토적 적용범위로서, 동법은 필리핀 시민 또는 거주자에 대한 개인정보와 관련된 활동 또는 처리인 경우, 필리핀 내외에서 이루어지는 행위에 모두 적용된다. 필리핀 시민 또는 거주자에 관한 것이라면 필리핀 국내에서 이루어지는 개인정보 처리와 필리핀 국외에서 이루어지는 개인정보 처리를 불문한다. (제6조)
(4) 정보주체의 권리
필리핀 개인정보보호법은 GDPR에서 정보주체에게 부여하고 있는 대부분의 권리를 모두 법률에 도입하였다. 다만, GDPR처럼 주요 절차 및 세부사항을 모두 법률에 규정하지는 않고 있고, 대부분을 개인정보보호법 시행규칙이나 NPC가 필요에 따라 발표하는 자문의견 혹은 지침을 통해 보완하고 있는 특징을 지닌다.
1) 정보를 제공받을 권리
개인정보보호법 제16조제(a)항 및 제(b)항은 정보를 제공받을 권리를 규정하고 있다. 동 조항에 따르면 정보주체는 본인과 관련된 개인정보가 처리될 것인지, 처리되고 있는지 여부를 통보받을 수 있다. 정보주체는 컨트롤러의 개인정보 처리 시스템에 자신의 개인정보가 입력되기 전 또는 이후 가능한 때에 아래의 정보를 제공받을 수 있다.
① 시스템에 입력할 개인정보에 대한 설명
② 처리의 목적
③ 개인정보 처리 범위 및 방법
④ 개인정보의 공개 대상 및 공개 대상 범주
⑤ 정보주체가 자동 접근을 허용하는 경우 자동 접근에 활용하는 방법 및 그 접근이 허용되는 범위
⑥ 컨트롤러 또는 그 대표자의 신원 및 연락처
⑦ 정보가 저장되는 기간
⑧ 정보주체의 권리 (예컨대, 접근권, 정정권, NPC에 대한 민원 제기 권리 등)
정보주체에게 제공되거나 통지된 정보는 정보주체에 대한 사전통지 없이는 수정할 수 없다.
2) 열람권
개인정보보호법 제16조제(c)항에서는 정보주체의 열람권을 규정하고 있다. 정보주체는 요청에 따라 아래의 내용에 대한 합리적인 열람 권한을 갖는다.
① 처리된 개인정보의 내용
② 개인정보를 입수한 출처
③ 개인정보 수신자의 성명 및 주소
④ 개인정보 처리 방법
⑤ 개인정보 수신자에 대한 개인정보 제공 사유
⑥ 정보주체에 중대한 영향을 미치거나 영향을 미칠 수 있는 의사결정의 유일한 근거로서 자동화된 프로세스에 대한 정보
⑦ 정보주체에 관한 본인의 개인정보를 마지막으로 열람 및 변경한 일자
⑧ 컨트롤러의 명칭 또는 이름. 신원, 주소
다만, GDPR과는 달리 열람권을 행사하는 정보주체의 신원 확인 조치, 열람권 행사에 대한 컨트롤러의 처리 기한, 수수료 청구 여부 등 세부 사항에 대해서는 개인정보보호법에서 정하지 않고 NPC가 발행한 일련의 자문의견 문서 등에서 규정하고 있다. 예컨대, ▲열람권을 행사한 정보주체의 본인 확인을 위한 증거 제시 요구 가능 ▲영업일 기준 30일 내 처리 원칙 ▲합리적 수수료 부과 가능 등이다.
3) 정정권
정정권은 개인정보보호법 제16조제(d)항에서 규정하고 있다. 정보주체는 개인정보의 부정확성 또는 오류에 이의를 제기할 수 있으며, 컨트롤러는 요청이 번거롭거나 불합리한 경우를 제외하고는 즉시 이를 정정해야 한다. 개인정보가 정정된 경우 컨트롤러는 새로운 정보와 정정 전 정보 모두에 대한 접근성을 보장함과 함께, 개인정보 수신이 예정되어 있던 제3의 수신자도 동일한 정보를 동시에 수신할 수 있도록 보장해야 한다.
4) 삭제권
정보주체는 개인정보보호법 제16조제(e)항에 따라 삭제권을 행사할 수 있다. 정보주체는 개인정보가 불완전하거나, 오래되었거나, 허위이거나, 불법적으로 취득되었거나, 승인되지 않은 목적으로 사용되었거나, 수집된 목적에 비추어 더 이상 필요하지 않다는 실질적인 증거가 발견된 경우, 컨트롤러의 파일링시스템에서 개인정보의 차단, 제거, 파기를 명령할 권한이 있다. 이 경우 컨트롤러는 처리된 개인정보를 이전에 수령한 바 있던 제3자에게 통지할 수 있다.
5) 처리제한권 및 반대권
필리핀 개인정보보호법은 정보주체의 처리제한권 및 반대권에 대해 명시하고 있지는 않으나, 삭제권이 규정되어 있는 동법 제16조제(e)항에서 컨트롤러의 파일링시스템에서 개인정보를 되찾아가거나(withdraw) 처리를 중단(suspend)할 수 있는 권리를 부여하고 함으로써 처리제한권 및 반대권을 일부 보장하고 있다. 기타 처리제한권 및 반대권에 관한 구체적 사항은 개인정보보호법에서 명시적으로 다루지 않는다.
다만 반대권의 경우, 개인정보보호법 시행규칙 제34조제(b)항에서 정보주체가 직접마케팅 및 자동화된 처리 또는 프로파일링을 위한 처리 등 자신의 개인정보의 처리에 반대할 권리가 있다고 규정하는 등 시행규칙에서 정보주체의 반대권을 보장하고 있다.
6) 이동권
개인정보보호법 제18조에서는 정보주체의 이동권을 명시하고 있다. 정보주체는 개인정보가 전자적 수단에 의해, 그리고 구조적이고 일반적으로 사용되는 형식으로 처리되는 경우, 처리 중인 개인정보의 사본을 정보주체가 일반적으로 사용하고 추가적으로 사용할 수 있는 전자적 또는 구조화된 형식으로 컨트롤러로부터 취득할 권리를 가진다. NPC는 상기 언급한 전자 형식 및 개인정보의 이전을 위한 기술 표준, 양식 및 절차를 명시할 수 있다.
(5) 컨트롤러 및 프로세서의 의무
필리핀 개인정보보호법은 GDPR 제32조(처리의 보안)에 대응하는 제20조 보안 의무와 GDPR 제37조(DPO의 지정)에 대응하는 DPO 지정의무를 제외하고는 컨트롤러 등의 일반적 의무사항을 법률에서 규정하고 있지 않다. 컨트롤러 및 프로세서 의무의 공백을 메우기 위해 개인정보보호법 시행규칙에서는 개인정보 처리 기록 의무를 추가적으로 규정하고 있다.
1) 보안 의무
개인정보보호법 제20조에서는 컨트롤러의 보안 의무를 규정하고 있다. 컨트롤러는 우발적이거나 불법적인 파괴, 변경, 제공, 기타 불법적인 처리로부터 개인정보를 보호하기 위한 합리적이고 적절한 조직적, 물리적 및 기술적 조치를 수행해야 한다. 또한 우발적 유실·훼손 등 자연적 위험과 부적법한 접근, 부정사용, 불법적인 훼손·변조·오염 등 인적 위험으로부터 개인정보를 보호하기 위하여 합리적이고 적절한 조치를 수행해야 한다. 이와 관련하여 보안 의무를 이행하기 위한 조치는 다음을 포함해야 한다.
① 컴퓨터 네트워크를 우발적, 불법적, 무단 사용이나 네트워크 기능에 대한 방해로부터 보호하기 위한 보호장치 구현
② 개인정보 처리에 관한 보안정책 마련
③ 컴퓨터 네트워크에서 발생할 수 있는 합리적으로 예측 가능한 취약점을 식별하기 위한 프로세스 구축 및 보안 침해로 이어질 수 있는 보안 사고를 예방 및 최소화할 수 있는 프로세스 구축
④ 보안 침해를 방지하기 위한 정기적인 모니터링 시행 및 보안 침해로 이어질 수 있는 보안 사고를 예방 및 최소화할 수 있는 프로세스 구축
한편, 컨트롤러의 직원, 대리인 또는 대표자는 개인정보의 제공을 목적으로 하지 않는 경우에는 해당 내용을 엄격한 비밀에 부쳐 개인정보를 운영하고 보유하여야 한다. 이 의무는 공직을 떠나거나 다른 직무로 이동하거나 고용 또는 계약관계가 종료된 후에도 계속된다.
2) 개인정보 처리 기록 의무
개인정보보호법은 컨트롤러의 처리 기록 의무를 두고 있지 않다. 그러나 하위법령인 개인정보보호법 시행규칙에서 GDPR과 유사한 취지의 처리 기록 의무와 그 요건을 명시하고 있다.
개인정보 처리에 관여하는 모든 자연인, 법인 또는 기타 기관은 개인정보 처리 시스템을 충분히 설명하고 개인정보에 접근하는 개인의 의무와 책임을 식별하는 기록을 유지해야 합니다. 처리 기록에는 다음을 포함해야 한다. (개인정보보호법 시행규칙 제26조제(c)항)
① 개인정보 처리 목적에 관한 정보, 특히 향후의 개인정보 처리 또는 공유 의도 등 포함
② 모든 범주의 정보주체, 개인정보 및 처리와 관련된 개인정보 수신자에 대한 설명
③ 개인정보 폐기 또는 삭제 기한을 포함하여 개인정보 수집, 처리 및 보유 시점부터 조직 내 개인정보 흐름에 대한 일반적 정보
④ 시행 중인 조직적, 물리적, 기술적 보안 조치에 대한 일반적 설명
⑤ 컨트롤러의 이름 및 연락처 세부사항, 그리고 해당되는 경우 공동 컨트롤러와 그 대표자, DPO, 기타 개인정보보호를 위해 법률 준수 책임이 있는 개인의 이름 및 연락처 세부사항
3) 개인정보 영향평가 의무
필리핀 개인정보보호법 및 개인정보보호법 시행규칙 모두 개인정보 영향평가 의무를 규정하지 않고 있다. 다만, NPC가 정부기관을 대상으로 발생한 지침(정부기관의 개인정보 보안에 관한 NPC 지침 제16-01호2)에서 각 정부기관이 개인정보 영향평가를 수행해야 하는 필수 요건을 규정하고 있을 뿐이다.
4) DPO 지정 의무
필리핀 개인정보보호법은 명시적으로 DPO 지정의무 조항을 두고 있지는 않다. 그러나 동법 제21조제(b)항에서 컨트롤러가 동법을 준수할 책임이 있는 자를 지정하고, 지정된 자의 신원을 요청 시 정보주체에게 알리도록 하고 있어 사실상 DPO 지정의무를 규정하는 것이라 볼 수 있다.
개인정보보호법 시행규칙에서는 보다 구체적으로 DPO 지정의무를 규정한다. 시행규칙 제26조제(a)항은 개인정보 처리에 관여하는 모든 자연인, 법인, 기타 기관으로 하여금 DPO, 규정 준수 책임자, 또는 개인정보보호 및 보안을 위한 책임자를 지정하도록 의무화하고 있다. 컨트롤러는 조직 내 법률 준수에 책임이 있는 자를 지정하는 것 외에도 요청 시 정보주체에게 그들의 신원을 알려야 한다.
2) NPC Circular 16-01 on Security of Personal Data in Government Agencies
(6) 개인정보 국외이전
개인정보보호법 제21조는 컨트롤러의 책임 원칙을 규정하면서 국외이전에 관한 내용을 일부 언급하고 있다. 동 조항에서는 컨트롤러로 하여금 국제적 합의 및 협력을 바탕으로 제3자에게 처리를 목적으로 이전된 정보 등 자신의 통제 또는 보호 하에 있는 개인정보에 대해 책임을 지도록 하고 있으며, 동법상의 요건 준수 책임 및 제3자가 정보를 처리하는 동안 필리핀과 유사한 수준의 보호를 제공하기 위해 계약 또는 기타 합리적인 수단을 사용해야 하는 의무만을 부과할 뿐이다.
따라서 법률 문언 상 개인정보의 국외이전은 적절하거나 필리핀과 동등한 수준의 개인정보보호 표준을 설정한 법률이 있는 관할구역뿐만 아니라, 필리핀 법률과 동등한 수준의 보호를 제공하지 않는 국가에도 이루어질 수 있다고 해석할 수 있다. 다만 이와 같은 개인정보보호에 대한 책임은 개인정보를 국외로 이전한 컨트롤러가 부담해야 한다.
동법 제21조를 준수한다는 전제 하에, 필리핀 개인정보보호법은 추가적인 개인정보 국외이전에 관한 요건을 설정하고 있지 않다.
(7) 집행
개인정보보호법은 제25조에서 제37조에 걸쳐 처벌에 관한 광범위한 조항을 두고 있다 대부분의 조항이 형사처벌 조항으로 구성되어 있으며 행정 과징금 부과에 대해서는 법률에 처분 규정이 없다. 다만 개인정보보호법 제7조의 NPC 권한을 근거로 NPC가 일련의 회람문서(circular)를 발행하고 있는데, 최근 발행한 회람 문서에서 과징금 부과 여부 및 부과 기준에 대해 구체화한 바 있다.
개인정보보호법에서 규정하고 있는 처벌 조항(제25조~제36조)은 다음과 같으며, 동법으로 인해 피해를 입은 당사자는 민법에 따라 손해배상 청구가 가능하다 (제37조)
필리핀 개인정보보호법상 주요 처벌 규정
필리핀 개인정보보호법상 주요 처벌 규정
구분
내용
무단 처리(제25조)
● 정보주체의 동의가 없거나 법령에 의해 승인되지 않은 위법한 개인정보 처리 시 1년 이상 3년 이하의 징역형과 함께 50만 페소(약 9,300 미국 달러) 이상 200만 페소(약 3만 7,200 미국 달러) 이하의 벌금형에 처함
● 정보주체의 동의가 없거나 법령에 의해 승인되지 않은 위법한 민감 개인정보 처리 시 3년 이상 6년 이하의 징역형과 함께 50만 페소(약 9,300 미국 달러) 이상 400만 페소(약 7만 4,400 미국 달러) 이하의 벌금형에 처함
부주의한 접근 제공(제26조)
● 과실로 법령에 따른 허가 없이 개인정보에 대한 접근 제공 시 1년 이상 3년 이하의 징역형과 함께 50만 페소(약 9,300 미국 달러) 이상 200만 페소(약 3만 7,200 미국 달러) 이하의 벌금형에 처함
● 과실로 법령에 따른 허가 없이 민감한 개인정보에 대한 접근 제공 시 3년 이상 6년 이하의 징역형과 함께 50만 페소(약 9,300 미국 달러) 이상 400만 페소(약 7만 4,400 미국 달러) 이하의 벌금형에 처함
부적절한 폐기(제27조)
● 고의 또는 과실로 공공이 접근할 수 있는 지역에 개인정보를 처분, 폐기, 방지하거나 쓰레기통에 폐기하는 경우 6개월 이상 2년 이하의 징역형과 함께 10만 페소(약 1,860 미국 달러) 이상 50만 페소(약 9,300 미국 달러) 이하의 벌금형에 처함
● 고의 또는 과실로 공공이 접근할 수 있는 지역에 민감한 개인정보를 처분, 폐기, 방지하거나 쓰레기통에 폐기하는 경우 1년 이상 3년 이하의 징역형과 함께 10만 페소(약 1,860 미국 달러) 이상 100만 페소(약 1만 8,600 미국 달러) 이하의 벌금형에 처함
목적 범위를 벗어난 처리(제28조)
● 정보주체 또는 법령에서 승인하지 않은 목적으로 개인정보를 처리할 경우 1년 6개월 이상 5년 이하의 징역형과 함께 50만 페소(약 9,300 미국 달러) 이상 100만 페소(약 1만 8,600 미국 달러) 이하의 벌금형에 처함
● 정보주체 또는 법령에서 승인하지 않은 목적으로 민감한 개인정보를 처리할 경우 2년 이상 7년 이하의 징역형과 함께 50만 페소(약 9,300 미국 달러) 이상 200만 페소(약 3만 7,200 미국 달러) 이하의 벌금형에 처함
무단 접근 및 의도적 침해(제29조)
● 고의 및 불법적으로 또는 개인정보 기밀성 등을 위반하여, 개인정보 혹은 민감한 개인정보가 저장된 시스템에 침투하는 경우 1년 이상 3년 이하의 징역형과 함께 50만 페소(약 9,300 미국 달러) 이상 200만 페소(약 3만 7,200 미국 달러) 이하의 벌금형에 처함
보안 침해 은폐(제30조)
● 동법 제20조제(f)항에 근거하여 보안 침해 사고 통지 의무를 가진 자가 고의적으로 또는 누락으로 인해 해당 보인 침해 사실을 은폐한 경우 1년 6개월 이하 5년 이하의 징역형과 함께 50만 페소(약 9,300 미국 달러) 이상 100만 페소(약 1만 8,600 미국 달러) 이하의 벌금형에 처함
악의적 제공(제31조)
● 컨트롤러 또는 프로세서 등이 악의적으로, 자신이 획득한 개인정보 혹은 민감한 개인정보와 관련하여 부적절하거나 허위의 정보를 제공할 경우 1년 6개월 이하 5년 이하의 징역형과 함께 50만 페소(약 9,300 미국 달러) 이상 100만 페소(약 1만 8,600 미국 달러) 이하의 벌금형에 처함
무단 제공(제32조)
● 컨트롤러 또는 프로세서가 정보주체의 동의 없이 제31조에서 규정한 개인정보 이외의 개인정보를 제3자에게 제공할 경우 1년 이상 3년 이하의 징역형과 함께 50만 페소(약 9,300 미국 달러) 이상 100만 페소(약 1만 8,600 미국 달러) 이하의 벌금형에 처함
● 컨트롤러 또는 프로세서가 정보주체의 동의 없이 제31조에서 규정한 민감한 개인정보 이외의 민감정보를 제3자에게 제공할 경우 3년 이상 5년 이하의 징역형과 함께 50만 페소(약 9,300 미국 달러) 이상 200만 페소(약 3만 7,200 미국 달러) 이하의 벌금형에 처함
가중 처벌(제33조)
● 동법 제25조부터 제32조까지의 범죄를 중복하여 범할 경우 3년 이상 6년 이하의 징역형과 함께 100만 페소(약 1만 8,600 미국 달러) 이상 200만 페소(약 3만 7,200 미국 달러) 이하의 벌금형에 처함
부가적 제재(제33조)
● 범죄자가 사업체, 합자회사, 기타 법인인 경우, 범죄에 가담한 임원이나 중대한 과실로 인해 범죄에 이르게 된 책임이 있는 임원에게 벌금을 부과
● 만약 범죄자가 법인인 경우 법원은 동법에 따른 권리를 정지 및 취소할 수 있음
● 만약 범죄자가 외국인인 경우 동법에서 규정한 형벌 이외에, 형기 만료 후 추가적인 절차 없이 추방 조치
● 범죄자가 공무원이면서 허위로 진술하거나 동법 제27조 및 제28조 위반으로 인해 유죄판결을 받은 경우, 동법에서 규정한 처벌 이외에 직무에서 영구적 혹은 일시적으로 배제
대규모 위반행위에 대한 처벌(제34조)
● 동법 제25조 이하의 위반행위로 인해 100명 이상의 개인정보가 손상되거나 영향을 받게 된 경우 각 위반행위에 대해 각 조항에서 규정한 최고형량을 부과
공무원의 직무 배제(제36조)
● 범죄를 저지른 자 혹은 해당 범죄에 책임이 있는 자가 그 직무를 수행함에 있어 필리핀 행정법에 규정된 공무원으로 분류되는 경우, 형사처벌의 2배의 기간 동안 직무에서 배제되는 부가적 처벌을 적용
한편, 2022년 8월 NPC가 발표한 회람문서인 ‘행정 과징금에 관한 가이드라인3)(Guidelines on Administrative Fines) (회람문서 제2022-01호)은 과징금 부과와 관련한 구체적인 기준을 제시하고 있다.
NPC가 발표한 과징금 부과 기준
NPC가 발표한 과징금 부과 기준
구분
내용
중대 및 주요 위반
● 중대한(grave) 위반행위에 대해서는 연매출의 0.5%~3%, 주요(major) 위반행위에 대해서는 연매출의 0.25%~2% 범위에서 각각 과징금을 부과
기타 위반
● 컨트롤러의 실제 신원 또는 연락처 정보, 개인정보 처리 시스템 또는 자동화된 의사결정에 관한 정보를 등록하지 않은 경우나 최신화된 정보를 등록하지 않은 경우, 5만 페소(약 930 미국 달러) 이상 20만 페소(약 3,720 미국 달러) 이하의 과징금을 부과
명령 불복
● NPC의 명령, 결의 또는 결정을 준수하지 않을 경우 당초 위반에 부과된 벌금 외에 최대 5만 페소(약 930 미국 달러)의 행정 과징금을 추가 부과
과징금 미납 시 조치
● NPC는 행정 과징금 납부를 거부하는 컨트롤러와 프로세스에 대해 개인정보보호법 제7조에 따라 특정행위 중지명령 등을 발령할 수 있으며, 법원 규칙에 입각해 기관 모독(contempt)에 대한 대응 절차를 밟을 수 있음
3) https://www.privacy.gov.ph/wp-content/uploads/2022/08/NPC-CIRCULAR-NO.-2022-01-GUIDELINES-ON-ADMINISTRATIVE-FINES-dated-08-AUGUST-2022-w-SGD.pdf
나. 개인정보보호법 시행규칙 (Implementing Rules of the Republic Act No. 10173)
NPC는 개인정보보호법 제39조에 따라 법률의 내용을 더욱 구체화하고자 2016년 8월 24일 개인정보보호법 시행규칙을 공포하였다. 동 시행규칙은 의회가 제정된 개인정보보호법에서 실제적인 법 적용에 필요한 세부적 내용을 제시하고 있다.
구체적으로 동 시행규칙은 ① DPO 지정과 관련한 사항 ② 개인정보 처리 기록에 관한 요건 ,③ 물리적 보안조치와 기술적 보안조치의 이행에 필요한 제반 요건 ④ 개인정보 침해 방지 모니터링 활동을 위한 요건 등을 포함하여 컨트롤러의 구체적인 내부운영 규칙을 제시하고 있다.
또한 동 시행규칙은 정보주체의 권리와 관련해서도, 정보주체가 개인정보 처리에 대한 동의를 보류하거나 이의를 제기할 수 있는 권한을 명시적으로 부여하고 있다. 이 권리는 개인정보보호법에서는 삭제권 조항에서 부차적으로 규정하고 있던 정보주체의 권리로서 동 시행규칙에서는 명시적으로 반대할 권리를 정보주체의 권리로 두고 있다.
필리핀 법률체계는 ① 헌법, ② 의회가 제정한 국내법과 의회의 비준을 통해 발효된 국제조약 등을 아우르는 공화국법, ③ 공화국법의 시행을 위해 추가적으로 제정하는 법령, 그리고 ④ 각 지방자치단체가 제정하는 조례 등을 포함한 기타 법규범으로 구성된다. 특히 필리핀 법체계는 성문법 이외에도 관습법, 이슬람율법(샤리아), 토착법 등 다양한 요소가 혼합된 독특한 형태를 나타내고 있으며, 특히 성문법 체계에서는 입법부가 제정한 법률뿐만 아니라 행정부 수장인 대통령이 제정한 대통령령(법률로서의 효력을 지님)을 성문법 체계의 일부로 받아들이고 있는 특징을 보인다.
[표 1] 필리핀 성문법 법률체계
| 헌법 | ● 필리핀 최고의 법규범으로 필리핀 법체계의 근간 |
|---|---|
| 공화국법 | ● (국내법) 입법기관(상원, 하원)이 제안하여 표결을 거친 후 대통령의 서명을 통해 정식으로 제정한 법률 ● (국제조약) 국가 간에 서면으로 체결한 국제협약을 의미하며, 의회의 승인을 얻은 조약은 국내법과 동등한 법률로서의 효력을 지님 |
|
공화국법 시행을 위한 법령 |
● 헌법과 법률이 정한 권한에 따라 행정부가 시행하는 시행규칙, 행정명령, 집행명령, 포고령(Proclamation) 등을 포함 |
|
시행규칙 |
● 입법부가 제정한 법률을 집행하기 위해 규제기관 또는 관련부서에서 제정하는 법적 구속력을 지닌 법규범 ● 통상적으로 법률이 부여한 행정기관의 직무 수행과 업무처리의 기준을 제시할 목적으로 제정 |
|
조례 |
● 지방자치단체가 제정하는 법규범 |
|
법원 판결 |
● 법률에 근거해 사법부가 내리는 판결을 의미하며, 필리핀 대법원 판결은 법률로서의 효력을 지님 |
|
대통령령(Presidential Decrees) |
● 1970년대 마르코스 대통령이 선포한 계엄령 시기에 제정된 약 2,000 여개의 법규범으로서, 행정부 수장이 제정한 것이기는 하나 법률로서의 효력을 가짐 |
가2. 필리핀 개인정보보호 법령체계
가. 필리핀 개인정보보호법(Data Privacy Act)
필리핀 개인정보보호법은 2012년 6월 6일에 의회를 최종 통과하여 같은 해 8월 15일 대통령의 승인을 얻어 제정되었다. 동법의 제정에 따라 개인정보보호법을 관장하기 위한 감독당국의 설립 근거가 마련되었으며, 이를 바탕으로 2016년 개인정보 감독기구(National Privacy Commission. 이하 NPC)가 공식 출범했다. 이후 NPC는 같은 해 9월, 개인정보보호법을 보완하고 보다 실무적·세부적 내용을 담은 개인정보보호법 시행규칙(Implementing Rules of the Republic Act No. 10173)을 제정했다.
(1) 개요
필리핀에는 개인정보보호법 제정 이전 개인정보 수집·이용·보관·공개·이전·폐기 등을 규제하는 포괄적인 법규범이 없었다. 이러한 관련 법령의 부재는 필리핀 내에서 개인정보의 악의적인 오남용과 침해사례를 낳았으며, 또한 수집된 개인정보가 정보주체의 동의 목적과 무관한 용도로 사용되는 등 개인정보와 관련한 기본적인 권리조차 보호받지 못하는 상황이 지속적으로 전개되었다. 이러한 가운데 개인정보보호법은 정보주체의 활동에 안전성을 강화하고 국제기준에 부합하는 정보보호 수준을 달성함으로써 국가 경쟁력 강화에 기여하기 위해 개인정보보호에 대한 규범의 필요성이 본격적으로 요구되는 시점에서 등장하였다. 역사적으로 보면, 필리핀 법률체계에서 개인정보보호 개념이 처음 등장한 것은 2006년으로 거슬러 올라간다. 당시 필리핀 산업통상부가 개인정보보호에 관한 지침인 ‘산업통상부 행정명령 제8-2006호’를 발표한 바 있는데, 이는 EU 개인정보보호법(General Data Protection Regulation, 이하 GDPR)의 전신인 EU 개인정보보호 지침(Directive 95/46/EC)을 참고하여 마련한 것으로서, 현재 필리핀 개인정보보호법이 EU GDPR의 기준과 원칙을 따르고 있다고 평가받는 근거가 되고 있다. 필리핀 개인정보보호법은 다른 국가의 개인정보보호법에서와 마찬가지로 개인정보에 관한 정보주체의 권리보호를 핵심적인 가치로 보고 있다. 이는 GDPR이 보장하는 정보주체의 권리와 매우 유사한 것으로, 동법은 정보주체의 권리로서 ① 정보를 제공 받을 권리, ② 개인정보에 접근할 권리, ③ 잘못된 개인정보 등을 정정할 권리, ④ 개인정보의 삭제할 권리 ⑤ 개인정보의 처리를 제한하거나 처리를 반대할 권리 ⑥ 민원을 제기할 권리, ⑦ 손해배상 받을 권리, ⑧ 개인정보 이전에 관한 권리를 규정하고 있다. 컨트롤러와 프로세서는 이러한 정보주체의 권리를 반드시 준수해야 하며, 법률이 정한 특정한 상황을 제외한 일반적인 상황에서는 이러한 정보주체의 권리행사에 대해 적극적이고 즉각적으로 대응해야 한다. 또한, GDPR과 마찬가지로 개인정보보호법과 개인정보보호법 시행규칙에서 개인정보 침해 발생 시 컨트롤러의 통지 의무를 명시하고 있다. 개인정보보호법에서는 개인정보 침해 발생 시 통지 의무에 관한 개괄적인 사항을 제시하고 있으며, 개인정보보호법 시행규칙에서는 이를 더욱 구체화하여, 개인정보 침해 시 영향을 받은 정보주체와 NPC에 침해 사고 발생시점으로부터 72시간 내 또는 컨트롤러(또는 프로세서)가 합리적 판단에 따라서 고지가 필요한 개인정보 침해가 발생했다고 인지하는 즉시 고지가 이루어져야 한다고 규정하고 있다.
(2) 개인정보 및 민감정보의 정의
개인정보보호법 제3조은 ‘개인정보’를 “실물 형태로 기록되는지 여부와 관계없이 개인의 신원을 명백하게 보여주거나, 해당 정보를 보유하는 주체를 합리적이고 직접적으로 확인할 수 있거나, 다른 정보와 조합 시 개인을 직접적으로 확실하게 식별할 수 있는 정보”로 정의하고 있다. 또한 동조에서는 ‘민감한 개인정보’를 아래와 같이 정의하고 있다. (제3조제(l)힝) ① 개인의 인종, 출신 민족, 결혼 여부, 연령, 피부색, 종교 및 철학 또는 정치적 배경에 관한 정보 ② 개인의 건강이나 교육, 유전자, 성생활 또는 그가 범하였거나 혐의를 받는 범죄에 대한 소송 절차, 해당 소송에 따른 처분 또는 법원 선고에 관한 정보 ③ 사회보장번호나 과거 또는 현재의 의료기록, 면허나 면허거절·중지·취소에 관한 기록, 세금신고 등의 정보를 포함하되 이에 국한하지 아니하고 정부기관이 발행한 특정 개인에 관련된 고유정보 ④ 기밀 유지를 위해 법률 또는 행정명령에서 특별히 정한 정보
(3) 적용범위
필리핀 개인정보보호법은 모든 형식의 개인정보 처리 및 개인정보 처리에 관련된 자연인 및 법인을 그 적용범위 및 적용대상으로 한다. 여기서 법인은 필리핀에 설립된 법인뿐만 아니라, 필리핀에 설립되지 아니하더라도 ① 필리핀 소재의 장비를 사용하거나, ② 필리핀에 사무소나 지점⋅대리점을 유지하는 법인까지 모두 포함한다. (제4조) 영토적 적용범위로서, 동법은 필리핀 시민 또는 거주자에 대한 개인정보와 관련된 활동 또는 처리인 경우, 필리핀 내외에서 이루어지는 행위에 모두 적용된다. 필리핀 시민 또는 거주자에 관한 것이라면 필리핀 국내에서 이루어지는 개인정보 처리와 필리핀 국외에서 이루어지는 개인정보 처리를 불문한다. (제6조)
(4) 정보주체의 권리
필리핀 개인정보보호법은 GDPR에서 정보주체에게 부여하고 있는 대부분의 권리를 모두 법률에 도입하였다. 다만, GDPR처럼 주요 절차 및 세부사항을 모두 법률에 규정하지는 않고 있고, 대부분을 개인정보보호법 시행규칙이나 NPC가 필요에 따라 발표하는 자문의견 혹은 지침을 통해 보완하고 있는 특징을 지닌다.
1) 정보를 제공받을 권리
개인정보보호법 제16조제(a)항 및 제(b)항은 정보를 제공받을 권리를 규정하고 있다. 동 조항에 따르면 정보주체는 본인과 관련된 개인정보가 처리될 것인지, 처리되고 있는지 여부를 통보받을 수 있다. 정보주체는 컨트롤러의 개인정보 처리 시스템에 자신의 개인정보가 입력되기 전 또는 이후 가능한 때에 아래의 정보를 제공받을 수 있다. ① 시스템에 입력할 개인정보에 대한 설명 ② 처리의 목적 ③ 개인정보 처리 범위 및 방법 ④ 개인정보의 공개 대상 및 공개 대상 범주 ⑤ 정보주체가 자동 접근을 허용하는 경우 자동 접근에 활용하는 방법 및 그 접근이 허용되는 범위 ⑥ 컨트롤러 또는 그 대표자의 신원 및 연락처 ⑦ 정보가 저장되는 기간 ⑧ 정보주체의 권리 (예컨대, 접근권, 정정권, NPC에 대한 민원 제기 권리 등) 정보주체에게 제공되거나 통지된 정보는 정보주체에 대한 사전통지 없이는 수정할 수 없다.
2) 열람권
개인정보보호법 제16조제(c)항에서는 정보주체의 열람권을 규정하고 있다. 정보주체는 요청에 따라 아래의 내용에 대한 합리적인 열람 권한을 갖는다. ① 처리된 개인정보의 내용 ② 개인정보를 입수한 출처 ③ 개인정보 수신자의 성명 및 주소 ④ 개인정보 처리 방법 ⑤ 개인정보 수신자에 대한 개인정보 제공 사유 ⑥ 정보주체에 중대한 영향을 미치거나 영향을 미칠 수 있는 의사결정의 유일한 근거로서 자동화된 프로세스에 대한 정보 ⑦ 정보주체에 관한 본인의 개인정보를 마지막으로 열람 및 변경한 일자 ⑧ 컨트롤러의 명칭 또는 이름. 신원, 주소 다만, GDPR과는 달리 열람권을 행사하는 정보주체의 신원 확인 조치, 열람권 행사에 대한 컨트롤러의 처리 기한, 수수료 청구 여부 등 세부 사항에 대해서는 개인정보보호법에서 정하지 않고 NPC가 발행한 일련의 자문의견 문서 등에서 규정하고 있다. 예컨대, ▲열람권을 행사한 정보주체의 본인 확인을 위한 증거 제시 요구 가능 ▲영업일 기준 30일 내 처리 원칙 ▲합리적 수수료 부과 가능 등이다.
3) 정정권
정정권은 개인정보보호법 제16조제(d)항에서 규정하고 있다. 정보주체는 개인정보의 부정확성 또는 오류에 이의를 제기할 수 있으며, 컨트롤러는 요청이 번거롭거나 불합리한 경우를 제외하고는 즉시 이를 정정해야 한다. 개인정보가 정정된 경우 컨트롤러는 새로운 정보와 정정 전 정보 모두에 대한 접근성을 보장함과 함께, 개인정보 수신이 예정되어 있던 제3의 수신자도 동일한 정보를 동시에 수신할 수 있도록 보장해야 한다.
4) 삭제권
정보주체는 개인정보보호법 제16조제(e)항에 따라 삭제권을 행사할 수 있다. 정보주체는 개인정보가 불완전하거나, 오래되었거나, 허위이거나, 불법적으로 취득되었거나, 승인되지 않은 목적으로 사용되었거나, 수집된 목적에 비추어 더 이상 필요하지 않다는 실질적인 증거가 발견된 경우, 컨트롤러의 파일링시스템에서 개인정보의 차단, 제거, 파기를 명령할 권한이 있다. 이 경우 컨트롤러는 처리된 개인정보를 이전에 수령한 바 있던 제3자에게 통지할 수 있다.
5) 처리제한권 및 반대권
필리핀 개인정보보호법은 정보주체의 처리제한권 및 반대권에 대해 명시하고 있지는 않으나, 삭제권이 규정되어 있는 동법 제16조제(e)항에서 컨트롤러의 파일링시스템에서 개인정보를 되찾아가거나(withdraw) 처리를 중단(suspend)할 수 있는 권리를 부여하고 함으로써 처리제한권 및 반대권을 일부 보장하고 있다. 기타 처리제한권 및 반대권에 관한 구체적 사항은 개인정보보호법에서 명시적으로 다루지 않는다. 다만 반대권의 경우, 개인정보보호법 시행규칙 제34조제(b)항에서 정보주체가 직접마케팅 및 자동화된 처리 또는 프로파일링을 위한 처리 등 자신의 개인정보의 처리에 반대할 권리가 있다고 규정하는 등 시행규칙에서 정보주체의 반대권을 보장하고 있다.
6) 이동권
개인정보보호법 제18조에서는 정보주체의 이동권을 명시하고 있다. 정보주체는 개인정보가 전자적 수단에 의해, 그리고 구조적이고 일반적으로 사용되는 형식으로 처리되는 경우, 처리 중인 개인정보의 사본을 정보주체가 일반적으로 사용하고 추가적으로 사용할 수 있는 전자적 또는 구조화된 형식으로 컨트롤러로부터 취득할 권리를 가진다. NPC는 상기 언급한 전자 형식 및 개인정보의 이전을 위한 기술 표준, 양식 및 절차를 명시할 수 있다.
(5) 컨트롤러 및 프로세서의 의무
필리핀 개인정보보호법은 GDPR 제32조(처리의 보안)에 대응하는 제20조 보안 의무와 GDPR 제37조(DPO의 지정)에 대응하는 DPO 지정의무를 제외하고는 컨트롤러 등의 일반적 의무사항을 법률에서 규정하고 있지 않다. 컨트롤러 및 프로세서 의무의 공백을 메우기 위해 개인정보보호법 시행규칙에서는 개인정보 처리 기록 의무를 추가적으로 규정하고 있다.
1) 보안 의무
개인정보보호법 제20조에서는 컨트롤러의 보안 의무를 규정하고 있다. 컨트롤러는 우발적이거나 불법적인 파괴, 변경, 제공, 기타 불법적인 처리로부터 개인정보를 보호하기 위한 합리적이고 적절한 조직적, 물리적 및 기술적 조치를 수행해야 한다. 또한 우발적 유실·훼손 등 자연적 위험과 부적법한 접근, 부정사용, 불법적인 훼손·변조·오염 등 인적 위험으로부터 개인정보를 보호하기 위하여 합리적이고 적절한 조치를 수행해야 한다. 이와 관련하여 보안 의무를 이행하기 위한 조치는 다음을 포함해야 한다. ① 컴퓨터 네트워크를 우발적, 불법적, 무단 사용이나 네트워크 기능에 대한 방해로부터 보호하기 위한 보호장치 구현 ② 개인정보 처리에 관한 보안정책 마련 ③ 컴퓨터 네트워크에서 발생할 수 있는 합리적으로 예측 가능한 취약점을 식별하기 위한 프로세스 구축 및 보안 침해로 이어질 수 있는 보안 사고를 예방 및 최소화할 수 있는 프로세스 구축 ④ 보안 침해를 방지하기 위한 정기적인 모니터링 시행 및 보안 침해로 이어질 수 있는 보안 사고를 예방 및 최소화할 수 있는 프로세스 구축 한편, 컨트롤러의 직원, 대리인 또는 대표자는 개인정보의 제공을 목적으로 하지 않는 경우에는 해당 내용을 엄격한 비밀에 부쳐 개인정보를 운영하고 보유하여야 한다. 이 의무는 공직을 떠나거나 다른 직무로 이동하거나 고용 또는 계약관계가 종료된 후에도 계속된다.
2) 개인정보 처리 기록 의무
개인정보보호법은 컨트롤러의 처리 기록 의무를 두고 있지 않다. 그러나 하위법령인 개인정보보호법 시행규칙에서 GDPR과 유사한 취지의 처리 기록 의무와 그 요건을 명시하고 있다. 개인정보 처리에 관여하는 모든 자연인, 법인 또는 기타 기관은 개인정보 처리 시스템을 충분히 설명하고 개인정보에 접근하는 개인의 의무와 책임을 식별하는 기록을 유지해야 합니다. 처리 기록에는 다음을 포함해야 한다. (개인정보보호법 시행규칙 제26조제(c)항) ① 개인정보 처리 목적에 관한 정보, 특히 향후의 개인정보 처리 또는 공유 의도 등 포함 ② 모든 범주의 정보주체, 개인정보 및 처리와 관련된 개인정보 수신자에 대한 설명 ③ 개인정보 폐기 또는 삭제 기한을 포함하여 개인정보 수집, 처리 및 보유 시점부터 조직 내 개인정보 흐름에 대한 일반적 정보 ④ 시행 중인 조직적, 물리적, 기술적 보안 조치에 대한 일반적 설명 ⑤ 컨트롤러의 이름 및 연락처 세부사항, 그리고 해당되는 경우 공동 컨트롤러와 그 대표자, DPO, 기타 개인정보보호를 위해 법률 준수 책임이 있는 개인의 이름 및 연락처 세부사항
3) 개인정보 영향평가 의무
필리핀 개인정보보호법 및 개인정보보호법 시행규칙 모두 개인정보 영향평가 의무를 규정하지 않고 있다. 다만, NPC가 정부기관을 대상으로 발생한 지침(정부기관의 개인정보 보안에 관한 NPC 지침 제16-01호2)에서 각 정부기관이 개인정보 영향평가를 수행해야 하는 필수 요건을 규정하고 있을 뿐이다.
4) DPO 지정 의무
필리핀 개인정보보호법은 명시적으로 DPO 지정의무 조항을 두고 있지는 않다. 그러나 동법 제21조제(b)항에서 컨트롤러가 동법을 준수할 책임이 있는 자를 지정하고, 지정된 자의 신원을 요청 시 정보주체에게 알리도록 하고 있어 사실상 DPO 지정의무를 규정하는 것이라 볼 수 있다. 개인정보보호법 시행규칙에서는 보다 구체적으로 DPO 지정의무를 규정한다. 시행규칙 제26조제(a)항은 개인정보 처리에 관여하는 모든 자연인, 법인, 기타 기관으로 하여금 DPO, 규정 준수 책임자, 또는 개인정보보호 및 보안을 위한 책임자를 지정하도록 의무화하고 있다. 컨트롤러는 조직 내 법률 준수에 책임이 있는 자를 지정하는 것 외에도 요청 시 정보주체에게 그들의 신원을 알려야 한다.
2) NPC Circular 16-01 on Security of Personal Data in Government Agencies(6) 개인정보 국외이전
개인정보보호법 제21조는 컨트롤러의 책임 원칙을 규정하면서 국외이전에 관한 내용을 일부 언급하고 있다. 동 조항에서는 컨트롤러로 하여금 국제적 합의 및 협력을 바탕으로 제3자에게 처리를 목적으로 이전된 정보 등 자신의 통제 또는 보호 하에 있는 개인정보에 대해 책임을 지도록 하고 있으며, 동법상의 요건 준수 책임 및 제3자가 정보를 처리하는 동안 필리핀과 유사한 수준의 보호를 제공하기 위해 계약 또는 기타 합리적인 수단을 사용해야 하는 의무만을 부과할 뿐이다. 따라서 법률 문언 상 개인정보의 국외이전은 적절하거나 필리핀과 동등한 수준의 개인정보보호 표준을 설정한 법률이 있는 관할구역뿐만 아니라, 필리핀 법률과 동등한 수준의 보호를 제공하지 않는 국가에도 이루어질 수 있다고 해석할 수 있다. 다만 이와 같은 개인정보보호에 대한 책임은 개인정보를 국외로 이전한 컨트롤러가 부담해야 한다. 동법 제21조를 준수한다는 전제 하에, 필리핀 개인정보보호법은 추가적인 개인정보 국외이전에 관한 요건을 설정하고 있지 않다.
(7) 집행
개인정보보호법은 제25조에서 제37조에 걸쳐 처벌에 관한 광범위한 조항을 두고 있다 대부분의 조항이 형사처벌 조항으로 구성되어 있으며 행정 과징금 부과에 대해서는 법률에 처분 규정이 없다. 다만 개인정보보호법 제7조의 NPC 권한을 근거로 NPC가 일련의 회람문서(circular)를 발행하고 있는데, 최근 발행한 회람 문서에서 과징금 부과 여부 및 부과 기준에 대해 구체화한 바 있다. 개인정보보호법에서 규정하고 있는 처벌 조항(제25조~제36조)은 다음과 같으며, 동법으로 인해 피해를 입은 당사자는 민법에 따라 손해배상 청구가 가능하다 (제37조)
필리핀 개인정보보호법상 주요 처벌 규정
| 구분 | 내용 |
|---|---|
| 무단 처리(제25조) | ● 정보주체의 동의가 없거나 법령에 의해 승인되지 않은 위법한 개인정보 처리 시 1년 이상 3년 이하의 징역형과 함께 50만 페소(약 9,300 미국 달러) 이상 200만 페소(약 3만 7,200 미국 달러) 이하의 벌금형에 처함 ● 정보주체의 동의가 없거나 법령에 의해 승인되지 않은 위법한 민감 개인정보 처리 시 3년 이상 6년 이하의 징역형과 함께 50만 페소(약 9,300 미국 달러) 이상 400만 페소(약 7만 4,400 미국 달러) 이하의 벌금형에 처함 |
| 부주의한 접근 제공(제26조) | ● 과실로 법령에 따른 허가 없이 개인정보에 대한 접근 제공 시 1년 이상 3년 이하의 징역형과 함께 50만 페소(약 9,300 미국 달러) 이상 200만 페소(약 3만 7,200 미국 달러) 이하의 벌금형에 처함 ● 과실로 법령에 따른 허가 없이 민감한 개인정보에 대한 접근 제공 시 3년 이상 6년 이하의 징역형과 함께 50만 페소(약 9,300 미국 달러) 이상 400만 페소(약 7만 4,400 미국 달러) 이하의 벌금형에 처함 |
| 부적절한 폐기(제27조) | ● 고의 또는 과실로 공공이 접근할 수 있는 지역에 개인정보를 처분, 폐기, 방지하거나 쓰레기통에 폐기하는 경우 6개월 이상 2년 이하의 징역형과 함께 10만 페소(약 1,860 미국 달러) 이상 50만 페소(약 9,300 미국 달러) 이하의 벌금형에 처함 ● 고의 또는 과실로 공공이 접근할 수 있는 지역에 민감한 개인정보를 처분, 폐기, 방지하거나 쓰레기통에 폐기하는 경우 1년 이상 3년 이하의 징역형과 함께 10만 페소(약 1,860 미국 달러) 이상 100만 페소(약 1만 8,600 미국 달러) 이하의 벌금형에 처함 |
| 목적 범위를 벗어난 처리(제28조) | ● 정보주체 또는 법령에서 승인하지 않은 목적으로 개인정보를 처리할 경우 1년 6개월 이상 5년 이하의 징역형과 함께 50만 페소(약 9,300 미국 달러) 이상 100만 페소(약 1만 8,600 미국 달러) 이하의 벌금형에 처함 ● 정보주체 또는 법령에서 승인하지 않은 목적으로 민감한 개인정보를 처리할 경우 2년 이상 7년 이하의 징역형과 함께 50만 페소(약 9,300 미국 달러) 이상 200만 페소(약 3만 7,200 미국 달러) 이하의 벌금형에 처함 |
| 무단 접근 및 의도적 침해(제29조) | ● 고의 및 불법적으로 또는 개인정보 기밀성 등을 위반하여, 개인정보 혹은 민감한 개인정보가 저장된 시스템에 침투하는 경우 1년 이상 3년 이하의 징역형과 함께 50만 페소(약 9,300 미국 달러) 이상 200만 페소(약 3만 7,200 미국 달러) 이하의 벌금형에 처함 |
| 보안 침해 은폐(제30조) | ● 동법 제20조제(f)항에 근거하여 보안 침해 사고 통지 의무를 가진 자가 고의적으로 또는 누락으로 인해 해당 보인 침해 사실을 은폐한 경우 1년 6개월 이하 5년 이하의 징역형과 함께 50만 페소(약 9,300 미국 달러) 이상 100만 페소(약 1만 8,600 미국 달러) 이하의 벌금형에 처함 |
| 악의적 제공(제31조) | ● 컨트롤러 또는 프로세서 등이 악의적으로, 자신이 획득한 개인정보 혹은 민감한 개인정보와 관련하여 부적절하거나 허위의 정보를 제공할 경우 1년 6개월 이하 5년 이하의 징역형과 함께 50만 페소(약 9,300 미국 달러) 이상 100만 페소(약 1만 8,600 미국 달러) 이하의 벌금형에 처함 |
| 무단 제공(제32조) | ● 컨트롤러 또는 프로세서가 정보주체의 동의 없이 제31조에서 규정한 개인정보 이외의 개인정보를 제3자에게 제공할 경우 1년 이상 3년 이하의 징역형과 함께 50만 페소(약 9,300 미국 달러) 이상 100만 페소(약 1만 8,600 미국 달러) 이하의 벌금형에 처함 ● 컨트롤러 또는 프로세서가 정보주체의 동의 없이 제31조에서 규정한 민감한 개인정보 이외의 민감정보를 제3자에게 제공할 경우 3년 이상 5년 이하의 징역형과 함께 50만 페소(약 9,300 미국 달러) 이상 200만 페소(약 3만 7,200 미국 달러) 이하의 벌금형에 처함 |
| 가중 처벌(제33조) | ● 동법 제25조부터 제32조까지의 범죄를 중복하여 범할 경우 3년 이상 6년 이하의 징역형과 함께 100만 페소(약 1만 8,600 미국 달러) 이상 200만 페소(약 3만 7,200 미국 달러) 이하의 벌금형에 처함 |
| 부가적 제재(제33조) | ● 범죄자가 사업체, 합자회사, 기타 법인인 경우, 범죄에 가담한 임원이나 중대한 과실로 인해 범죄에 이르게 된 책임이 있는 임원에게 벌금을 부과 ● 만약 범죄자가 법인인 경우 법원은 동법에 따른 권리를 정지 및 취소할 수 있음 ● 만약 범죄자가 외국인인 경우 동법에서 규정한 형벌 이외에, 형기 만료 후 추가적인 절차 없이 추방 조치 ● 범죄자가 공무원이면서 허위로 진술하거나 동법 제27조 및 제28조 위반으로 인해 유죄판결을 받은 경우, 동법에서 규정한 처벌 이외에 직무에서 영구적 혹은 일시적으로 배제 |
| 대규모 위반행위에 대한 처벌(제34조) | ● 동법 제25조 이하의 위반행위로 인해 100명 이상의 개인정보가 손상되거나 영향을 받게 된 경우 각 위반행위에 대해 각 조항에서 규정한 최고형량을 부과 |
| 공무원의 직무 배제(제36조) | ● 범죄를 저지른 자 혹은 해당 범죄에 책임이 있는 자가 그 직무를 수행함에 있어 필리핀 행정법에 규정된 공무원으로 분류되는 경우, 형사처벌의 2배의 기간 동안 직무에서 배제되는 부가적 처벌을 적용 |
한편, 2022년 8월 NPC가 발표한 회람문서인 ‘행정 과징금에 관한 가이드라인3)(Guidelines on Administrative Fines) (회람문서 제2022-01호)은 과징금 부과와 관련한 구체적인 기준을 제시하고 있다.
NPC가 발표한 과징금 부과 기준
| 구분 | 내용 |
|---|---|
| 중대 및 주요 위반 | ● 중대한(grave) 위반행위에 대해서는 연매출의 0.5%~3%, 주요(major) 위반행위에 대해서는 연매출의 0.25%~2% 범위에서 각각 과징금을 부과 |
| 기타 위반 | ● 컨트롤러의 실제 신원 또는 연락처 정보, 개인정보 처리 시스템 또는 자동화된 의사결정에 관한 정보를 등록하지 않은 경우나 최신화된 정보를 등록하지 않은 경우, 5만 페소(약 930 미국 달러) 이상 20만 페소(약 3,720 미국 달러) 이하의 과징금을 부과 |
| 명령 불복 | ● NPC의 명령, 결의 또는 결정을 준수하지 않을 경우 당초 위반에 부과된 벌금 외에 최대 5만 페소(약 930 미국 달러)의 행정 과징금을 추가 부과 |
| 과징금 미납 시 조치 | ● NPC는 행정 과징금 납부를 거부하는 컨트롤러와 프로세스에 대해 개인정보보호법 제7조에 따라 특정행위 중지명령 등을 발령할 수 있으며, 법원 규칙에 입각해 기관 모독(contempt)에 대한 대응 절차를 밟을 수 있음 |
나. 개인정보보호법 시행규칙 (Implementing Rules of the Republic Act No. 10173)
NPC는 개인정보보호법 제39조에 따라 법률의 내용을 더욱 구체화하고자 2016년 8월 24일 개인정보보호법 시행규칙을 공포하였다. 동 시행규칙은 의회가 제정된 개인정보보호법에서 실제적인 법 적용에 필요한 세부적 내용을 제시하고 있다. 구체적으로 동 시행규칙은 ① DPO 지정과 관련한 사항 ② 개인정보 처리 기록에 관한 요건 ,③ 물리적 보안조치와 기술적 보안조치의 이행에 필요한 제반 요건 ④ 개인정보 침해 방지 모니터링 활동을 위한 요건 등을 포함하여 컨트롤러의 구체적인 내부운영 규칙을 제시하고 있다. 또한 동 시행규칙은 정보주체의 권리와 관련해서도, 정보주체가 개인정보 처리에 대한 동의를 보류하거나 이의를 제기할 수 있는 권한을 명시적으로 부여하고 있다. 이 권리는 개인정보보호법에서는 삭제권 조항에서 부차적으로 규정하고 있던 정보주체의 권리로서 동 시행규칙에서는 명시적으로 반대할 권리를 정보주체의 권리로 두고 있다.
