국가정보_러시아
법률체계
1개요
러시아는 2006년 연방 개인정보법(Federal Law of 27 July 2006 No. 152-FZ on personal data)과 정보ㆍ정보기술ㆍ정보 보호법(Federal Law of 27 July 2006 No. 149-FZ on information, information technologies and the protection of information)을 연방법으로 제정하여 시행하고 있다. 2011년에는 연방 개인정보(개정)법(2011)(Federal Law of July 25, 2011 No. 261-FZ on Amendments to the Federal Law on Personal Data)에 따라 제18.1조 "정보처리자의 본 연방법에 명시된 의무 수행 보장 조치(Measures to Ensure the Fulfillment by an operator of the Obligations Laid Down in This Federal Law)", 제22조 제1항 "기관에서 개인정보 처리를 관리하는 개인들(Persons Responsible for Organizing the Processing of Personal Data at Organizations)"이 추가되었다. 2020년 잊혀질 권리 및 침묵이나 무반응이 개인정보 처리의 유효한 동의가 아님을 명시한 연방 개인정보(개정)법(2020)(Federal Law of 30 December 2020 No. 519-FZ on Amendments to the Federal Law on Personal Data)이 제정되어, 제10.1조가 추가되었고, 2021년 3월 시행되었다. 2021년 7월 2일에는 개인정보법에 제23.1조 "개인정보 처리에 연방정부 감독(Федеральный государственный контроль (надзор) за обработкой персональных данных)" 조항이 추가되었다. 2014년 연방 개인정보(개정)법 제2조 제5항에 데이터 현지화(data localization) 조항을 추가하고, 정보ㆍ정보기술ㆍ정보 보호법에 제15.5조 개인정보 침해자 명부(register of personal data infringers) 조항을 추가하였다(Federal Law of July 21, 2014 No. 242-FZ on Amending Some Legislative Acts of the Russian Federation in as Much as It Concerns Updating the Procedure for Personal Data Processing in Information-Telecommunication Networks). 처벌 조항은 해당 법률에 포함되어 있지 않고, 별도의 법률(Code of Administrative Offences Of The Russian Federation No. 195-FZ)에 포함되어 있다. 2021년 2월 24일 과징금과 형벌의 수준을 높인 개정법(Federal Law of 24 February 2021 No. 19-FZ on Amendments to the Code of Administrative Offences Of The Russian Federation)이 제정되었으며, 2022년 7월 14일 생체 정보에 대한 정보주체의 권리 강화와 정보처리자의 개인정보 역외 이전 시 해당 사실을 감독기구에 고지해야 하는 등 감독기구의 권한 강화를 주요 골자로 하는 개정법(Federal Law of 14 July 2022 No. 266-FZ on Amending the Federal Law on Personal Data)이 제정되어 2022년 9월 1일부터 발효되었다.1)
1) 러시아 국민의 개인정보 역외 이전 관련 개정 내용에 대해서는 2023년 3월 1일부터 시행 (https://rkn.gov.ru/news/rsoc/news74484.htm)
2러시아 법률체계
러시아는 대부분의 유럽국가와 마찬가지로 성문화된 대륙법(Civil law) 체계를 가지고 있다. 이에 판결은 보통 판례보다는 성문화된 법률에 근거하지만, 헌법재판소와 대법원의 판례는 하급법원들과 공공기관에 법적 구속력을 가진다. 하급 법원의 판결과 상급 법원의 판결이 충돌할 경우 하급 법원은 상급 법원의 판례를 따른다. 러시아 입법기관은 양원제이다. 상원인 연방 회의(Federal Council)와 하원인 국가 두마(State Duma)로 이루어져 있다. 상원에서 제안된 법안을 포함한 모든 법안은 하원에서 과반수의 찬성을 얻어 상원으로 넘겨지는데, 상원의 과반이 그 법안에 찬성하거나 14일간 검토되지 않으면 상원이 승인한 것으로 처리된다. 러시아 상원은 법안을 수정하지 못하고, 가결하거나 부결만 할 수 있다. 만약 상원이 법안을 부결한다면 상원과 하원이 합의를 해야 하며, 합의가 되지 못한 상태에서 하원의 3분의 2가 법안에 찬성한다면, 상원의 반대는 기각될 수 있다. 새로 제정되거나 개정된 법은 "러시아 신문 (Российская газета)"이라는 정부가 발행하는 일간지를 통해 공표된다. 러시아는 연방제이기 때문에 연방 법률과 지방 법률이 존재한다. 연방법이 지역법보다 상위법이기 때문에 연방법과 지역법이 충돌할 경우 연방법이 우선한다. 연방 법률의 경우, 하원 심의, 상원 심의, 대통령 서명, 공포의 절차를 거쳐서 제정된다. 러시아 개인정보법 위반과 관련된 재판은 지방 법원에서 진행된다. 모든 국제법과 러시아 연방의 국제조약은 헌법 제15조 제4항에 따라 러시아 연방의 국내법에 우선한다2).
2) 헌법 15조 4항. The universally-recognized norms of international law and international treaties and agreements of the Russian Federation shall be a component part of its legal system. If an international treaty or agreement of the Russian Federation fixes other rules than those envisaged by law, the rules of the international agreement shall be applied. (http://www.constitution.ru/en/10003000-01.htm)
3개인정보보호법
연방 개인정보법(Federal Law of 27 July 2006 No. 152-FZ on personal data)은 2006년 7월 27일 제정되어 시행 중이다. 해당 법은 전체 6장, 27개 조항으로 이루어져 있다. 각 장의 주요 내용은 다음과 같다.
[표 1. 러시아 개인정보법 조항]
제1장 일반 조항 | 제1조 적용 범위 |
---|---|
제2조 목적 | |
제3조 기본 용어 | |
제4조 개인정보 보호를 위한 입법적 근거 | |
제2장 개인정보 처리 원칙 및 조건 | 제5조 개인정보 처리 원칙 |
제6조 개인정보 처리 조건 | |
제7조 개인정보의 기밀 유지 | |
제8조 공개적으로 접근 가능한 개인정보 출처 | |
제9조 개인정보주체의 개인정보 처리 동의 | |
제10조 특수 범주의 개인정보 | |
제10.1조 개인정보주체가 배포를 허락한 개인정보 처리의 특수성 | |
제11조 생체인식 개인정보 | |
제12조 개인정보의 국경 간 이전 | |
제13조 국가 또는 시 개인정보 파일링 시스템에 있는 개인정보의 처리에 관한 특별조항 | |
제3장 개인정보주체의 권리 | 제14조 자신의 개인정보에 대한 개인정보주체의 접근 권리 |
제15조 개인정보주체의 개인정보가 상품 및 서비스의 시장 판촉 목적으로 또는 정치적 캠페인 목적으로 처리되는 경우에 개인정보주체의 권리 | |
제16조 자동화된 개인정보 처리에만 근거한 의사 결정과 관련된 개인정보주체의 권리 | |
제17조 정보처리자의 작위 또는 부작위에 대한 이의 제기 권한 | |
제4장 정보처리자의 의무 | 제18조 개인정보 수집 시 정보처리자의 의무 |
제18.1조 정보처리자가 연방 법률에 명시된 의무를 이행하도록 하기 위한 조치 | |
제19조 개인정보 처리 중의 개인정보 보호 보장을 위한 조치 | |
제20조 개인정보주체나 그 대리인 또는 개인정보주체의 권리를 보호할 수 있는 권한을 가진 기관의 신청이 있거나 이들로부터의 요청을 받은 경우 정보처리자의 의무 | |
제21조 개인정보 처리 시 법령 위반 사항을 조치하고 개인정보를 수정, 차단 및 폐기해야 하는 정보처리자의 의무 | |
제22조 개인정보 처리 통지 | |
제22.1조 기관에서 개인정보 처리 업무를 담당하는 자 | |
제5장 개인정보 처리에 관한 관리 및 감독. 법률 위반에 따른 책임 | 제23조 개인정보주체의 권리를 보호할 권한이 있는 기관 |
제23.1조 개인정보처리에 대한 연방정부의 감독 | |
제24조 연방 법률의 요건 위반에 따른 책임 | |
제6장 최종 조항 | 제25조 최종 조항 |
개인정보법의 목적은 개인정보를 처리할 때 개인의 권리와 자유를 보호하기 위한 것이다(제2조). 이를 위해 해당 법은 국가 기관, 법인, 개인이 자동 및 수동으로 개인정보를 처리하는 활동을 규율한다. 이 때 수동적 정보 처리는 성격이 자동적 정보 처리와 유사한 것을 의미한다. 다만 개인이 사적 또는 가족적 필요를 위한 개인정보 처리, 러시아 연방의 국가기록보관소(state archives)가 보관하는 기록에 포함된 개인정보 처리 등에 대해서는 적용되지 않는다(제1조).
가. 주요용어(제3조 등)
법에서는 다음과 같이 용어를 정의하고 있다.
용어 | 설명 | 조항 |
---|---|---|
개인정보 (personal data) |
특정 또는 식별된 개인(개인정보주체)을 직접 또는 간접적으로 나타내는 정보 | 제3조 |
특수 범주의 개인정보 (special categories of personal data) |
인종, 민족적 기원, 정치적 견해, 종교, 철학적 신념, 건강, 성 생활에 관한 개인정보. 한국 개인정보 보호법의 "민감정보"와 유사 | 제10조 |
생체인식 개인정보 (biometric personal data) |
개인이 식별될 수 있고 정보처리자가 개인정보주체의 신원을 확인하기 위해서 사용하는 특정 개인의 생리적, 생물학적 특성에 관한 정보 | 제11조 |
정보처리자 (operator) |
개인정보 처리 목적 및 범위를 정할 뿐만 아니라 독자적으로 또는 다른 기관과 협력하여 개인정보를 구성, 처리하는 국가 기관, 시 당국, 법인 또는 개인. 한국 개인정보 보호법의 "개인정보처리자"와 유사 | 제3조 |
개인정보 처리 (personal data processing) |
개인정보를 가지고 자동, 수동으로 수행하는 조치나 조치들의 결합. 여기에는 개인정보의 수집, 기록, 정리, 축적, 저장, 명시, 추출, 이용, 배포, 익명화, 차단, 폐기가 포함됨 | 제3조 |
개인정보 처리 업무를 담당하는 자 (persons responsible for organizing the processing of personal data at organizations) |
기관에서 개인정보 처리 업무를 담당하는 자. 한국 개인정보 보호법의 "개인정보 보호책임자"와 유사 | 제22.1조 |
개인정보시스템 (personal data information system) |
개인정보를 포함하고 있는 데이터베이스 및 정보 처리를 위해 사용되는 정보 기술과 하드웨어 | 제3조 |
개인정보의 익명화 (anonymization of personal data) |
관련 개인의 신원이 익명화된 정보만을 통해서는 확인될 수 없도록 개인정보에 취해지는 조치 | 제3조 |
개인정보의 국경 간 이전 (cross-border transfer of personal data) |
개인정보를 외국 정부기관, 외국법인 또는 외국에 있는 개인에게 국경을 넘어 이전하는 행위 | 제3조 |
개인정보주체의 권리를 보호할 권한이 있는 기관 (the authorized body for the protection of the personal data subjects's right) |
정보 기술 및 통신 분야에서 관리, 감독을 수행하는 연방행정기관으로 통신, 정보기술, 매스컴 연방관리소(Roskomnadzor). 개인정보 감독기구(data protection authority)를 의미 | 제23조 |
정보처리자 등록부 (register of operator) |
정보처리자가 개인정보 감독기구에 제출한 관련 정보를 보관하는 시스템. 해당 정보는 대중에게 공개 | 제22조 |
정보처리자는 한국의 개인정보 보호법의 개인정보처리자와 유사한 개념이다. GDPR에 규정된 개념인 데이터 컨트롤러(data controller), 데이터 프로세서(data processor)로 구분하고 있지 않으며, 한국 법률의 위탁자, 수탁자, 제3자로 명확하게 구분하고 있지도 않다. 다만 정보처리자(위탁자)는 개인정보주체의 동의를 받고 계약에 근거하여 개인정보 처리 업무를 타인에게 위임할 수 있으며, 이때 정보처리자의 지침에 따라 개인정보를 처리하는 자(수탁자)는 연방 법률에 규정된 개인정보의 처리 원칙과 규칙을 준수하여야 한다고 규정하고 있다. 따라서 명확한 용어를 사용하지는 않지만 위탁자, 수탁자의 개념과 유사한 것으로 판단된다. 또한 개인정보 처리 업무를 담당하는 자는 한국 법률의 개인정보 보호책임자와 유사하다.
나. 개인정보 처리 원칙 및 조건
(1) 개인정보 처리 원칙(제5조)
개인정보 처리 원칙을 7가지로 규정하고 있다.
- ① 합법성 및 형평성
- ② 사전에 정해진 특정한 법적 목적 달성을 위하여 처리
- ③ 목적 외로 처리할 개인정보 결합 불가
- ④ 처리 목적에 부합하는 개인정보만 처리 가능
- ⑤ 개인정보의 범위와 특성은 처리 목적과 부합
- ⑥ 개인정보의 정확성, 충분성, 적합성 보장
- ⑦ 처리 목적 달성까지만 개인정보 보관 가능
(2) 개인정보 처리 조건(제6조)
개인정보 처리가 허용되는 조건을 다음과 같이 규정하고 있다.
- ① 개인정보주체의 동의
- ② 국제 협약ㆍ법률에 규정된 목적 달성, 연방 법률에서 정보처리자에게 부여된 기능ㆍ권한ㆍ의무 수행을 위해서
- ③ 사법 행위 집행을 위해서
- ④ 공공 서비스 제공, 공공 서비스 포털에 개인정보주체 등록을 위해서
- ⑤ 개인정보주체가 당사자ㆍ수혜자ㆍ보증인인 계약 이행을 위해서
- ⑥ 개인정보주체의 동의를 얻을 수 없으나, 개인정보주체의 생명ㆍ건강ㆍ중요 이익 보호를 위해서
- ⑦ 정보처리자ㆍ제3자의 권리와 합법적 이익 실현, 사회적으로 중요한 목표 달성을 위해서. 단 이로 인해 개인정보주체의 권리ㆍ자유가 침해되어서는 안 됨
- ⑧ 언론 과학적ㆍ문학적ㆍ창작 활동을 위해서. 단 이로 인해 개인정보주체의 권리ㆍ자유가 침해되어서는 안 됨
- ⑨ 통계, 연구 목적을 위해서
- ⑩ 개인정보주체가 공개한 개인정보
- ⑪ 연방 법률에 따라 공개한 개인정보
정보처리자는 정보처리자 지침을 채택하여 개인정보 처리 업무를 타인에게 위임할 수 있다. 이때 정보처리자(위탁자)는 개인정보 주체의 동의를 얻어야 하며, 정보처리자의 지침에 따라 개인정보를 처리하는 자(수탁자)는 개인정보 주체의 동의를 받을 의무는 없다. 수탁자는 연방 법률에서 규정한 개인정보의 처리 원칙과 규칙을 준수하여야 한다. 위탁자는 개인정보 처리 업무 위임에 따른 책임이 있으며, 수탁자는 위탁자에 대한 책임이 있다.
(3) 개인정보주체의 개인정보 처리 동의(제9조)
개인정보 주체는 개인정보 처리 동의를 할 때, 자신의 의지로 자신의 이익을 위하여 자유롭게 동의하여야 한다. 동의는 구체적이고 정보에 입각해야 한다. 또한 개인정보 주체의 동의를 받은 경우, 대리인이 동의를 할 수 있다. 연방 법률에 규정된 경우에는 개인정보 처리를 위하여 개인정보 주체의 서면 동의를 받아야 한다. 서면 동의의 경우 다음 항목들을 포함하고 있어야 한다.
- ① 개인정보주체의 이름ㆍ주소, 식별 문서(신분증 등)의 번호ㆍ발행 일자ㆍ발행 기관
- ② 개인정보주체 대리인의 이름ㆍ주소, 식별 문서의 번호ㆍ발행 일자ㆍ발행 기관, 대리인 권한을 확인하는 문서
- ③ 정보처리자의 이름ㆍ주소
- ④ 개인정보 처리의 목적
- ⑤ 처리 대상 개인정보 목록
- ⑥ 개인정보 처리를 수행할 자(수탁자)의 이름ㆍ주소
- ⑦ 개인정보 처리 조치 목록, 개인정보 처리 방법에 대한 설명
- ⑧ 개인정보 처리 기한, 동의 철회 절차
- ⑨ 개인정보주체의 서명
(4) 특수 범주의 개인정보 처리(제10조)
특수 범주의 개인정보 처리는 다음의 경우에 허용된다. 연방 법률에 규정된 경우를 제외하고, 목적이 달성된 경우에는 특수 범주의 개인정보 처리는 즉시 종료되어야 한다.
- ① 개인정보주체가 개인정보 처리에 서면 동의
- ② 개인정보주체가 개인정보를 공개한 경우
- ③ 러시아 연방의 재가입에 관한 국제 협약 이행 관련
- ④ 러시아 인구 조사 관련 연방 법률(No. 8-FZ)에 따른 처리
- ⑤ 국가 사회 지원 관련 법령, 노동 법령, 국가가 제공하는 연금 및 은퇴 연금과 관련된 연방 법령에 따른 처리
- ⑥ 개인정보주체·타인의 생명, 건강, 기타 중요한 이익을 보호하기 위해서 필요하고 개인정보주체의 동의를 얻을 수 없는 경우
- ⑦ 예방 의학, 의학적 진단, 의료·사회적 보호 서비스 제공 목적으로 필요. 단 전문적으로 의료 업무를 수행하고 의료상의 기밀 유지를 위한 러시아 연방 법령에 따른 의무를 가지는 자가 처리를 수행해야 함
- ⑧ 사회단체, 종교단체 구성원의 개인정보가 이들 단체의 설립 문서에 규정된 정당한 목적을 달성하기 위하여 러시아 연방 법령에 따라 활동하는 해당 사회단체, 종교단체에 의해서 처리되는 경우. 단 이러한 개인정보는 개인정보주체의 서면 동의 없이 배포되어서는 안 됨
- ⑨ 사법 재관 관리와 관련하여 개인정보주체 또는 제3자의 권리가 마련되거나 행사될 수 있도록 하기 위해서 필요
- ⑩ 러시아 연방의 방위, 보안, 테러 대응, 교통 안전, 부패 방지 조치, 조사 활동, 집행 절차에 관한 법령, 형법에 따라 수행되는 경우
- ⑪ 의무적 유형의 보험 법령에 따라 수행되는 경우
- ⑫ 부모의 보살핌을 받지 못한 아이들을 시민의 가족에 맡길 목적으로 국가기관, 지방자치단체, 기관에 의해서 러시아 연방 법령의 규정에 따라 수행되는 경우
(5) 개인정보주체가 배포를 허락한 개인정보 처리의 특수성(제 10.1조)
정보주체가 개인정보 배포를 허락한다는 개인정보처리 동의서는 정보주체의 다른 개인정보처리 동의서와 개별적으로 작성된다. 정보처리자는 정보주체가 개인정보 배포를 허락한다는 정보처리 동의서에 기재된 개인정보 항목 각각에 따라 개인정보 목록을 결정할 수 있는 가능성을 정보주체에게 보장해야 한다.
정보처리자에게 동의서를 제공하지 않고, 정보 주체 자신이 자신의 개인정보를 공개한 경우에, 그러한 개인정보의 잇따른 배포나 처리에 대한 합법성을 증명할 책임은 그 정보를 배포하고 처리가 개인 각자에게 있다.
정보주체가 배포를 허락한다는 개인정보처리에 대한 동의는 정보처리자에게 1) 직접, 2) 정보처리주체의 권리를 보호하는 공인기관의 정보시스템을 사용하여 해야 한다.
정보주체의 침묵이나 무반응은 어떠한 경우에도 개인정보 배포에 대한 정보주체의 개인정보처리 동의로 간주될 수 없다.
정보처리자는 배포 동의서를 받은 지 3일 내에 그 사실을 공개해야 한다.
정보주체가 배포를 허락한다는 개인정보처리에 대한 동의서에서 정보주체가 이 개인정보를 불특정한 사람들에게 전달하거나 불특정한 사람들이 그것을 처리하는 것을 금지한다는 것을 명시할 권리가 있다.
정보주체가 배포를 허락한 개인정보 전달(배포, 공급, 접근)은 개인정보주체에 요구에 따라 언제든지 중지될 수 있다. 이러한 요구대상에는 개인정보 주체의 성, 이름, 부칭, 연락처 (전화번호, 이메일주소, 주소), 그 밖의 개인정보가 포함된다. 이러한 요구에서 지시된 개인정보들은 정보처리자만 처리할 수 있다.
본 법률에서 명시한 조항들이 준수되지 않을 시 개인정보 주체는 자신의 개인정보를 처리하는 사람 누구에게나 이전에 자신이 배포를 허락한 개인정보의 전달(배포, 공급, 접근) 중지에 대한 요구를 하거나 법적 고발을 할 권리가 있다. 해당 인물은 정보주체의 요청을 받은 후 3 근무일 안에 개인정보의 전달(배포, 공급, 접근) 중지해야한다.
본 조항은 러시아 연방법이 연방이나 지방 행정부에 부여한 목적에 따라 개인정보처리를 하는 경우에는 적용되지 않는다.
(6) 생체인식 개인정보(제11조)
생체인식 개인정보는 개인정보주체의 서면 동의가 있는 경우에 처리할 수 있다. 또한 다음의 경우에도 처리할 수 있다.
러시아 연방의 재가입에 관한 국제 협약 이행
사법 재판의 관리, 사법 행위의 집행
러시아 연방의 방위, 보안, 테러 대응, 교통 안전, 부패 방지 조치, 조사 활동, 국가 공공 서비스에 관한 법령, 형법
러시아 연방 탈퇴 및 가입을 위한 절차에 관한 법령
(7) 개인정보의 국외이전(제12조)
러시아는 개인정보의 자동처리와 관련된 개인의 보호를 위한 유럽회의 협약(CoE 108, Council of Europe Convention on the Protection of Individuals with Regard to Automatic Processing of Personal Data)에 가입하였다. 따라서 러시아로부터 CoE 108 협약 가입국으로의 개인정보 국외이전은 허용하고 있다. 또한 개인정보 감독기구는 협약 가입국이 아닌 국가 중 개인정보주체의 권리를 적절하게 보호하는 국가의 목록을 승인하고 있다. 이는 GDPR 상의 적정성 결정(adequacy decision)과 유사한 것으로 생각된다. 또한 목록에 해당되지 않는 외국으로의 개인정보 국외이전은 다음의 경우에 가능하다.
- ① 개인정보주체가 개인정보의 국외이전에 동의한 경우
- ② 러시아 연방의 협약에 규정된 경우
- ③ 러시아 연방의 헌법 질서 보호, 국방, 국가 안보, 안전한 교통 시스템 운영 등을 위하여 연방 법률에 규정된 사안의 경우
- ④ 개인정보주체가 당사자인 계약을 수행하기 위한 경우
- ⑤ 개인정보주체의 서면 동의를 얻기 어려우나, 개인정보주체나 타인의 생명, 건강, 기타 중요한 이익을 보호하기 위한 경우
즉, 러시아에서 허용하는 개인정보 국외이전은 다음과 같은 3가지 유형으로 구분할 수 있다.
유형 | 설명 |
---|---|
CoE 108 협약 가입 국가 | EU 회원국, 유럽경제지역협정(EEA) 체약국, 스위스, 러시아, 그루지야 등 |
개인정보 보호 수준이 적정한 국가 | 로스콤나드조르에서 대상 국가를 선정하여 홈페이지에 공개하며, 한국을 포함한 22개 국가 |
기타 | 개인정보주체 동의 등 해당 조건 만족 |
다. 개인정보주체의 권리
(1) 개인정보 접근 권리(제14조)
개인정보주체는 자신의 개인정보에 대하여 다음과 같은 권리를 가진다.
- 자신의 개인정보 처리에 관련된 정보를 수령할 수 있으며, 다음과 같은 정보가 포함됨
정보처리자의 개인정보 처리 확인
개인정보 처리의 법적 근거 및 목록
정보처리자의 개인정보 처리 목적 및 방법
정보처리자의 이름, 위치
정보처리자의 직원이 아니면서 계약 또는 연방 법률에 의하여 개인정보에 대한 접근권을 가지거나 개인정보를 공개받는 자에 대한 정보
처리된 개인정보와 출처
개인정보의 보관 기간, 처리 기간
개인정보주체의 권리 행사 절차
개인정보 국경 간 이전에 관한 정보
정보처리자의 지침에 따라 개인정보 처리를 수행하는 자(수탁자)의 이름, 주소
연방 법률에 규정된 기타 정보
- 개인정보가 불완전하거나 최신이 아니거나 부정확하거나 불법적으로 확보되었거나 명시된 처리 목적을 위해 필요하지 않을 경우, 정보처리자에게 자신의 개인정보를 수정, 차단, 폐기 요청
- 정보처리자로부터 접근 가능한 형태(accessible form)로 자신의 개인정보 처리에 관련된 정보를 수령
-
개인정보 접근 권한은 연방 법률에 의해 제한될 수 있으며, 다음과 같은 경우를 포함함
국방, 국가 안보, 공공 질서 유지
범죄 혐의로 구금, 기소 등
범죄 수익금 합법화, 테러 자금 조달 지원
타인의 권리와 정당한 이익을 해치는 경우
안정적이고 안전한 교통 운영, 교통 안전 목적 등
(2) 마케팅 등 목적의 개인정보 처리 사전 동의(제15조)
상품, 서비스의 시장 판촉 목적, 정치 활동 목적을 위한 개인정보 처리는 개인정보주체의 사전 동의가 있는 경우에만 허용된다. 또한 개인정보주체의 요청이 있는 경우, 정보처리자는 개인정보 처리를 즉시 중단할 의무가 있다.
(3) 자동화된 개인정보 처리 관련 권리(제16조)
개인정보주체에게 법적 결과를 가져오거나 권리와 정당한 이익에 영향을 주는 의사 결정을 자동화된 개인정보 처리에 근거해서 수행하는 것은 금지된다. 이러한 처리는 개인정보주체가 서면 동의하거나, 연방 법률에 명시된 경우에만 가능하다. 또한 정보처리자는 해당 절차, 결정이 야기하는 법적 결과를 개인정보주체에게 명확히 설명하여, 개인정보주체가 이의를 제기하거나 자신의 권리와 이익을 보호할 수 있도록 하여야 한다.
(4) 이의 제기 권리(제17조)
개인정보주체는 정보처리자가 연방 법률을 준수하지 않고 자신의 개인정보를 처리하거나 권리와 자유를 침해하고 있다고 판단하면, 정보처리자의 작위(action), 부작위(inaction)에 대하여 권한 있는 기관이나 법원에 이의를 제기할 수 있다. 개인정보주체는 손실 보상, 위자료 보상 등 자신의 권리와 법적 이익을 보호받을 수 있다.
라. 정보처리자의 의무
(1) 개인정보 수집 시 의무(제18조)
정보처리자는 개인정보주체의 요청이 있으면, 개인정보 처리에 관련된 정보를 제공하여야 한다. 연방 법률에 따라 개인정보 제공이 의무적인 경우, 정보처리자는 개인정보 제공 거부로 인한 법적 결과를 개인정보주체에게 설명하여야 한다.
개인정보주체 이외의 자로부터 개인정보를 확보한 경우, 정보처리자는 해당 개인정보 처리를 시작하기 전에 개인정보주체에게 다음의 정보를 제공해야 한다.
- ① 정보처리자 또는 대리인의 이름 및 주소
- ② 개인정보 처리 목적 및 법적 근거
- ③ 개인정보의 예상 이용자
- ④ 개인정보주체의 권리
- ⑤ 개인정보를 확보한 출처
그러나 다음의 경우는 개인정보주체에게 정보를 제공하지 않아도 된다.
- ① 개인정보주체가 자신의 개인정보를 해당 정보처리자가 처리한다는 것을 통지받은 경우
- ② 연방 법률에 근거하거나 개인정보주체가 당사자, 수혜자, 보증인인 계약의 이행과 관련된 경우
- ③ 개인정보주체에 의해 공개되었거나 공개된 출처로부터 확보된 경우
- ④ 통계, 기타 연구, 언론인의 전문 활동, 과학적, 문학적, 기타 창작 활동 목적으로 처리하는 경우. 단 이로 인해서 개인정보주체의 권리와 정당한 이익이 침해되어서는 안 됨.
- ⑤ 개인정보주체에게 정보를 제공하는 것이 제3자의 권리와 정당한 이익을 침해하는 경우
(2) 정보처리자의 의무 이행을 위한 조치(제18.1조)
정보처리자는 법률을 준수하기 위한 필요하고 충분한 조치를 이행하여야 하며, 해당 조치에는 다음 항목들이 포함된다.
- ① 개인정보 처리 담당자 선임
- ② 개인정보 처리 정책, 절차 수립
- ③ 개인정보 보호를 보장하기 위해 법적, 조직적, 기술적 조치 적용
- ④ 감독 및 감사
- ⑤ 법률 위반 시 예상되는 손해를 산정하고 적용 조치와 비교 검토
- ⑥ 개인정보 보호 관련 법률, 정책, 절차 등에 대한 직원 교육
정보처리자는 개인정보 처리 정책 등을 인터넷 등을 통하여 공개하여야 한다. 개인정보 감독기구의 요청이 있으면, 정책, 절차와 조치를 적용했다는 증거를 제공하여야 한다.
(3) 개인정보 처리 중 개인정보 보호를 위한 조치(제19조)
정보처리자는 정보 처리 시 개인정보에 대한 권한 없는 접근, 폐기, 변경, 차단, 복제, 제공, 배포 등 불법적 행위로부터 개인정보를 보호하는데 필요한 법적, 조직적, 기술적 조치를 적용해야 한다. 그러한 조치는 다음과 같다.
- 개인정보에 대한 위협 탐지
- 개인정보 보호를 위한 조직적, 기술적 조치
- 준수 여부 평가 절차를 수행한 데이터 보호 조치 적용
- 개인정보 처리 시스템 구동 전에 개인정보 보호 조치의 효과성 평가
- 개인정보를 포함한 매체 기록 보관
- 인가받지 않은 개인정보 접근을 탐지하고 조치
- 인가받지 않은 접근에 의해서 변경되거나 파손된 개인정보 복구
- 개인정보 접근 규칙 마련 및 접근 기록 보존
- 보호 조치 모니터링
이외에도 러시아 연방정부 및 관련 기관은 다음의 개인정보 보호 조치를 마련해야 한다.
- 개인정보 보호 위협에 따른 개인정보 보호 수준 확보
- 개인정보 보호 관련 요건
- 생체인식 개인정보를 포함한 개인정보 처리 시스템에 대한 요건
(4) 개인정보 관련 요청에 대한 처리(제20조)
정보처리자는 개인정보주체, 개인정보주체의 대리인, 개인정보 감독기구의 요청을 받은 경우 다음과 같이 처리하여야 한다.
- 개인정보주체나 대리인이 개인정보 관련 정보를 요청할 경우, 30일 이내에 개인정보 열람을 허용
- 개인정보 제공 거부 시, 30일 이내에 사유를 담은 회신을 서면으로 제공하고 회신에는 거부 근거 법률 조항을 포함하여야 함
- 개인정보 제공 시 무료로 제공. 개인정보가 불완전, 부정확, 오래되었다는 증거를 제시하는 경우, 7영업일 이내에 수정. 개인정보가 불법적으로 입수되었거나 처리 목적에 맞지 않다는 증거를 제시하는 경우, 7영업일 이내에 폐기. 정보처리자는 수정 등 조치 내역을 개인정보주체와 개인정보가 이전된 제3자에게 통지
- 개인정보 감독기구가 개인정보 관련 정보를 요청할 경우, 30일 이내에 제공
(5) 위반 사항 시정 등에 대한 처리(제21조)
정보처리자는 법률 위반 사항을 시정하거나, 개인정보를 수정, 차단, 폐기하여야 한다.
- 개인정보가 부정확할 경우, 근거 서류를 받은 7영업일 이내에 수정하거나 차단
- 개인정보가 불법적으로 처리되고 있다는 것을 발견할 경우, 3영업일 이내에 불법적 개인정보 처리를 중단. 개인정보 처리를 합법화하는 것이 불가능할 경우, 10영업일 이내에 개인정보를 폐기
- 개인정보 처리 목적이 달성된 경우, 다른 법률에 근거하지 않으면 해당 목적이 달성된 날로부터 30일 이내에 개인정보의 처리를 중단하거나 폐기
- 개인정보주체가 개인정보 처리 동회를 철회하는 경우, 다른 법률에 근거하지 않으면 철회 요청을 받은 날로부터 30일 이내에 개인정보 처리를 중단. 만약 개인정보 보관 필요가 없을 경우, 해당 개인정보 폐기
(6) 개인정보 처리 통지(제22조)
정보처리자는 개인정보 처리를 시작하기 전에 개인정보 감독기구에 통지하여야 한다. 다음의 경우에는 통보하지 않아도 된다.
- ①노동 법령에 따른 처리
- ②개인정보주체가 당사자인 계약 이행
- ③사회단체, 종교기관의 참여자와 관련되며 해당 단체, 기관의 설립 문서에 규정된 합법적 목적을 달성하기 위한 처리
- ④개인정보주체가 개인정보를 공개
- ⑤개인정보 주체의 이름만 포함
- ⑥정보처리자가 위치한 장소에 개인정보주체가 1회성으로 들어오거나 유사 목적으로 필요한 개인정보
- ⑦국가 안보ㆍ공공 질서 보호를 목적으로 만들어진 국가 개인정보 파일링 시스템(state personal data filing system)에 포함된 개인정보
- ⑧연방 법률 등에 따라서 개인정보 보호를 보장하며 자동화된 장비를 사용하지 않고 처리되는 개인정보
- ⑨교통 시스템의 안전한 운영을 보장하기 위한 처리
통지 시에는 권한 있는 자가 서명해야 하며, 다음의 정보를 포함하고 있어야 한다. 통지는 개인정보 감독기구 홈페이지의 해당 메뉴를 이용해서 정보를 입력할 수 있다.
- ①정보처리자의 이름, 주소
- ②개인정보 처리 목적
- ③개인정보 범주
- ④개인정보가 처리되는 개인정보주체의 범주
- ⑤개인정보 처리의 법적 근거
- ⑥개인정보와 관련된 조치 내역, 정보처리자가 사용하게 될 개인정보 처리 방법에 대한 일반적 설명
- ⑦제18조, 제19조에 규정된 조치에 대한 설명으로 암호화 정보 포함
- ⑧개인정보 처리 책임자의 이름, 기관 명칭, 전화번호, 우편번호, 이메일 주소
- ⑨개인정보 처리 시작 일자
- ⑩개인정보 처리 종료 기간이나 조건
- ⑪국외 이전 관련 정보
- ⑫개인정보 보호를 위한 조치
- ⑬러시아 시민의 개인정보를 저장하는 데이터베이스 위치 정보*
* 해당 내용은 데이터 현지화(data localization)에 해당하는 것으로 연방 법률(No. 242-FZ)에 의하여 추가되었음
개인정보 감독기구는 통지받은 정보를 30일 이내에 정보처리자 등록부에 입력하여야 한다. 개인정보가 처리되는 동안 해당 등록부에 포함된 정보는 개인정보 보호 조치에 대한 정보를 제외하고 공개된다. 등록된 정보가 부정확한 경우 개인정보 감독기구는 정보처리자에게 해당 내역을 수정하도록 요청할 수 있다. 정보가 변경되거나 개인정보 처리가 완료되는 경우, 정보처리자는 10영업일 이내에 개인정보 감독기구에 통지하여야 한다.
(7) 개인정보 처리 담당자 지정(제22.1조)
정보처리자는 개인정보 처리 업무를 담당할 자를 지정하여야 한다. 개인정보 처리 담당자는 개인정보 감독기구에 개인정보 처리 정보를 통지하여야 한다. 또한 다음의 업무를 수행하여야 한다.
- ①연방 법률 준수 여부를 확인하기 위한 내부 통제
- ②정보처리자 직원들에게 관련 법률, 정책, 절차에 대한 교육
- ③개인정보주체나 대리인으로부터 요청 사항 접수 및 처리
(8) 개인정보 러시아 연방 내 보관(제18조 등)
정보처리자는 인터넷을 통하여 러시아 연방 시민들의 개인정보를 수집하는 경우, 데이터베이스가 러시아 연방 내에 위치하도록 보장하여야 한다(제18조 제5항). 법률 제6조에 명시된 경우는 예외로 한다. 해당 내용은 데이터 현지화(data localization)에 해당하는 것으로 연방 법률(No. 242-FZ)에 의하여 추가되었다.
마. 개인정보 감독기구
(1) 권한(제23조)
개인정보 감독기구는 러시아 연방 통신·정보기술·매스미디어 감독청(이하 로스콤나드조르, Roskomnadzor) Federal Service for Supervision of Communications, Information Technology and Mass Media(러시아어 Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций, 약칭 Роскомнадзор) 3) 다. 개인정보 감독기구는 개인정보의 내용, 처리 방법, 처리 목적 간의 정합성에 대하여 개인정보 주체가 제기한 민원(claim)을 심사하고 적절한 결정을 내려야 한다. 개인정보 감독기구는 다음의 권한을 가진다.
3) Federal Service for Supervision of Communications, Information Technology and Mass Media(러시아어 Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций, 약칭 Роскомнадзор)
- ①권한 행사에 필요한 정보를 개인 또는 법인에게 요청하고 해당 정보를 무료로 수령
- ②개인정보 처리 통지에 포함된 정보를 점검하거나 다른 기관에 점검을 요구
- ③부정확하거나 불법적으로 취득한 개인정보를 수정, 차단, 폐지하도록 정보처리자에게 요구
- ④법률 요건을 준수하지 않는 개인정보 처리를 중단, 종료
- ⑤개인정보주체의 권리 보호를 위하여 법원에 소장을 제출하고 해당 법원에서 정보 보호주체의 권리를 대변
- ⑥연방 정부에 법률 개선을 위한 제안을 제출
- ⑦법률 위반한 자에 대한 행정 조치
(2) 수행 업무(제23조)
개인정보 감독기구는 다음의 업무를 수행하여야 한다.
- ①개인정보주체의 권리 보호를 체계화
- ②개인정보 처리와 관련된 민원을 심사하고 판단
- ③정보처리자 등록부를 유지 및 관리
- ④개인정보주체의 권리 보호 개선을 위한 기타 조치 수행
- ⑤보안, 정보 보호를 담당하는 연방 행정기관의 요청 시, 개인정보 처리의 중단ㆍ종료를 유발하는 조치의 수행
- ⑥개인정보주체 권리 보호와 관련한 사안에 대하여 국가 기관 및 개인정보주체에게 알림
- ⑦연방 법률에서 정한 기타 임무
(3) 연방정부의 감독(제23.1조)
연방정부의 개인정보처리 감독의 대상은 정보처리자들의 본 연방법 및 러시아 연방의 관련 법률에서 명시된 개인정보 관련 필수 요건의 준수 여부이다.
(피감독자와의 상호작용 없이 실행된 감독 조치를 제외한) 개인정보처리에 대한 연방정부감독은 2020년 7월 31일 발효된 연방법 N 248-ФЗ "러시아 연방에서 정부 및 지방자치단체 감독에 관한 법률(О государственном контроле (надзоре) и муниципальном контроле в Российской Федерации)"에 의거하여 시행된다.
피감독자와의 상호작용 없이 조치를 시행하는 도중 드러난 재물의 손해나 손해에 대한 위협에 대한 인지는 상기 연방법 60조에 의거하여 감독 조치 시행 결정의 근거가 된다.
바. 처벌 조항(제24조)
법률을 위반하는 자는 상응하는 책임을 지며, 개인정보주체의 권리가 침해되어 발생한 정신적 손해는 보상을 받는다. 다만 구체적인 내용은 별도 법률(Code of Administrative Offences Of The Russian Federation No. 195-FZ)에서 규정하고 있다. 개인정보법 위반자에게 최고 500,000루블의 벌금을 부과할 수 있게 한 이 법률의 수정안 (Federal Law of 24 February 2021 No. 19-FZ on Amendments to the Code of Administrative Offences Of The Russian Federation)이 2021년 새로 제정되어 시행되기 시작했다.
상기 수정법안 제13.11조에 의거하여 러시아에서 개인정보법 위반자들에게는 2021년 3월 27일부터 다음과 같은 벌금이 부과된다.
[표 3. 개인정보법 위반 과징금4)]
위반 내용 | 과징금액 |
---|---|
법적 근거가 없거나 그 수집의 목적에 합당하지 않은 개인정보처리 | EUR 666 – 1,111(재범 EUR 1,111 – 3,334) |
서면동의를 받지 않았거나, 동의서 내용을 위반 | EUR 333 – 1,667(재범 EUR 3,334 – 5,556) |
정보처리자가 개인정보처리정책을 공표하지 않은 경우 | EUR 333 – 666 |
정정보처리자가 정보주체의 개인정보처리에 대한 정보를 제공하지 않은 경우 | EUR 444 – 889 |
정보처리자가 정보주체의 합당한 개인정보 삭제, 수정, 접근 금지 요청에 응하지 않은 경우 | EUR 555 – 1,000(재범: EUR 3,334 – 5,556) |
개인정보가 자동화되지 않은 방법으로 처리될 때, 정보처리자가 물리적 보관 매체에 보관의 안정성을 보장하지 못한 경우 | EUR 555 – 1,111 |
정부나 지방자치 단체의 정보처리자가 개인정보를 탈개인화(depersonalize) 하지 않은 경우 | EUR 65 - 130 |
4) Fines increased for personal data protection violations (cms-lawnow.com) (https://www.cms-lawnow.com/ealerts/2021/03/fines-increased-for-personal-data-protection-violations), Review of amendments to personal data laws (cls.ru) (https://www.cls.ru/press-centr/legal-overviews/review-of-amendments-to-personal-data-laws/?utm_source=Mondaq&utm_medium=syndication&utm_campaign=LinkedIn-integration)
상기 수정법안 제4.5에 따르면 개인정보법 위반에 대한 형량을 기존 최대 3개월에서 1년으로 높였다.
4기타관련법령: 정보ㆍ정보기술ㆍ정보 보호법
정보ㆍ정보기술ㆍ정보 보호법(Federal Law on information, information technologies and the protection of information of 27 July 2006 No. 149-FZ )은 2006년 7월 27일 제정되어 시행 중이며, 2014년 7월 21일 개인정보 침해자 명부 조항(제15.5조)이 추가되었다. 해당 법은 전체 38개 조항으로 이루어져 있다. 주요 내용은 다음과 같다.
[표 4. 정보ㆍ정보기술ㆍ정보 보호법 조항]
순번 | 조항 |
---|---|
1 | 제1조 적용 분야 |
2 | 제2조 주요 개념 |
3 | 제3조 정보, 정보기술 분야에서 권리 조정 원칙 |
4 | 제4조 정보, 정보기술에 관한 러시아 연방 법령 |
5 | 제5조 권리 관계의 대상물로서의 정보 |
6 | 제6조 정보 소유자 |
7 | 제7조 일반 공개 정보 |
8 | 제8조 정보 접근 권리 |
9 | 제9조 정보 접근의 제한 |
10 | 제10조 정보 전파나 정보 제공 |
11 | 제10.1조* 인터넷망에서 정보 전파 조직자의 의무 |
12 | 제10.3조 검색시스템 오퍼레이터의 의무 |
13 | 제10.4조 뉴스 수집기(aggregator)에 의한 정보 전파의 특성 |
14 | 제10.5조 시청각 서비스 소유자의 의무 |
15 | 제11조 정보의 서류화 |
16 | 제11.1조 권한을 이행하는 과정에서 전자 서류로 정보 교환 |
17 | 제12조 정보 기술 적용 분야에서 국가 규제 |
18 | 제12.1조 러시아어 프로그램 사용 분야에서 국가 규제의 특성 |
19 | 제13조 정보시스템 |
20 | 제14조 국가 정보시스템 |
21 | 제14.1조 러시아연방 국민의 식별을 목적으로 정보기술 사용 |
22 | 제14.2조 러시아연방 영토에서 지속적이고 안전한 사용 보장 |
23 | 제15조 정보통신망의 사용 |
24 | 제15.1조 인터넷망의 사이트 페이지와 주소에 명시된 통합 도메인 네임 명부 |
25 | 제15.1-1조 무례한 표현이 담긴 정보에 대한 접근 제한 절차 |
26 | 제15.2조 저작권을 위반하여 전파되는 정보 접근의 제한 절차 |
27 | 제15.3조 법을 위반하여 전파되는 정보 접근의 제한 절차 |
28 | 제15.4조 전파 조직자의 정보 자원에 접근 제한 절차 |
29 | 제15.5조 러시아 연방법을 위반하여 가공되는 정보 접근 제한 절차 |
30 | 제15.6조 저작권 및 관련 권리 대상이 포함 된 정보 또는 인터넷을 포함한 인터넷망 사이트 접근 제한 절차 |
31 | 제15.6-1조 차단된 사이트 카피에 대한 접근 제한 절차 |
32 | 제15.7조 저작권 위반 및 (또는) 관련 권리의 중단을 위한 소송 외 대책 |
33 | 제15.8조 러시아연방 영토 내에서 정보의 사용을 예방하는 대책 |
34 | 제15.9조 해외 수단의 정보 자원 접근 제한 절차 |
35 | 제16조 정보 보호 |
36 | 제17조 정보, 정보기술 분야에서 권리침해에 대한 책임 |
37 | 제18조 다른 법령의 (입법 규정) 효력 상실에 대하여 |
정보법은 정보처리자의 정보 보호 등 의무, 정보 접근 제한, 정보시스템 운영, 정보통신망 사용, 접근 제한 인터넷 사이트, 개인정보주체의 권리에 대한 침해자 등록 등을 규정하고 있다. 제공이 금지되는 정보는 전쟁 선전, 국가ㆍ인종ㆍ종교 증오 유발, 형사ㆍ행정 책임이 있는 정보 등이다.
가. 개인정보주체 권리에 대한 침해자 등록(제15.5조)
개인정보 감독기구는 인터넷에서 법률을 위반한 정보 접근을 제한하기 위하여, 개인정보주체 권리에 대한 침해자 등록 정보 시스템을 구축ㆍ운영한다. 이를 개인정보 침해자 명부(register of personal data infringers)라고 하며, 다음의 항목을 포함한다.
- ①개인정보를 포함하고 있는 도메인 네임, 인터넷 사이트 페이지
- ②러시아 법률에 따라 처리된 정보를 포함하고 있는 인터넷 사이트를 식별할 수 있게 해주는 네트워크 주소
- ③효력이 있는 법원 문서
- ④개인정보 분야의 러시아 연방 법령의 위반을 시정하라는 정보
- ⑤제한을 목적으로 정보 자원에 대한 데이터를 정보처리자에게 발송하는 일자
정보 제공자는 조치를 요구하는 통지서를 받으면 1영업일 이내 해당 정보에 대한 접근을 제한하여야 한다. 이는 위법하다고 판단한 사이트를 원천 차단하는 것으로 개인정보법의 법 집행 능력을 확보하기 위한 조치로 판단된다. 실제로 해당 조항에 근거하여 LinkedIn 등의 사이트가 차단되었다.
나. 정보 보호(제16조)
정보 시스템을 운영하는 정보처리자는 다음의 정보 보호 업무를 수행하여야 한다.
- ①정보에 대한 불법적 접근 방지, 해당 정보를 접근 권한이 없는 자에게 전달 방지
- ②정보에 대한 불법적 접근을 적시에 발견
- ③정보에 대한 접근 절차 위반의 결과 나타날 수 있는 악영향에 대한 경고
- ④정보 가공을 위한 기술 수단의 방지 결과 발생할 수 있는 영향 차단
- ⑤수정되었거나 폐기된 정보의 즉각적인 복구 가능성
- ⑥정보 보호 수준을 꾸준히 유지할 수 있는 지속적 통제
- ⑦러시아 연방 국민의 개인 데이터를 수집하는 데이터베이스를 러시아 연방 내에 설치*
* 해당 내용은 데이터 현지화(data localization)에 해당하는 것으로 연방 법률(No. 242-FZ)에 의하여 추가되었음