국가정보_러시아

  •  유럽
  •  미국
  •  일본
  •  중국
  •  영국
  •  독일
  •  호주
  •  캐나다
  •  싱가포르
  •  베트남
  •  프랑스

법률체계

1개요

러시아는 2006년 개인정보법(Federal Law of 27 July 2006 No. 152-FZ on personal data)과 정보ㆍ정보기술ㆍ정보 보호법(Federal Law of 27 July 2006 No. 149-FZ on information, information technologies and the protection of information)을 연방 법으로 제정하여 시행하고 있다. 2014년 개인정보법에 데이터 국지화(data localization) 조항을 추가하고, 정보법에 개인정보 침해자 명부(register of personal data infringers) 조항을 추가하였다(Federal Law No. 242-FZ of July 21, 2014 on Amending Some Legislative Acts of the Russian Federation in as Much as It Concerns Updating the Procedure for Personal Data Processing in Information-Telecommunication Networks). 처벌 조항은 해당 법률에 포함되어 있지 않고, 별도의 법률(Code of Administrative Offences Of The Russian Federation No. 195-FZ)에 포함되어 있다.

2러시아 법률 체계

러시아는 양원제이다. 상원인 연방 회의(Federal Council)와 하원인 국가 두마(State Duma)로 이루어져 있다. 러시아는 연방제이기 때문에 연방 법률과 지방 법률이 존재한다. 연방 법률의 경우, 하원 심의, 상원 심의, 대통령 서명, 공포의 절차를 거쳐서 제정된다.

3개인정보법

개인정보법(Federal Law of 27 July 2006 No. 152-FZ on personal data)은 2006년 7월 27일 제정되어 시행 중이다. 해당 법은 전체 6장, 27개 조항으로 이루어져 있다. 각 장의 주요 내용은 다음과 같다.

공공부문 연방법률
제1장 일반 조항 제1조 적용 범위
제2조 목적
제3조 기본 용어
제4조 개인정보 보호를 위한 입법적 근거
제2장 개인정보 처리 원칙 및 조건 제5조 개인정보 처리 원칙
제6조 개인정보 처리 조건
제7조 개인정보의 기밀 유지
제8조 공개적으로 접근 가능한 개인정보 출처
제9조 개인정보주체의 개인정보 처리 동의
제10조 특수 범주의 개인정보
제11조 생체인식 개인정보
제12조 개인정보의 국경 간 이전
제13조 국가 또는 시 개인정보 파일링 시스템에 있는 개인정보의 처리에 관한 특별조항
제3장 개인정보주체의 권리 제14조 자신의 개인정보에 대한 개인정보주체의 접근 권리
제15조 개인정보주체의 개인정보가 상품 및 서비스의 시장 판촉 목적으로 또는 정치적 캠페인 목적으로 처리되는 경우에 개인정보주체의 권리
제16조 자동화된 개인정보 처리에만 근거한 의사 결정과 관련된 개인정보주체의 권리
제17조 정보처리자의 작위 또는 부작위에 대한 이의 제기 권한
제4장 정보처리자의 의무 제18조 개인정보 수집 시 정보처리자의 의무
제18.1조 정보처리자가 연방 법률에 명시된 의무를 이행하도록 하기 위한 조치
제19조 개인정보 처리 중의 개인정보 보호 보장을 위한 조치
제20조 개인정보주체나 그 대리인 또는 개인정보주체의 권리를 보호할 수 있는 권한을 가진 기관의 신청이 있거나 이들로부터의 요청을 받은 경우 정보처리자의 의무
제21조 개인정보 처리 시 법령 위반 사항을 조치하고 개인정보를 수정, 차단 및 폐기해야 하는 정보처리자의 의무
제22조 개인정보 처리 통지
제22.1조 기관에서 개인정보 처리 업무를 담당하는 자
제5장 개인정보 처리에 관한 관리 및 감독. 법률 위반에 따른 책임 제23조 개인정보주체의 권리를 보호할 권한이 있는 기관
제24조 연방 법률의 요건 위반에 따른 책임
제6장 최종 조항 제25조 최종 조항

개인정보법의 목적은 개인정보를 처리할 때 개인의 권리와 자유를 보호하기 위한 것이다(제2조). 이를 위해 해당 법은 국가 기관, 법인, 개인이 자동 및 수동으로 개인정보를 처리하는 활동을 규율한다. 이 때 수동적 정보 처리는 성격이 자동적 정보 처리와 유사한 것을 의미한다. 다만 개인이 사적 또는 가족적 필요를 위한 개인정보 처리, 러시아 연방의 국가기록보관소(state archives)가 보관하는 기록에 포함된 개인정보 처리 등에 대해서는 적용되지 않는다(제1조).

가. 주요용어(제3조 등)

법에서는 다음과 같이 용어를 정의하고 있다.

주요용어(제3조 등)
용어 설명 조항
개인정보
(personal data)
특정 또는 식별된 개인(개인정보주체)을 직접 또는 간접적으로 나타내는 정보 제3조
특수 범주의 개인정보
(special categories of personal data)
인종, 민족적 기원, 정치적 견해, 종교, 철학적 신념, 건강, 성 생활에 관한 개인정보. 한국 개인정보 보호법의 “민감정보”와 유사 제10조
생체인식 개인정보
(biometric personal data)
개인이 식별될 수 있고 정보처리자가 개인정보주체의 신원을 확인하기 위해서 사용하는 특정 개인의 생리적, 생물학적 특성에 관한 정보 제11조
정보처리자
(operator)
개인정보 처리 목적 및 범위를 정할 뿐만 아니라 독자적으로 또는 다른 기관과 협력하여 개인정보를 구성, 처리하는 국가 기관, 시 당국, 법인 또는 개인. 한국 개인정보 보호법의 “개인정보처리자”와 유사 제3조
개인정보 처리
(personal data processing)
개인정보를 가지고 자동, 수동으로 수행하는 조치나 조치들의 결합. 여기에는 개인정보의 수집, 기록, 정리, 축적, 저장, 명시, 추출, 이용, 배포, 익명화, 차단, 폐기가 포함됨 제3조
개인정보 처리 업무를 담당하는 자
(persons responsible for organizing the processing of personal data at organizations)
기관에서 개인정보 처리 업무를 담당하는 자. 한국 개인정보 보호법의 “개인정보 보호책임자”와 유사 제22.1조
개인정보시스템
(personal data information system)
개인정보를 포함하고 있는 데이터베이스 및 정보 처리를 위해 사용되는 정보 기술과 하드웨어 제3조
개인정보의 익명화
(anonymization of personal data)
관련 개인의 신원이 익명화된 정보만을 통해서는 확인될 수 없도록 개인정보에 취해지는 조치 제3조
개인정보의 국경 간 이전
(cross-border transfer of personal data)
개인정보를 외국 정부기관, 외국법인 또는 외국에 있는 개인에게 국경을 넘어 이전하는 행위 제3조
개인정보주체의 권리를 보호할 권한이 있는 기관
(the authorized body for the protection of the personal data subjects’s right)
정보 기술 및 통신 분야에서 관리, 감독을 수행하는 연방행정기관으로 로스콤나드조르(Roskomnadzor). 개인정보 감독기구(data protection authority)를 의미 제23조
정보처리자 등록부
(register of operator)
정보처리자가 개인정보 감독기구에 제출한 관련 정보를 보관하는 시스템. 해당 정보는 대중에게 공개 제22조

정보처리자는 한국의 개인정보 보호법의 개인정보처리자와 유사한 개념이다. GDPR에 규정된 개념인 데이터 컨트롤러(data controller), 데이터 프로세서(data processor)로 구분하고 있지 않으며, 한국 법률의 위탁자, 수탁자, 제3자로 명확하게 구분하고 있지도 않다. 다만 정보처리자(위탁자)는 개인정보주체의 동의를 받고 계약에 근거하여 개인정보 처리 업무를 타인에게 위임할 수 있으며, 이때 정보처리자의 지침에 따라 개인정보를 처리하는 자(수탁자)는 연방 법률에 규정된 개인정보의 처리 원칙과 규칙을 준수하여야 한다고 규정하고 있다. 따라서 명확한 용어를 사용하지는 않지만 위탁자, 수탁자의 개념과 유사한 것으로 판단된다. 또한 개인정보 처리 업무를 담당하는 자는 한국 법률의 개인정보 보호책임자와 유사하다.

나. 개인정보 처리 원칙 및 조건

(1) 개인정보 처리 원칙(제5조)

개인정보 처리 원칙을 7가지로 규정하고 있다.

  • 합법성 및 형평성
  • 사전에 정해진 특정한 법적 목적 달성을 위하여 처리
  • 목적 외로 처리할 개인정보 결합 불가
  • 처리 목적에 부합하는 개인정보만 처리 가능
  • 개인정보의 범위와 특성은 처리 목적과 부합
  • 개인정보의 정확성, 충분성, 적합성 보장
  • 처리 목적 달성까지만 개인정보 보관 가능

(2) 개인정보 처리 조건(제6조)

개인정보 처리가 허용되는 조건을 다음과 같이 규정하고 있다.

  • 개인정보주체의 동의
  • 국제 협약ㆍ법률에 규정된 목적 달성, 연방 법률에서 정보처리자에게 부여된 기능ㆍ권한ㆍ의무 수행을 위해서
  • 사법 행위 집행을 위해서
  • 공공 서비스 제공, 공공 서비스 포털에 개인정보주체 등록을 위해서
  • 개인정보주체가 당사자ㆍ수혜자ㆍ보증인인 계약 이행을 위해서
  • 개인정보주체의 동의를 얻을 수 없으나, 개인정보주체의 생명ㆍ건강ㆍ중요 이익 보호를 위해서
  • 정보처리자ㆍ제3자의 권리와 합법적 이익 실현, 사회적으로 중요한 목표 달성을 위해서. 단 이로 인해 개인정보주체의 권리ㆍ자유가 침해되어서는 안 됨
  • 언론 과학적ㆍ문학적ㆍ창작 활동을 위해서. 단 이로 인해 개인정보주체의 권리ㆍ자유가 침해되어서는 안 됨
  • 통계, 연구 목적을 위해서
  • 개인정보주체가 공개한 개인정보
  • 연방 법률에 따라 공개한 개인정보

정보처리자는 정보처리자 지침을 채택하여 개인정보 처리 업무를 타인에게 위임할 수 있다. 이 때 정보처리자(위탁자)는 개인정보주체의 동의를 얻어야 하며, 정보처리자의 지침에 따라 개인정보를 처리하는 자(수탁자)는 개인정보주체의 동의를 받을 의무는 없다. 수탁자는 연방 법률에서 규정한 개인정보의 처리 원칙과 규칙을 준수하여야 한다. 위탁자는 개인정보 처리 업무 위임에 따른 책임이 있으며, 수탁자는 위탁자에 대한 책임이 있다.

(3) 개인정보주체의 개인정보 처리 동의(제9조)

개인정보주체는 개인정보 처리 동의를 할 때, 자신의 의지로 자신의 이익을 위하여 자유롭게 동의하여야 한다. 동의는 구체적이고 정보에 입각해야 한다. 또한 개인정보주체의 동의를 받은 경우, 대리인이 동의를 할 수 있다. 연방 법률에 규정된 경우에는 개인정보 처리를 위하여 개인정보주체의 서면 동의를 받아야 한다. 서면 동의의 경우 다음 항목들을 포함하고 있어야 한다.

  • 개인정보주체의 이름ㆍ주소, 식별 문서(신분증 등)의 번호ㆍ발행 일자ㆍ발행 기관
  • 개인정보주체 대리인의 이름ㆍ주소, 식별 문서의 번호ㆍ발행 일자ㆍ발행 기관, 대리인 권한을 확인하는 문서
  • 정보처리자의 이름ㆍ주소
  • 개인정보 처리의 목적
  • 처리 대상 개인정보 목록
  • 개인정보 처리를 수행할 자(수탁자)의 이름ㆍ주소
  • 개인정보 처리 조치 목록, 개인정보 처리 방법에 대한 설명
  • 개인정보 처리 기한, 동의 철회 절차
  • 개인정보주체의 서명

(4) 특수 범주의 개인정보 처리(제10조)

특수 범주의 개인정보 처리는 다음의 경우에 허용된다. 연방 법률에 규정된 경우를 제외하고, 목적이 달성된 경우에는 특수 범주의 개인정보 처리는 즉시 종료되어야 한다.

  • 개인정보주체가 개인정보 처리에 서면 동의
  • 개인정보주체가 개인정보를 공개한 경우
  • 러시아 연방의 재가입에 관한 국제 협약 이행 관련
  • 러시아 인구 조사 관련 연방 법률(No. 8-FZ)에 따른 처리
  • 국가 사회 지원 관련 법령, 노동 법령, 국가가 제공하는 연금 및 은퇴 연금과 관련된 연방 법령에 따른 처리
  • 개인정보주체·타인의 생명, 건강, 기타 중요한 이익을 보호하기 위해서 필요하고 개인정보주체의 동의를 얻을 수 없는 경우
  • 예방 의학, 의학적 진단, 의료·사회적 보호 서비스 제공 목적으로 필요. 단 전문적으로 의료 업무를 수행하고 의료상의 기밀 유지를 위한 러시아 연방 법령에 따른 의무를 가지는 자가 처리를 수행해야 함
  • 사회단체, 종교단체 구성원의 개인정보가 이들 단체의 설립 문서에 규정된 정당한 목적을 달성하기 위하여 러시아 연방 법령에 따라 활동하는 해당 사회단체, 종교단체에 의해서 처리되는 경우. 단 이러한 개인정보는 개인정보주체의 서면 동의 없이 배포되어서는 안 됨
  • 사법 재관 관리와 관련하여 개인정보주체 또는 제3자의 권리가 마련되거나 행사될 수 있도록 하기 위해서 필요
  • 러시아 연방의 방위, 보안, 테러 대응, 교통 안전, 부패 방지 조치, 조사 활동, 집행 절차에 관한 법령, 형법에 따라 수행되는 경우
  • 의무적 유형의 보험 법령에 따라 수행되는 경우
  • 부모의 보살핌을 받지 못한 아이들을 시민의 가족에 맡길 목적으로 국가기관, 지방자치단체, 기관에 의해서 러시아 연방 법령의 규정에 따라 수행되는 경우

(5) 생체인식 개인정보(제11조)

생체인식 개인정보는 개인정보주체의 서면 동의가 있는 경우에 처리할 수 있다. 또한 다음의 경우에도 처리할 수 있다.

러시아 연방의 재가입에 관한 국제 협약 이행

사법 재판의 관리, 사법 행위의 집행

러시아 연방의 방위, 보안, 테러 대응, 교통 안전, 부패 방지 조치, 조사 활동, 국가 공공 서비스에 관한 법령, 형법

러시아 연방 탈퇴 및 가입을 위한 절차에 관한 법령

(6) 개인정보의 국외이전(제12조)

러시아는 개인정보의 자동처리와 관련된 개인의 보호를 위한 유럽회의 협약(CoE 108, Council of Europe Convention on the Protection of Individuals with Regard to Automatic Processing of Personal Data)에 가입하였다. 따라서 러시아로부터 CoE 108 협약 가입국으로의 개인정보 국외이전은 허용하고 있다. 또한 개인정보 감독기구는 협약 가입국이 아닌 국가 중 개인정보주체의 권리를 적절하게 보호하는 국가의 목록을 승인하고 있다. 이는 GDPR 상의 적정성 결정(adequacy decision)과 유사한 것으로 생각된다. 또한 목록에 해당되지 않는 외국으로의 개인정보 국외이전은 다음의 경우에 가능하다.

  • 개인정보주체가 개인정보의 국외이전에 동의한 경우
  • 러시아 연방의 협약에 규정된 경우
  • 러시아 연방의 헌법 질서 보호, 국방, 국가 안보, 안전한 교통 시스템 운영 등을 위하여 연방 법률에 규정된 사안의 경우
  • 개인정보주체가 당사자인 계약을 수행하기 위한 경우
  • 개인정보주체의 서면 동의를 얻기 어려우나, 개인정보주체나 타인의 생명, 건강, 기타 중요한 이익을 보호하기 위한 경우

즉, 러시아에서 허용하는 개인정보 국외이전은 다음과 같은 3가지 유형으로 구분할 수 있다.

공공부문 연방법률
유형 설명
CoE 108 협약 가입 국가 EU 회원국, 유럽경제지역협정(EEA) 체약국, 스위스, 러시아, 그루지야 등
개인정보 보호 수준이 적정한 국가 로스콤나드조르에서 대상 국가를 선정하여 홈페이지에 공개하며, 한국을 포함한 22개 국가
기타 개인정보주체 동의 등 해당 조건 만족

다. 개인정보주체의 권리

(1) 개인정보 접근 권리(제14조)

개인정보주체는 자신의 개인정보에 대하여 다음과 같은 권리를 가진다.

  • 자신의 개인정보 처리에 관련된 정보를 수령할 수 있으며, 다음과 같은 정보가 포함됨

    정보처리자의 개인정보 처리 확인

    개인정보 처리의 법적 근거 및 목록

    정보처리자의 개인정보 처리 목적 및 방법

    정보처리자의 이름, 위치

    정보처리자의 직원이 아니면서 계약 또는 연방 법률에 의하여 개인정보에 대한 접근권을 가지거나 개인정보를 공개받는 자에 대한 정보

    처리된 개인정보와 출처

    개인정보의 보관 기간, 처리 기간

    개인정보주체의 권리 행사 절차

    개인정보 국경 간 이전에 관한 정보

    정보처리자의 지침에 따라 개인정보 처리를 수행하는 자(수탁자)의 이름, 주소

    연방 법률에 규정된 기타 정보

  • 개인정보가 불완전하거나 최신이 아니거나 부정확하거나 불법적으로 확보되었거나 명시된 처리 목적을 위해 필요하지 않을 경우, 정보처리자에게 자신의 개인정보를 수정, 차단, 폐기 요청
  • 정보처리자로부터 접근 가능한 형태(accessible form)로 자신의 개인정보 처리에 관련된 정보를 수령
  • 개인정보 접근 권한은 연방 법률에 의해 제한될 수 있으며, 다음과 같은 경우를 포함함

    국방, 국가 안보, 공공 질서 유지

    범죄 혐의로 구금, 기소 등

    범죄 수익금 합법화, 테러 자금 조달 지원

    타인의 권리와 정당한 이익을 해치는 경우

    안정적이고 안전한 교통 운영, 교통 안전 목적 등

(2) 마케팅 등 목적의 개인정보 처리 사전 동의(제15조)

상품, 서비스의 시장 판촉 목적, 정치 활동 목적을 위한 개인정보 처리는 개인정보주체의 사전 동의가 있는 경우에만 허용된다. 또한 개인정보주체의 요청이 있는 경우, 정보처리자는 개인정보 처리를 즉시 중단할 의무가 있다.

(3) 자동화된 개인정보 처리 관련 권리(제16조)

개인정보주체에게 법적 결과를 가져오거나 권리와 정당한 이익에 영향을 주는 의사 결정을 자동화된 개인정보 처리에 근거해서 수행하는 것은 금지된다. 이러한 처리는 개인정보주체가 서면 동의하거나, 연방 법률에 명시된 경우에만 가능하다. 또한 정보처리자는 해당 절차, 결정이 야기하는 법적 결과를 개인정보주체에게 명확히 설명하여, 개인정보주체가 이의를 제기하거나 자신의 권리와 이익을 보호할 수 있도록 하여야 한다.

(4) 이의 제기 권리(제17조)

개인정보주체는 정보처리자가 연방 법률을 준수하지 않고 자신의 개인정보를 처리하거나 권리와 자유를 침해하고 있다고 판단하면, 정보처리자의 작위(action), 부작위(inaction)에 대하여 권한 있는 기관이나 법원에 이의를 제기할 수 있다. 개인정보주체는 손실 보상, 위자료 보상 등 자신의 권리와 법적 이익을 보호받을 수 있다.

라. 정보처리자의 의무

(1) 개인정보 수집 시 의무(제18조)

정보처리자는 개인정보주체의 요청이 있으면, 개인정보 처리에 관련된 정보를 제공하여야 한다. 연방 법률에 따라 개인정보 제공이 의무적인 경우, 정보처리자는 개인정보 제공 거부로 인한 법적 결과를 개인정보주체에게 설명하여야 한다.

개인정보주체 이외의 자로부터 개인정보를 확보한 경우, 정보처리자는 해당 개인정보 처리를 시작하기 전에 개인정보주체에게 다음의 정보를 제공해야 한다.

  • 정보처리자 또는 대리인의 이름 및 주소
  • 개인정보 처리 목적 및 법적 근거
  • 개인정보의 예상 이용자
  • 개인정보주체의 권리
  • 개인정보를 확보한 출처

그러나 다음의 경우는 개인정보주체에게 정보를 제공하지 않아도 된다.

  • 개인정보주체가 자신의 개인정보를 해당 정보처리자가 처리한다는 것을 통지받은 경우
  • 연방 법률에 근거하거나 개인정보주체가 당사자, 수혜자, 보증인인 계약의 이행과 관련된 경우
  • 개인정보주체에 의해 공개되었거나 공개된 출처로부터 확보된 경우
  • 통계, 기타 연구, 언론인의 전문 활동, 과학적, 문학적, 기타 창작 활동 목적으로 처리하는 경우. 단 이로 인해서 개인정보주체의 권리와 정당한 이익이 침해되어서는 안 됨.
  • 개인정보주체에게 정보를 제공하는 것이 제3자의 권리와 정당한 이익을 침해하는 경우

(2) 정보처리자의 의무 이행을 위한 조치(제18.1조)

정보처리자는 법률을 준수하기 위한 필요하고 충분한 조치를 이행하여야 하며, 해당 조치에는 다음 항목들이 포함된다.

  • 개인정보 처리 담당자 선임
  • 개인정보 처리 정책, 절차 수립
  • 개인정보 보호를 보장하기 위해 법적, 조직적, 기술적 조치 적용
  • 감독 및 감사
  • 법률 위반 시 예상되는 손해를 산정하고 적용 조치와 비교 검토
  • 개인정보 보호 관련 법률, 정책, 절차 등에 대한 직원 교육

정보처리자는 개인정보 처리 정책 등을 인터넷 등을 통하여 공개하여야 한다. 개인정보 감독기구의 요청이 있으면, 정책, 절차와 조치를 적용했다는 증거를 제공하여야 한다.

(3) 개인정보 처리 중 개인정보 보호를 위한 조치(제19조)

정보처리자는 정보 처리 시 개인정보에 대한 권한 없는 접근, 폐기, 변경, 차단, 복제, 제공, 배포 등 불법적 행위로부터 개인정보를 보호하는데 필요한 법적, 조직적, 기술적 조치를 적용해야 한다. 그러한 조치는 다음과 같다.

  • 개인정보에 대한 위협 탐지
  • 개인정보 보호를 위한 조직적, 기술적 조치
  • 준수 여부 평가 절차를 수행한 데이터 보호 조치 적용
  • 개인정보 처리 시스템 구동 전에 개인정보 보호 조치의 효과성 평가
  • 개인정보를 포함한 매체 기록 보관
  • 인가받지 않은 개인정보 접근을 탐지하고 조치
  • 인가받지 않은 접근에 의해서 변경되거나 파손된 개인정보 복구
  • 개인정보 접근 규칙 마련 및 접근 기록 보존
  • 보호 조치 모니터링

이외에도 러시아 연방정부 및 관련 기관은 다음의 개인정보 보호 조치를 마련해야 한다.

  • 개인정보 보호 위협에 따른 개인정보 보호 수준 확보
  • 개인정보 보호 관련 요건
  • 생체인식 개인정보를 포함한 개인정보 처리 시스템에 대한 요건

(4) 개인정보 관련 요청에 대한 처리(제20조)

정보처리자는 개인정보주체, 개인정보주체의 대리인, 개인정보 감독기구의 요청을 받은 경우 다음과 같이 처리하여야 한다.

  • 개인정보주체나 대리인이 개인정보 관련 정보를 요청할 경우, 30일 이내에 개인정보 열람을 허용
  • 개인정보 제공 거부 시, 30일 이내에 사유를 담은 회신을 서면으로 제공하고 회신에는 거부 근거 법률 조항을 포함하여야 함
  • 개인정보 제공 시 무료로 제공. 개인정보가 불완전, 부정확, 오래되었다는 증거를 제시하는 경우, 7영업일 이내에 수정. 개인정보가 불법적으로 입수되었거나 처리 목적에 맞지 않다는 증거를 제시하는 경우, 7영업일 이내에 폐기. 정보처리자는 수정 등 조치 내역을 개인정보주체와 개인정보가 이전된 제3자에게 통지
  • 개인정보 감독기구가 개인정보 관련 정보를 요청할 경우, 30일 이내에 제공

(5) 위반 사항 시정 등에 대한 처리(제21조)

정보처리자는 법률 위반 사항을 시정하거나, 개인정보를 수정, 차단, 폐기하여야 한다.

  • 개인정보가 부정확할 경우, 근거 서류를 받은 7영업일 이내에 수정하거나 차단
  • 개인정보가 불법적으로 처리되고 있다는 것을 발견할 경우, 3영업일 이내에 불법적 개인정보 처리를 중단. 개인정보 처리를 합법화하는 것이 불가능할 경우, 10영업일 이내에 개인정보를 폐기
  • 개인정보 처리 목적이 달성된 경우, 다른 법률에 근거하지 않으면 해당 목적이 달성된 날로부터 30일 이내에 개인정보의 처리를 중단하거나 폐기
  • 개인정보주체가 개인정보 처리 동회를 철회하는 경우, 다른 법률에 근거하지 않으면 철회 요청을 받은 날로부터 30일 이내에 개인정보 처리를 중단. 만약 개인정보 보관 필요가 없을 경우, 해당 개인정보 폐기

(6) 개인정보 처리 통지(제22조)

정보처리자는 개인정보 처리를 시작하기 전에 개인정보 감독기구에 통지하여야 한다. 다음의 경우에는 통보하지 않아도 된다.

  • 노동 법령에 따른 처리
  • 개인정보주체가 당사자인 계약 이행
  • 사회단체, 종교기관의 참여자와 관련되며 해당 단체, 기관의 설립 문서에 규정된 합법적 목적을 달성하기 위한 처리
  • 개인정보주체가 개인정보를 공개
  • 개인정보 주체의 이름만 포함
  • 정보처리자가 위치한 장소에 개인정보주체가 1회성으로 들어오거나 유사 목적으로 필요한 개인정보
  • 국가 안보ㆍ공공 질서 보호를 목적으로 만들어진 국가 개인정보 파일링 시스템(state personal data filing system)에 포함된 개인정보
  • 연방 법률 등에 따라서 개인정보 보호를 보장하며 자동화된 장비를 사용하지 않고 처리되는 개인정보
  • 교통 시스템의 안전한 운영을 보장하기 위한 처리

통지 시에는 권한 있는 자가 서명해야 하며, 다음의 정보를 포함하고 있어야 한다. 통지는 개인정보 감독기구 홈페이지의 해당 메뉴를 이용해서 정보를 입력할 수 있다.

  • 정보처리자의 이름, 주소
  • 개인정보 처리 목적
  • 개인정보 범주
  • 개인정보가 처리되는 개인정보주체의 범주
  • 개인정보 처리의 법적 근거
  • 개인정보와 관련된 조치 내역, 정보처리자가 사용하게 될 개인정보 처리 방법에 대한 일반적 설명
  • 제18조, 제19조에 규정된 조치에 대한 설명으로 암호화 정보 포함
  • 개인정보 처리 책임자의 이름, 기관 명칭, 전화번호, 우편번호, 이메일 주소
  • 개인정보 처리 시작 일자
  • 개인정보 처리 종료 기간이나 조건
  • 국외 이전 관련 정보
  • 개인정보 보호를 위한 조치
  • 러시아 시민의 개인정보를 저장하는 데이터베이스 위치 정보*

* 해당 내용은 데이터 현지화(data localization)에 해당하는 것으로 연방 법률(No. 242-FZ)에 의하여 추가되었음

개인정보 감독기구는 통지받은 정보를 30일 이내에 정보처리자 등록부에 입력하여야 한다. 개인정보가 처리되는 동안 해당 등록부에 포함된 정보는 개인정보 보호 조치에 대한 정보를 제외하고 공개된다. 등록된 정보가 부정확한 경우 개인정보 감독기구는 정보처리자에게 해당 내역을 수정하도록 요청할 수 있다. 정보가 변경되거나 개인정보 처리가 완료되는 경우, 정보처리자는 10영업일 이내에 개인정보 감독기구에 통지하여야 한다.

(7) 개인정보 처리 담당자 지정(제22.1조)

정보처리자는 개인정보 처리 업무를 담당할 자를 지정하여야 한다. 개인정보 처리 담당자는 개인정보 감독기구에 개인정보 처리 정보를 통지하여야 한다. 또한 다음의 업무를 수행하여야 한다.

  • 연방 법률 준수 여부를 확인하기 위한 내부 통제
  • 정보처리자 직원들에게 관련 법률, 정책, 절차에 대한 교육
  • 개인정보주체나 대리인으로부터 요청 사항 접수 및 처리

(8) 개인정보 러시아 연방 내 보관(제18조 등)

정보처리자는 인터넷을 통하여 러시아 연방 시민들의 개인정보를 수집하는 경우, 데이터베이스가 러시아 연방 내에 위치하도록 보장하여야 한다(제18조 제5항). 법률 제6조에 명시된 경우는 예외로 한다. 해당 내용은 데이터 현지화(data localization)에 해당하는 것으로 연방 법률(No. 242-FZ)에 의하여 추가되었다.

마. 개인정보 감독기구

(1) 권한(제23조)

개인정보 감독기구는 로스콤나드조르(Roskomnadzor)다. 개인정보 감독기구는 개인정보의 내용, 처리 방법, 처리 목적 간의 정합성에 대하여 개인정보주체가 제기한 민원(claim)을 심사하고 적절한 결정을 내려야 한다. 개인정보 감독기구는 다음의 권한을 가진다.

  • 권한 행사에 필요한 정보를 개인 또는 법인에게 요청하고 해당 정보를 무료로 수령
  • 개인정보 처리 통지에 포함된 정보를 점검하거나 다른 기관에 점검을 요구
  • 부정확하거나 불법적으로 취득한 개인정보를 수정, 차단, 폐지하도록 정보처리자에게 요구
  • 법률 요건을 준수하지 않는 개인정보 처리를 중단, 종료
  • 개인정보주체의 권리 보호를 위하여 법원에 소장을 제출하고 해당 법원에서 정보 보호주체의 권리를 대변
  • 연방 정부에 법률 개선을 위한 제안을 제출
  • 법률 위반한 자에 대한 행정 조치

(2) 수행 업무(제23조)

개인정보 감독기구는 다음의 업무를 수행하여야 한다.

  • 개인정보주체의 권리 보호를 체계화
  • 개인정보 처리와 관련된 민원을 심사하고 판단
  • 정보처리자 등록부를 유지 및 관리
  • 개인정보주체의 권리 보호 개선을 위한 기타 조치 수행
  • 보안, 정보 보호를 담당하는 연방 행정기관의 요청 시, 개인정보 처리의 중단ㆍ종료를 유발하는 조치의 수행
  • 개인정보주체 권리 보호와 관련한 사안에 대하여 국가 기관 및 개인정보주체에게 알림
  • 연방 법률에서 정한 기타 임무

바. 처벌 조항(제24조)

법률을 위반하는 자는 상응하는 책임을 지며, 개인정보주체의 권리가 침해되어 발생한 정신적 손해는 보상을 받는다. 다만 구체적인 내용은 별도 법률(Code of Administrative Offences Of The Russian Federation No. 195-FZ)에서 규정하고 있다.

4정보법

정보ㆍ정보기술ㆍ정보 보호법(Federal Law of 27 July 2006 No. 149-FZ on information, information technologies and the protection of information)은 2006년 7월 27일 제정되어 시행 중이다. 해당 법은 전체 38개 조항으로 이루어져 있다. 주요 내용은 다음과 같다.

공공부문 연방법률
순번 조항
1 제1조 적용 분야
2 제2조 주요 개념
3 제3조 정보, 정보기술 분야에서 권리 조정 원칙
4 제4조 정보, 정보기술에 관한 러시아 연방 법령
5 제5조 권리 관계의 대상물로서의 정보
6 제6조 정보 소유자
7 제7조 일반 공개 정보
8 제8조 정보 접근 권리
9 제9조 정보 접근의 제한
10 제10조 정보 전파나 정보 제공
11 제10.1조* 인터넷망에서 정보 전파 조직자의 의무
12 제10.3조 검색시스템 오퍼레이터의 의무
13 제10.4조 뉴스 수집기(aggregator)에 의한 정보 전파의 특성
14 제10.5조 시청각 서비스 소유자의 의무
15 제11조 정보의 서류화
16 제11.1조 권한을 이행하는 과정에서 전자 서류로 정보 교환
17 제12조 정보 기술 적용 분야에서 국가 규제
18 제12.1조 러시아어 프로그램 사용 분야에서 국가 규제의 특성
19 제13조 정보시스템
20 제14조 국가 정보시스템
21 제14.1조 러시아연방 국민의 식별을 목적으로 정보기술 사용
22 제14.2조 러시아연방 영토에서 지속적이고 안전한 사용 보장
23 제15조 정보통신망의 사용
24 제15.1조 인터넷망의 사이트 페이지와 주소에 명시된 통합 도메인 네임 명부
25 제15.1-1조 무례한 표현이 담긴 정보에 대한 접근 제한 절차
26 제15.2조 저작권을 위반하여 전파되는 정보 접근의 제한 절차
27 제15.3조 법을 위반하여 전파되는 정보 접근의 제한 절차
28 제15.4조 전파 조직자의 정보 자원에 접근 제한 절차
29 제15.5조 러시아 연방법을 위반하여 가공되는 정보 접근 제한 절차
30 제15.6조 저작권 및 관련 권리 대상이 포함 된 정보 또는 인터넷을 포함한 인터넷망 사이트 접근 제한 절차
31 제15.6-1조 차단된 사이트 카피에 대한 접근 제한 절차
32 제15.7조 저작권 위반 및 (또는) 관련 권리의 중단을 위한 소송 외 대책
33 제15.8조 러시아연방 영토 내에서 정보의 사용을 예방하는 대책
34 제15.9조 해외 수단의 정보 자원 접근 제한 절차
35 제16조 정보 보호
36 제17조 정보, 정보기술 분야에서 권리침해에 대한 책임
37 제18조 다른 법령의 (입법 규정) 효력 상실에 대하여

정보법은 정보처리자의 정보 보호 등 의무, 정보 접근 제한, 정보시스템 운영, 정보통신망 사용, 접근 제한 인터넷 사이트, 개인정보주체의 권리에 대한 침해자 등록 등을 규정하고 있다. 제공이 금지되는 정보는 전쟁 선전, 국가ㆍ인종ㆍ종교 증오 유발, 형사ㆍ행정 책임이 있는 정보 등이다.

가. 개인정보주체 권리 침해자 등록(제15.5조)

개인정보 감독기구는 인터넷에서 법률을 위반한 정보 접근을 제한하기 위하여, 개인정보주체 권리에 대한 침해자 등록 정보 시스템을 구축ㆍ운영한다. 이를 개인정보 침해자 명부(register of personal data infringers)라고 하며, 다음의 항목을 포함한다.

  • 개인정보를 포함하고 있는 도메인 네임, 인터넷 사이트 페이지
  • 러시아 법률에 따라 처리된 정보를 포함하고 있는 인터넷 사이트를 식별할 수 있게 해주는 네트워크 주소
  • 효력이 있는 법원 문서
  • 개인정보 분야의 러시아 연방 법령의 위반을 시정하라는 정보
  • 제한을 목적으로 정보 자원에 대한 데이터를 정보처리자에게 발송하는 일자

정보 제공자는 조치를 요구하는 통지서를 받으면 1영업일 이내 해당 정보에 대한 접근을 제한하여야 한다. 이는 위법하다고 판단한 사이트를 원천 차단하는 것으로 개인정보법의 법 집행 능력을 확보하기 위한 조치로 판단된다. 실제로 해당 조항에 근거하여 LinkedIn 등의 사이트가 차단되었다.

나. 정보 보호(제16조)

정보 시스템을 운영하는 정보처리자는 다음의 정보 보호 업무를 수행하여야 한다.

  • 정보에 대한 불법적 접근 방지, 해당 정보를 접근 권한이 없는 자에게 전달 방지
  • 정보에 대한 불법적 접근을 적시에 발견
  • 정보에 대한 접근 절차 위반의 결과 나타날 수 있는 악영향에 대한 경고
  • 정보 가공을 위한 기술 수단의 방지 결과 발생할 수 있는 영향 차단
  • 수정되었거나 폐기된 정보의 즉각적인 복구 가능성
  • 정보 보호 수준을 꾸준히 유지할 수 있는 지속적 통제
  • 러시아 연방 국민의 개인 데이터를 수집하는 데이터베이스를 러시아 연방 내에 설치*

* 해당 내용은 데이터 현지화(data localization)에 해당하는 것으로 연방 법률(No. 242-FZ)에 의하여 추가되었음

top