국가정보_싱가포르

  •  유럽
  •  미국
  •  일본
  •  중국
  •  영국
  •  독일
  •  호주
  •  캐나다
  •  베트남
  •  러시아
  •  프랑스
  • 태국
  • 대만
  • 필리핀
  •  말레이시아

법률체계

1개요

오랜 기간 포르투갈, 네덜란드, 영국 등 서구열강의 식민통치를 받았던 싱가포르는 말레이 연방의 일원으로서 1963년 영국으로부터 독립을 이루었으나 초기 법률체계는 영국의 관습법 체계를 기반으로 형성되었다는 것이 일반적인 인식이다. 그러나 1965년 싱가포르가 말레이 연방에서 완전히 분리된 이후, 공화국 체제의 입법조직이 구성되었으며, 다원주의와 다민족체제를 지향하는 사회특성에 따라 다양성을 충족할 수 있는 헌법, 제정법률(legislation), 위임법(rules 및 regulation), 판례를 기본으로 하는 법률체제를 운영하고 있다 또한, 싱가포르는 국제법과 국내법 이원체계를 인정하고 있는데, 이는 국제조약이나 협약이 싱가포르 의회에 의해 승인되면 싱가포르에서 제정된 국내법과 동일한 효력을 갖는 것으로 인정한다는 특이성이 있다.1)

헌법은 싱가포르 법률에서 최고 권위를 갖고 있으며, 싱가포르 국민의 기본 권리와 국가 체계의 근간을 형성하고 있다. 따라서 헌법과 일치하지 않는 모든 법률의 내용은 무효한 것으로 인식한다. 따라서 싱가포르 법제는 헌법, 제정법률, 위임법률2), 판례의 순서로 적용된다.

제정 법률은 싱가포르 국가정책의 이행과 규제에 있어 중요한 기본 틀만을 제공하고 있으며, 실무적인 행정과 집행에 필요한 세부사항은 위임 법률에 의해 구체화된다. 입법조직(의회)에 제출된 법안은 다수결로 통과여부를 결정하게 되는데, 일반적으로 특정 법률을 검토할 때에는 영연방 국가들의 법률을 참고하고 있다. 예를 들면, 싱가포르의 회사법은 영국과 호주의 회사법을 인용하고 있으며 형법은 인도의 형법조항을 일부 인용하고 있다고 평가된다.

판례는 또한 싱가포르 법제에 있어, 다른 현대국가들에 비해 상대적으로 높은 법적 권위를 인정하고 있다. 특히 싱가포르 자국법원의 판결만 아니라 다른 영연방국가의 사법적 판단도 중요한 근거로서 참고하고 있으므로, 이러한 중요성 인식에 따라, 정부는 대법원 판결을 포함한 ‘싱가포르 법률 보고서(The Singapore Law Reports)’를 매년 출판하고 있다.

1) https://world.moleg.go.kr/web/wli/nationReadPage.do?ISO_NTNL_CD=SG
2) 법률의 위임에 의하여 입법조직 이외의 국가조직(특히, 행정부의 조직)이 법규를 정립하는 것이다. 즉 법률을 제정하는 시점에서 해당 법률의 세부사항을 그 법률 스스로가 규정하지 않고 하위의 법규 특히 명령의 규제대상으로 위임할 경우, 하위법규 또는 명령을 제정하는 것을 말한다.

2싱가포르 개인정보보호법령 체계

싱가포르 개인정보보호 체계는 2012년 10월 제정된 개인정보보호법(PDPA, Personal Data Protection Act)에 근거하고 있으며, 동 제정법률 이외에도 세부사항에 있어서는 개인정보 감독당국이 추가적으로 제공하는 각 부문별, 산업별 개인정보보호 지침과 법원의 판례 등을 실무적으로 준용하고 있다. 특히 개인정보보호위원회(PDPC)가 공개하는 지침은 자체적으로는 법적구속력을 갖지 않는다고 간주되고 있으나 싱가포르 내에서 발생하는 침해사건의 판결에 있어 주요판단기준으로 인식되고 있어 중요한 지침으로 인식되고 있다.

한편 2012년 제정된 개인정보보호법(PDPA)의 개정 법률이 2020년 의회에서 통과되어 2021년부터 순차적으로 시행되고 있다. 개정된 개인정보보호법 2020(PDPA 2020)은 기존 개인정보보호법(PDPA)을 보충하여 침해사고의 보고·통지, 정보제공자의 동의 간주, 명시적 동의에 관한 프레임워크와 동의에 관한 예외사항을 포함한 정보 컨트롤러의 책임규정 등을 담고 있다. 이는 개정된 개인정보보호법 2020(PDPA 2020)이 정보 컨트롤러로서 조직의 책임을 강화하고 개인정보보호에 관한 변화된 사회적 인식을 구현하고 있다고 평가하고 있다.

또한 개인정보보호법(PDPA)은 각 조직의 개인정보 보호 의무를 이행하는 행정주체로서 개인정보보호위원회(PDPC)의 근간을 제공하고 있다. 또한 개인정보보호위원회(PDPC)는 각 조직의 개인정보 보호업무를 전담하는 개인정보보호 담당자(DPO, Data Protection Officer)를 임명·운영할 것을 권고하고 있다. 보호위원회(PDPC)는 개인정보보호 담당자(DPO)의 임명과 운영에 관한 특별한 요구사항을 제시하고 있지는 않지만 이를 통하여 조직의 개인정보보호정책과 사안을 실질적으로 주관할 수 있는 여건을 갖추도록 요구하고 있다. 이러한 요구에 따라 보호위원회(PDPC)는 만약 조직이 DPO를 임명하지 않는 경우 예방적 조사의 시행과 조사 방해 행위에 대하여 조직과 개인에 최대 10만 싱가포르 달러와 최대 1만 싱가포르 달러의 과징금과 12개월 이하의 징역형에 처할 수 있다고 규정함으로써 DPO 운영에 관한 실질적인 의무를 부여하고 있다.

3개인정보 보호법(PDPA, Personal Data Protection Act)

가. 개요

개인정보보호법(PDPA)은 개인정보에 관한 활동(수집·이용·보관·공개·이전·폐기)에 관련된 정보제공자의 권리를 비롯하여 개인정보를 수집·이용·공개하는 정보 컨트롤러(프로세서)에게 요구되는 책임과 보호 의무에 관한 사항을 규정한다. 또한 이러한 권리보호와 정보활동에 관한 체계와 규정의 정당성을 판별하는 기준을 제공하고 있다. 즉, 싱가포르 개인정보보호법(PDPA)은 싱가포르 내에서 발생하는 모든 개인정보 관련 사안의 적법성에 관한 판단기준과 규제의 근거를 제시하고 있다. 다만, 공공부문 지배구조법이 적용되는 공공부문에는 개인정보보호법(PDPA)이 아닌 별도의 규제체계를 두는 이원화 체계를 운영하고 있다. 공공부문에 대해서는 2019년 3월에 공공부문 개인정보보안 심의위원회(Public Sector Data Security Review Committee)를 설치하고 이를 통하여 공공부문에 대한 포괄적인 규율을 시행하고 있다.

또한 개인정보보호법(PDPA)은 DNC(Do-Not-Call) 레지스트리 운영에 관한 규정도 두고 있는데, 해당 규정에 따라 개인은 DNC 레지스트리에 등록함으로써 기업의 마케팅활동을 위한 전화나 메시지의 수신을 거부할 수 있도록 하는 제도도 운영되고 있다.

나. 개인정보의 정의

개인정보보호법(PDPA)은 개인정보를 ‘사실 여부와 관계없이’ ‘특정 개인을 식별’할 수 있는 정보와 ‘개인을 식별하기 위해 조직이 접근’하고 있거나 접근할 가능성이 높은 정보로 규정하고 있다.

한편 싱가포르 개인정보보호법(PDPA)은 ‘민감한 개인정보’에 관한 명시적인 별도규정을 두고 있지는 않다. 그러나 개인정보보호법(PDPA)을 집행하는 개인정보보호위원회(PDPC)는 개인정보의 적절한 보호정책과 절차구현에 반드시 “해당 정보의 민감성을 고려해야한다”는 지침을 둠으로써 민감한 개인정보에 관한 내용을 별도로 고려하고 있다. 예를 들어, 조직은 침해사고 발생 시 정보제공자에게 심대한 영향을 끼칠 수 있는 중요한 정보를 저장하는 경우에는 추가적인 암호화 과정을 거치도록 권장하고 있으며, 조직이 그러한 중요도가 높은 정보를 수집·이용·보관·공개·이전하는 경우를 엄격히 제한함으로써 정보의 민감도를 추가적으로 고려하고 있다. 이러한 맥락에서 개인정보 보호위원회(PDPC)는 NRICs(National Registration Identification Card)3)에 포함된 정보의 민감한 특성 때문에 NRIC 번호의 수집·사용·공개를 제한하는 일련의 권고사항을 발표한 바도 있다. 동 권고사항에 따르면, 각 조직은 2019년 9월 1일부터 관계 법률에 의거하여 개인의 신원확인의 ‘높은 신뢰도’를 충족하기 위해 필수불가결하게 요구되는 경우를 제외하면 물리적으로 NRIC카드 또는 이에 준하는 정보를 수집할 수 없다고 명시하고 있다. 이에 따라 NRIC 정보 뿐 아니라 NRIC 정보가 기입된 운전면허증, 출생증명서(BC), 외국인등록번호(FIN) 및 취업허가증(WP) 정보에도 동일하게 적용되며, NRIC 카드 사본을 보관할 경우 처벌된다. 우리나라의 주민등록번호의 법정주의와 같이, NRIC 정보를 수집한 컨트롤러는 NRIC 사용의 정당성(적법근거)을 평가받아야만 이를 보관할 수 있으며, 수집이 불필요하다고 판단된 컨트롤러는 개인데이터보호법(PDPA)에 명시된 파기절차에 따라 파기토록 권고 하고 있다. NRIC 정보는 전화 통신 상품 가입, 병원 진료 예약, 호텔 체크인, 보험 가입, 금융 및 부동산 관련 거래 등 개인의 신원을 정확하게 확인 할 때만 수집할 수 있고, NRIC 정보를 오용하거나 소홀히 관리할 경우, 최대 100만 싱가포르달러의 벌금이 부과되기에 각별한 주의가 필요하다. 또한 위반행위에 따른 과징금 결정과 법원의 판단에 있어서도 개인정보 보호위원회(PDPC)는 침해에 따른 피해 정도를 고려하는 방법으로 민감한 정보를 실무적으로 반영하고 있다고 평가된다.

3)싱가포르 정부가 주민에게 발행하는 일종의 주민등록증과 같은 신분증

다. 적용범위

(‘개인’의 범위) 개인정보보호법(PDPA)은 정보주체로서 개인을 ’생존하였거나 또는 사망한 자연인(individual’ means a natural person, whether living or deceased)‘이라고 규정함으로써 개인의 생존여부는 묻지 않고 있다. 그러나 개인정보 보호위원회(PDPC)는 실무적으로 사망시점으로부터 10년이 경과하지 않은 경우에는 개인정보보호법(PDPA)의 규정이 적용된다고 보고 있다. 다시 말해 개인정보보호법(PDPA)은 법인격 부여에 따라 법적 권한을 획득한 경우를 제외한 모든 자연인을 대상으로 규정하고 있다.

(적용 예외)다만 개인정보보호법(PDPA)은 개인이 자신의 가정과 가족구성원을 위해 개인정보를 수집·이용·공개하는 것은 사적인 목적에 따라 행동하는 것으로 보아 규제하지 않는다. 예를 들어 가족구성원이 공동의 은행계좌를 개설하거나 자녀의 생명보험 가입을 위하여 자녀의 개인정보를 금융기관에 제공하는 행위는 동 법의 규제대상으로 보지 않는다.

또 비즈니스를 목적으로 활동하는 개인이 제공한 업무에 관한 정보(이름, 직위, 직함, 업무용 연락처 등)도 규제대상에서 제외된다.

추가적으로 공공부문 지배구조법이 적용되는 정부기관이나 정부산하의 공공기관이 그 설립목적에 따라 개인정보를 활용하는 것과 공공기관을 대행하여 그러한 업무를 수행하는 민간부문 조직도 규제대상에서 제외된다. 다만 공공부문 또는 공공부문의 업무를 대행하는 조직이 수행하는 정보활동(수집·이용·보관·공개·이전·폐기)이라 하더라도 기타 법률과 계약에 따른 의무가 부과되는 대상일 수 있으며, 해당 조직이 수행하는 정보활동과 별개로 해당 조직 구성원의 개인정보에 대해서는 보호 의무를 부여하고 있다.

(영토범위) 개인정보보호법(PDPA)은 물리적으로 싱가포르 내에서 소재하는 조직뿐만 아니라, 싱가포르 관할지역 내에서 개인정보를 수집·이용·공개하는 조직의 개인정보 활동도 규제대상으로 인식하도록 규정하고 있다. 이러한 규정에 따르면 해외에 소재한 다국적기업이 온라인 채널을 통한 활동이라 하더라도 싱가포르 시민의 개인정보를 수집하거나 공개하는 등의 행위는 PDPA에 따른 개인정보보호 의무를 준수해야 하며, 해당 개인정보를 싱가포를 관할권 이외의 지역으로 이전하고자 하는 경우에도 해당 조직은 동 법이 요구하는 책임과 의무사항을 준수해야 한다.

라. 컨트롤러 및 프로세서의 의무

(1) 동의

개인정보보호법(PDPA) 제13조는 동 법률과 다른 법률이 예외적으로 허용하는 경우를 제외하면 개인정보의 수집·이용·공개에 관한 정보제공자의 명시적 또는 암묵적인 동의 없이는 개인정보를 수집·이용·보관·공개·이전하는 행위를 엄격하게 금지하고 있다.

특히 개인정보보호법(PDPA) 제14조 1항은 개인의 동의 제공 방식에 관해 명시하고 있다. 동 조항은 개인이 정보수집·이용·공개 목적에 관한 통지를 받고 그러한 목적에 대하여 명시적으로 동의하지 않은 한 조직은 개인의 동의를 획득하지 못한 것으로 간주해야 한다고 규정하고 있다. 또한 조직이 정보제공자에게 개인정보의 수집·이용·공개 목적을 명확하게 고지하지 않은 상태에서 정보제공자가 제공한 동의는 동 조항에 따른 적법한 동의로 간주되지 않는다고 명시하고 있다.

한편 개인정보보호법(PDPA)은 정보제공자의 동의가 다양한 방법을 통해 제공될 수 있다고 규정하고 있다. 그러나 조직은 정보제공자의 동의를 얻었음을 차후에라도 증명할 수 있도록 서면기록 등의 형태로 남겨야한다고 규정하고 있다. 즉, 정보제공자의 구두상 동의도 인정될 수는 있으나 조직은 이에 관한 사항을 문서화를 통해 동의의 획득시기(날짜와 시간)를 포함하여 관련 사항을 증명할 수 있도록 관리할 것을 요구한다.

또한 개인정보보호법(PDPA) 제16조는 어떤 목적으로든 조직에 의한 개인정보의 수집, 이용 또는 공개에 대하여 동법에 따라 제공했거나 제공한 것으로 간주되는 모든 동의를 정보제공자는 언제든지 철회할 수 있으며, 조직은 동의 철회에 관한 정보제공자의 요청을 즉시 승낙하고 반영하도록 요구하고 있다.

(2) 보관

개인정보보호법(PDPA)은 개인정보를 보관하는 조직은 외부로부터 인가되지 않은 불법적인 침해와 그와 유사한 위험으로부터 보관중인 개인정보를 보호하기 위한 합리적인 보안조치를 취해야 하며, 개인정보 보호담당자는 직접적인 권한과 책임에 따라 보안조치에 관한 충분한 의무를 수행해야 한다고 규정한다. 동 법은 각 조직이 구현해야 할 정보보호 대책을 예시하고 있지 않지만 동 법을 집행하는 개인정보보호위원회(PDPC)는 클라우드 컴퓨팅과 같은 새로운 기술에 대해서도 구체적인 사례를 제시함으로써 개인정보보호에 관한 실무지침을 제공하고 있다.

(3) 이전

개인정보보호법(PDPA)과 기타 법률이 정보제공자의 동의를 면제하는 예외적인 상황이 아닌 경우, 조직이 개인정보를 제3자에게 공개 또는 이전에는 반드시 정보제공자의 동의를 획득하도록 요구하고 있다. 또한 개인정보 수집 시점에서 이전에 관한 명시적인 동의를 획득하지 않은 경우에는 이미 보관하고 있는 개인정보라고 할지라도 정보 이전에 관한 동의를 추가적으로 획득하도록 요구하고 있다. 개인정보 이전과 공개에 관한 동의는 이전(공개)하는 조직과 이전(공개)받는 조직이 동일한 기업집단의 계열사라 하더라도 동일하게 요구된다.

한편, 개정된 개인정보보호법 2020(PDPA 2020)은 디지털화된 개인정보 이전에 관한 추가적인 사항을 규정하고 있다. 정보제공자는 자신이 지정한 조직(Porting Organization)으로 본인의 정보를 전송하도록 요청할 수 있다. 그러나 이러한 요청은 정보를 전송받을 조직이 정보제공자와 이미 기존부터 지속적인 관계를 형성하고 있는 경우에 한해서만 해당 정보를 요청할 수 있다고 규정함으로써, 새로운 환경변화에서의 개인정보 이전에 관해서도 침해에 관한 보호조치를 시행하고 있다.

(4) 국외이전

싱가포르 개인정보보호법(PDPA) 제26조는 조직이 싱가포르 이외의 지역으로 개인정보를 이전하는 것을 원칙적으로 제한하고 있다. 다만 정보를 이전받는 국외의 조직이 동 법에 상응하는 수준의 보호조치를 제공하는 것이 확실한 경우에 한해 개인정보의 해외이전을 허용한다고 규정하고 있다. 법적으로 이전이 가능한 경우는 다음과 같다.

정보제공자가 동의한 경우

조직과 정보제공자 간의 계약 이행 또는 계약을 체결하기 위해 정보제공자가 요청하는 경우

정보제공자의 요청에 따라 체결되거나 합리적으로 판단했을 때 정보제공자에게 이익이 된다고 판단할 수 있는 계약의 체결 또는 이행을 위해 필요한 경우

개인정보가 싱가포르에서 이미 공개적으로 사용 가능한 경우

개인정보보호법(PDPA)에 따른 정보제공자의 동의가 필요하지 않은 특정 상황에서 개인정보의 이용 또는 공개를 위해 이전이 필요한 경우(예. 개인의 생명, 건강 또는 안전을 위해 긴급히 필요한 경우)

수신인에게 이전된 개인정보에 대해 싱가포르 개인정보보호법(PDPA)에 따른 보호에 견줄만한 수준의 보호를 제공하는 경우

정보제공자가 계약을 통해 이전할 수 있는 국가 및 영토를 사전에 지정하는 경우

4개인정보보호법 2020(PDPA 2020, Personal Data Protection Act 2020)

가. 개요

개인정보보호법(PDPA)의 제정 이후 전 세계적인 정보통신기술의 발전과 클라우드 컴퓨팅과 같은 새로운 기술의 등장은 급격한 정보환경의 변화를 초래하였고, 이러한 변화는 기존 법률이 감당하지 못하는 추가적인 영역에서의 개인정보보호에 관한 필요성 요구를 촉발하게 되었다. 그러던 움직임이 전 세계적으로 확산되던 2018년 EU가 본격적으로 GDPR(General Data Protection Regulation)을 시행하고 아시아-태평양지역 국가들이 연이어 새로운 개인정보 보호체계를 운용하기 시작하면서 싱가포르도 개인정보보호법(PDPA)의 개정에 본격적으로 착수하기에 이르렀다. 이러한 사회적 움직임에 따라서 개인정보 보호위원회(PDPC)는 통신정보부(MCI)와 함께 2017년부터 3회 이상의 공청회를 통해 정보제공자의 동의 제공에 관한 예외규정과 확대규정, 개인정보 침해사고에 따른 통지와 보고절차, 개인정보 이전규정에 대한 의견을 청취하고 2020년 5월 개인정보보호법 개정안을 공개하였다.

나. 개정내용

개정된 개인정보보호법 2020(PDPA 2020)은 다음의 개정된 내용을 포함하고 있다.

(1) 개인정보 침해사고 보고 및 통지의무 강화

개정된 개인정보보호법 2020(PDPA 2020)은 조직이 개인정보에 관한 내부 모니터링시스템과 보고시스템을 구축하도록 요구하고, 정보 컨트롤러 조직의 책임가운데 핵심으로 침해사고 발생 시에 조직이 가장 우선적으로 취해야할 의무사항을 규정하고 있다. 보다 구체적으로 개정된 개인정보보호법 2020(PDPA 2020)은 정보 컨트롤러인 조직은 개인정보 침해사고를 인지하는 즉시 침해사고의 특성을 평가하고 추가적인 피해의 발생을 방지하는데 필요한 조치들을 시행하도록 규정하고 있으며, 침해사고를 인지하면 ‘가능한 한 빨리’ 감독당국과 정보제공자에게 해당 사실을 보고·통지하도록 명시하고 있다. 이와 함께 침해사고로 영향을 받는 조직은 피해경감을 위해 필요한 자원을 즉각 투입하도록 요구하고 있다.

(2) 정보제공자의 권리강화

개정된 개인정보보호법 2020(PDPA 2020)은 정보제공자가 자신의 개인정보를 보관하고 있는 조직에게 제3의 조직에게 본인의 개인정보를 이전하도록 요청할 수 있도록 허용하는 권리를 부여한다. 그럼에도, 개인정보 보호위원회(PDPC)는 이러한 개인정보 이전요청은 정보를 이전받을 조직이 기존부터 정보제공자와 직접 관계를 갖고 있는 경우로만 제한되어야 하며, 현재 정보를 보관하는 정보 컨트롤러 조직이 정보제공자로부터 제공받은 정보에서 추가로 생성한 개인정보에 대해서는 적용하지 않는다고 제외하고 있다.

(3) 동의제도 현행화

개정된 개인정보보호법 2020(PDPA 2020)은 동의에 관한 사항을 개정해 동의, 동의간주, 동의통지로 구분해 시행하고 있다. 첫 번째, 동의의 경우, 조직은 원칙적으로 동의한 목적으로만 개인정보를 수집, 사용 또는 공개할 수 있다. 둘째, 동의간주의 경우, 정보주체가 조직에게 자발적으로 정보를 제공하고, 상황에 따라 합리적인 경우 동의로 간주될 수 있다. 셋째, 동의통지의 경우, 조직이 정보주체에게 통지한 경우도 동의를 받은 것으로 간주될 수 있다. 이 경우 정보주체가 해당 수집, 이용에 동의하지 않는다는 사실을 조직에 알리지 않은 경우 또는 합리적인 기간 내에 공개한 경우, 개인이 고지 받은 목적 내에서 개인정보의 수집, 이용 또는 공개에 동의한 것으로 간주하는 제도를 시행하고 있다.

이외에도 개정된 개인정보보호법 2020(PDPA 2020)은 정보제공자의 동의에 관한 예외사항과 확대규정, 개인정보 침해사고에 따른 처분규정 등에 대해 변경된 내용을 담고 있다.

top