국가정보_싱가포르

  •  미국
  •  영국
  •  독일

법률체계

1개요

싱가포르의 법은 헌법, 의회입법, 보조입법 등으로 대표되는 성문법과 판례를 기초로 하는 불문법으로 구분된다. 성문법은 입법권을 가진 기관에 의해 제정되는 법으로, 싱가포르 해석법에서는 “헌법과 싱가포르에 적용되는 모든 법률‧조례, 싱가포르에서 한시적으로 만들어진 보조 입법”등으로 정의하고 있다.

싱가포르 헌법은 말레이시아로부터 독립한 1965년 8월 9일 발효되었고 현재 15개의 장과 5개의 부칙으로 이루어져있다. 헌법 제4장에는 종교의 자유, 표현의 자유 및 평등권과 같은 기본적 권리가 포함되어있고, 인종과 종교적 소수자에 대한 일반적 보호 외에, 싱가포르 토착민으로서 말레이시아인의 특별 지위 등이 헌법에 명시되어있다.

법률은 특정 정책의 이행을 위한 기본적인 틀만을 제공하고, 행정적인 내용이나 운영에 필요한 세부사항은 보조 입법에서 구체화된다. 의회에 제출된 법안의 통과 여부는 다수결로 결정되며, 의회를 통과한 후에는 소수자권리위원회(the Presidential Council for Minority Rights)에서 인종이나 종교에 따른 불이익 부과 가능성에 대해 심의한다. 의회는 특정 법률을 창설할 때 다른 영연방국가의 법도 참조한다. 예를 들어, 싱가포르의 회사법은 영국과 호주 회사법의 조항을 인용하였으며, 형법은 대부분 인도의 형법에 기반하고 있다. 현재 조례를 포함하여 약 400개의 의회법이 발효 중이며 온라인(sso.agc.gov.sg)을 통하여 누구나 무료로 확인할 수 있다.

또한 싱가포르는 1819년부터 약 150년 간 영국의 식민 지배를 받았기 때문에, 법 체계 역시 영국의 영향을 받아 판례가 중요한 법적 구속력을 갖는다. 싱가포르 법원의 판결만이 판례법의 근거가 되는 것은 아니다. 영국의 판례도 여전히 많은 영향을 끼치고 있고, 다른 영연방국가들의 판결도 법원의 참고자료로 활용된다. 이를 위해 싱가포르 대법원 결정을 포함한 “싱가포르 법률 보고서(SLR, The Singapore Law Reports)”가 연 4회 출판되고 있으며, 1965년 이후 대법원 결정을 수록하고 있다. “말레이시아 법률 저널”은 1992년 이전 싱가포르 대법원 결정을 수록하고 있다.

2개인정보 보호법 주요 내용

가. 개인정보보호 관련 법률 체계

싱가포르의 개인정보 보호는 개인정보 보호법(PDPA, Personal Data Protection Act)과 정보통신미디어 발전법(Info-communications Media Development Act)에서 관할하고 있으며, 관련 규정 및 예외 명령, 보조 입법 등을 통해 세부적인 내용을 규율하고 있다.

나. 개인정보 보호법 개요

개인 정보는 사실 여부와 관계없이 해당 데이터를 통해 개인을 식별할 수 있는 정보, 또는 개인정보 처리자가 접근했거나 접근 할 가능성 있는 데이터로부터 개인을 식별할 수 있는 정보를 의미한다. 싱가포르의 개인정보 보호법은 개인정보의 접근 및 수정 권한을 비롯하여 개인정보를 수집, 이용 또는 공개해야 하는 처리자에게 요구되는 사항들을 규정하고 있다. 또한 PDPA는 전국 DNC(Do Not Call) 등록소의 설립을 규정하고 있다. DNC 등록소에서 각 개인은 싱가포르 전화번호를 등록하여 마케팅 전화 통화, SMS 또는 MMS와 같은 모바일 문자 메시지 수신 및 팩스 수신을 거부 할 수 있다.

다. 개인정보 보호법 주요 내용

(1) 개인

개인정보 보호법은 개인을 “생존 또는 사망한 자연인(“individual” means a natural person, whether living or deceased;)”으로 정의한다. “자연인(natural person)”이란 용어는 인간을 가리킨다. 즉 일반적인 법인(legal person) 및 자신의 이름으로 법적 조치를 취할 수 있는 협회와 같은 비법인 단체는 제외된다. “개인”은 생존하고 있는 개인과 사망한 개인을 모두 포함하기 때문에 개인정보 보호법(PDPA)은 사망한 개인에 대해서도 적용된다. 단, 사망한 개인의 개인정보에 대해서는 제한적으로 적용된다.

(2) 개인정보

개인정보 보호법에 정의된 개인정보는 사실 여부에 상관없이 다음으로부터 확인할 수 있는 개인에 관한 데이터를 말한다.

a) 해당 데이터

b) 기관이 접근한 또는 접근할 가능성이 있는 해당 데이터 및 기타 정보

“개인정보”는 개인에 관한 다양한 유형의 데이터를 포함할 수 있다. 해당 데이터가 사실 또는 거짓이든, 데이터가 전자형태 또는 다른 형태로 존재하든 상관없이 개인에 대한 데이터는 개인정보로 분류된다.

단, 개인정보 보호법은 동법의 적용이 명시적으로 제외된 특정 범주의 개인정보에 대해서는 적용되지 않는다. 예를 들어 개인정보가 익명화되어 개인에 대한 식별이 완전히 불가능해진 익명 정보는 개인정보로 더 이상 간주하지 않는다. 또한 동법은 최소한 100년 동안 존재해 온 기록에 포함되어 있는 개인정보 및 사망한 지 10년 이상 된 사망자에 관한 개인정보에는 적용되지 않는다.

(3) 법 적용의 예외

개인정보 보호법은 다음의 경우에 대해서는 어떠한 의무도 부여하지 않는다고 명시하고 있다. 따라서 이들 범주에 속하는 기관은 본 법의 적용에서 배제된다.

개인 또는 가정 활동의 일부로 행동하는 개인

기관의 업무 목적으로 행동하는 직원

공공기관

개인정보의 수집, 이용 또는 공개와 관련하여 공공기관을 대행 중인 기관

개인정보 보호법에서는 용어 “가정적”을 “가정 또는 가족과 관련된”으로 정의하고 있다. 따라서 가정 또는 가족을 위해 활동을 할 경우 개인은 가정적인 목적으로 행동하는 것으로 본다. 이와 같은 활동의 예로는 둘 이상의 가족 구성원 사이에 공동 은행 계좌를 개설하거나 자녀의 생명보험증권을 구입하는 것 등이 있다.

개인정보 보호법의 두 번째 중요한 제외규정은 기관의 직원과 관련되어 있다. 특정 기관 직원의 업무와 관련한 개인정보(예 : 사무실 연락처, 회사 이메일 계정 등)는 관련 조항의 적용에서 배제된다. 단, 직원에 대한 이러한 예외규정에도 불구하고, 기관은 여전히 본 법의 조항을 위반하는 직원(자원봉사자 포함)의 행동에 대해 책임을 져야 한다.

마지막으로 공공기관 역시 법 적용으로부터 배제된다. 개인정보의 수집, 이용 또는 공개와 관련하여 공공기관을 대행하는 기관도 그러한 활동을 할 경우 예외 대상에 포함된다. 단, 이와 같은 기관은 공공기관과 관련된 다른 법률 및 계약에 따른 의무의 대상이 될 수 있다. 또한 업무의 다른 측면, 예를 들어 직원의 개인정보 또는 다른 고객의 개인정보에 대해서는 데이터보호 조항을 준수해야 할 책임이 있다.

(4) 동의

개인정보 보호법 제13조는 개인정보의 수집, 이용 또는 공개에 대해 개인이 동의하거나 또는 동의한 것으로 간주되지 않은 경우, 개인정보를 수집, 이용 또는 공개하는 것을 금지하고 있다. 이러한 동의 획득 요건은 개인정보 보호법 또는 다른 법률에 따라 동의 없이 개인의 개인정보를 수집, 이용 또는 공개하는 것이 허락된 경우에는 적용되지 않는다.

개인정보 보호법 제14조(1)은 개인이 동의를 제공하는 방법을 명시하고 있다. 특히 개인이 개인정보가 수집, 이용 또는 공개되는 목적에 관한 통지를 받고 그러한 목적에 대해 동의하지 않은 한 개인은 동의를 하지 않은 것으로 간주한다. 만약 기관이 개인정보가 수집, 이용 및 공개되는 목적을 개인에게 통지하지 않은 경우, 개인이 제공한 어떠한 동의도 제14조(1)에 따른 동의로 간주되지 않는다.

동의는 다양한 방법으로 획득할 수 있다. 기관은 동의를 얻었다는 것을 차후에 증명할 수 있도록 서면 또는 기록된 형태로 동의를 얻어야 한다. 구두에 의해서도 동의를 획득할 수 있다. 이 경우 기관은 동의한 날짜 및 시간과 함께 특정 목적에 대해 개인이 동의했다는 사실을 기록해 놓음으로써 동의를 문서화하는 것이 권고된다. 단, 개인과 분쟁이 발생한 경우 다른 입증 자료가 없다면 구두 동의가 제공된 사실을 증명하는 것이 어려울 수 있다.

또한 개인정보 보호법 제16조는 어떤 목적으로든 기관에 의한 개인정보의 수집, 이용 또는 공개에 대하여 동법에 따라 제공했거나 제공한 것으로 간주되는 모든 동의를 언제든지 철회할 수 있다고 규정하고 있다.

(5) 개인정보 국외이전

싱가포르 개인정보 보호법 제26조는 기업 및 기관이 싱가포르 이외의 지역으로 개인정보를 이전하는 것을 원칙적으로 제한하고 있다. 단, 이전되는 개인정보에 대해 동법에 따른 보호 수준에 견줄만한 정도의 보호 조치를 제공하는 것이 확실한 경우에는 해외로의 이전이 가능하다. 법적으로 이전이 가능한 경우는 다음과 같다.

정보주체가 동의한 경우

기관과 개인 간의 계약 이행을 위한 경우, 또는 계약을 체결하기 위한 개인의 요청이 있는 경우

개인의 요청에 따라 체결되거나 합리적으로 판단했을 때 개인의 이익이라고 판단할 수 있는 계약의 체결 또는 이행을 위해 필요한 경우

개인정보가 싱가포르에서 공개적으로 사용 가능한 경우

개인정보 보호법에 따른 개인의 동의가 필요하지 않은 특정 상황에서, 개인정보의 이용 또는 공개를 위해 이전이 필요한 경우(개인의 생명, 건강 또는 안전을 위해 긴급히 필요한 경우)

수신인에게 이전된 개인정보에 대해 싱가포르 개인정보 보호법에 따른 보호에 견줄만한 수준의 보호를 제공하는 경우

계약에 따라 개인정보를 이전할 수 있는 국가 및 영토를 지정하는 경우

top