국가정보_대만

  • 유럽
  • 미국
  • 일본
  • 중국
  • 영국
  • 독일
  • 호주
  • 캐나다
  • 싱가포르
  • 베트남
  • 러시아
  • 프랑스
  • 태국
  • 필리핀
  •  말레이시아

법률체계

1개요

대만은 개인정보 수집과 활용, 보호를 포괄하는 법으로 개인정보보호법(個人資料保護法, Personal Information Protection Act, PIPA)을 적용한다.

대만은 초기에 개인정보보호와 관련된 법으로 ‘95년 8월 컴퓨터처리개인정보보호법(Computer processed Personal Data Protection Law)을 제정하여 20년 간 개인정보의 수집·처리·사용·공유에 관한 내용을 특정 산업분야에만 제한적으로 적용하였다

그러나 정보기술의 끊임없는 발전과 새로운 사업모델의 등장으로 개인정보가 광범위하게 수집되고 기존 법령으로는 개인정보를 효과적으로 보호할 수 없게 되면서 ‘10년 4월 입법부는 컴퓨터처리개인정보보호법을 개인정보보호법으로 개정하고 재명명하는 법안을 통과시켰다..

이후 ‘10년 5월 개인정보보호법이 공포되고 ‘12년 10월 1일부터 시행되면서 개인정보를 수집, 처리, 이용하는 모든 사람에게 적용되기에 이르렀다. 대만 개인정보보호법은 ’15년 12월 15일 일부 개정을 거쳐 ‘16년 3월 15일부터 개정된 내용으로 시행되었으며 당사자 동의 없는 개인정보의 수집과 활용 또는 제3자 제공을 금지하면서 개인정보 보호를 더욱 강화하였다. 개인정보보호법의 세부적인 사항을 정한 시행규칙도 ’16년 3월 2일 개정되었다.

대만은 EU의 GDPR 적정성 결정을 통과하기 위해 ‘18년 말 자체 평가 보고서를 EU에 제출했으며 관련 논의를 위해 EU 측과 3차례의 회의를 가졌다. 대만 정부는 적정성 결정을 위해 개인정보보호법의 개정을 준비 중으로, 개정안에 포함될 내용으로 개인정보 보호를 위한 단일 감독기관의 설립, 개인정보 영향평가의 수립, 개인정보 수집에 대한 정보주체의 동의 요건 개정, 개인정보 국외이전 요건 강화 등이 논의되고 있다.

대만 정부는 ‘19년 2분기부터 개인정보보호법 개정 작업을 시작하여 당초 ’20년 중반까지 개정안 초안을 공개하고 의견을 수렴할 계획이었으나 ’21년 10월 현재까지 개정안은 공개되지 않은 상태이다.

2대만 개인정보보호법

가. 개요

대만 개인정보보호법은 제1장 총칙, 제2장 정부기관의 개인정보수집, 처리 및 이용, 제3장 비정부기관의 개인정보수집, 처리 및 이용, 제4장 손해배상 및 집단소송, 제5장 벌칙, 제6장 보칙으로 구성된다.

대만 개인정보보호법은 개인정보의 수집, 처리와 이용을 통제하여 개인 권리의 침해를 방지하고 개인정보의 올바른 사용을 촉진하기 위해 제정된 것으로, 적용 대상은 정부기관과 민간 부문을 포함한다.

나. 개인정보 및 민감정보의 정의

개인정보는 자연인의 성명, 생년월일, 신분증 번호, 여권번호, 얼굴, 지문, 결혼상태, 가족 정보, 학력, 직업, 진료기록, 유전자 정보, 성생활, 건강검진 결과, 범죄기록, 연락처, 재정상태, 사회활동에 관한 정보 및 자연인을 직간접적으로 확인하기 위해 이용될 수 있는 기타 모든 정보를 의미한다(제2조).

대만 개인정보보호법은 민감정보라는 용어를 사용하지는 않으나 자연인의 진료기록, 보건 정보, 유전자 정보, 성생활, 건강진단 및 범죄기록에 관련된 정보는 다음 각 호에 해당하지 않는 한, 수집, 처리 또는 이용되어서는 안 된다고 규정하고 있다(제6조).

  • 법률에 명시적인 규정이 있는 경우
  • 정부기관이 법률상의 책무를 수행하거나 비정부기관이 의무를 이행하는 데 필요한 범위 이내일 경우. 단, 개인정보의 수집, 처리 또는 이용에 대하여는 사전이나 사후에 적절한 안전 및 유지 조치를 취해야 한다.
  • 개인정보가 정보주체에 의하여 대중에게 공개되었거나 합법적으로 공개된 경우
  • 정부기관 또는 교육기관의 건강관리, 공중위생 또는 범죄예방 목적의 통계자료 수집 또는 학문 연구에 필요한 경우. 단, 정보제공자가 처리하거나 정보수집자가 공개한 정보로 인하여 특정 정보주체의 신원을 확인해서는 아니 된다.
  • 정부기관의 법률상의 책무 수행 또는 비정부기관의 법률상의 의무 이행을 지원하기 위하여 필요한 경우. 단 해당 개인정보의 수집, 처리 또는 이용에 대하여는 사전이나 사후에 적절한 안전 및 유지 조치를 취해야 한다.
  • 정보주체가 자신의 개인정보 수집, 처리 및 이용에 서면으로 동의한 경우. 단, 수집, 처리 또는 이용이 필요한 특정 목적의 범위를 초과하는 경우 또는 정보주체의 동의에 의한 수집, 처리 또는 이용이 법률에 의해 금지되는 경우 또는 그러한 동의가 정보주체의 자유로운 의사에 의한 것이 아닌 경우는 제외한다.

다. 적용범위

대만 개인정보보호법의 적용대상은 모든 정부기관과 비정부기관을 포함한다. 정부기관은 공권력을 행사할 권한이 있는 중앙 또는 지방의 정부기관이나 관리기관을 의미하며 비정부기관은 정부기관 이외의 자연인, 법인 또는 단체를 의미한다(제2조).

개인정보보호법은 다음 각 호의 상황에 대해서는 적용하지 않는다(제51조).

  • 개인정보의 수집, 처리 또는 이용이 순전히 개인적 또는 가정생활 목적을 위해 자연인에 의해 행해진 경우
  • 공공장소 또는 공공활동에서 다른 개인정보와 관계없이 시청각정보가 수집, 처리 또는 이용되는 경우

개인정보보호법은 정부기관 및 비정부기관이 대만 영토 밖에서 대만 국민의 개인정보를 수집, 처리 또는 이용하는 경우에도 적용된다.

라. 개인정보처리 동의

정부기관 또는 비정부기관이 정보주체에 대하여 개인정보보호법 제8조에 따라 개인정보 수집에 대한 통지를 한 이후 정보주체가 반대의사 표시를 하지 않고 자신의 개인정보를 적극적으로 제공한 경우에는 정보주체가 동의한 것으로 추정될 수 있다. 정보처리자는 정보주체가 개인정보보호법에서 정하는 동의를 제공했다는 사실에 관한 입증 책임을 진다.

마. 정보주체의 권리

대만 개인정보보호법 제3조에 의하면 정보주체는 자신의 개인정보에 관하여 다음과 같은 권리를 행사할 수 있으며, 권리는 계약에 의하여 사전에 포기되거나 제한될 수 없다.

  • 자신의 개인정보에 관하여 질문하고 검토할 권리
  • 자신의 개인정보 사본을 요구할 권리
  • 자신의 개인정보를 보완하거나 수정할 권리
  • 자신의 개인정보의 수집, 처리 이용의 정지를 요구할 권리
  • 자신의 개인정보를 삭제할 권리

바. 컨트롤러 및 프로세서의 의무

대만 개인정보보호법은 컨트롤러와 프로세서를 구분하지 않고 정보처리자로 통칭하며, 정부기관과 비정부기관 각각에 대하여 개인정보 수집 또는 처리, 이용에 대한 의무를 규정하고 있다.

(1) 수집 또는 처리

정부기관 또는 비정부기관은 개인정보 수집 시 ①정부 또는 비정부기관의 명칭 ②수집목적 ③수집 대상 개인정보의 종류 ④개인정보 이용기간, 지역, 수령인, 방법 ⑤정보주체의 권리 및 권리행사 방법 ⑥자신의 개인정보를 제공하지 않겠다고 한 경우에 영향을 받게 될 정보주체의 권리 및 이익 등의 정보를 정보주체에게 명확히 통지해야 한다.

통지 의무는 다음의 상황에서는 면제될 수 있다.

  • 법률에 따라 통지가 면제된 경우
  • 개인정보의 수집이 정부기관의 법적 책무 수행 또는 비정부기관의 법적 의무 이행을 위하여 필요한 경우
  • 통지의 제공이 정부기관의 법적 책무 수행에 방해가 되는 경우
  • 통지의 제공이 공익을 해치는 경우
  • 정보주체가 이미 통지의 내용을 알고 있는 경우
  • 개인정보의 수집이 비영리 목적을 위한 것으로서 명백하게 정보주체에 대하여 악영향을 주지 않는 경우

법률에 명시적 규정이 있는 경우를 제외하고 정부기관의 개인정보 수집 또는 처리는 특정 목적을 위한 것이어야 하며, ①법적 의무 수행이 필요한 범위 이내인 경우 ②정보주체가 동의한 경우 ③정보주체의 권리 및 이익이 침해되지 아니하는 경우 중 하나에 해당하여야 한다(제15조).

법률에 명시적 규정이 있는 경우를 제외하고 비정부기관의 개인정보 수집 또는 처리는 특정 목적을 위한 것이어야 하며 다음 각 호 중 하나에 해당하는 경우여야 한다(제19조).

  • 법률에 명시적 규정이 있는 경우
  • 비정부기관과 정보주체 간에 계약관계 또는 계약에 준하는 관계가 있고 정보주체의 안전을 보장하기 위해 적절한 보안 조치가 취해진 경우
  • 개인정보가 정보주체에 의하여 대중에게 공개되었거나 합법적으로 공개된 경우
  • 교육기관이 공익을 위하여 통계자료 수집 또는 학문 연구를 하는데 필요한 경우. 단, 정보제공자가 처리하거나 정보수집자가 공개한 정보로 인하여 특정 정보주체의 신원을 확인해서는 아니 된다.
  • 정보주체가 동의한 경우
  • 공익을 촉진하기 위하여 필요한 경우
  • 개인정보가 공개적으로 이용 가능한 정보원으로부터 얻어진 경우. 단, 정보주체가 개인정보의 처리 또는 이용을 금지할 중요한 이익을 가지지 않아야 한다.
  • 정보주체의 권리 및 이익이 침해되지 않는 경우

(2) 이용

정부기관은 법적 의무의 필요한 범위 내에서 특정 목적을 위해서만 개인정보를 이용해야 하며, 다른 목적을 위한 개인정보의 이용은 다음 각 호 중 하나에 의해서만 허용된다(제16조).

  • 법률에 명시적 규정이 있는 경우
  • 국가 안보를 보장하거나 공익을 증진하기 위하여 필요한 경우
  • 정보주체의 생명, 신체, 자유 또는 재산에 대한 손해를 방지하기 위한 경우
  • 타인의 권리 및 이익에 대한 물리적 손해를 방지하기 위한 경우
  • 정부기관 또는 교육기관의 공익을 위한 통계자료 수집 또는 학문 연구에 필요한 경우. 단 정보제공자가 처리하거나 정보제공자가 제공한 정보로 특정 정보주체의 신원을 확인해서는 아니 된다.
  • 정보주체의 권리 및 이익을 위한 경우
  • 정보주체가 동의한 경우

비정부기관은 특정 수집 목적을 위해 필요한 범위 내에서만 개인정보를 이용해야 하며, 다른 목적을 위한 개인정보의 이용은 다음 각 호 중 하나에 해당되는 경우에만 허용된다(제20조).

  • 법률에 명시적 규정이 있는 경우
  • 공익을 증진하기 위하여 필요한 경우
  • 정보주체의 생명, 신체, 자유 또는 재산에 대한 손해를 방지하기 위한 경우
  • 타인의 권리 및 이익에 대한 물리적 손해를 방지하기 위한 경우
  • 정부기관 또는 교육기관의 공익을 위한 통계자료 수집 또는 학문 연구에 필요한 경우. 단 정보제공자가 처리하거나 정보제공자가 제공한 정보로 특정 정보주체의 신원을 확인해서는 아니 된다.
  • 정보주체가 동의한 경우
  • 정보주체의 권리 및 이익을 위하여 필요한 경우

비정부기관이 마케팅 목적으로 개인정보를 이용하는 경우 정보주체의 거부가 있을 시에는 이를 중단해야 한다. 비정부기관이 최초로 마케팅 목적으로 개인정보를 이용하는 경우, 정보주체에게 거부할 수 있는 방식을 제공해야 하며 그 비용을 지불해야 한다.

(3) 보안 의무

개인정보파일을 보유한 정부기관은 개인정보의 도난, 변경, 손상, 파괴 또는 공개를 방지하기 위한 보안 및 유지조치를 위하여 전담 인력을 배치해야 한다(제18조).

개인정보파일을 보유한 비정부기관은 개인정보의 도난, 변경, 손상, 파괴 또는 공개를 방지하기 위한 적절한 보안 조치를 취해야 한다. 관련 산업을 담당하는 중앙 정부기관은 특정 비정부기관을 지정하여 개인정보파일의 보호를 위한 안전 및 유지계획과 사업 종료에 따른 개인정보처리지침을 마련하도록 할 수 있다(제27조).

사. 개인정보 역외 이전

비정부기관이 다음 각 호의 상황에서 개인정보의 역외 이전을 수행하는 경우, 관련 산업을 담당하는 중앙 정부기관은 이전에 제한을 가할 수 있다(제21조).

  • 중대한 국가적 이익이 관련되어 있는 경우
  • 국제조약 또는 협정에 규정이 있는 경우
  • 개인정보를 이전받는 국가에 적절한 개인정보 보호규정이 없으며 이로 인해 정보주체의 권리 및 이익이 침해받을 수 있는 경우
  • 개인정보보호법을 회피하기 위하여 제3국으로 개인정보의 역외 이전이 행해지는 경우

아. 집행

비정부기관이 개인정보보호법을 위반한 경우 관련 산업을 담당하는 중앙정부기관 또는 관계 지방자치·시·자치주 정부는 개인정보보호법에 따라 비정부기관에 대하여 벌금을 부과할 수 있으며 다음 각 호의 시정조치를 취할 수 있다(제25조).

  • 개인정보의 수집, 처리, 또는 이용의 금지
  • 처리된 개인정보 및 개인정보파일의 삭제명령
  • 불법 수집된 개인정보의 압수 또는 파기명령
  • 비정부기관의 위반행위와 비정부기관의 명칭, 해당 책임자/대표의 성명 공개

자신 또는 제3자를 위하여 불법적인 이득을 얻을 목적 또는 타인의 이익을 해칠 목적으로 개인정보보호법의 주요 조항(제6조, 제15조, 제16조, 제19조, 제20조 등)을 위반하거나 관련 산업을 담당하는 중앙정부기관의 역외 이전 제한에 관련된 명령이나 결정을 위반한 자는 5년 이하의 징역형에 처하고 100만 NT$(약 4,200만원) 이하의 벌금형을 부과할 수 있다(제41조).

자신 또는 제3자를 위하여 불법적인 이득을 얻을 목적 또는 타인의 이익을 해칠 목적으로 개인정보파일을 불법적으로 변경 또는 삭제하거나 타인의 개인정보파일의 정확성을 기타 방식으로 손상함으로써 타인에 대하여 손해를 야기한 자는 5년 이하의 징역 또는 구금형에 처하고 100만 NT$ 이하의 벌금형을 부과할 수 있다(제42조). 이 두 조항은 대만 국민이 다른 대만 국민에 대하여 해외에서 위반한 경우에도 적용된다.

정부 공무원이 자신에게 부여된 권한, 기회 또는 수단을 남용하여 개인정보보호법을 위반한 경우 50%까지 가중하여 처벌한다.

비정부기관이 개인정보보호법의 주요 조항(제6조, 제19조, 제20조, 제21조)을 위반한 경우, 관련 산업을 담당하는 중앙정부기관 또는 관계 지방자치·시·자치주 정부는 5만~50만 NT$의 벌금을 부과하고 일정 기한 내 시정조치를 취하도록 명할 수 있다.

top