국가정보_태국

  • 유럽
  • 미국
  • 일본
  • 중국
  • 영국
  • 독일
  • 호주
  • 캐나다
  • 싱가포르
  • 베트남
  • 러시아
  • 프랑스
  • 대만
  • 필리핀
  •  말레이시아

법률체계

1개요

태국은 2019년 개인정보보호를 목적으로 하는 최초의 통합된 일반법으로 개인정보보호법 (Personal Data Protection Act 2019, PDPA)을 제정하였으며, 시행은 2020년 5월 27일에서 2021년 5월 31일로 연기된 후, 최근 2021년 5월에 관보를 통해 시행 일자를 2022년 6월 1일로 연기한다고 다시 발표했다. PDPA에 의거하여 설립될 개인정보보호 감독기구인 개인정보보호위원회(PDPC)가 아직 설립되지 않아서 PDPA의 하위 규정은 아직 제정되지 않았다.

현재 산업 부문별 법령도 개인정보보호에 관련된 일부 조항을 포함하고 있다. 태국의 전기통신사업법(2001)에서는 개인정보 유출에 대해 정보주체에게 통보하도록 규정한다. 금융분야에서는 2021년 8월 태국의 은행협회가 은행 부문의 개인정보보호 이해와 인식을 제고하기 위하기 위해 태국 은행에 대한 개인정보보호 가이드라인을 마련하였다.

2태국 법률체계

태국은 입법부가 제정한 성문법을 기반으로 하는 입헌 군주국이다. 그럼에도 불구하고 태국의 법률체계는 관습법 전통의 영향을 받는다. 관습법 전통은 태국 법률 시스템이 하급 법원 사건에서 대법원 판결을 인용하는 데서 찾아볼 수 있다. 사법적 구속력이 없으나 대법원의 판결은 설득력이 있고 선례적 가치가 있으며 종종 이차적으로 권위 있는 법원(法源)으로 사용된다.

태국의 헌법은 의회에 의해 통과되며, 다른 법률에 우선하는 태국의 최고법이다.  2017 헌법이 태국의 가장 최근 헌법이다.  법령은 주로 민사 및 상법(CCC), 형법(PC), 민사소송법, 형사소송법의 4가지 유형의 법으로 구성된다. 법률은 가장 일반적으로 알려진 규정이며 의회에서 제정된다.

왕실 칙령(왕령)은 일반적으로 특정 법에 따라 권한을 부여받은 관련 부처 장관을 통해 행정부에서 공포하며 법의 지침에 따라 세부사항을 수시로 규정한다.

국가 안보, 공공 안전, 국가 경제 안정 또는 재난을 피하기 위해 긴급히 법률이 필요한 경우 내각의 조언에 따라 국왕이 비상령을 공포할 수 있다.

이외에도 구속력이 있는 계약, 하위법령(규정, 명령, 통지), 그리고 구속력은 없으나 권위와 영향력을 지닌 대법원의 판결 등이 법률의 출처를 형성한다.

태국에서 개인정보보호에 관련 일반법은 2019년 제정된 개인정보보호법 (PDPA)으로 22년 6월 1일부터 시행될 예정이다.

3개인정보보호법

가. 개요

태국은 2019년 개인정보보호를 목적으로 하는 최초의 통합된 일반법으로 개인정보보호법 (Personal Data Protection Act, PDPA)을 제정하고 2020년 5월 27일에 전면 발효될 예정이었으나, 코로나19 감염병의 세계적 유행으로 연기되었다. 2021년 5월 8일 PDPA 시행일을 2022년 6월 1일로 연기하는 내용이 태국 왕립 관보에 게재되었으며 PDPC에 의거하여 2020년 5월 31일까지 PDPA를 설립하여 하위 규정을 제정할 계획이었으나, 2021년 10월 현재 PDPC는 아직 설립되지 않았다. 디지털경제사회부 (MDES)가 임시 PDPC 대체 역할을 하면서, 소셜미디어 플랫폼 및 전자상거래에서 발생하는 보안조치 및 광범위한 문제를 포함한 디지털전략에 대한 권고사항을 제공한다. 아래 내용은 2019년 제정된 개인정보보호법 (PDPA)의 주요 조항을 설명한다.

태국의 개인정보보호법(PDPA)은 전체 7장과 경과조항으로 구성되며, 총 96조로 구성되어 있다. 제1장은 개인정보보호위원회(Personal Data Protection Committee), 제2장은 개인정보보호(세부 구분: ①일반규정, ②개인정보수집, ③개인정보 이용 및 공개), 제3장은 정보주체의 권리, 제4장은 개인정보보호위원회 사무국, 제5장은 불만사항, 제6장은 민사책임, 제7장은 처벌(형사책임, 행정책임), 그리고 경과조항으로 구성되어 있다.

나. 개인정보 및 민감정보의 정의

(1) 개인정보의 정의

개인정보보호법(Personal Data Protection Act 2019)에서 “개인정보"는 직접 또는 간접적으로 해당 개인을 식별할 수 있는 개인과 관련된 모든 정보를 의미하지만, 사망한 개인의 정보는 포함하지 않는다(제6조).

(2) 민감정보의 정의

개인정보보호법 (PDPA)에 ‘민감정보'에 대한 정의는 없다

다. 적용범위

(1) 적용범위

PDPA 제5조에서 적용범위를 규정한다. PDPA는 개인정보의 수집, 이용, 공개가 태국 왕국에서 발생하는지 여부에 관계없이 국내에 있는 컨트롤러 또는 프로세서가 개인정보를 수집, 이용, 공개하는데 적용된다. 컨트롤러 또는 프로세서가 국외에 있는 경우, 이 법은 국내 정보주체의 개인정보 수집, 이용 또는 공개에 적용되며, 이러한 경우 아래의 프로세서나 개인정보 프로세스의 활용에 적용된다.

  • 정보주체의 지불 여부와 관계없이 국내에 있는 정보주체에게 상품 또는 서비스 제공
  • 국내에서 행위가 발생하는 정보주체의 행위에 대한 모니터링

(2) 면제사항

PDPA 제4조는 아래의 경우 PDPA가 적용되지 않는다고 규정한다.

  • 개인의 이익이나 가사 활동만을 위해 개인정보를 수집하는 사람에 의해 개인정보의 수집, 이용 또는 공개가 이뤄지는 경우
  • 자금 세탁 방지 및 억제, 법의학 또는 사이버보안에 관한 의무를 포함하여 국가 또는 공공 안전 국가의 금융 안전, 공공 안전에 관련된 국가보안을 유지할 의무가 있는 공공기관의 운영인 경우
  • 언론, 예술, 문학 활동만을 위해 수집된 개인정보를 이용하거나 공개하는 사람 또는 법인이 직업윤리를 준수하고, 공익을 위해 사용하는 경우
  • 하원, 상원 및 의회 그리고 이들이 임명한 위원회가 자신의 권한에 따라 개인정보를 이용하거나 공개하는 경우
  • 형사 사법 절차에 따르는 업무 운영을 포함하여 법적 절차, 법적 집행 및 재산 처리에 대한 법원의 재판과 판결, 공무원의 업무 운영인 경우
  • 신용 조사 기관 사업의 운영을 규율하는 법률에 따라 신용 조사 기관이나 회원사가 수행하는 개인정보 운영의 경우

라. 개인정보처리 동의

(1) 성년 대상(제19조)

컨트롤러는 정보주체가 수집, 이용 또는 공개 이전 또는 그 시점에 동의하지 않는 한 개인정보를 수집, 이용 또는 공개할 수 없다(이 법이나 다른 법률의 규정에 의하여 허용된 경우는 제외).

개인정보 처리 동의 요청은 그 가능한 서면 또는 전자적 수단을 통해 명시적으로 이루어져야 한다.

정보주체가 동의를 요청할 때 컨트롤러는 개인정보의 수집, 이용 또는 공개 목적도 알려야 한다. 그러한 동의 요청은 명확하고 평이한 언어를 사용하여 쉽게 접근 가능하고 이해하기 쉬운 형식과 진술로 다른 문제와 명확하게 구별되는 방식으로 제시되어야 하며 그러한 목적과 관련하여 정보주체를 기만하거나 오도하지 않아야 한다. 이와 관련하여 개인정보보호위원회는 위원회가 정한 양식 및 진술에 따라 컨트롤러에게 정보주체의 동의를 요청할 수 있다.

정보주체의 동의를 요청할 때 컨트롤러는 정보주체의 동의가 자유롭게 이뤄지도록 최대한 고려해야 한다. 또한 서비스에 대한 계약체결의 경우에도 계약과 관련이 없거나 필요하지 않은 개인정보를 수집, 이용, 공개할 수 없다.

정보주체는 언제든지 동의를 철회할 수 있다. 동의 철회는 법령이나 정보주체에게 이익이 되는 계약에 따라 동의 철회에 제한이 있는 경우를 제외하고는 동의 철회는 동의와 같이 간단해야한다. 단, 동의 철회는 정보주체가 이 법에 따라 법적으로 동의한 개인정보의 수집, 이용 또는 공개에 영향을 미치지 않는다. 동의 철회가 정보주체에게 어떤 식으로든 영향을 미치는 경우 컨트롤러는 철회의 결과를 정보주체에게 알려야 한다.

이 법률에서 규정된 사항에 따르지 않는 정보주체의 동의 요청은 정보주체에 구속력이 없으며 컨트롤러가 더 이상 개인정보를 수집, 이용 또는 공개할 수 없다.

(2) 미성년 대상(제20조)

정보주체가 미성년자로 법적으로 독립적이지 않거나 민법 제27조에 따른 소송대리인으로서의 능력이 없으면 아래와 같이 해당 정보주체의 동의를 구하여야 한다.

  • 미성년자의 동의가 민법 제22조, 제23조 또는 제24조에 의거하여 미성년자가 단독으로 행할 수 있는 행위가 아닌 경우, 미성년자의 부모로서의 책임을 가진 자의 동의가 필요하다.
  • 미성년자가 10세 미만인 경우에는 그 아동에 대한 친권자의 동의를 받아야 한다.

정보주체가 무능력자인 경우에는 무능력자를 대행할 수 있는 권한이 있는 관리인의 동의를 받아야 한다. 정보주체가 무능력자에 준하는(예, 한정치산자) 경우에는 이를 대리할 권한이 있는 자의 동의를 받아야 한다.

제20조의 상기 규정은 정보주체의 동의 철회, 정보주체에게 통지, 정보주체의 권리 행사, 기타 정보주체의 불만사항에 관하여 준용한다. 이 법에 따라 미성년자, 무능력자 또는 준 무능력자에 해당하는 정보주체에 대하여 적용한다.

(3) 개인정보 수집 목적에 따른 처리(제21조)

컨트롤러는 수집 이전 또는 시점에 정보주체에게 통지된 목적에 따라 개인정보를 수집, 이용 또는 공개해야 한다. 개인정보의 수집, 이용 또는 공개는 정보주체에게 사전에 고지된 목적과 다른 방식으로 수행할 수 없다. 단 정보주체가 새로운 목적에 대해 고지를 받았고 수집, 이용 또는 공개 시점 이전에 동의를 얻은 경우, 또는 이 법 또는 다른 법률의 규정에 의한 경우는 목적과 다르게 처리할 수 있다.

마. 정보주체의 권리(제30조~제42조)

PDPA 제4장(정보주체의 권리) 제30조에서 제42조까지 정보주체의 권리를 주로 규정한다.

(1) 정보를 제공받을 권리

PDPA의 제21조, 제23조, 제25조는 정보주체가 정보를 제공받을 권리를 규정한다. 정보주체로부터 개인정보를 수집하는 경우 컨트롤러는 수집 전 또는 수집 시에 정보주체에게 이를 알려야 한다(제23조). 개인정보가 다른 출처에서 수집되는 경우 컨트롤러는 해당 개인정보 수집일로부터 30일 이내에 지체 없이 정보주체에게 이를 알려야 한다(제25조 제1(2)항, 제25조 제3항). 단, 컨트롤러가 개인정보를 정보주체와의 커뮤니케이션에 이용하는 경우에는 최초 커뮤니케이션 시 해당 정보를 제공해야 하며, 또는 다른 사람에게 공개할 예정인 경우 첫 번째 공개 전에 정보를 제공해야 한다(PDPA 제25조 제3항). 컨트롤러가 정보주체에게 사전에 고지한 목적과 다른 목적으로 개인정보를 수집, 이용 또는 처리하려는 경우 컨트롤러는 수집, 이용 또는 공개 시점 이전에 정보주체에게 알려야 한다(제21조 제1항)

정보주체는 아래의 정보를 제공받을 권리가 있다(제23조 및 제25조 제2항)

  • 정보주체의 동의 없이 허용된 목적을 포함하여 개인정보의 사용 또는 공개를 위한 수집 목적
  • 정보주체가 법적 의무를 준수하기 위해 또는 계약 수행을 위해 개인정보가 필요한 사례에 대한 통지, 또는 계약 체결을 위해 개인정보를 제공해야하는 사례에 대한 통지(정보주체가 그러한 개인정보를 제공하지 않는 경우에 발생할 수 있는 효과 포함)
  • 수집할 개인정보와 개인정보 보존기간(보존 기간을 지정할 수 없는 경우 개인정보 보존 기준에 따라 예상되는 개인정보 보존 기간을 명시)
  • 수집된 개인정보가 공개될 수 있는 개인이나 단체의 유형
  • 컨트롤러(또는 컨트롤러의 대리인 또는 개인정보보호책임자)의 정보와 주소, 상세한 연락처 정보
  • PDPA에 따른 정보주체의 권리

PDPA는 정보주체에게 제공하는 정보에 대해 특정한 양식을 요구하지 않는다.

정보주체가 이미 정보를 갖고 있는 경우에는 정보주체에 알릴 의무가 적용되지 않는다(제23조, 제25조 제2(1)항). 개인정보가 정보주체가 아닌 다른 출처에서 수집되는 경우 아래의 경우에는 통지 의무가 적용되지 않는다(제25조 제2항).

  • 컨트롤러가 정보주체에게 새로운 목적 또는 세부정보를 통지하는 것이 불가능하거나 개인정보의 사용 또는 공개를 저해하는 경우(특히 과학적, 역사적 또는 통계적 연구와 관련된 목적 달성을 위한 경우 컨트롤러는 정보주체의 권리, 자유 및 이익을 보호하기 위해 적절한 조치를 취해야 함)
  • 법률에서 요구하는 대로 긴급하게 개인정보를 이용하거나 공개해야 하고, 정보주체의 이익을 보호하기 위해 적절한 조치를 구현해야 하는 경우
  • 컨트롤러는 자신의 의무, 직무 또는 직업에서 그러한 개인정보를 알고 있거나 획득하는 경우, 또는 제23조에 명시된 대로 새로운 목적 또는 세부정보의 기밀을 유지해야 하는 경우

(2) 열람권

PDPA의 제30조 및 제39조는 열람 권한을 제공한다. 정보주체는 자신과 관련된 개인정보에 대해 열람하고 사본을 요청하거나 동의 없이 획득한 개인정보 획득의 공개를 요청할 수 있다(PDPA 제30조).

정보주체의 정보를 제공받을 권리의 일부로 컨트롤러는 이 법에 따라 자신의 권리를 정보주체에게 알려야 한다(제23조).

PDPA는 개인정보 열람을 요구한 사람의 신원 확인 요구사항을 명시적으로 규정하지는 않는다.

정보주체가 제30조에 따라 개인정보 열람을 요청하고 사유에 따라 해당 요청을 거부할 수 없는 경우 컨트롤러는 지체 없이 열람 요청을 이행해야 하며 그러한 요청을 받은 날로부터 30일을 초과해서는 안 된다.

열람 요청은 법률 또는 법원 명령에 따라 허용되는 경우에만 거부될 수 있으며 그러한 열람 요청은 타인의 권리와 자유에 부정적인 영향을 미치는 경우이다.

PDPA는 정보주체 권리와 관련된 수수료, 열람 요청 및 응답 형식에 대한 요구사항은 명시적으로 언급하지 않는다.

(3) 정정권

PDPA는 정정권을 명시적으로 규정하지 않는다. 그러나 제35조 및 제36조는 정정권 관련 사항을 암시하는 아래의 사항을 규정한다.

  • 컨트롤러는 개인정보가 정확하고, 최신 상태를 유지하고, 완전하며 오해의 소지가 없는 상태로 유지해야 한다(제35조).
  • 정보주체가 컨트롤러에게 제35조에 따라 행동하도록 요청하는 경우 컨트롤러가 정보주체의 요청에 대해 조치를 취하지 않으면 컨트롤러는 제39조에 따라 해당 정보주체의 요청을 사유와 함께 기록해야 한다(제36조).
  • 제34조 제2항에 따라 컨트롤러가 조치를 취하지 않는 경우 정보주체는 PDPA의 5장(불만사항)에 따라 임명된 전문가위원회에 불만을 제기하여 컨트롤러에게 명령하여 조치를 취하게 할 권리를 보유해야 한다(제36조).

(4) 삭제권(잊힐 권리)

PDPA의 제33조는 개인정보의 익명화를 요청할 권리뿐만 아니라 삭제할 권리를 제공한다. 정보주체는 아래의 경우에 개인정보의 삭제, 파기 또는 익명화를 요청할 수 있다(제33조 제1항).

  • 개인정보가 수집, 이용 또는 공개된 목적과 관련하여 더 이상 필요하지 않은 경우
  • 정보주체가 수집, 사용 또는 공개의 근거가 되는 동의를 철회하고 컨트롤러가 그러한 수집, 사용 또는 공개에 대한 법적 근거가 없는 경우
  • 정보주체가 개인정보의 수집, 사용 또는 공개에 반대하는 경우
  • 개인정보가 불법적으로 수집, 사용 또는 공개된 경우

컨트롤러가 개인정보를 공개하거나 해당 개인정보를 삭제나 익명화하도록 요청받은 경우, 컨트롤러는 그러한 요청 관련 이행 조치에 대한 응답을 얻기 위해 다른 컨트롤러에 알리는 조치를 취해야 한다(제33조 제3항).

PDPA는 삭제권 관련 요청자에 대한 신원 확인, 삭제 요청 및 응답에 대한 형식에 대해 명시적으로 규정하지 않는다. PDPA는 삭제요청에 대해 조치 기간을 명시적으로 규정하지 않으나, 컨트롤러가 제33조에 따라 삭제요청에 대해 조치를 취하지 않은 경우 정보주체는 PDPC에 불만을 제기하여 컨트롤러가 그러한 조치를 취하도록 명령할 권리가 있어야 한다.

컨트롤러는 삭제요청을 이행하기 위해 기술 구현과 비용을 책임져야 한다.

컨트롤러가 개인정보를 삭제, 파기 및 익명화해야 하는 의무는 그러한 개인정보 보유가 아래의 목적에 따라 필요한 경우에는 적용되지 않는다.

  • 표현의 자유의 목적
  • 제24조 제1항, 제24조 제4항, 제26조 제5(a)항 또는 제26조 제5(b)항에 따른 목적
  • 법적 청구의 설정, 준수 또는 행사 또는 법적 청구의 방어 목적
  • 법률 준수 목적

(5) 처리제한권

PDPA의 제34조는 처리를 제한할 수 있는 권리를 규정한다. 정보주체는 아래의 경우 개인정보 처리 제한을 요청할 수 있다.

  • 컨트롤러는 개인정보 삭제에 대한 제36조에 따라 정보주체의 요청에 따라 조사 절차 수행을 보류하는 경우
  • 제33조 제11항(4)에 따라 삭제되거나 파기되어야 하는 개인정보이지만 정보주체가 대신 해당 개인정보의 사용 제한을 요청하는 경우
  • 개인정보 수집의 목적을 위해 해당 개인정보를 더 이상 보유할 필요가 없지만, 정보주체는 법적 청구의 설정, 준수 또는 행사 또는 법적 청구의 방어를 위해 보유 기간의 연장을 요청할 필요가 있는 경우
  • 컨트롤러는 제32조 제1항(1)과 관련하여 확인을 보류 중이거나, 제32조 제1항(3)에 따라 정보주체의 이의 제기 요청을 거부하기 위해 조사를 보류 중인 경우

정보주체의 정보를 받을 권리의 일부로 컨트롤러는 PDPA에 따라 자신의 권리에 대해 정보주체에게 알려야 한다(제23조).

PDPA는 처리 제한 요청자에 대한 신원 확인, 제한 요청에 대한 조치 기간, 처리 수수료, 처리 및 응답에 대한 형식, 요청을 거부하는 면제 또는 근거를 명시적으로 규정하지 않는다. 반면, 컨트롤러가 제34조1항에 따라 처리 제한 요청에 대해 조치를 취하지 않은 경우 정보주체는 컨트롤러가 그러한 조치를 취하도록 명령하기 위해 개인정보보호위원회에 불만을 제기할 권리를 갖는다(제34조).

(6) 이동권

PDPA의 제31조에서 개인정보 이동권을 규정한다. 정보주체는 컨트롤러로부터 자신에 관한 개인정보를 수신할 권리가 있으며 컨트롤러는 이러한 개인정보를 자동 도구 또는 장비를 통해 읽을 수 있거나 일반적으로 사용되는 형식으로 배열해야 하며, 자동화된 방식으로 이용되거나 공개될 수 있다. 또한 정보주체는 아래의 권한을 갖는다.

  • 자동화된 방식으로 수행할 수 있는 경우 컨트롤러에 이러한 형식의 개인정보를 다른 컨트롤러에게 전송하거나 이전을 요청할 수 있는 권한
  • 기술적인 상황으로 인해 개인정보 전송이나 이전이 불가능한 경우를 제외하고 컨트롤러가 다른 컨트롤러에게 전송이나 이전 형식으로 개인정보를 직접 요청할 수 있는 권리

위의 권리는 아래의 경우에 적용된다.

  • 정보주체가 동의한 개인정보인 경우와 이러한 개인정보의 수집, 사용 또는 공개가 가능한 경우
  • 제24조 제3항에 따른 동의 요구 사항에서 면제되는 개인정보인 경우
  • 개인정보보보호위원회에서 규정한 대로 제24조에 따르는 개인정보

PDPA의 제31조에서 공익을 위해 또는 법률을 준수하기 위해 수행하거나 타인의 권리와 자유를 위해 컨트롤러가 개인정보를 전송 또는 이전하는 경우에는 개인정보 이동권이 적용되지 않는다.

개인정보 이동에 대한 요청 형식에 대한 요구사항을 명시적으로 언급하지 않으나, 요청 응답 형식 관련하여 컨트롤러는 이러한 개인정보를 자동 도구 또는 장비를 통해 읽을 수 있거나 일반적으로 사용되는 형식으로 배열해야 하며 자동화된 수단을 통해 사용 또는 공개할 수 있도록 한다.

PDPA에서 개인정보 이동권 관련 요청자에 대한 신원 확인, 수수료는 명시적으로 규정하지 않는다.

(7) 반대권

PDPA의 제32조에서 정보주체의 반대권을 규정하고, 제19조에서 동의를 철회할 권리를 규정한다.

정보주체는 아래의 경우 개인정보의 수집, 사용 또는 공개에 반대할 권리가 있다.

  • 제24조 제4항 또는 제24조 제5항에 따라 정보주체의 동의 요건의 면제조항으로 개인정보를 수집하나, 컨트롤러가 그러한 개인정보의 수집, 사용 또는 공개에 대해 설득력 있는 정당한 근거가 있음을 입증할 수 없거나 법적 청구의 설정, 준수 또는 행사 또는 법적 청구의 방어를 위해 처리된다고 증명할 수 없는 경우
  • 직접 마케팅을 위해 개인정보의 수집, 사용 또는 공개하는 경우
  • 과학적, 역사적 또는 통계적 연구를 위해 개인정보의 수집, 사용 또는 공개하나, 컨트롤러가 공익을 위한 작업 수행에 그러한 개인정보가 필요하지 않은 경우

정보주체는 언제든지 동의를 철회할 수 있다. 동의 철회는 법률에 의해 동의 철회에 대한 제한이 있거나 계약이 정보주체에게 이익이 되지 않는 한 동의하는 것만큼 동의 철회가 용이해야 한다. 그러나 동의 철회는 제2장(개인정보보호)에 따라 정보주체가 이미 법적으로 동의한 개인정보의 수집, 사용 또는 공개에 영향을 미치지 않아야 한다. 동의 철회가 정보주체에 어떤 식으로든 영향을 미치는 경우 컨트롤러는 철회의 결과를 정보주체에게 알려야 한다.

PDPA는 정보주체가 반대권을 행사하는 경우 컨트롤러는 관련 개인정보를 즉시 구별하고 이 개인정보의 수집, 사용 또는 공개를 중지해야 한다.

정보주체의 정보를 제공받을 권리의 일부로 컨트롤러는 자신의 권리를 정보주체에게 알려야 한다. PDPA는 개인정보 처리 반대에 요청자에 대한 신원 확인, 수수료, 반대 요청이나 응답의 형식, 요청 거부에 대한 예외사항은 명시적으로 규정하지 않는다.

바. 컨트롤러 및 프로세서의 의무

PDPA에서 컨트롤러는 개인 정보의 수집, 이용 또는 공개에 관한 의사결정에 대한 의무가 있는 자연인이나 법인을 의미한다(제6조). PDPA에서 프로세서는 '이용자 또는 사용자에 의해 또는 소정의 차수에 따라 개인정보의 수집, 사용 또는 공개에 관해 컨트롤러를 대신하여 행하는 자연인이나 법인을 의미한다.

(1) 개인정보 처리 활동 기록 의무

PDPA가 제39조와 제40조에서 컨트롤러의 개인정보 처리 활동 기록에 관한 사항을 규정한다.

컨트롤러는 정보주체와 사무국이 확인할 수 있도록 최소한 다음 기록을 유지 관리해야 하며, 이 기록은 서면 또는 전자 형식으로 가능하다(제39조)

  • 수집된 개인정보
  • 개인정보 유형별 수집 목적
  • 컨트롤러의 세부사항
  • 개인정보의 보유 기간
  • 개인정보를 열람할 수 있는 권한이 있는 사람에 관한 조건 및 해당 개인정보를 열람할 수 있는 조건을 포함하여 개인정보를 열람할 수 있는 권리 및 방법
  • 제27조 제3항에 따른 개인정보 사용 또는 공개
  • 제30조 제3항, 제31조 제3항, 제32조 제3항, 제36조 제1항에 따른 요청 거부 또는 이의 제기
  • 제37조 제1항에 따른 적절한 보안 조치의 세부사항

컨트롤러는 개인정보보호위원회가 설정한 규칙과 방법에 따라 개인정보 처리 활동을 기록하고 유지 관리해야 한다(제40조).

(2) 개인정보 영향 평가

PDPA가 개인정보영향평가(DPIA)를 구체적으로 언급하지는 않지만 컨트롤러는 적절한 보안조치를 제공하고 필요 시 또는 적절한 보안 및 안전 표준을 효과적으로 유지하기 위해 기술이 변경된 경우 이를 검토할 의무가 있다고 규정하고 있다(제37조, 제40조).

컨트롤러는 승인 없이 개인정보의 손실, 열람, 이용, 변경, 수정 또는 공개를 방지하기 위해 보안조치(개인정보보호위원회에서 규정한 최소 기준 포함)를 설정해야 한다(제37조). 프로세서는 승인 없이 또는 불법으로 개인정보의 유출, 열람, 이용, 변경, 수정 또는 공개를 방지하기 위해 적절한 보안조치를 마련해야 한다(제40조). 그러나 이러한 프로세서에 대한 규정은 개인정보의 수집, 사용 또는 공개가 정보주체의 권리나 자유에 대한 위험을 초래할 가능성이 있는 경우를 제외하고 개인정보보호위원회가 규정한 규칙에 따라 소규모 조직인 프로세서에게 적용되지 않을 수 있으며, 또한 개인정보의 수집, 사용 또는 공개가 비정기적으로 발생하는 사업체이거나 제26조에 따르는 개인정보의 수집, 사용 또는 공개와 관련된 사업체인 경우 적용되지 않을 수 있다.

(3) DPO(Data Protection Office) 지정

컨트롤러와 프로세서는 아래의 상황에서 DPO를 지정해야 한다(제41조).

  • 컨트롤러 또는 프로세서가 개인정보보호위원회가 지정한 공공기관인 경우
  • 개인정보의 수집, 사용 또는 공개와 관련하여 컨트롤러나 프로세서의 활동이 개인정보 또는 시스템에 대한 대규모의 정기적인 모니터링을 요하는 경우
  • 컨트롤러 또는 프로세서의 핵심 활동이 개인정보의 수집, 사용 또는 공개인 경우

컨트롤러와 프로세서는 DPO의 정보, 연락처 주소 및 연락처를 정보주체와 개인정보보호위원회에 제공할 의무가 있다. 정보주체는 개인정보의 수집, 사용 또는 공개와 정보주체의 권리 행사와 관련하여 DPO에 연락해야 한다(제41조).

DPO는 컨트롤러 또는 프로세서의 직원이거나 컨트롤러 또는 프로세서와 계약한 서비스 제공자일 수 있다(제41조).

DPO는 아래의 직무를 수행한다(제42조).

  • PDPA 준수와 관련하여 컨트롤러나 프로세서의 직원이나 서비스 제공자에게 조언
  • PDPA 준수와 관련하여 컨트롤러나 프로세서의 직원이나 서비스 제공자의 성과를 조사
  • PDPA 준수와 관련하여 컨트롤러나 프로세서의 직원이나 서비스 제공자의 개인정보의 수집, 사용 또는 공개와 관련하여 문제가 있는 상황에서 개인정보보호위원회와 조정하고 협력
  • PDPA에 따라 직무를 수행하는 동안 알려지거나 획득한 개인정보의 기밀을 유지

개인정보보호위원회는 개인정보보호에 관한 지식 또는 전문성을 고려하여 DPO의 자격을 규정하고 고시할 수 있다(제41조).

컨트롤러 또는 프로세서가 동일 계열 사업체이거나 동일 기업 그룹에 속한 경우 개인정보보호위원회가 지정한 사업체나 기업 그룹을 공동으로 운영하기 위해 해당 컨트롤러나 프로세서는 공동으로 DPO를 지정할 수 있다. 이와 관련하여 동일한 계열 사업체나 동일 기업 그룹의 컨트롤러나 프로세서의 각 시설은 DPO에 쉽게 연락할 수 있어야 한다.

컨트롤러 또는 프로세서는 적절한 도구나 장비를 제공하여 DPO가 작업을 수행할 수 있도록 지원하고, 직무를 수행하기 위해 개인정보 열람을 간편하게 해야 한다(제42조).

컨트롤러 또는 프로세서는 DPO가 PDPA에 따라 의무를 수행한다는 이유로 DPO의 고용을 해고하거나 종료해서는 안 되며, DPO는 업무 수행에 문제가 있는 경우 컨트롤러나 프로세서의 최고 경영자에게 직접 보고할 수 있어야 한다.

DPO는 타 직무나 작업을 수행할 수 있지만 컨트롤러 또는 프로세서가 그러한 의무 또는 작업이 PDPA에 따른 의무 수행에 반하거나 반대되지 않음을 보증해야 한다.

사. 개인정보 역외 이전(Transfer)

(1) 개인정보 국외 이전의 제한사항

PDPA는 개인정보를 외국 또는 국제 조직으로 이전할 때 개인정보보호 수준이 개인정보보호위원회 규정에서 요구하는 보호 또는 표준을 적절하게 충족하는 양수인에게만 이루어져야 한다고 요구한다. 그러나 제28조에서 규정한 특정 상황에서는 이러한 요구사항이 면제된다.

(2) 개인정보의 위치와 거주지 요건

현재 태국의 PDPA나 기타 법률에는 개인정보와 관련된 개인정보 위치나 거주지 요건을 규정하지 않고 있다.

(3) 부문별 제한사항

의료정보나 유사한 성격의 개인정보 수집이나 처리는 아래의 경우를 제외하고 금지된다.

  • 사람의 생명, 신체 또는 건강에 대한 위험을 예방하기 위한 목적인 경우
  • 정보주체의 명시적인 동의하에 대중에게 공개된 경우
  • 제26조에 명시된 다른 목적이 있는 경우

정보주체의 금융정보의 수집이나 처리를 구체적으로 규제하는 명시적인 조항이 없다.  따라서 이러한 금융정보를 수집하거나 처리하는 컨트롤러나 프로세서는 PDPA의 규정을 준수해야 한다. 그러나 PDPA는 아래의 기관에 의한 금융정보의 수집이나 처리에는 적용되지 않는다.

  • 자금 세탁을 방지하거나 국가안보, 금융보안 또는 사이버보안을 유지해야 하는 의무가 있는 공공기관
  • 신용조사기관 사업의 운영을 규율하는 법률을 따르는 신용조사기관과 회원기관

PDPA에는 인력자원이나 직원정보에 대한 특정 조항이 없다. 그러나 이러한 개인정보는 PDPA에 따른 개인정보에 해당하며, 이러한 개인정보의 수집이나 처리 시 PDPA에 따른 관련 제한의 적용을 받는다.

(4) 개인정보 국외 이전 솔루션

PDPA에 따라 아래의 상황에서 태국에서 외국 또는 국제기구로 개인정보를 국외이전 할 수 있다.

  • 법에 의해 개인정보 국외 이전이 요구되는 경우
  • 정보주체의 동의를 획득하였고, 개인정보보호위원회 규정에서 요구하는 개인정보보호 수준이나 기준을 충족하지 못하는 양수인과 국외 이전하는 경우에는 정보주체가 국외 이전 또는 동의 당시에 이러한 사실에 대해 통지를 받는 경우
  • 당사자인 정보주체가 계약의 이행을 위해 필요하거나 계약을 체결하기 전 정보주체의 요청이 있는 경우
  • 컨트롤러와 정보주체의 이익을 위해 다른 사람 간의 계약을 이행해야 하는 경우
  • 정보주체 또는 타인의 생명, 신체나 건강에 대한 위험을 방지하거나 억제하기 위한 경우
  • 상당한 공익을 위해 양도를 수행할 필요가 있는 경우

개인정보 국외 이전 전송 계약/표준 계약 조항의 사용

PDPA는 개인정보와 관련된 개인정보 국외 이전 전송 계약이나 표준 계약 조항의 내용이나 사용을 구체적으로 규정하지 않는다. 그러나 이행 또는 준수 요건에 따라 컨트롤러나 프로세서가 태국에서 외국으로 개인정보를 전송할 수 있는 권한을 부여할 수 있는 계약은 아래의 경우이다.

  • 정보주체와 타인 간의 계약인 경우
  • 컨트롤러와 타인 간의 계약(단, 계약의 이행이 정보주체의 이익이 되는 범위 내)

따라서 정보주체의 동의 없이 개인정보 국외 이전을 허용할 수 있는 계약은 그에 따라 요구되는 수행이나 준수에 따라 정보주체 또는 컨트롤러(그러나 정보주체의 이익을 위해)가 작성하고 동의해야 한다.  이것은 PDPA에서 개인정보 국외 이전 계약 또는 표준 계약 조항(SCC)의 이용을 구체적으로 규정하지 않을 이유 중 하나일 수 있다.

정보주체의 동의 없이 개인정보를 태국에서 외국 또는 국제기구로 이전할 수 있는 컨트롤러 또는 프로세서의 권한을 부여하는 계약은 아래와 같다.

  • 정보주체가 당사자인 계약
  • 컨트롤러가 당사자이고 정보주체의 이익 내에서 이행해야 하는 계약

이 범위를 벗어나면 계약은 정보주체 동의가 없는 개인정보 국외 이전에 대한 솔루션이 아닙니다. 컨트롤러 또는 프로세서는 태국에서 외국의 동일한 사업 그룹이나 경제공동체에 종사하는 동일한 기업 그룹의 컨트롤러나 프로세서로 개인정보 국외 이전을 규제하는 개인정보보호정책을 마련할 수 있다.

개인정보보호위원회가 정책을 승인하는 경우(해당 정책이 개인정보보호위원회 규정을 실질적으로 따르는 경우), 개인정보보호 수준이 불충분한 양수인과 개인정보 국외 이전을 수행할 필요가 있는 것은 아니다. 즉 정책 승인이 개인정보 국외 이전을 약간 더 쉽게 만들 수 있지만 동의 요구사항을 무시할 수는 없다.

아. 집행

(1) 처벌 유형

PDPA에는 민사, 형사 및 행정 처벌의 세 가지 유형이 있다. 형벌의 양은 범한 범죄에 따라 달라진다. 최고 행정 과징금은 500만 바트이다. 징벌적 손해배상도 법원에 의해 선고될 수 있으나 이는 실제 배상액의 2배에 한한다. 가해자가 법인인 조건에서 이사, 관리자 또는 책임자가 명령, 조치 등을 하여 범죄가 발생한 경우에 이러한 이사, 관리자 또는 책임자는 PDPA에 따라 형사 책임을 질 수 있다. 규제당국이 실제 집행 측면에서 어떤 방향을 취할지는 아직 PDPA 초기 단계이기 때문에 불분명하다. 의무를 준수하지 않는 프로세서는 PDPA에 따라 과태료를 부과할 수 있으며 불법행위법에 따른 책임을 질 수 있다.

(2) 행정 과징금 기준

제82조에서 제89에 걸쳐 아래와 같이 행정적인 책임사항에 대해 규정한다.

[표 1] 위반행위 및 처벌 기준

공공부문 연방법률
순번 법률 조항 위반행위 과징금
1 제82조

● 컨트롤러가 제23조, 제30조 제4항, 제39조 제1항, 제41조 제1항, 제42조 제2항 또는 제3항을 준수하지 않음

● 컨트롤러가 제19조 제3항에 따라 개인정보보호위원회에서 정한 양식이나 진술을 사용하여 동의를 얻지 않음

● 컨트롤러가 제19조 제6항에 따라 동의 철회의 영향에 알리지 않음

● 컨트롤러가 제25조 제2항에 따라 준용되는 제23조를 이행하지 않음

● 100만 바트 이하의 행정 과징금 처벌

2 제83조

● 컨트롤러가 제21조, 제22조, 제24조, 제25조 제1항, 제27조 제1항 또는 제2항, 제28조, 제32조 제2항 또는 제37조를 위반하거나 준수하지 않음

● 컨트롤러가 개인정보의 목적에 대해 정보주체를 기만하거나 오도하여 동의를 획득

● 컨트롤러가 제25조 제2항에 따라 준용되는 제21조를 준수하지 않음

● 컨트롤러가 제29조 제1항 또는 2절에 따라 개인정보를 보내거나 전송하지 않음

● 300만 바트 이하의 행정 과징금 처벌

3 제84조

● 컨트롤러가 개인정보와 관련하여 제26조 제1항 또는 제3항, 제27조 제1항 또는 제2항, 제28조를 위반

● 컨트롤러가 제29조 제1항 또는 제3항에 따라 제26조에 의거하여 개인정보를 전송 또는 이전하지 않음

● 500만 바트 이하의 행정 과징금 처벌

4 제85조

● 프로세서가 제41조 제1항 또는 제42조 제2항 또는 제3항을 준수하지 않음

● 100만 바트 이하의 행정 과징금 처벌

5 제86조

● 프로세서가 적절한 이유 없이 제40조를 준수하지 않거나 제29조 제1항 또는 제3항에 따라 개인정보를 전송 또는 전송하지 않음

● 프로세서가 제38조에 따라 준용되는 제37조 제5항을 준수하지 않음

● 300만 바트 이하의 행정 과징금 처벌

6 제87조

● 프로세서가 제29조 제1항 또는 제3항, 제29조 제1항 또는 제3항을 주수하지 않고 제26조 1항 또는 제3항에 따라 개인정보를 전송하거나 이전하지 않음

● 500만 바트 이하의 행정 과징금 처벌

7 제88조

● 컨트롤러 또는 프로세서의 대리인이 제39조 제2항에 따라 준용되는 제39조 제1항과 제41조 제4항에 따라 준용되는 제41조 제1항을 준수하지 않는 경우

● 100만 바트 이하의 행정 과징금 처벌

8 제89조

● 자연인이 전문가위원회의 명령에 따르지 않음

● 자연인이 제75조에 따른 사실관계를 진술하지 않음

● 자연인이 제76조 제1항을 준수하지 아니함

● 자연인이 제76조 제4항에 따른 공무원의 업무를 방해

● 50만 바트 이하의 행정 과징금 처벌

(3) 과징금 부과 및 행정 집행 절차

PDPA 제90조는 전문가위원의 행정 과징금 부과 권한과 절차, 행정 소송에 대한 절차를 규정한다. 전문가위원회는 위에서 규정한 행정 과징금으로 처벌할 권한이 있으며, 적합하다고 인정하는 경우에는 전문가위원회가 우선 시정 또는 경고를 명할 수 있다.

과징금 부과 명령을 내릴지 여부를 결정할 때 전문가위원회는 위반행위의 정황의 심각성, 컨트롤러 또는 프로세서의 업무 규모, 위원회가 정한 규칙 기타 정황을 고려해야 한다.

과징금 부과 대상자가 과징금 납부를 거부하는 경우에는 행정절차법에 따른 행정명령의 집행에 관한 규정을 준용한다. 행정명령을 집행할 담당관이 없거나 그 집행관이 있으나 집행할 수 없는 경우에는 전문가위원회는 행정법원에 소송을 제기하여 과징금의 납부를 청구할 수 있다. 이 경우 행정법원이 과태료를 부과하는 명령이 적법하다고 판단하는 경우 행정법원은 판결을 내리고 경매를 통해 매각할 자산을 압류 등 과징금을 납부하도록 명령할 수 있다.

과징금 부과 명령 및 행정 집행은 제74조 제6항에 따라 준용되며, 행정 집행은 제74조 제4항에 따라 준용된다.

4기타 관련 법률

태국은 입법부가 제정한 성문법을 기반으로 하는 입헌 군주국이다. 그럼에도 불구하고 태국의 법률체계는 관습법 전통의 영향을 받는다. 관습법 전통은 태국 법률 시스템이 하급 법원 사건에서 대법원 판결을 인용하는데서 찾아볼 수 있다. 사법적 구속력이 없으나 대법원의 판결은 설득력이 있고 선례적 가치가 있으며 종종 이차적으로 권위 있는 법률 자료로 사용된다.

top