필리핀 개인 정보 보호법

전 세계 각국에서 개인정보의 수집과 처리, 사용에 관한 규제를 강화하고 있습니다. 여러 국가들은 개인정보 보호법에서 국가 안보와 기업의 니즈, 국민의 권리 간에 균형을 맞추는 데 어려움을 겪고 있습니다.

2012년 필리핀은 공공 및 민간 IT 부문에서 개인정보를 보호하고자 ‘개인정보법(공공법 제10173호)’을 통과시켰습니다. 이에 따라 ‘국가 개인정보위원회(npc)’가 발족하였으며, 개인정보법의 집행과 시행 규칙 수립, 자문 등 준사법적인 권한을 부여했습니다.

2016년 9월 9일에는 시행 규칙 및 규제(IRR)가 공표되었습니다. 개인정보법의 제정 목적은 필리핀의 개인정보 보호 수준을 높이고, 국제 수준을 준수하기 위함입니다.

적용: 개인정보법은 ‘공공 사안’으로 간주하는 경우를 제외한 모든 개인정보의 처리에 적용되며, 국내(일부의 경우 국외도 포함) 개인정보의 처리에 관련된 모든 자연인과 법인을 대상으로 합니다. 해당 법의 국외 적용에 기반해, 개인정보위원회는 2018년 4월 약 120만 명에 달하는 필리핀 국민의 개인정보를 허가 없이 공유한 캠브리지 애널리티카 사건을 직접 조사한 바 있습니다.

일반적으로 개인정보가 공시된 경우 개인정보법이 적용되지 않는다고 생각하는데, 개인정보위원회는 “정보주체가 개인정보를 공개적으로 열람이 가능한 플랫폼에 제공했을지라도, 이것이 어떠한 목적으로든 자신의 정보를 사용할 수 있다는 포괄적인 동의를 의미하는 것은 아니다”라고 명확히 입장을 밝힌 바 있습니다. 이는 소셜미디어의 시대를 맞아 공공과 개인의 영역이 불분명해지는 와중에 개인정보의 범위를 신중하게 인식한 것으로, 매우 유의미한 행보라 할 수 있습니다.

규제 원칙: 개인정보법은 이전에 도입된 국제 개인정보 보호 프레임워크에 기반한 원칙을 채택했으며, 특히 투명성, 적법한 목적, 비례의 원칙을 적용했습니다. 개인정보관리자(PIC)의 적법한 이익과 같이 법의 목표에 합치하며 최소 1개의 적법한 근거가 있는 경우, 일반적으로 개인정보의 처리가 허용됩니다.

이에 따라 개인정보위원회는 개인정보관리자의 적법한 이익이 다음의 3단계 검사를 반드시 통과해야 한다고 명시했습니다.

(1) 목적 검사: 해당 정보 처리를 통해 얻고자 하는 바를 정의하고, 적법한 이익의 실존 여부가 명확히 수립되어야 함.

(2) 필요성 검사: 개인정보관리자나 개인정보를 처리하는 제3자가 추구하는 적법한 이익의 목적을 달성하는 데 있어, 개인정보의 처리가 아닌 다른 도구에 의해서는 합리적으로 수행이 불가능하며 이에 따라 개인정보의 처리가 꼭 필요함을 증명해야 함.

(3) 균형 검사: 개인정보관리자와 제3자의 적법한 이익 목적은 정보주체의 기본권과 자유권에 우선할 수 없으며, 정보주체에 미칠 수 있는 영향을 고려해야 함.

이와 반대로, 민감한 개인정보의 처리는 적법한 근거(예: 정보주체의 동의 및 법적/물리적 필요성)가 있는 경우를 제외하고는 일반적으로 금지됩니다.

정보주체의 권리: 정보주체의 권리는 다음과 같이 명시되었습니다.

() 고지받을 권리(특히 자동화 의사 결정 및 프로파일링의 여부), (2) 열람할 권리, (3) (직접 마케팅, 자동화 처리, 프로파일링 등의 목적으로 개인정보를 처리하는 것에 대해) 반대할 권리, (4) 특정 이유를 근거로 개인정보관리자의 시스템으로부터 본인의 개인정보를 삭제 및 차단할 권리, (5) 손해배상 청구 권리, (6) 소각 및 시한의 요청에 따라 소송을 제기할 권리, (7) 수정할 권리, (8) 개인정보 이동의 권리.

법적 의무: 시행 규칙에 따라, 개인정보관리자와 개인정보처리자(PIP)는 다음의 경우 개인정보위원회에 정보 처리 시스템을 등록해야 합니다.

(1) 최소 1,000명의 민감한 개인정보를 처리하는 경우, (2) 개인정보관리자 및 처리자의 고용인이 최소 250명인 경우, (3) 고용인이 250명 이하이나, 개인정보의 처리가 단발적이지 않은 경우, (4) 고용인이 250명 이하이나, 개인정보의 처리가 정보주체의 권리와 자유에 위협을 가할 수 있는 경우.

시행 규칙은 개인정보의 보호를 위해 다음의 보안 조치를 의무로 규정하고 있습니다.

• 개인정보 보호 및 보안 관련법과 규제의 준수를 담당하는 개인정보 보호 및 준수 책임자 임명.
• 조직 차원에서 적절한 개인정보 보호 정책과 물리적, 기술적 보안 조치 도입.
• 개인정보 처리 시스템의 기록 보관 및 개인정보에 접근 가능한 취급자의 의무와 책임 명시
• 개인정보에 접근할 수 있는 고용인, 중개인, 대리자의 지명 및 연수, 감독.
• 개인정보의 수집과 처리에 관한 정책 및 절차 수립 및 시행, 검토. 이에 따라 정보주체는 개인정보법에 따른 정보주체의 권리를 행사할 수 있으며, 정보관리자의 보안 및 기술적 문제, 개인정보 보관 명세, 시스템 모니터링, 프로토콜 정보를 열람할 수 있어야 함.
• 적절한 계약을 통해 개인정보처리자가 관련법과 시행 규칙에서 의무로 규정하는 보안 조치를 시행하도록 보장.
• 가능한 경우 시행 규칙에서 명시한 물리적 보안 가이드라인 준수.
• 개인정보의 처리, 컴퓨터 네트워크 방화벽, 보안 정책의 효율성에 대한 주기적 평가. 개인정보 암호화에 대한 보안 정책을 포함하나 이에 제한되지 않은 기술적 보안 장치의 채택 및 수립.

또한, 개인정보 관리자와 처리자는 개인정보위원회에 보안 및 개인정보 유출 사건을 보고해야 합니다. 정보 유출 발생 시, 담당 개인정보 관리자와 처리자는 발견 시점으로부터 72시간 이내에 개인정보위원회와 피해를 본 정보주체에게 이를 고지해야 할 의무가 있습니다.

준수 의무 사항

개인정보법의 준수를 위해, 개인정보위원회는 ‘5대 준수 요소’라는 5단계 가이드라인을 수립했습니다. 본 가이드라인은 개인정보법 및 개인정보위원회의 규정에 따른 주요 의무 사항을 요약한 것으로, 체크리스트로 활용할 수 있습니다.

-개인정보 보호책임자(DPO) 임명: 개인정보 보호책임자의 임명은 법적 의무이며, 조직의 준수 노력의 증거로 간주됩니다. 개인정보 보호책임자는 준법 감시 및 관리를 책임집니다. 주요 의무는 해당 조직의 개인정보 보호 프로그램 및 시행을 관리·감독하는 것으로, 개인정보 보호 정책의 수립, 리스크 평가 실시, 개인정보 유출의 관리를 포함합니다. 또한 개인정보위원회와 정보주체와의 주 연락 담당자입니다. 개인정보 보호책임자는 독립성을 보장하고, 개인정보 보호에 대한 전문 지식이 있으며, 해당 조직의 정보 처리 시스템에 대해 이해할 수 있어야 합니다.

-개인정보 영향 평가(PIA) 실시: 개인정보 영향 평가는 개인정보의 처리로 인해 발생할 수 있는 잠재 개인정보 리스크를 규명하고 평가하는 과정을 의미합니다. 이상적으로는 개인정보와 관련된 모든 프로젝트와 프로그램 및 업무 활동에 실시되어야 합니다. 본 평가는 특히, (1) 조직의 개인정보 흐름과 처리 활동에 대한 시스템적 설명, (2) 개인정보 원칙의 준수 및 보안 정책의 시행 평가, (3) 수반 리스크의 규명 및 평가, (4) 리스크 관리 조치 제안을 포함해야 합니다.

-개인정보 관리 프로그램(PMP) 수립: 개인정보 관리 프로그램은 조직의 모든 프로그램, 업무 활동, 서비스 및 계획에 개인정보와 정보 보호 조치가 통합될 수 있도록 보장하는 총체적 접근을 의미합니다. 이는 정보주체의 개인정보를 보호하기 위한 조직의 약속, 개인정보의 처리 및 관리에 대한 조직의 관행 및 절차에 대한 상세 설명을 포함합니다. 법적 의무사항 준수를 위해 자체적인 개인정보 정책, 절차 및 프로토콜을 수립하고 시행해야 합니다.

–개인정보 및 데이터 보호 장치 시행: 개인정보 관리 프로그램에서 명시된 정책 및 조치는 반드시 시행되어야 합니다. 이를 위해 조직 차원에서의 약속 뿐만 아니라, 아래 사항에 대한 프로그램의 제어 장치가 조직의 일상 업무에 통합되어야 합니다.

(1) 개인정보 처리 기록, (2) 리스크 평가 도구, (3) 등록, (4) 정책 및 조치, (5) 개인정보 보안, (6) 역량 강화, (7) 개인정보 보호 위반 관리, (8) 고지, (9) 제3자 관리, (10) 소통.

또한, 정기적으로 프로그램 제어 장치의 유효성에 대해 평가해야 합니다.

-개인정보 유출 관리: 개인정보 유출 시, 해당 조직은 민첩하고 효율적으로 대응해야 하며, 이에 대비한 정보 유출 관리 절차를 사전에 수립해야 합니다. 이는 유출 예방, 유출 대응, 조사, 유출로 인한 영향 완화, 고지 의무 준수, 재발 방지를 포함해야 합니다. 정보 유출 관리에 대한 법적 의무는 명확히 정의되고 시행되어야 하며, 정보 유출로 얻은 교훈이 추후 조직의 절차 및 관행에 통합되어야 합니다.