대만 개인 정보 보호법

전 세계 각국에서 개인정보의 수집과 처리, 사용에 관한 규제를 강화하고 있습니다. 여러 국가들은 개인정보 보호법에서 국가 안보와 기업의 니즈, 국민의 권리 간에 균형을 맞추는 데 어려움을 겪고 있습니다.

대만의 데이터 프라이버시 관련 주요법은 ‘개인정보보호법(PDPA)’으로, 2015년 12월 개정 후 2016년 3월 15일 전면 시행되었습니다. 본 개정법은 대만에서의 모든 개인정보의 수집, 처리 및 사용을 규제하며, 관련 규제 기관에서는 부속 시행 규칙 및 규제를 제정했습니다.

대만의 개인정보보호법은 정부와 비정부 기관을 구분합니다. 개인정보의 수집, 처리, 사용에 관해, 정보관리자인(법령 자체에서 ‘관리자’라는 용어를 사용하고 있지는 않음) 정부와 비정부 기관에는 상이한 규칙이 적용됩니다. 비정부 기관은 대만 정부 기관이 아닌 개인 및 법인을 의미합니다. 외국 개인 및 법인이 대만 국민의 개인정보를 수집, 처리 및 사용하는 경우에도 본 법의 적용을 받습니다.

현재 대만 개인정보보호법 산하의 독립적인 규제 감독 기관은 없습니다. 2018년 7월 25일까지는 대만 법무부가 개인정보보호법의 해석에 있어 주무 기관의 역할을 했으나, 현재는 국가발전위원회(NDC)가 이를 관장하고 있습니다. 또한, 산업 부문별 담당 부처에서 각 산업의 정보관리자에 적용되는 규칙 및 규제를 제정할 수도 있습니다.

개인정보 및 민감한 정보

개인정보보호법에 따르면, 개인정보는 ‘자연인의 성명, 생년월일, 주민등록번호, 여권번호, 외모, 지문, 결혼 여부, 가족 정보, 학력, 직업, 병력, 의료 정보, 유전자 정보, 성생활에 대한 정보, 신체검사 기록, 범죄 기록, 연락처, 재정 상태, 사교 활동에 관련된 정보 및 직·간접적으로 해당 자연인의 신원을 식별할 수 있는 모든 정보’를 포함합니다.

자연인의 병력, 의료 및 유전자, 성생활, 신체검사, 범죄 관련 기록과 같은 민감한 개인정보의 수집, 처리 및 사용은 보다 더 높은 기준(아래 참조)이 적용됩니다. 그러나, 민감한 정보에 관해 별도의 규칙이 제정되지는 않았습니다.

개인정보의 수집, 처리 및 사용 요건: 본 기고의 목적을 고려하여 비정부 기관의 관련 요건만 다루도록 하겠습니다. 비정부 기관은 개인정보의 수집, 처리, 사용 시 아래의 요건을 충족해야 합니다.

(1) 정보주체에게 다음의 정보를 고지.

(ㄱ) 정보 수집/처리/사용 담당자 성명, (ㄴ) 정보 수집/처리/사용의 목적, (ㄷ) 수집/처리/사용된 개인정보의 종류, (ㄹ) 개인정보의 사용 기간, 영역, 타겟 및 사용 방법, (ㅁ) 개인정보 보호법 제3장에 따른 정보주체의 권리(아래 참조)와 이를 어떻게 행사할 수 있으며, 정보주체가 개인정보를 제공하지 않고자 할 때 정보주체의 권리와 이해에 어떠한 영향이 있는지.

(2) 개인정보의 수집/처리 시, 다음의 적법한 근거 중 최소 1개를 충족.

(ㄱ) 개인정보의 수집/처리가 법에 의해 특별히 허가된 경우, (ㄴ) 정보주체의 동의를 얻은 경우, (ㄷ) 정보주체의 개인정보를 정보주체가 공공에 이미 공개하거나, 적법한 방식으로 이미 공개된 경우, (ㄹ) 정보주체와의 계약적 또는 준계약적 관계를 통해 적절한 보안 조치가 채택된 경우, (ㅁ) 학문 연구 기관이 공익 증진 목적의 학문 연구 및 통계 수집을 위해 개인정보의 수집과 처리가 필요한 경우. 단, 정보주체의 신원을 식별할 수 있는 정보는 모두 삭제되어야 함, (ㅂ) 공익 증진을 위해 수집/처리가 필요한 경우, (ㅅ) 일반적으로 열람 가능한 출처를 통해 개인정보가 수집된 경우, 또는 (ㅇ) 정보의 수집/처리가 정보주체에게 아무런 손해를 입히지 않는 경우.

(3) 개인정보는 반드시 기존 수집 목적의 범위 내에서만 사용. 다음의 경우는 예외로 함.

(ㄱ) 법의 특정 조항의 시행을 위해 추가적인 사용이 필요한 경우, (ㄴ) 공익 증진을 위해 필요한 경우, (ㄷ) 정보주체의 생명, 신체, 자유 및 재산에 대한 리스크를 방지하기 위한 경우, (ㄹ) 제3자의 권리 또는 이익에 물리적인 피해를 방지하기 위한 경우, (ㅁ) 학문 연구 기관이 공익 증진 목적의 학문 연구 및 통계 수집을 위해 개인정보의 수집과 처리가 필요한 경우. 단, 정보주체의 신원을 식별할 수 있는 정보는 모두 삭제되어야 함, (ㅂ) 정보주체의 동의를 얻은 경우, (ㅅ) 추가적인 사용이 정보주체의 이익을 증진하는 경우.

민감한 정보의 수집, 처리, 사용 요건: 민감한 정보는 일반적으로 수집, 처리, 사용이 불가하나, 다음의 경우는 예외로 허용됩니다.

• 법에서 특별히 허용하는 경우
• 정부의 법적 의무 또는 비정부 기관의 법적 의무 수행을 위해 필요한 경우. 단, 민감한 정보의 수집, 처리, 사용에 앞서 적절한 보안 조치가 마련되어야 함.
• 정보주체의 개인정보가 정보주체에 의한 공개 또는 적법한 방법을 통해 이미 공시된 경우.
• 의료 치료, 공공 보건, 범죄 방지를 위한 목적으로 정부 기관 및 학문 연구 기관에서 통계 및 기타 학문 연구를 위해 필요한 경우. 단, 정보주체의 신원을 식별할 수 있는 모든 정보는 삭제되어야 함.
• 정부의 법적 의무 또는 비정부 기관의 법적 의무 수행 지원을 위해 필요한 경우. 단, 민감한 정보의 수집, 처리, 사용에 앞서 적절한 보안 조치가 마련되어야 함.
• 특정 목적의 수행을 위해 필요한 범위를 초과하지 않는 선 또는 기타 법령에 의해 제한이 없는 경우에 한해, 정보주체가 서면으로 동의한 경우. 단, 이러한 동의는 정보주체의 자유 의지에 반할 수 없음.

정보주체의 권리

개인정보 보호법 제 3장에 따라, 정보주체는 다음의 권리를 보유하며, 계약을 통한 사전 포기 및 제한이 불가합니다.

(1) 본인 개인정보에 관해 문의 및 검토할 권리

(2) 본인 개인정보의 복사본을 가질 권리

(3) 본인 개인정보를 보충 및 정정할 권리

(4) 본인 개인정보의 수집, 처리 및 사용을 중단할 권리

(5) 본인 개인정보를 삭제할 권리

개인정보의 국외 이전

개인정보 보호법 제21장에 따라, 주무 기관은 다음의 경우 개인정보의 국외 이전을 금지하고 제한할 권리를 지닙니다.

(1) 주요 국가 이해가 관련된 경우, (2) 국제 조약 및 협약이 국외 이전을 금지 및 제한하는 경우, (3) 개인정보가 이전되는 국가에 개인정보 보호에 관한 적절한 법이 마련되지 않아 정보주체의 이익에 영향 및 피해를 줄 수 있는 경우, (4) 제3국으로의 개인정보 이전이 대만 개인정보보호법에 따른 규제를 우회하기 위한 경우.

즉, 개인정보의 국외 이전은 일반적으로 허용되나, 주무 기관에서 상황에 따라 국외 이전을 금지 또는 제한할 수 있습니다. 또한, 산업 부문별 주무 기관이 해당 산업 부문의 정보관리자에 의한 개인정보의 국외 이전에 적용되는 규칙 및 규제를 제정할 수도 있습니다. 예를 들어, 대만의 금융 규제 기관에서는 금융 기관이 개인정보의 국외 이전을 포함하는 국외 업무를 수행하는 경우, 특정 요건을 충족해야 하며 당국으로부터 사전 승인을 받아야 할 것을 명시하고 있습니다.

최근 현황

대만 정부는 EU의 GDPR 기준을 준수하여 적절성 결정을 확보하기 위해, 올해 개인정보보호법 개정을 목표로 하고 있습니다. 국가발전위원회는 EU위원회와 개정 범위에 대해 몇 차례 면담을 가진 바 있으며, 개정안은 (ㄱ) 산업별 개인정보 보호 규제의 통합성과 일관성을 위해 독립적인 통합 규제 기관 설립, (ㄴ) 개인정보의 국외 이전 의무 요건 및 제한 추가 등을 포함할 것으로 보입니다.