닫기

글로벌이코노믹

신규 발효되는 태국 ‘개인정보 보호법’ 소개

공유
0

신규 발효되는 태국 ‘개인정보 보호법’ 소개

- 1년 간의 유예 기간을 거쳐 2020년 5월 27일 전면 발효 예정 –
- 정보수집자 유의사항은 늘어나고, 정보주체 법적 보호 여지는 확대 –
- 정보처리자 또는 통제자가 외국에 있더라도 수집된 정보 주체가 태국 거주 시 동법 적용 –



태국 ‘개인정보 보호법(Personal Data Protection Act, B.E. 2562(2019)’은 2019년 5월 27일 부분 발효되었으며, 1년 간의 유예 기간을 거쳐 2020년 5월 27일 전면 발효를 앞두고 있다. 개인정보 보호법의 핵심 내용은 개인정보 수집, 사용, 공개에 있어 정보 주체로부터 ‘사전 동의’를 필요로 한다는 점과, 정보의 국경간 이동 시에도 정보 주체가 태국에 소재할 경우 태국 개인정보 보호법의 적용을 받는다는 점이다.

태국 ‘개인정보 보호법’ 도입 배경

2018년 5월 발효된 유럽연합(EU)의 ‘일반 개인정보 보호법(GDPR; General Data Protection Regulation)’은 태국 ‘개인정보 보호법’ 제정의 도화선이 되었다. EU는 태국의 중요 교역 대상국이며, GDPR은 EU 회원국간 그리고 EU이외의 국가들과의 국경간(cross border) 데이터 전송에 모두 적용되기 때문이다.
이에 영향을 받은 태국 정부는 태국 디지털경제사회부(MDES)를 주축으로 하여 개인정보 보호법 제정을 명령하는 한편, 공공부문과 민간 부문 모두 이 법규를 준수하도록 하였다. 태국 ‘개인정보 보호법(Personal Data Protection Act, B.E. 2562(2019)’은 2019년 5월 27일 부분 발효되었으며, 1년 간의 유예 기간을 거쳐 2020년 5월 27일 전면 발효를 앞두고 있다. 단, 태국 정부는 코로나19 사태로 정부 및 기업 측에서 개인정보 보호법 시행과 관련한 충분한 준비를 할 여력이 없는 점을 인식하여 법 발효 시점 연기에 대해 고려 중이다.

개인정보 보호법’ 관련 주요 이해당사자 소개

‘태국 정보보호 가이드라인 1.0’에 따르면 ‘정보주체(Data Subject)’는 개인 정보를 통해 식별 가능한 자연인을 의미한다.
‘정보통제자(Data Controller)’는 개인 정보의 수집, 사용, 공개를 결정할 권한과 의무를 지닌 개인 또는 법인을 의미하며, ‘정보처리자(Data Processor)’는 정보통제자의 지시에 의해 개인정보의 수집, 사용, 공개에 관한 업무를 수행하는 자로 정보통제자와 다른 별도의 개인 또는 법인을 일컫는다(개인정보 보호법 제6조).

‘개인정보보호위원회’는 정부관료와 외부전문가로 구성되며, 개인정보 보호 및 운영에 관한 마스터 플랜을 수립하고, 개인정보 보호법과 관련한 이슈들을 해석할 권한 등을 보유한다.

개인정보 보호법’ 상 개인 정보의 의미

태국 개인정보 보호법은 ‘개인 정보의 수집, 사용 및 공개’와 관련된 내용을 규정하고 있으며, ‘개인정보’라 함은 직간접적으로 개인의 신원확인이 가능한 정보로 고인(사망한 자)의 정보는 제외된다.

개인정보 유무에 관한 예시
개인정보에 해당하는 내용
개인정보에 해당하지 않는 내용
ㅇ 성명
ㅇ 주민번호, 여권번호, 사회보장번호, 운전면허증 번호, 납세자 ID, 신용카드 번호, 주민번호 사본
ㅇ 주소, 이메일, 전화번호
ㅇ 생체측정정보(얼굴 사진, 엑스레이 필름, 유전자(DNA), 망막)
ㅇ 개인 자산으로 간주되는 정보(자동차 번호판, 부동산 권리증 번호)
ㅇ 자료 추적이 가능한 정보(생년월일, 출생지, 국적, 시민권, 몸무게, 키, 위치, 의료기록, 학력, 재정상태, 경력사항)
ㅇ 마이크로필름에 기록된 조회번호
ㅇ 근무성적 또는 피고용인의 근무 성적 대한 고용주의 의견
ㅇ 컴퓨터 로그 파일 등 개인의 활동 기록
ㅇ 인터넷 상 개인의 식별이 가능한 정보
ㅇ 사업자 등록 번호
ㅇ 사업장 연락처(담당자 이름이 명시되지 않은 기업 전화번호, 팩스번호, 주소, 기업 이메일 주소, 업무용 이메일 주소 등)
ㅇ 기술적으로 식별이 불가능한 익명 처리된 데이터 또는 가명 사용데이터
ㅇ 고인(사망한자) 정보
자료: 태국 데이터보호 가이드라인 1.0, 쭐라론껀 대학교

개인정보 보호법 주요 조문 및 관련 내용 해석

1) 적용 범위
개인정보 보호법은 태국 내에 있는 개인 정보가 정보통제자 또는 정보처리자에 의해 수집, 사용, 공개되는 경우에 적용되며, 해당 정보의 수집, 사용, 공개가 태국 내 또는 이외에서 이루어지는 지와 관계없이 적용된다(제 5조).

태국 개인정보 보호법 적용 범위
구분
개인정보 보호법에 규정된 활동
태국 내에 거주하는 정보통제자 또는 정보처리자
개인정보의 수집, 사용 및 공개는 장소를 불문하고 적용(국내외 모두)
태국 외에 거주하는 정보통제자 또는 정보처리자
개인정보의 수집, 사용 및 공개는 태국에 거주하는 자의 아래 활동에 한함
1) 태국에 거주하는 데이터 주체에게 제품 또는 서비스를 소개하는 활동으로 결제 행위 포함
2) 정보주체의 행위가 태국 내에서 발생할 것
자료: 개인정보 보호법 제 5조

2) ‘사전 동의’ 가 핵심이며 ‘직접 수집’ 원칙
개인정보 보호법 제 19조에 따라 정보통제자는 정보주체의 ‘사전 동의’ 없이는 개인정보의 수집, 사용, 공개를 할 수 없다. 또한 정보주제에 대한 동의 요청은 서면 또는 전자 시스템을 통해 분명하게 기재되어야 하며, 데이터 수집, 사용, 공개의 목적이 나타나야 한다(제 19조). 개인정보는 데이터 주체를 통한 직접 수집을 원칙으로 한다(제25조).

3) 정보 수집자와 정보 처리자의 의무
개인정보 보호법 제 35조에서는 개인정보는 정확하고, 완전하며, 최신 정보를 포함해야 하며, 오해를 야기해서는 안되고, 정보의 불법적 접근, 사용, 개조, 공개를 방지하기 위한 적절한 보호 조치가 마련되어야 한다고 명시하고 있다. 정보통제자는 정보 폐기 시점 이후 실제로 정보 폐기 여부를 확인할 수 있는 시스템을 갖춰야 한다. 뿐만 아니라 정보통제자는 개인정보 위반 사항 발생시 해당 사실을 72시간 이내에 규제 당국에 통보해야 한다(제 37조). 정보처리자는 정보통제자의 정책이 정보주체의 보안문제와 상반되는 경우를 제외하고는 정보통제자의 정책을 준수해야 한다.
정보통제자는 정보주체 또는 데이터 규제 당국이 확인할 수 있도록 다음과 같은 사항에 관한 기록을 남겨 놓아야 한다.

데이터 통제자의 의무 기록 보유 사항(제 39조)
연번
내용
1
수집된 정보
2
정보 수집 목적
3
데이터 통제자에 관한 세부사항
4
개인 정보 보관 기간
5
개인정보 접근에 관한 권한 및 방법
6
데이터 주체의 동의 절차가 면제(생략)된 개인 정보의 사용 또는 공개 내역
7
데이터 주체의 요청을 수용하지 않았거나 요청을 거부한 사례
8
적절한 개인정보보호 조치에 대한 설명
자료: 개인정보 보호법

4) 국경간 개인정보 전송

정보처리자의 활동이 개인 정보의 국경간 전송에 관련될 경우, (전송된 데이터의) 도착국가 또는 최종 국제 기구는 충분한 데이터 보호 조치를 취해야 한다(제 28조). 그러나 정보수집자가 규제당국의 승인을 받은 고유의 정보보호 정책을 보유하고 있거나, 정보가 수집자의 해외 자회사 등으로 전송될 경우에는 정보 보호 조치를 취하지 않아도 무방하다(제 29조). 다만, 태국 정부의 정보보호 승인관련 요건에 대한 세부사항은 현재까지 발표되지 않고 있다.

해외에 거주하는 정보통제자는 태국 내 책임대표자를 선임하고 그로 하여금 정보통제자의 업무를 대신 수행하도록 해야 한다(제 37조 5항). 그러나 정보 수집/사용/공표관련 업무를 하거나 정부관료 중 해당 업무가 민감 개인 정보와 관련이 없을 경우 책임대표자를 지정하지 않아도 된다(제 39조).

민감한 개인정보를 충분한 보호조치 없이 해외로 전송하여 정보주체에게 피해를 입힌 경우, 정보통제자는 최장 6개월의 징역형 또는 500만 밧의 벌금형 또는 양자에 처할 수 있고, 만약 정보통제자가 해당 정보로 인해 불법 이득을 취했을 경우 최장 1년의 징역형 또는 100만 밧의 벌금형 또는 양자에 처할 수 있다(제 79조).

5) 소위 ‘민감 정보에 해당하는 사항

정보주체의 명시적 동의 없이 개인의 민감 정보를 수집하는 행위는 금지되나, 정보주체의 생명에 대한 위협을 방지하거나, 법적 필요성이 있는 경우, 공중보건을 위한 공공의 이익이 있는 경우, 노동자 보호 등의 목적이 있는 경우는 예외가 허용된다(제 25조 2항, 제 26조).

민감 정보에 해당하는 내용(제 26조)
연번
내용
1
국적
2
인종
3
정치적 성향
4
종교. 신념
5
성행동
6
범죄기록
7
의료기록, 신체장애기록, 정신과 치료 기록
8
노동 위원회 기록
9
DNA
10
생체인식 기록
11
추후 공고되는 다른 정보
자료: 개인정보 보호법

6) 정보주체의 권리

정보주체는 개인정보 수집에 동의하기 이전 정보 수집의 목적, 수집 정보의 법적 구속력 또는 계약의 효력 발생, 개인정보 보유 기간, 정보처리자 또는 정보통제자에 관한 사항, 정보보호관 연락처 등에 관한 정보를 제공받아야 하며(제 30조) 다음과 같은 권리를 지닌다.
정보주체의 권리
조항
내용
제 19조
정보통제자 및 정보처리자 대상 기 제공 정보에 대한 철회권
제 30조
정보통제자 대상 기 제공 정보에 대한 접근권, 동의 없이 수집된 정보에 대한 공개 요구권
제 31조
정보통제자로부터 자신의 개인정보를 읽을 수 있거나, 자동화된 형태로 수신 받을 권리
제 32조
동의 없이 수집되었거나, 직거래 목적으로 수집되었거나, 과학, 역사, 통계적 목적으로 수집된 개인정보의 수집, 사용, 공개를 언제든지 거부할 권리
제 33조
정보통제자에게 개인정보를 삭제, 파괴, 무기명화 하도록 요청할 권리
제 34조
정보통제자에게 개인정보 사용을 제한하도록 요청할 권리
제 73조
정보통제자 또는 정보처리자의 위법 행위에 대한 이의제기권
자료: 개인정보 보호법

7) 정보보호관

개인정보 보호법 제41조에서는 ‘정보보호관’의 임명에 관한 사항을 규정하고 있다. 정보통제자와 정보처리자는 개인정보보호위원회에서 지정한 정부기관에 해당하거나, 해당 기업의 활동이 대량 정보 또는 정기적인 시스템 점검을 포함할 경우, 수집 개인정보가 민감 개인 정보를 포함하는 경우 ‘정보보호관’을 임명하고 수집된 정보 및 활동을 관리해야 한다. 정보보호관은 기업 내 설립된 부에 두거나 제3자를 고용해도 무방하며, 정보통제자와 정보처리자가 자회사 관계에 있는 경우 정보보호관을 공통으로 둘 수 있다.

정보보호관의 의무는 정보통제자와 정보처리자에게 개인정보 보호법에 의거한 조언을 제공하고, 정보통제자와 정보처리자의 활동을 모니터링 하는 것이며, 명시적 동의 없이 개인의 민감 정보를 수집하는 행위는 금지된다. 그리고 정보통제자와 정보처리자는 정보보호관의 업무 처리에 관한 사항을 이유로 고용을 해지할 수 없다.

개인정보보호법 활용 예시

1) 전자상거래 사이트 운영 시 정보주체의 계약기반 정보수집 및 동의기반 정보수집

개인정보 수집 및 처리는 정보주체와 정보수집자 간 필요에 의해 동의를 맺고 계약관계가 성립된 것이므로 추가 정보 수집과 처리시에는 반드시 별도의 동의를 얻어야 한다는 점에 유의해야 한다.

예를 들어 전자상거래 사이트 운영자는 고객에 제품 배송을 해야 할 필요성에 의해 제품 판매 거래 계약 체결 시 고객의 개인정보를 처리하게 된다. 그러나 사이트 상의 광고 또는 제품 제공을 위해 소비자 행동 정보를 처리하는 행위는 이것이 향후 고객의 검색 경험 향상에 도움이 된다 할 지라도 거래 계약상 필수요소가 아니다. 따라서 정보통제자는 마케팅 등의 목적으로 고객의 개인 정보를 활용하고자 할 경우 개인정보활용동의서에 추가 문구를 삽입 하고 정보주체의 동의를 얻어야 한다.
‘정보주체는 A사로부터 서비스를 제공받기 위해 A사가 정보주체의 개인 정보에 접근하고 이를 처리하는 것에 동의한다(계약 기반).’ ‘또한 정보주체는 A사가 마케팅 계획 수립을 위해 개인 정보에 접근하고 이를 처리하는 것에 동의한다(동의기반).’

2) 로열티 프로그램 상의 데이터 수집 및 처리

로열티 프로그램 구독을 위한 개인정보수집은 주요 서비스에 수반된 부가서비스로 역시 고객의 동의에 기반해야 하며, 본래의 목적 이외의 목적을 위해 수집된 개인정보를 사용하는 것은 개인정보보호법 위반에 해당한다. 따라서 데이터 수집가가 마케팅 계획 수립을 위해 로열티 프로그램에 가입시 수집한 정보를 처리하고자 할 경우 데이터 주체로부터 명시적인 동의를 얻어야 한다.

로열티 프로그램 가입에 필요한 정보 이외에 추가 정보를 수집하는 것은 개인정보보호정책을 위반하는 행위로서, 정보수집가는 필요한 정보만을 수집해야 하며, 고객의 생년월일 정보 기입을 요구하는 대신 생년 또는 생월 만을 기입하도록 고려할 수 있다. 또한 정보수집기간은 구독(가입) 기간을 초과할 수 없고 구독(가입) 당시 고객이 동의한 내용과 일치해야 한다.

만약 데이터 통제자가 고객에게 회원 번호를 입력하도록 요청할 경우, 운영자는 고객 정보가 제3자에게 공개되지 않도록 유의해야 한다. 표시화면은 회원의 이름과 회원번호만을 나타내도록 설계되어야 하고, 회원권과 연결된 고객의 전화번호, 사진, 소셜미디어 계정 또는 회원의 기타 개인정보 표시를 해서는 안된다.

3) 해외소재 호텔의 태국 고객 개인정보 사용

해외소재 호텔 C사가 태국인 고객을 포함하여 자사의 데이터베이스(DB)에 있는 모든 고객들을 대상으로 이메일을 발송하여 프로모션을 진행한 뒤 태국에 거주하는 고객이 온라인 또는 오프라인 상으로 숙박예약을 하는 경우 성명, 이메일 주소, 결제내역 등에 대한 개인 정보를 수집하게 된다. 이 경우 C사는 해외에 소재한다 할지라도 태국에 있는 고객에게 프로모션 및 서비스를 제공하였으므로 태국 개인정보 보호법의 적용대상이 된다.

결론 및 시사점

태국 개인정보 보호법 발효로 인하여 정보통제자나 정보처리자 등 정보 이용자는 수집된 개인 정보 이용 또는 처리와 관련하여 더욱 엄격한 규제를 받게 될 예정이나 데이터 주체는 법적 보호를 받을 여지가 넓어지게 될 것으로 보인다. 현재까지는 A사가 자사의 회원 연락처를 B사에 판매하여 B사에서 마케팅에 활용할 경우 개인 정보가 침해된 개인들은 법적 보호를 받지 못했으나 개인정보 보호법의 발효로 인하여 보호를 받을 수 있게 될 예정이다.

그러나 태국 개인정보 보호법에 규정된 일부 내용들의 경우 아직까지도 세부사항에 관한 발표가 이루어지지 않은 부분이 있어 비판의 대상이 되고 있다. 예를 들어, 개인정보호법 제 39조는 ‘정보통제자는 통제권자는 수집한 데이터 기록, 수집 목적 등에 관한 내용을 작성해야 한다..(중략) 소규모 데이터 통제자는 이와 같은 사항에서 제외된다.’ 라고 명시되어 있으나 ‘소규모 데이터 통제자’의 정의 또는 명확한 기준이 확립되지 않은 상태다.

PWC 태국 법인 변호사(Mr. Niphan Srisukhumbowornchai)는 태국증시(SET) 상장 기업 등 대규모 기업들은 상당부분 개인정보보호법에 대한 준비가 되어있으나 상대적으로 준비가 미진한 소규모 기업들의 법 저촉 소지에 대한 우려를 표명한바 있다.

우리 기업들은 태국 개인정보 보호법이 정보주체가 태국에 소재하는 한 국경간 전송에도 적용되므로 개인정보의 수집 및 활용 시 이점에 유의하여 법에 저촉되어 벌금형에 처하거나, 평판 손상, 소비자 신뢰를 잃는 일이 없도록 각별히 유의하기 바라며, 필요하다면 태국 법률사무소 등을 통하여 전문가로부너 법률 자문 등을 받는 것도 도움이 될 것으로 보인다.



작성자: KOTRA 방콕무역관 김민수, Chanatta Thararos

자료: 태국 디지털경제사회부(MDES), 줄라롱껀 대학교 법학개발센터, 전자거래진흥원(EDTA), iLaw, Infoquest 및 KOTRA 방콕무역관 자료종합