전문가오피니언
[전문가오피니언] 인도네시아의 신규 개인정보보호법이 기업과 사회에 가져올 영향
인도네시아 Unggul Sagena University of Indonesia Technology and Society Researcher 2022/12/31
첨부파일
You may download English ver. of the original article(unedited) on top.
서론
인도네시아 의회 하원(DPR, People's Representative Council)이 2022년 9월 20일 가결한 개인정보보호법(공식 영문 명칭: Law No. 27 of 2022 on Personal Data Protection, 이하 ‘PDP법’)은1),2) 데이터 프라이버시 문제를 구체적으로 다루는 인도네시아 최초의 종합 법률로, 아세안(ASEAN) 회원국이 채택한 유사 법률로서는 싱가포르, 말레이시아, 태국, 필리핀에 이어 다섯 번째 사례에 해당한다3). 유럽연합(EU)의 일반정보보호규정(GDPR, General Data Protection Regulation)을 기반으로 마련된 이번 PDP법은 기업 플랫폼의 대규모 데이터 유출이나4) SNS상의 의도적 개인정보 유출 같은 사례가5) 빈발하는 현재 상황에서 개인정보에 대한 규제와 보호를 강화하는 효과를 낼 것으로 기대된다. 개인정보의 관리나 취급 방법에 관한 주요 기준으로 기능할 PDP법이 등장하면서 인도네시아의 디지털 경제 산업도 여기에 맞추어 적응 및 재편 과정을 거치게 될 전망이고, 이 법으로 인해 유관 분야에서 발생하는 각종 변화는 기존의 기업 관행은 물론 디지털 사회 전체에도 큰 영향을 주게 될 것이다.
PDP법의 기본 내용
PDP법은 인도네시아 국민의 개인정보 보호에 관한 사안을 일괄적으로 관리하고 감독하는 법률로, 소재지를 불문한 모든 개인정보에 적용된다. 총 16개 절과 76개 조항으로 구성된 PDP법은 개인정보를 ‘그 자체로, 혹은 전자·비전자 체계와 연동해 특정인을 식별할 수 있는 정보’로 정의한다6). 이 법에 담긴 주요 주제에는 개인정보 당사자의 권리, 정보 취급 과정, 정보 통제자의 의무, 감독·보호 기관의 역할, 각종 금지행위 신설 및 위반자 제재 등이 있다.
PDP법은 EU의 GDPR을 차용해 개인정보 취급의 주체를 네 가지로 나누며7), 이 중에서 개인정보 당사자와 감독 기구·기관을 제외한 나머지 두 가지 주체는 각각 개인정보 취급자와 개인정보 통제자이다. 먼저 개인정보 취급자는 단독으로, 혹은 (후술할) 개인정보 통제자를 대리하거나 이들과 공동으로 개인정보를 취급하는 개인, 공공기관, 국제기구를 의미한다. 다음으로 개인정보 통제자는 단독으로, 혹은 공동으로 개인정보 취급의 목적을 규정하고 통제권을 행사하는 개인, 공공기관, 국제기구로 정의되며, 복수의 통제자가 개인정보를 공동으로 담당하려면 상호 합의, 목표의 상관성, 상호 연락 주체 지정과 같은 조건을 만족해야만 한다. 아울러, 정보 보호 기관을 별도로 독립시킨 GDPR과는 달리 인도네시아는 해당 기관을 대통령 산하에 둘 예정이다8).
이에 더해 PDP법은 적법한 개인정보 취급에 당사자의 명시적 동의를 의무화하며, 이 동의는 서면이나 녹음 등의 형태로 기록되어야 하고, 수기나 전자 방식 모두가 허용된다. 본 법이 인정하는 개인정보 취급의 정당한 목적에는 ▲계약상 의무 이행 ▲통제자의 법적 의무 이행 ▲당사자의 중대 이익 보호 ▲공익, 공공 서비스, 통제자의 적법한 권한에 따른 행동 ▲기타 합법적 이익 보장이라는 다섯 가지가 있다.
PDP법 도입에 따른 도전과제
PDP법의 신규 제정으로 인해 인도네시아 기업과 사회가 받게 될 대표적 영향으로는 다음을 들 수 있다. 첫째, 기업의 정보보호관(DPO, Data Protection Officer) 임명과 정보보호영향평가(DPIA, Data Protection Impact Assessment) 시행이 의무화된다. 이에 따라 공익을 위한 개인정보 취급, 대규모 개인정보에 대한 체계적 관찰, 구체성을 띠거나 범죄와 연관된 대규모 개인정보 취급 업무를 수행하는 기업은 반드시 DPO를 임명하고9), 개인정보 유출 가능성을 줄이기 위해 디지털 보안 자원에도 투자해야 한다. 여기서 DPO는 고위험성 개인정보 취급 업무를 대상으로 하는 DPIA를 시행하고 지원하는 주체이기도 한데, 다만 ‘고위험성’이라는 개념의 구체적 정의나 DPO가 다양한 기업에서 실제로 담당하는 역할은 아직 명확하게 규정되지 않은 상태이다. 따라서 인도네시아 정부는 향후 시행령을 통해 DPO 및 DPIA 의무 규정의 요구사항이나 조건을 구체화할 필요가 있다. 여기에 더해 PDP법은 기업 규모에 따른 차등 적용을 명확히 규정하고 있지 않아, 가용 자원이 제약되는 중소기업이나 스타트업의 입장에서는 DPO와 DPIA 관련 의무가 큰 부담으로 다가올 수 있다.
둘째, PDP법의 내용은 역외자 규정과10) 정보 이전 규정을 바탕으로 인도네시아 국민의 개인정보를 보유한 해외 기업이나 기구에도 적용되며, 여기에서 주목할 만한 점은 다음과 같다. 먼저 인도네시아는 원래 해외 기업도 정보 저장소를 자국 내에 두어야 한다는 방침을 고수했지만, PDP법의 데이터 저장 관련 규정에서는 이러한 의무가 사라지면서 해외 기업이 인도네시아에서 활동하면서 정보 저장소는 운영 비용이 저렴한 타국에 둘 수 있게 되었다. 이 변화에 따라 앞으로는 더욱 많은 기업이 인도네시아의 소비자 시장에 진출하고, 이들이 제공하는 디지털 서비스가 각종 해외 상품과 서비스의 수입도 보다 수월하게 만들어줄 것으로 기대된다. 다만, 해외 기업의 진입은 시장 경쟁 심화로 이어진다는 점에서 인도네시아 기업들도 자체적 경쟁력 향상에 노력할 필요가 있을 것이다.
아울러 PDP법의 정보 이전 규정도 인도네시아의 데이터 관리 방식이 보다 자율적인 방향으로 변화하도록 촉진할 가능성이 있다. PDP법은 GDPR과도 유사하게 개인정보의 타국 이전을 위해서는 대상국이 최소한 인도네시아와 상응하는 수준 이상의 개인정보 보호 법규를 보유할 것을 조건으로 명시하고 있는데, 만약 그렇지 않을 경우 법적 구속력을 지닌 보증 조치를 마련하거나 개인정보 당사자의 동의를 확보해야 한다. 여기서 인도네시아 국내·외로의 개인정보 이전을 담당하는 주체는 개인정보 통제자이며, 이들은 국외 이전에 관한 상기 조건의 이행도 책임진다. 만약 개인정보 유출 사건이 발생할 경우 해당 기업은 72시간 이내에 당사 고객과 정보 보호 기관에 이 사실을 서면으로 통보해야 하며, 개인정보 유출은 행정 제재뿐만 아니라 형사처벌도 가능한 사안이기에 기업들은 디지털 보안 유지에 기존보다도 각별히 신경써야 한다.
셋째, PDP법을 위반하는 기업에는 엄격한 행정 및 형사 제재가 부과되기에, 인도네시아에서 활동하거나 인도네시아 주민의 개인정보를 취급하는 기업은 규정의 적절한 준수를 위한 과제를 능동적으로 파악해 수행해야 한다. 위반 사안의 경중에 따라 부과될 수 있는 과태료는 연간 소득이나 매출액의 최대 2%이며, GDPR과는 달리 PDP법 위반은 그 정도가 심할 경우 형사처벌로도 이어질 수 있다11).
기업을 대상으로 한 형사처벌 중 벌금형의 액수는 과태료 상한선의 10배까지이며, 이외에 ▲범죄 행위로 얻은 수익금 및 자산의 몰수 ▲기업 시설이나 활동의 일부 혹은 전부 폐쇄·동결 조치 ▲특정 활동의 영구적 금지 ▲잔여 의무 이행 강제 ▲배상금 지급 ▲면허 취소 ▲기업 해산과 같은 추가 제재 부과도 가능하다12). 아울러 규정 위반 기업의 책임자에게는 6년 이하의 징역과 60억 루피아(한화 약 5억 원) 이하의 벌금이 부과될 수 있고, 여기에 더해 수익금 몰수나 배상금 지급과 같은 추가 조치의 가능성도 있다13).
넷째, PDP법은 형태를 불문하고 모든 기업에 똑같이 적용되기 때문에 개인정보 보호에 대한 이해도가 낮은 중소기업이나 스타트업에도 무거운 벌금을 부과할 수 있다. 또한, 이 법이 규정하는 의무 이행에 요구되는 DPO 등 디지털 보안 인력 양성과 기술 구입에는 상당한 자금이 들어가기에, 기업활동에 들어가는 전반적 비용이 늘어난다는 문제가 있다. 게다가 기업의 역량이 부족할 경우 위에서 설명한 해외 정보 저장소 인프라 네트워크 구축도 어려운 과제로 다가올 수 있다는 점도 지적해볼 수 있을 것이다.
다섯째로 특별 취급 대상이 되는 개인정보와 관련해 PDP법은 연소자나 장애인의 개인정보 취급에 관한 특수 조항을 담고 있지만14), 이 중에서 연소자 정보를 대상으로는 부모의 명시적 동의라는 조건 이외에 별도의 정확한 취급 방법을 언급하지 않는다. 아울러 시민단체 일각에서는 PDP법이 성적 지향과 정치적 견해에 관한 개인정보의 특별 취급을 규정하지 않는 점을 지적하기도 하는데, 이 문제는 인도네시아에서 성소수자 차별 소지를 만들거나 2024년에 예정된 총선을 앞두고 개인정보가 정치적 목적으로 사용되는 결과로 이어질 수 있다.
마지막으로 여섯째, 인도네시아의 여러 시민단체는 개인정보 보호 옹호 연합(KA-PDP, Personal Data Protection Advocacy Coalition) 소속 비정부기구(NGO) 다수가 제기한 10개 비판사항을 PDP법에 반영해야 한다고 주장한다15). 일례로 인도네시아는 PDP법 제정 이후 6개월 이내로 개인정보 보호 기관을 대통령 직속으로 설치할 예정인데, 일련의 시민단체는 이 계획이 개인정보 관할 기관의 독립성 부재 문제로 이어질 수 있다는 문제를 주요 우려사항 중 하나로 지적한다.
결론
위에서는 PDP법의 등장이 인도네시아의 기업과 사회에 미칠 수 있는 주요 영향을 분석하였다. 인도네시아가 디지털 생태계의 개인정보 보호에 관한 법적 지침을 제공하는 법률을 제정했다는 사실 자체는 여전히 중요한 의미를 지닌다. 이 측면에서 PDP법은 디지털 시대에 진입한 인도네시아의 기업과 사회가 자칫 악용될 수 있는 개인정보를 보호하는 데 더욱 많은 관심을 가지도록 장려하는 역할을 맡게 된다. 물론 인도네시아 정부는 이 법이 규제 차원에서 지니는 문제점에 대한 각계의 비판을 수용해 시행령에 반영하거나 향후 법률 개정 과정에서도 중점적으로 다룰 필요가 있을 것이다. 특히 PDP법의 시행령은 인도네시아의 기업과 사회가 법률의 규정을 정확히 어떻게 이행해야 하는지에 관한 명확한 정보를 제공해야만 한다.
또한 인도네시아가 PDP법 제정 이후 2년간으로 설정한 입법 과도기는 모든 이해관계자가 본 법률의 내용을 준수하고 활동 방식을 재편하는 데 쓸 수 있는 일종의 적응 기간으로 기능하게 된다. 이 기간에 인도네시아 정부는 모든 기업과 공공기관이 새로운 의무를 이행할 수 있도록 보장해야 하고, 인도네시아 기업은 자사의 정보 보호 준수 현황을 자체적으로 평가해 관련 관행과 방침을 PDP법에 맞추어 조정해야 한다. 이와 동시에 인도네시아 정부와 시민단체 모두는 사회 전반이 PDP법의 신규 요건에 적응할 수 있도록 노력을 쏟을 필요가 있다. 현재 연소자 개인정보 공유에 대한 인식 부족, 자기 자신의 정보 보호에 관한 교육 부재와 같은 미성숙의 문제를 안고 있는 인도네시아 디지털 문화의 특성을 고려하면 많은 이들이 의도치 않게 PDP법을 위반하게 될 가능성이 예상되는 만큼, 인도네시아는 앞으로 약 2년간의 과도기를 기업 및 사회 계도에 효율적으로 활용해야 한다는 과제를 안고 있다.
* 각주
1) https://www.reuters.com/world/asia-pacific/indonesia-parliament-passes-long-awaited-data-protection-bill-2022-09-20/
2) https://opengovasia.com/indonesia-approves-personal-data-re7gulations/
3) https://conventuslaw.com/report/key-changes-in-data-privacy-and-cyber-security-laws-across-southeast-asia-in-2022/
4) https://restofworld.org/2022/indonesia-hacked-sim-bjorka/
5) https://safenet.or.id/2021/06/the-rise-and-challenges-of-doxing-in-indonesia/
6) Article 1, paragraph 1, PDP Law No 27/2002
7) https://gdpr.eu/what-is-gdpr/
8) https://teknologi.bisnis.com/read/20220921/84/1 579773/ini-tugas-lembaga-pengawas-perlindungan-data-pribadi-di-bawah-presiden
9) https://www.nortonrosefulbright.com/en/knowledge/publications/31bce8f0/highlights-of-indonesias-personal-data-protection-law
10) Article 2, paragraph 1, PDP Law No 27/2022
11) Article 57 paragraph 3, PDP Law 27/2022
12) https://www.hukumonline.com/berita/a/ancaman-sanksi-administratif-hingga-pidana-dalam-uu-pelindungan-data-pribadi-lt633c69ce2de5c?page=2
13) Article 67-68, PDP Law 27/2022
14) Article 4, paragraph 2, PDP Law 27/2022
15) https://www.tifafoundation.id/artikel/siaran-pers-koalisi-advokasi-ruu-pelindungan-data-pribadi-ka-pdp/
본 페이지에 등재된 자료는 운영기관(KIEP) 및 EMERiCs의 공식적인 입장을 대변하고 있지 않습니다.
이전글 | [이슈인포그래픽] 인도네시아, 잇따른 자연재해로 현지 소방당국 경계태세 | 2022-12-30 |
---|---|---|
다음글 | [이슈트렌드] 인도네시아, 국내 팜유 식용유 유통 물량 확보를 위한 대책 발표 | 2023-01-07 |