- 1년간 유예 기간을 거쳐 2020년 5월 27일 전면 발효 예정 -

- 정보수집자 유의사항은 늘어나고 정보주체 법적 보호 여지는 확대 -

- 정보처리자 또는 통제자가 외국에 있더라도 수집된 정보 주체가 태국 거주 시 동법 적용 -

 

 

 

태국 ‘개인정보 보호법(Personal Data Protection Act, B.E. 2562(2019)’은 2019년 5월 27일 부분 발효됐으며, 1년간의 유예 기간을 거쳐 2020년 5월 27일 전면 발효를 앞두고 있다. 개인정보 보호법의 핵심 내용은 개인정보 수집, 사용, 공개에 있어 정보 주체로부터 ‘사전 동의’를 필요로 한다는 점과 정보의 국경 간 이동 시에도 정보 주체가 태국에 소재할 경우 태국 개인정보 보호법의 적용을 받는다는 점이다.

 

태국 ‘개인정보 보호법’ 도입 배경

 

2018년 5월 발효된 유럽연합(EU)의 ‘일반 개인정보 보호법(GDPR; General Data Protection Regulation)’은 태국 ‘개인정보 보호법’ 제정의 도화선이 됐다. EU는 태국의 중요 교역 대상국이며, GDPR은 EU 회원국 간 그리고 EU 이외의 국가들과의 국경(cross border) 간 데이터 전송에 모두 적용되기 때문이다.

 

이에 영향을 받은 태국 정부는 태국 디지털경제사회부(MDES)를 주축으로 해 개인정보 보호법 제정을 명령하는 한편, 공공부문과 민간 부문 모두 이 법규를 준수하도록 했다. 태국 ‘개인정보 보호법(Personal Data Protection Act, B.E. 2562(2019)’은 2019년 5월 27일 부분 발효됐으며, 1년간의 유예기간을 거쳐 2020년 5월 27일 전면 발효를 앞두고 있다. 단 태국 정부는 코로나19 사태로 정부 및 기업 측에서 개인정보 보호법 시행과 관련한 충분한 준비를 할 여력이 없는 점을 인식하여 법 발효 시점 연기에 대해 고려 중이다.

 

‘개인정보 보호법’ 관련 주요 이해당사자 소개

 

‘태국 정보보호 가이드라인 1.0’에 따르면 ‘정보주체(Data Subject)’는 개인 정보를 통해 식별 가능한 자연인을 의미한다. ‘정보통제자(Data Controller)’는 개인정보의 수집, 사용, 공개를 결정할 권한과 의무를 지닌 개인 또는 법인을 의미하며 ‘정보처리자(Data Processor)’는 정보통제자의 지시에 의해 개인정보의 수집, 사용, 공개에 관한 업무를 수행하는 자로 정보통제자와 다른 별도의 개인 또는 법인을 일컫는다.(개인정보 보호법 제6조)

 

‘개인정보 보호위원회’는 정부관료와 외부전문가로 구성되며, 개인정보 보호 및 운영에 관한 마스터 플랜을 수립하고 개인정보 보호법과 관련한 이슈들을 해석할 권한 등을 보유한다.

 

‘개인정보 보호법’ 상 개인 정보의 의미

 

태국 개인정보 보호법은 ‘개인 정보의 수집, 사용 및 공개’와 관련된 내용을 규정하고 있으며 ‘개인정보’라 함은 직간접적으로 개인의 신원확인이 가능한 정보로 고인(사망한 자)의 정보는 제외된다.

 

개인정보 유무에 관한 예시

개인정보에 해당하는 내용	개인정보에 해당하지 않는 내용
- 성명 - 주민번호, 여권번호, 사회보장번호, 운전면허증 번호, 납세자 ID, 신용카드 번호, 주민번호 사본 - 주소, 이메일, 전화번호 - 생체측정정보(얼굴 사진, 엑스레이 필름, 유전자(DNA), 망막) - 개인 자산으로 간주되는 정보(자동차 번호판, 부동산 권리증 번호) - 자료 추적이 가능한 정보(생년월일, 출생지, 국적, 시민권, 몸무게, 키, 위치, 의료기록, 학력, 재정상태, 경력사항) - 마이크로필름에 기록된 조회번호 - 근무성적 또는 피고용인의 근무 성적 대한 고용주의 의견 - 컴퓨터 로그 파일 등 개인의 활동 기록 - 인터넷 상 개인의 식별이 가능한 정보	- 사업자 등록번호 - 사업장 연락처(담당자 이름이 명시되지 않은 기업 전화번호, 팩스번호, 주소, 기업 이메일 주소, 업무용 이메일 주소 등) - 기술적으로 식별이 불가능한 익명 처리된 데이터 또는 가명 사용데이터 - 고인(사망한자) 정보

자료: 태국 데이터보호 가이드라인 1.0, 쭐라론껀 대학교

 

개인정보 보호법 주요 조문 및 관련 내용 해석

 

1) 적용 범위

개인정보 보호법은 태국 내에 있는 개인정보가 정보통제자 또는 정보처리자에 의해 수집, 사용, 공개되는 경우에 적용되며 해당 정보의 수집, 사용, 공개가 태국 내 또는 이외에서 이뤄지는 지와 관계없이 적용된다.(제5조)

 

태국 개인정보 보호법 적용 범위

구분	개인정보 보호법에 규정된 활동
태국 내에 거주하는 정보통제자 또는 정보처리자	개인정보의 수집, 사용 및 공개는 장소를 불문하고 적용(국내외 모두)
태국 외에 거주하는 정보통제자 또는 정보처리자	개인정보의 수집, 사용 및 공개는 태국에 거주하는 자의 아래 활동에 한함. 1) 태국에 거주하는 데이터 주체에게 제품 또는 서비스를 소개하는 활동으로 결제 행위 포함 2) 정보주체의 행위가 태국 내에서 발생할 것

자료: 개인정보 보호법 제 5조

 

2) ‘사전 동의’가 핵심이며 ‘직접 수집’ 원칙

개인정보 보호법 제19조에 따라 정보통제자는 정보주체의 ‘사전 동의’ 없이는 개인정보의 수집, 사용, 공개를 할 수 없다. 또한 정보주제에 대한 동의 요청은 서면 또는 전자 시스템을 통해 분명하게 기재돼야 하며 데이터 수집, 사용, 공개의 목적이 나타나야 한다.(제19조) 개인정보는 데이터 주체를 통한 직접 수집을 원칙으로 한다.(제25조)

 

3) 정보 수집자와 정보 처리자의 의무

개인정보 보호법 제 35조에서는 개인정보는 정확하고 완전한다. 또한 최신 정보를 포함해야 하며 오해를 야기해서는 안 되고 정보의 불법적 접근, 사용, 개조, 공개를 방지하기 위한 적절한 보호 조치가 마련돼야 한다고 명시하고 있다. 정보통제자는 정보 폐기 시점 이후 실제로 정보 폐기 여부를 확인할 수 있는 시스템을 갖춰야 한다. 뿐만 아니라 정보통제자는 개인정보 위반 사항 발생 시 해당 사실을 72시간 이내에 규제 당국에 통보해야 한다.(제37조) 정보처리자는 정보통제자의 정책이 정보주체의 보안문제와 상반되는 경우를 제외하고는 정보통제자의 정책을 준수해야 한다. 정보통제자는 정보주체 또는 데이터 규제 당국이 확인할 수 있도록 다음과 같은 사항에 관한 기록을 남겨 놓아야 한다.

 

데이터 통제자의 의무 기록 보유 사항(제39조)

연번	내용
1	수집된 정보
2	정보 수집 목적
3	데이터 통제자에 관한 세부사항
4	개인정보 보관 기간
5	개인정보 접근에 관한 권한 및 방법
6	데이터 주체의 동의 절차가 면제(생략)된 개인 정보의 사용 또는 공개 내역
7	데이터 주체의 요청을 수용하지 않았거나 요청을 거부한 사례
8	적절한 개인정보보호 조치에 대한 설명

자료: 개인정보 보호법

 

4) 국경 간 개인정보 전송

 

정보처리자의 활동이 개인정보의 국경 간 전송에 관련될 경우 (전송된 데이터의) 도착국가 또는 최종 국제기구는 충분한 데이터 보호 조치를 취해야 한다(제28조). 그러나 정보수집자가 규제당국의 승인을 받은 고유의 정보보호 정책을 보유하고 있거나 정보가 수집자의 해외 자회사 등으로 전송될 경우에는 정보보호 조치를 취하지 않아도 무방하다(제29조). 다만 태국 정부의 정보보호 승인 관련 요건에 대한 세부사항은 현재까지 발표되지 않고 있다.

 

해외에 거주하는 정보통제자는 태국 내 책임대표자를 선임하고 그로 하여금 정보통제자의 업무를 대신 수행하도록 해야한다(제37조 5항). 그러나 정보 수집·사용·공표 관련 업무를 하거나 정부관료 중 해당 업무가 민감 개인정보와 관련이 없을 경우 책임대표자를 지정하지 않아도 된다(제39조).

 

민감한 개인정보를 충분한 보호조치 없이 해외로 전송해 정보주체에게 피해를 입힌 경우 정보통제자는 최장 6개월의 징역형 또는 500만 밧의 벌금형 또는 양자에 처할 수 있고 만약 정보통제자가 해당 정보로 인해 불법 이득을 취했을 경우 최장 1년의 징역형 또는 100만 밧의 벌금형 또는 양자에 처할 수 있다(제79조).

 

5) 소위 ‘민감 정보’에 해당하는 사항

 

정보주체의 명시적 동의 없이 개인의 민감정보를 수집하는 행위는 금지되나 정보주체의 생명에 대한 위협을 방지하거나 법적 필요성이 있는 경우, 공중보건을 위한 공공의 이익이 있는 경우, 노동자 보호 등의 목적이 있는 경우는 예외가 허용된다(제25조 2항, 제26조).

 

민감 정보에 해당하는 내용(제26조)

연번	내용
1	국적
2	인종
3	정치적 성향
4	종교. 신념
5	성행동
6	범죄기록
7	의료기록, 신체장애기록, 정신과 치료 기록
8	노동위원회 기록
9	DNA
10	생체인식 기록
11	추후 공고되는 다른 정보

자료: 개인정보 보호법

 

6) 정보주체의 권리

 

정보주체는 개인정보 수집에 동의하기 이전 정보 수집의 목적, 수집 정보의 법적 구속력 또는 계약의 효력 발생, 개인정보 보유 기간, 정보처리자 또는 정보통제자에 관한 사항, 정보보호관 연락처 등에 관한 정보를 제공받아야 하며(제30조) 다음과 같은 권리를 지닌다.

정보주체의 권리

조항	내용
제19조	정보통제자 및 정보처리자 대상 기 제공 정보에 대한 철회권
제30조	정보통제자 대상 기 제공 정보에 대한 접근권, 동의없이 수집된 정보에 대한 공개 요구권
제31조	정보통제자로부터 자신의 개인정보를 읽을 수 있거나 자동화된 형태로 수신받을 권리
제32조	동의없이 수집됐거나 직거래 목적으로 수집됐거나 과학, 역사, 통계적 목적으로 수집된 개인정보의 수집, 사용, 공개를 언제든지 거부할 권리
제33조	정보통제자에게 개인정보를 삭제, 파괴, 무기명화 하도록 요청할 권리
제34조	정보통제자에게 개인정보 사용을 제한하도록 요청할 권리
제73조	정보통제자 또는 정보처리자의 위법 행위에 대한 이의제기권

자료: 개인정보 보호법

 

7) 정보보호관

 

개인정보 보호법 제41조에서는 ‘정보보호관’의 임명에 관한 사항을 규정하고 있다. 정보통제자와 정보처리자는 개인정보 보호위원회에서 지정한 정부기관에 해당하거나 해당 기업의 활동이 대량 정보 또는 정기적인 시스템 점검을 포함할 경우 수집 개인정보가 민감 개인 정보를 포함하는 경우 ‘정보보호관’을 임명하고 수집된 정보 및 활동을 관리해야 한다. 정보보호관은 기업 내 설립된 부에 두거나 제3자를 고용해도 무방하며, 정보통제자와 정보처리자가 자회사 관계에 있는 경우 정보보호관을 공통으로 둘 수 있다.

 

정보보호관의 의무는 정보통제자와 정보처리자에게 개인정보 보호법에 의거한 조언을 제공하고 정보통제자와 정보처리자의 활동을 모니터링 하는 것이며, 명시적 동의 없이 개인의 민감 정보를 수집하는 행위는 금지된다. 그리고 정보통제자와 정보처리자는 정보보호관의 업무 처리에 관한 사항을 이유로 고용을 해지할 수 없다.

 

개인정보보호법 활용 예시

 

1) 전자상거래 사이트 운영 시 정보주체의 계약기반 정보수집 및 동의기반 정보 수집

 

개인정보 수집 및 처리는 정보주체와 정보수집자 간 필요에 의해 동의를 맺고 계약관계가 성립된 것이므로 추가 정보 수집과 처리 시에는 반드시 별도의 동의를 얻어야 한다는 점에 유의해야 한다.

 

예를 들어 전자상거래 사이트 운영자는 고객에 제품 배송을 해야 할 필요성에 의해 제품 판매 거래 계약 체결 시 고객의 개인정보를 처리하게 된다. 그러나 사이트 상의 광고 또는 제품 제공을 위해 소비자 행동 정보를 처리하는 행위는 이것이 향후 고객의 검색 경험 향상에 도움이 된다 할 지라도 거래 계약상 필수요소가 아니다. 따라서 정보통제자는 마케팅 등의 목적으로 고객의 개인정보를 활용하고자 할 경우 개인정보활용 동의서에 추가 문구를 삽입하고 정보주체의 동의를 얻어야 한다.

‘정보주체는 A사로부터 서비스를 제공받기 위해 A사가 정보주체의 개인정보에 접근하고 이를 처리하는 것에 동의한다(계약 기반).’ ‘또한 정보주체는 A사가 마케팅 계획 수립을 위해 개인정보에 접근하고 이를 처리하는 것에 동의한다(동의기반).’

 

2) 로열티 프로그램 상의 데이터 수집 및 처리

 

로열티 프로그램 구독을 위한 개인정보 수집은 주요 서비스에 수반된 부가서비스로 역시 고객의 동의에 기반해야 하며, 본래의 목적 이외의 목적을 위해 수집된 개인정보를 사용하는 것은 개인정보보호법 위반에 해당한다. 따라서 데이터 수집가가 마케팅 계획 수립을 위해 로열티 프로그램에 가입 시 수집한 정보를 처리하고자 할 경우 데이터 주체로부터 명시적인 동의를 얻어야 한다.

 

로열티 프로그램 가입에 필요한 정보 이외에 추가 정보를 수집하는 것은 개인정보보호정책을 위반하는 행위로서 정보수집가는 필요한 정보만을 수집해야 하며, 고객의 생년월일 정보 기입을 요구하는 대신 생년 또는 생월만을 기입하도록 고려할 수 있다. 또한 정보수집기간은 구독(가입) 기간을 초과할 수 없고 구독(가입) 당시 고객이 동의한 내용과 일치해야 한다.

 

만약 데이터 통제자가 고객에게 회원번호를 입력하도록 요청할 경우 운영자는 고객정보가 제3자에게 공개되지 않도록 유의해야 한다. 표시화면은 회원의 이름과 회원번호만을 나타내도록 설계돼야 하고 회원권과 연결된 고객의 전화번호, 사진, 소셜미디어 계정 또는 회원의 기타 개인정보 표시를 해서는 안된다.

 

3) 해외 소재 호텔의 태국 고객 개인정보 사용

 

해외소재 호텔 C사가 태국인 고객을 포함한 자사의 데이터베이스(DB)에 있는 모든 고객들을 대상으로 이메일을 발송해 프로모션을 진행한 뒤 태국에 거주하는 고객이 온라인 또는 오프라인 상으로 숙박예약을 하는 경우 성명, 이메일 주소, 결제내역 등에 대한 개인 정보를 수집하게 된다. 이 경우 C사는 해외에 소재한다 할지라도 태국에 있는 고객에게 프로모션 및 서비스를 제공했으므로 태국 개인정보 보호법의 적용대상이 된다.

 

시사점

 

태국 개인정보 보호법 발효로 인해 정보통제자나 정보처리자 등 정보 이용자는 수집된 개인 정보 이용 또는 처리와 관련해 더욱 엄격한 규제를 받게 될 예정이나 데이터 주체는 법적 보호를 받을 여지가 넓어지게 될 것으로 보인다. 현재까지는 A사가 자사의 회원 연락처를 B사에 판매해 B사에서 마케팅에 활용할 경우 개인정보가 침해된 개인들은 법적 보호를 받지 못했으나 개인정보 보호법의 발효로 인해 보호를 받을 수 있게 될 예정이다.

 

그러나 태국 개인정보 보호법에 규정된 일부 내용의 경우 아직도 세부 사항에 관한 발표가 이뤄지지 않은 부분이 있어 비판의 대상이 되고 있다. 예를 들어 개인정보호법 제39조는 "정보통제자는 통제권자는 수집한 데이터 기록, 수집 목적 등에 관한 내용을 작성해야 한다..(중략) 소규모 데이터 통제자는 이와 같은 사항에서 제외된다."라고 명시돼 있으나 소규모 데이터 통제자’의 정의 또는 명확한 기준이 확립되지 않은 상태다.

 

PWC 태국 법인 변호사(Mr. Niphan Srisukhumbowornchai)는 태국 증시(SET) 상장 기업 등 대규모 기업들은 상당 부분 개인정보 보호법에 대한 준비가 돼 있으나 상대적으로 준비가 미진한 소규모 기업들의 법 저촉 소지에 대한 우려를 표명한 바 있다.

 

우리 기업들은 태국 개인정보 보호법이 정보 주체가 태국에 소재하는 한 국경 간 전송에도 적용되므로 개인정보의 수집 및 활용 시 이 점에 유의해 법에 저촉돼 벌금형에 처하거나 평판 손상 및 소비자 신뢰를 잃는 일이 없도록 각별히 유의하기 바라며, 필요하다면 태국 법률사무소 등을 통해 전문가로부터 법률 자문 등을 받는 것도 도움이 될 것으로 보인다.

 

작성자: KOTRA 방콕무역관 김민수, Chanatta Thararos

자료: 태국 디지털경제사회부(MDES), 줄라롱껀 대학교 법학개발센터, 전자거래진흥원(EDTA), iLaw, Infoquest 및 KOTRA 방콕 무역관 자료 종합