국가정보_말레이시아

피해구제체계

1개요

PDPA에는 개인정보 사용자가 말레이시아의 개인정보 침해에 대해 당국에 신고해야 하는 조항이 없다. 그러나 2018년에는 유럽연합의 GDPR(일반 개인정보보호법)에 따른 개인정보 침해 보고 요구사항을 모델로 말레이시아의 법률에 개인정보 침해 신고 요구사항을 포함하는 방안을 검토한 적이 있다.  또한 2019년에는 따르면 말레이시아 개인정보감독기구 부국장도 개인정보 침해 통지를 심각하게 고려중이라고 밝혔다. 특히 P01/2020에서 피드백이 필요한 문제 중 하나로 개인정보 침해 신고를 포함했다. 고려할 사항으로는 필수 개인정보 침해 신고, 모든 개인정보 사용자가 개인정보에 대해 신고하도록 하는 것의 영향, 개인정보 침해 사고 신고에 대한 지침에서 고려해야 할 요소5).

또한 PDPA에는  개인정보를 침해당한 사람이 분쟁조정을 신청하는 조항이 규정되어 있지 않으며, 이에 따른 손해배상 청구에 대한 조항도 없다. 다만 PDPA에서는 개인의 개인정보보호 관련 불만사항에 대한 조항은 규정하고 있다.

5) https://www.dlapiperdataprotection.com/index.html?t=breach-notification&c=MY

2개인정보 침해 신고 및 통지

현재 PDPA에 따라 개인정보보호 위반을 통지해야 하는 명시적 요구사항은 없다. 2018년 8월, 개인정보보호위원회(JPDA)는 개인정보 사용자 및 관련 당사자로부터 개인정보에 대한 피드백을 요청하기 위해 개인정보보호 위반 고지 구현(The Implementation of Data Breach Notification)이라는 제목의 공개 협의문서를 발행했다. 이 문서에 따르면 개인정보보호위원회가 개인정보 사용자에게 발급한 등록 증명서의 조건을 부과하는 방식으로 통지 요건이 2018년 말까지 구현될 예정이었다. 그러나 협의문서는 협의단계에 머물러 있어 아직 시행법이 되지 못하고 있다. 이 협의문서에는 개인정보보호 위반 관련 아래의 사항을 제공해야 한다고 규정한다.

  • 개인정보 위반에 대한 세부 정보, 즉 위반과 관련된 개인정보의 유형 및 양
  • 억제 또는 통제 조치 즉, 위반을 억제하기 위해 취한 조치 또는 취해야 할 조치
  • 통지, 즉 누가 위반에 대해 통지를 받았으며 영향을 받는 정보주체에게 어떤 조언이 제공되었는지에 대한 사항
  • 개인정보보호와 관련된 교육 및 지침, 즉 위반 전 교육 및 인식제고 프로그램에 대한 상세 내용

3불만사항 처리

가. 불만사항

개인 또는 관련자는 개인정보보호위원장에게 서면으로 행위, 관행 또는 요청에 대해 아래의 불만을 제기할 수 있다(제104조).

  • 불만사항
  • 불만 사항에 명시된 개인정보 사용자가 수행이나 관여했거나, 수행 중이거나 관여 중인 사항
  • 개인이 정보주체로서 개인정보와 관련된 사항
  • 실행 규범을 포함하여 이 법의 조항을 위반할 수 있는 사항

나. 개인정보보호위원장의 조사

개인정보보호 관련 불만사항을 접수한 개인정보보호위원장의 조사 절차는 제105조에서 규정한다. 개인정보보호위원장은 불만을 접수한 경우, 불만사항에 명시된 행위, 관행 또는 요청이 개인정보보호법 조항을 위반하는지 확인하기 위해 관련 개인정보 사용자와 관련된 조사를 수행해야 한다. 개인정보보호위원장은 명시된 불만사항이 개인정보 사용자에 의해 행해졌거나 관여되었거나 행해지고 있다고 믿을 수 있는 합리적인 근거가 있고 이 법의 규정을 위반할 수 있는 경우, 행위, 관행 또는 요청이 이 법의 규정을 위반하는지 여부를 확인하기 위해 관련 개인정보 사용자와 관련하여 조사를 수행할 수 있다.

개인정보보호위원회 직원의 현장점검 시 다음의 사항을 집중 조사하고 있다.
개인정보 수집 양식 및 개인 정보 보호 고지여부
조직 내 개인정보 관리를 위한 내부 관리계획 등 운영절차
조직 내 개인정보관리책임자 및 법적 요구 사항에 대한 인식
PDPA의 7가지 데이터 보호 원칙 준수여부

다. 불만으로 개시된 조사에 대한 제한

PDPA 제106조는 불만으로 개시된 조사에 대한 제한사항을 규정한다. 개인정보보호위원장은 사건의 모든 상황을 고려하여 아래의 경우 불만사항에 대한 조사 수행을 거절할 수 있다.

  • 유사한 성격, 이전에 조사를 시작한 결과 개인정보보호법의 조항을 위반하지 않았다고 판단한 경우
  • 불만 사항에 명시된 행위, 관행 또는 요청이 사소한 경우
  • 불만 사항이 경솔하거나 선의로 제기되지 않은 경우
  • 조사 또는 추가 조사가 다른 이유로 불필요한 경우

개인정보보호법에 의해 개인정보보호위원장에게 부여된 일반적인 권한에도 불구하고 아래의 경우 불만에 대한 조사의 수행을 거절할 수 있다.

  • 불만 제기자, 또는 정보주체와 관련된 관련인인 경우 정보주체 또는 관련자가 불만 사항에 명시된 행위, 관행 또는 요청에 대해 불만을 접수한 날짜로부터 2년 이상 전에 실제로 알고 있었던 경우(단, 개인정보보호위원장이 해당 사건의 모든 상황에서 조사를 수행하거나 계속하는 것이 적절하다고 판단하지 않는 경우)
  • 불만이 익명으로 제기된 경우
  • 민원인을 식별하거나 추적할 수 없는 경우
  • 개인정보보호위원장이 해당 개인정보 사용자가 불만을 접수한 날짜 직전 2년 이상의 기간 동안 개인정보 사용자가 아니었음을 확인하는 경우
  • 기타 개인정보보호위원장이 거절이 적절하다고 생각하는 상황인 경우

개인정보보호위원장이 제106조에 따라 불만에 의해 시작된 조사를 수행하거나 계속하는 것을 거부하는 경우, 가능하면 신속히, 그러나 어떤 경우에도 불만 접수일로부터 30일 이내에 거절사실과 거절사유를 고소인에게 서면으로 통지해야 한다.

통지를 받은 고소인 또는 고소인이 관련인인 경우, 관련 정보주체가 통지에 명시된 거절에 대해 항소 재판소에 항소할 수 있다.

라. 불만 철회 시 개인정보보호위원장의 조사 지속

개인정보보호위원장이 공익에 부합한다고 생각하는 경우, 고소인이 고소를 취하했음에도 불구하고 고소에 의해 시작된 조사를 수행하거나 계속할 수 있으며 그러한경우에는 불만이 철회되지 않은 것처럼 불만사항과 불만 제기자에게 이 법의 규정들이 적용된다(제107조).

마. 집행 통지

PDPA 제108조는 불만사항 관련 집행 통지 관해 규정한다. 불만사항에 명시된 행위, 관행 또는 요청에 대한 조사가 완료된 후, 개인정보보호위원장이 관련 개인정보 사용자에 대해 아래와 같이 판단하는 경우 개인정보 사용자에 대한 집행 통지서를 송달할 수 있다.

  • 개인정보보호법의 조항을 위반
  • 위반이 계속되거나 반복될 가능성이 있는 상황에서 해당 조항을 위반한 경우

개인정보 사용자에 대한 집행 통지에는 아래의 내용을 포함한다.

  • 집행 통지 의견
  • 의견의 근거가 된 법률 조항과 의견의 사유
  • 관련 개인정보 사용자에게 위반 사항을 해결하기 위해 시행 통지서에 명시된 조치를 취하도록 지시하거나, 경우에 따라 집행 통지서에 명시된 기간 내에 위반을 야기한 문제를 해결하도록 지시
  • 필요 시 관련 개인정보 사용자가 위반 사항을 시정할 때까지 해당 개인정보 사용자에게 개인정보 처리를 중단하도록 지시

집행 통지를 송달할지 여부를 결정할 때, 개인정보보호위원장은 위반 또는 집행 통지와 관련된 사항이 위반이나 문제의 대상이 되는 개인정보의 정보주체에게 피해 또는 고통을 야기했거나 야기할 가능성이 있는지 여부를 고려해야 한다.

집행 통지와 관련된 위반 또는 문제를 해결하기 위해 집행 통지에 명시된 단계는 승인된 행동강령을 참조하고, 개인정보 사용자가 위반 사항이나 문제를 해결하는 다양한 방법 중에서 선택할 수 있도록 구성한다.

집행 통지에 명시된 단계에 대한 조치를 취하기 위한 기간은 항소 제기 기간이 끝나기 전에 만료되지 않으며, 항소가 이루지면 항소의 결정 또는 철회가 있을 때까지 그러한 단계 조치를 취할 필요는 없다.

위와 같은 상황에서 불구하고, 개인정보보호위원장이 특별한 상황으로 인해 집행 통지서에 자신의 의견 사유와 집행 통지에 대한 진술을 포함하면 긴급한 사안으로 간주되어야 한다.

집행 통지를 준수하지 않는 사람은 유죄 판결 시 벌금 또는 징역 또는 두 가지 모두에 처해질 수 있다.

4개인정보 민원 접수 및 신규 사업 통계

개인정보보호워원장(실)은 개인정보보호 범위 내에서 개인정보 사용자가 우려하는 정보주체의 불만 사항을 전달하기 위해 여러 서비스 제공 플랫폼을 제공했다.

당시 제공되었던 서비스 전달 플랫폼으로는 민원 양식, 방문 접수, 이메일 등이 있었다. 그러나 개인정보보호위원장이 도입한 새로운 이니셔티브에 따라 정보주체의 불만 처리를 용이하게 하기 위해 2016년부터 개인정보보호시스템(SPDP) 구축을 시작하였다. 개인정보보호위원장은 불만 접수 프로세스를 개선하고 정보주체가 불만 조사의 진행 상황을 볼 수 있는 보다 투명한 플랫폼을 제공하기 위해 개인정보보호 시스템(SPDP)을 통해 접수된 불만사항을 접수하는데 "단일승인창구" 접근방식을 사용했다. 매년 개인정보보호위원장(실)이 접수하는 이용자의 불만 접수 건수가 증가하고 있으며, 2019년에는 742건이 접수되었다.

[그림 2] 2019년 불만접수 통계

2013년부터 2019년까지 개인정보보호위원장(실)은 정보주체로부터 총 1,938건의 불만을 접수하였다. 매년 증가하는 불만 접수 통계는 개인정보의 보호 측면에 대한 정보주체의 인식이 증가하고 있음을 입증한다. 또한 인쇄 및 디지털 매체 광고와 같은 개인정보보호에 대한 홍보와 개인정보보호위원장(실)이 제작한 자료는 정보주체에게 개인정보보호의 중요성을 성공적으로 교육하고 있다. 개인정보보호위원장(실)은 기술과 소셜미디어 플랫폼의 발달로 개인정보보호와 관련된 정보의 배포가 용이해지고 접수된 불만 건수가 증가한 것으로 판단하였다.

2019년에는 총 1,938건의 민원 중 742건(38.2%)이 접수되었다. SPDP를 통해 기록된 모든 불만 사항은 조사관이 불만사항에 대한 추가 조사를 하기 전에 개인정보보호위원장(실)의 직원이 심사한다. 이 심사의 목적은 개인정보보호의 관할권 내에서 접수된 불만사항을 식별하거나 그 반대의 경우도 마찬가지이다. 개인정보보호의 관할권 밖의 불만사항의 경우 불만사항을 즉시 통지하고 해당되는 경우 불만사항은 다른 관련 부서/기관에 문의해야 한다.

개인정보보호위원장(실)이 접수한 민원의 성격은 개인정보보호 7원칙 위반으로 총 405건의 불만사항이 접수되어 가장 많았고, 다음으로 직접 마케팅 목적을 위한 처리를 방지하기 위한 개인정보주체의 권리에 관한 민원으로 73건의 불만사항이 발생했다. 2019년 접수된 민원의 종류는 다음과 같다.

[표 4] 2019년의 불만유형별 건수

2019년의 불만유형별 건수
순번 불만유형 건수
1 제5조: 개인정보보호 원칙 405
2 제43조: 직접 마케팅 목적의 처리를 방지할 권리 73
3 제130조: 개인정보 등의 불법 수집 60
4 제130조: 개인정보 등의 불법 수집 3
5 제130조: 개인정보 등의 불법 수집 2
6 제39조: 개인정보 공개 제한 2
7 제16조: 등록 증명서 1
8 제39조: 개인정보 공개 제한 1
9 제40조: 민감정보의 처리 1
10 관할권 밖 196
합계 752

방송통신 개인정보 사용자 유형이 2019년에 가장 많은 불만 수(148건)를 기록했으며, 반면 대출 개인정보 사용자 유형은 1건의 불만사항을 기록했다.

개인정보보호위원장(실)은 향후 반복되는 불만을 피하기 위해 개인정보 사용자 그룹이 구현할 수 있는 개선 영역을 식별하는 데에 있어서 높은 불만을 기록한 개인정보 사용자 그룹에 특별한 주의를 기울일 방침이다.

[그림 3] 2019년 개인정보 사용자 유형별 불만 건수

5시행 처리

개인정보보호감독기구(JPDP)는 2017년부터 개인정보보호법에 따른 규정을 위반한 개인정보 사용자에 대한 집행 조치를 시작했다. 2019년 한 해 동안 개인정보 사용자에 대해 개인정보보호법에 따라 제16조 제4항의 위반으로 총 2건의 시행 조치가 취해졌으며 취해진 시행 조치의 세부 사항은 아래와 같다.

  • Seremban 세션 법원에서 서비스 유형(법률)의 개인정보 사용자 1명에 대해 총 RM4,000.00의 벌금을 부과했다.
  • 의료 유형의 1명의 개인정보 사용자에 대한 총 RM 10,000이 부과되었다.

유죄가 선고될 경우 개인정보 사용자는 RM 500,000.00 이하의 벌금 또는 3년 이하의 징역에 처할 수 있다. 개인정보보호위원장(실)은 2019년 한 해 동안 개인정보 유출 사건과 관련된 9건의 사건에 대해서도 조사를 완료했다.

top