국가정보_필리핀

피해구제체계

1통지

개인정보보호법(DPA) 제5장 제20항은 “개인정보 컨트롤러는 민감한 개인정보 또는 신분사기에 이용될 수 있는 기타의 정보가 승인되지 않은 사람에 의해 침해되었다고 합리적인 의심이 있을 때에는 영향을 받는 정보주체와 감독기구12)에 즉시 통지해야 한다.”고 명시함으로서 침해사고 발생 시에 취해야할 가장 시급한 조치사항으로써 ‘통지’와 보고의무를 규정하고 있다.

또한 같은 조항은 “침해의 영향으로 인해 정보주체에게 심각한 피해를 초래 또는 위험을 초래할 가능성이 있다고 판단하는 경우, 침해의 성격, 그와 관련된 민감한 개인정보의 내용, 침해대응을 위해 조직이 취한 조치들에 관한 내용을 통지를 통해 전달해야 한다.”고 명시함으로써 통지에 포함되어야 할 사항을 명확하게 나타내고 있는데, 이는 침해의 성격과 양상에 따른 추가적인 피해방지를 위해 정보주체가 적극적으로 대응할 수 있도록 하려는 목적이다.

한편, 같은 조항은 추가적으로 “통지는 침해범위를 확인 또는 추가적인 침해방지를 위한 경우나 정보통신시스템의 무결성 회복에 필요한 기간에 한해서만 제한적으로 지연될 수 있다.”고 명시함으로써 개인정보 컨트롤러가 침해사고 통지의 시점을 자의적으로 결정하거나 의도적으로 지연하는 행위를 금지하고 있다. 그러나 국가 개인정보위원회(NPC)는 중대한 위반과 관련된 수사진행의 필요에 의해 침해사실 통지시점의 연기를 허가할 수 있는 권한을 갖는다.

12)국가 개인정보위원회(NPC)

2집행

개인정보보호법(DPA)을 실무적으로 집행하는 국가 개인정보위원회(NPC)는 정보 컨트롤러나 조직의 개인정보보호법규의 준수여부 감독권과 함께 침해사고에 따른 조사, 조정, 민원처리, 보고에 관한 업무권한을 갖고 있다. 또한 동 법은 국가 개인정보위원회(NPC)가 개인정보 침해에 관한 사례발굴과 공표에 관한 권한과 함께 필요한 경우에는 조직에 개인정보 처리중단을 일시적 또는 영구적으로 금지하도록 명령할 수 있도록 권한을 부여하고 있다. 특히, 개인정보보호법(DPA) 제8장은 아래의 행위에 대해서는 징역형과 벌금을 부과할 수 있다고 명시하고 있다.

· 개인정보 및 민감한 개인정보의 위법한 처리행위(제8장 제25조)

정보주체의 동의가 없거나 법령에 의해 승인되지 않은 위법한 처리는 1년에서 3년 이하 징역형과 함께 최소 50만 페소에서 최대 200만 페소의 벌금형을 처분

· 부주의로 인한 개인정보 및 민감한 개인정보에 접근하는 행위 (제8장 제26조)

정보주체의 동의가 없거나 법령에 의해 승인되지 않은 개인정보에 대한 위법한 접근행위는 1년에서 3년 이하 징역형과 함께 최소 50만 페소에서 최대 200만 페소의 벌금형을 처분

· 개인정보 및 민감한 개인정보를 부적절한 방법으로 폐기하는 행위(제8장 제27조)

고의 또는 부주의로 인해 일반인이 접근할 수 있는 형태로 민감한 개인정보를 폐기한 경우, 최소 6개월에서 최장 2년까지의 징역형과 최소 10만 페소 이상의 벌금형을 처분

고의 또는 부주의로 인해 일반인이 접근할 수 있는 형태로 개인정보를 폐기한 경우, 최소 6개월에서 최장 2년까지의 징역형과 최소 10만 페소 이상의 벌금형을 처분

· 개인정보 및 민감한 개인정보를 동의 이외 목적으로 처리하는 행위(제8장 제28조)

정보주체의 동의 외 목적 또는 법령에 의해 승인되지 않은 목적에 따라 개인정보를 처리하는 경우, 최소 1년 6개월에서 최장 5년의 징역형과 함께 최소 50만 페소에서 최대 100만 페소의 벌금형을 처분

정보주체의 동의 외 목적 또는 법령에 의해 승인되지 않은 목적에 따라 민감한 개인정보를 처리하는 경우, 최소 2년에서 최장 7년의 징역형과 함께 최소 50만 페소에서 최대 200만 페소의 벌금형을 처분

· 개인정보 시스템에 대한 무단 액세스 또는 의도적인 위반행위(제8장 제29조)

개인정보와 민감한 개인정보가 저장된 정보시스템에 대한 고의적이며 불법적인 접근하는 행위에 대해서 최소 1년에서 최장 3년의 징역형과 함께 최소 50만 페소에서 최대 200만 페소의 벌금형을 처분

· 민감한 개인정보를 포함한 침해사고를 은폐하는 행위(제8장 제30조)

동 법 제20조에 의거하여 침해사고 보고 의무를 가진 자가 고의 또는 누락에 의해 침해사실을 은폐하는 경우, 최소 1년 6개월에서 최장 5년의 징역형과 함께 최소 50만 페소 이상의 벌금형을 처분

· 개인정보를 악의적으로 공개하는 행위 (제8장 제31조)

취득한 개인정보 또는 민감한 개인정보와 관련하여 부당하거나 잘못된 정보를 누설한 개인정보 컨트롤러, 개인정보 프로세서, 직원 또는 그 대리인은 최소 1년 6개월에서 최장 5년의 징역형과 함께 최소 50만 페소에서 최대 100만 페소의 벌금형을 처분

· 정보주체의 동의 없이 개인정보를 무단으로 공개하는 행위(제8장 제32조)

정보주체의 동의 없이 제3자의 개인정보를 공개하는 개인정보 컨트롤러, 개인정보 프로세서, 직원 또는 그 대리인은 최소 1년 6개월에서 최장 5년의 징역형과 함께 최소 50만 페소에서 최대 100만 페소의 벌금형을 처분

정보주체의 동의 없이 제3자의 민감한 개인정보를 공개하는 개인정보 컨트롤러, 개인정보 프로세서, 직원 또는 그 대리인은 최소 3년에서 최장 5년의 징역형과 함께 최소 50만 페소에서 최대 200만 페소의 벌금형을 처분

· 일련의 위반행위 (제8장 제33조)

­­동 법의 제8장 제25조에서 부터 32조에 명시된 규정이나 일련의 규정을 위반하는 경우 최소 3년에서 최장 6년의 징역형과 함께 최소 100만 페소에서 최대 500만 페소의 벌금형을 처분

한편, 개인정보보호법(DPA)은 위반행위에 따른 법적 책임 범위에 대해서도 언급하고 있다. 동 법 제8장 제34조는 위반자가 법인, 파트너십 또는 법률전문가인 경우, 범행에 가담했거나 중과실로 인해 범행에 책임이 있는 관련자에게도 벌금을 처분한다. 또한 위반자가 법률전문가인 경우에 법원이 해당 자격에 따른 권리를 중지하거나 취소할 수 있다고도 규정하고 있다. 특히 외국인에 의한 위반의 경우, 해당 외국인은 위반에 따른 처벌 이후에 추가적인 절차가 없이도 추방을 허용하고 있다. 위반자가 공무원으로서 동 법 제27조13) 및 제28조14)에 대해 유죄가 인정되었거나 거짓으로 증언한 경우, 동 법에서 규정한 처벌 외에 추가적으로, 사안에 따라서, 직무에서 영구적으로 또는 일시적으로 배제되는 처분도 가능하다고 명시하고 있다.

또한, 상기한 각각의 위반행위에 따른 결과로 100명 이상의 개인정보 침해가 발생하거나 영향을 끼칠 수 있는 사고의 경우, 동 법의 제8장 제25조에서 제33조까지 규정하고 있는 처분에 대해 각각 가능한 최고수준의 처벌을 부과한다고 규정하고 있다. 특히, 필리핀 행정법규에 규정된 공무원이 직무와 관련하여 동 법규의 규정을 위반하여 처벌되는 경우, 부과된 형사 처분 기간의 두 배에 해당하는 기간 동안 공직에 취임할 수 있는 자격을 박탈하는 부수적인 처벌도 시행하고 있다. 한편, 동 법에 의해 피해를 입은 당사자는 동 법의 규정에 의하여 민법 규정에 따른 손해배상 청구가 가능하도록 허용하고 있다.

13) 개인정보 및 민감한 개인정보를 부적절한 방법으로 폐기하는 행위
14) 개인정보 및 민감한 개인정보를 동의 외의 목적으로 처리하는 행위

top