국가정보_싱가포르

피해 구제 체계

개인정보보호법(PDPA)이 권고하는 개인정보 침해사고 대응절차는 C.A.R.E.로 요약할 수 있으며 그 구체적인 내용은 다음과 같다.

침해 사고의 통제(Containing the Breach)

위험도와 영향 평가(Assessing Risks and Impact)

사고 발생 신고(Reporting the Incident)

향후 침해 사고를 예방하기 위한 대응 및 복구 절차 평가(Evaluating the Response & Recovery to Prevent Future Breaches)

1침해사실 통지

싱가포르 개인정보보호법(PDPA)은 정보 컨트롤러나 프로세서가 개인정보 침해사고를 인지하는 즉시 피해를 입은 정보제공자에 해당 사실을 통지할 것을 요구하고 있다. 이는 본인의 개인정보가 침해된 개인들이 신속하게 예방적 조치를 취할 수 있도록 함으로써 침해사고가 확대되는 것을 방지하기 위함이며, 이를 통하여 정보 컨트롤러 역시 개인정보 침해에 대한 경각심을 고양하고 신뢰회복을 위한 적극적인 조치를 유도하는데 도움이 되도록 요구하고 있다.

2통지 대상

침해사실 통지는 개인정보가 침해된 피해자 개인에게 직접 하는 것을 원칙으로 하고, 피해자가 아동인 경우에는 부모 또는 보호자를 포함하여 통지하도록 요구한다. 또한 피해경감을 위하여 필요한 경우, 은행, 신용카드 회사 또는 경찰과 같은 다른 제3자에게도 통지한다. 특히 침해된 개인정보가 중요한 개인정보를 포함하는 경우 개인정보 보호위원회(PDPC)에도 통지하도록 요구하고 있다.

3통지 시기

개인정보 침해가 중요한 개인정보를 포함한 경우, 침해와 도용에 따른 추가적인 피해를 방지할 수 있는 예방조치를 취할 수 있도록 피해자에게 즉시 통지하도록 요구하고 있다. 또한 침해에 따른 사항이 해결되면, 역시 해결되었다는 사실을 해당 개인에게 통지한다.

4통지 수단

상황의 심각성 및 개인정보 침해의 영향을 받는 관련 피해자의 규모를 고려하여 침해 사고의 영향을 받은 개인에게 알릴 수 있는 가장 효과적인 방법(예 : 미디어 보도, 소셜 미디어, 전자 메일, 전화 통화, 팩스 및 편지)을 활용한다. 통지는 이해하기 쉽고 구체적으로 진행해야 하며, 개인이 스스로를 보호하기 위해 할 수 있는 조치와 명확한 지침을 포함해야 한다.

5통지 내용

침해사실을 통지할 때에는 아래 내용을 포함하여 진행되어야 한다.

개인정보 침해 사고가 발생한 시기와 원인, 침해된 개인정보의 유형

개인정보 침해로 인해 초래된 위험에 대응하여 조직이 조치했거나 조치할 내용

해당되는 경우, 개인정보 침해에 대한 구체적인 사실관계와 개인이 해당 정보의 오남용을 방지하기 위해 취할 수 있는 조치

침해사고 대응 조직의 연락처 정보 및 자기 정보가 침해된 개인이 추가적인 지원 조치를 받을 수 있는 방법

6개인정보 보호위원회(PDPC)에 보고

조직은 개인정보 유출 사고가 피해자에게 악영향을 미칠 것으로 예상되는 경우, 최대한 빨리 PDPC에 통보하는 것이 바람직하다.

개인정보 침해사고에 관한 세부정보는 "[Data Breach Notification]" 이라는 이메일 제목과 함께 개인정보 보호위원회(PDPC) 이메일 또는 유선전화로 보고할 수 있다. 침해사고 보고에는 다음의 내용이 포함되어야 한다.

  • 침해된 개인정보의 유형 및 규모
  • 침해 사고의 원인 또는 의심되는 원인
  • 침해 요인의 해결 여부
  • 조직이 수행한 조치 및 프로세스
  • 사고 발생 시점
  • 개인에 대한 침해 발생 사실 통지 여부, 통지하지 않았다면 그 이유
  • PDPD가 추가 정보 또는 설명 요청을 위해 연락할 수 있는 연락처

침해 사고에 대한 구체적인 정보가 확인되지 않은 경우, 조직은 브리핑을 포함하는 중간 통지를 보내야 한다. PDPC의 결정에는 개별 정보주체에 대한 조직의 통지 여부, 해당 통지에 있어서 미흡한 점, 피해 복구 위해 수행한 대응 조치 등이 영향을 미친다.

top