해외에서 다양한 서비스를 제공하려면 각 나라의 개인정보보호법을 철저히 준수하는 것이 필수적입니다. 가장 이상적인 방법은 고객정보 저장을 위해 각 국가별로 데이터베이스(DB)를 설치하는 것이지만, 이는 현실적으로 어려운 경우 ‘개인정보 국외이전’ 관련 법령을 충족해야 합니다.

개인정보 국외이전 법령은 자국민의 개인정보를 국외로 이동하거나 저장할 때 필요한 요건을 명시한 법으로, 개인정보 보호를 목적으로 합니다. 일부 국가, 특히 중국과 러시아와 같은 공산주의 국가에서는 이러한 규제를 매우 엄격하게 적용하지만, 대부분의 국가는 일정 수준의 데이터 보호 수준을 보장하거나 특정 조건을 충족할 경우 국외 이전을 허용하고 있습니다.

우리나라의 개인정보보호법

우리나라의 개인정보보호법은 1980년 OECD 개인정보보호 가이드라인을 기반으로 재정되었습니다. 이 가이드라인은 EU의 개인정보보호지침(현 GDPR(General Data Protection Regulation, 일반 개인정보보호법)의 전신)에도 영향을 미친 기준으로, 한국의 법률 역시 국제 표준을 반영하고 있습니다.

이에 따라 한국의 개인정보보호법은 열람권, 정정권, 삭제권, 처리 제한권 등 개인정보 보호 라이프사이클 Lifecycle 을 충족하도록 설계되어 있습니다. 이는 곧 한국에서 개인정보보호법을 준수하는 것이 국제 표준을 준수하는 것과 동일한 결과를 가져온다는 의미입니다.

또한, 한국은 접근기록 관리 및 개인정보처리방침 작성과 같은 일부 항목에서 다른 국가들보다 더욱 엄격한 기준을 적용하고 있는 것으로 평가됩니다.

미국과 동남아시아의 개인정보보호법

전 세계 모든 국가가 개인정보보호법을 보유하고 있는 것은 아닙니다.

예를 들어, 미국에는 연방 차원의 통합된 개인정보보호법이 존재하지 않습니다. 대신, 미국은 NIST(미국 국립표준기술원)에서 개인정보보호와 관련된 표준을 제시하고, 이를 기업들이 자율적으로 준수하도록 하고 있습니다. 미국의 경우 민사소송에 따른 배상액이 크기 때문에 기업들은 자체적으로 강력한 보안 정책을 마련해 운영하는 편입니다.

이번 글에서는 흔히 논의되는 GDPR(일반 개인정보보호법)이 아닌, 동남아시아의 개인정보보호법을 살펴보려고 합니다. 동남아시아에서 독립적인 개인정보보호법을 도입한 국가는 총 5곳으로 싱가포르, 말레이시아, 태국, 필리핀, 인도네시아입니다. 이 외의 국가에서는 개인정보보호와 관련된 시행령만 존재하거나 헌법에 일부 명시되어 있을 뿐, 독립적인 법률이 제정되지 않은 경우가 많습니다.

동남아시아 각국의 개인정보보호법 및 관련 법률에 대한 상세한 정보는 세계법제정보센터(https://world.moleg.go.kr)를 통해 확인할 수 있습니다.

1. 싱가포르

싱가포르는 2012년에 개인정보보호법을 제정했으며, 2020년에는 개인정보처리자의 책임 강화를 위해 이를 개정했습니다. 이 법의 주요 특징 중 하나는 삭제권, 반대권, 처리제한권과 같은 일부 권리를 명시적으로 규정하지 않는다는 점입니다.

또한, 싱가포르의 개인정보보호법은 위반 행위에 대한 처벌 기준이 비교적 제한적입니다. 개인정보 유출 사고가 발생한 경우에만 처벌이 이루어지며, 그 외의 상황에서는 법적 제재를 가한 사례가 없는 것으로 알려져 있습니다. 이는 개인정보 유출 사고가 발생하지 않는 한 위법 사항이 없다고 간주하는 실용적이고 현실적인 접근 방식으로 평가됩니다.

아울러, 싱가포르 개인정보보호법은 개인정보 이전과 관련해서는 엄격한 조건이 적용됩니다. 개인정보를 이전하려면 해당 국가가 싱가포르와 동등하거나 그 이상의 개인정보 보호 수준을 제공해야만 이전이 허용됩니다.

💡Transfer of personal data outside Singapore 26. —(1) An organisation must not transfer any personal data to a country or territory outside Singapore except in accordance with requirements prescribed under this Act to ensure that organisations provide a standard of protection to personal data so transferred that is comparable to the protection under this Act. (2) The Commission may, on the application of any organisation, by written notice exempt the organisation from any requirement prescribed pursuant to subsection (1) in respect of any transfer of personal data by that organisation. (3) An exemption under subsection (2) — (a) may be granted subject to such conditions as the Commission may specify in writing; and (b) need not be published in the Gazette and may be revoked at any time by the Commission. (4) The Commission may at any time add to, vary or revoke any condition imposed under this section.

2. 말레이시아

말레이시아는 2010년에 개인정보보호법을 제정하고, 2013년 11월부터 본격적으로 시행했습니다. 이후, 글로벌 표준에 부합하기 위해 2024년 7월 개정안을 발표했으며, 이 개정안에는 완화된 개인정보 국외이전 규정이 포함되었습니다. 특히, GDPR의 전신인 EU 개인정보보호지침을 모델로 삼아, 개인정보 권리 행사 절차와 사업자의 의무 사항을 더욱 구체화한 점이 특징입니다.

주요 변화는 다음과 같습니다.

1. 데이터보호책임자(DPO) 지정 의무: 말레이시아에 진출한 기업은 반드시 DPO를 지정해야 합니다.
2. 개인정보 제공 시 명확한 통지 의무: 개인정보를 제3자에게 제공할 경우, 이를 자국어와 영어로 명확히 고지해야 합니다.
3. 법 위반 시 처벌 강화: 법을 위반한 경우 최대 30만 링깃(약 9천만 원)의 벌금이나 2년 이하의 징역형이 부과될 수 있습니다.
4. 개인정보 국외이전 규정 완화: 기존에는 개인정보의 국외 이전을 전면 금지했으나, 2024년 개정을 통해 이를 폐지했습니다. 현재는 말레이시아 정부가 ‘적절한 보호 수준’을 갖춘 국가로 인정한 경우에 한 해 개인정보 이전이 허용됩니다.

이러한 변화는 말레이시아가 글로벌 데이터 보호 표준에 발맞추고, 기업 친화적인 환경을 조성하려는 노력을 보여줍니다.

💡Transfer of personal data to places outside Malaysia129. (2) For the purposes of subsection (1), the Minister may specify any place outside Malaysia if— (a) there is in that place in force any law which is substantially similar to this Act, or that serves the same purposes as this Act; or (b) that place ensures an adequate level of protection in relation to the processing of personal data which is at least equivalent to the level of protection afforded by this Act.

3. 태국

태국은 2019년에 개인정보보호법을 제정했으며, 2022년 6월부터 본격적으로 시행에 들어갔습니다. 이후, GDPR을 모델로 삼아 2024년 1월에 개정되면서 개인정보 보호와 관련된 규제가 한층 강화되고 구체화되었습니다.

태국 개인정보보호법은 열람권, 삭제권, 처리 제한권, 반대권, 이동권 등 다양한 권리를 규정하고 있습니다. 각 권리의 명칭은 태국법에 맞춰 설정되었지만, 내용 면에서는 한국이나 국제적으로 통용되는 개념과 유사합니다.

특히, 개인정보 수집 시 정보주체의 동의가 필수적이지만, 일부 예외적인 경우 동의 없이 수집이 가능합니다. 계약의 이행 또는 계약 체결 전 정보주체 요청에 따른 조치가 필요한 경우 동의 없이 개인정보를 수집할 수 있습니다.

개인정보를 국외로 이전할 때는 해당 국가나 국제기구가 충분한 개인정보 보호 기준을 갖추고 있어야 합니다. 다만, 아래와 같은 특정 조건에 해당하는 경우 기준을 충족하지 않은 국가로도 이전이 허용됩니다.

1. 계약 당사자인 계약의 이행을 위해 필요하거나 계약을 체결하기 전에 정보주체의 요청에 따라 조치를 취하기 위해 필요한 경우
2. 정보주체의 이익을 위해 다른 사람간의 계약준수에 필요한 경우

태국 개인정보보호법은 형사처벌 규정을 포함하고 있지 않으며, 법 위반 시 최대 300만 바트(약 1억 1천만 원)의 벌금이 부과될 수 있습니다.

💡Section 28 In the event that the Data Controller sends or transfers the Personal Data to a foreign country, the destination country or international organization that receives such Personal Data shall have adequate data protection standard, and shall be carried out in accordance with the rules for the protection of Personal Data as prescribed by the Committee in section 16(5), except in the following circumstances:(3) where it is necessary for the performance of a contract to which the data subject is a party, or in order to take steps at the request of the data subject prior to entering into a contract;

4. 필리핀

필리핀은 헌법에서 개인의 프라이버시권을 보장하고 있었으나, 보다 포괄적인 개인정보보호를 위해 2012년 최종 승인된 개인정보보호법이 같은 해 8월 제정되었습니다. 이 법은 GDPR의 전신인 EU 개인정보보호지침을 모델로 삼아 설계되었으며, 2016년에는 개인정보보호법 시행규칙이 도입되어 구체적인 운영 기준을 마련했습니다. 시행규칙은 개인정보 수집 시 동의 획득 방식, 정보주체의 권리 보장, 보안 조치 등 다양한 세부 사항을 포함하고 있습니다.

필리핀의 개인정보보호법은 개인정보의 국외이전에 대해 특별한 제한을 두고 있지 않은 것이 특징입니다. 다만, 아세안 디지털 데이터 관리 프레임워크(DMF)와 모델 계약조항(MCC)의 국외이전 조건을 준수할 것을 권장하고 있지만, 이를 강제하지는 않습니다.

5. 인도네시아

인도네시아는 개인정보 보호와 관련된 법 조항이 각 산업별 법률에 분산되어 있었습니다. 이러한 분산된 규제를 통합하기 위해 2022년에 일반 개인정보보호법이 제정되었고, 2024년부터 본격적으로 시행되고 있습니다.

다만, 신규 개인정보보호법이 각 부문에서 적용되던 기존 법령을 모두 폐지하거나 대체하는 것은 아니며, 법령 간 충돌이 발생할 경우 새로 제정된 개인정보보호법이 우선 적용됩니다.

이 법은 특히 공공 서비스를 위해 개인정보를 처리할 때 데이터보호책임자(DPO)를 지정하는 것을 의무화하고 있습니다. DPO는 내부 직원으로 지정할 수도 있고 외부에서 선정할 수도 있다는 점이 특징입니다.

또한, 인도네시아의 개인정보 국외이전 규정은 비교적 엄격한 편입니다. 개인정보를 이전하는 국가의 법제가 인도네시아 개인정보보호법에서 요구하는 보호 수준과 동등하거나 이를 초과하는 경우에만 국외이전이 허용됩니다. 이러한 요건을 충할 경우 정보주체의 명시적인 동의를 받아야만 국외이전이 가능합니다.

2024년에 시행된 지 얼마 지나지 않아 현재까지 행정처분 사례는 보고되지 않았습니다. 앞으로 법 집행의 동향과 사례 축적이 주목되고 있습니다.

💡 Article 56(1) A Personal Data Controller may transfer Personal Data to Personal Data Controllers and/or Personal Data Processors outside the jurisdiction of the Republic of Indonesia in accordance with the provisions stipulated in this Law.(2) In conducting the transfer of Personal Data as referred to in paragraph (1), the Personal Data Controller must ensure that the country where the Personal Data Controller and/or Personal Data Processor receiving the Personal Data transfer is located has a level of Personal Data Protection that is equivalent to or higher than that provided by this Law.(3) In cases where the provisions referred to in paragraph (2) are not met, the Personal Data Controller must ensure that adequate and binding Personal Data Protection is in place.(4) In cases where the provisions referred to in paragraphs (2) and (3) are not met, the Personal Data Controller must obtain the consent of the Personal Data Subject.(5) Further provisions regarding the transfer of Personal Data shall be regulated by Government Regulations.

마치며

전 세계적으로 개인정보보호법은 각국의 법적·사회적 환경을 반영해 다양한 형태로 발전하고 있습니다. 동남아시아 국가들은 GDPR과 같은 국제 표준을 참고하며 개인정보보호법을 도입하고 있지만, 국가별로 규제 수준과 적용 방식에 차이가 있습니다. 예를 들어, 싱가포르와 말레이시아는 실용적 접근을 강조하며 비교적 유연한 법제를 운영하는 반면, 인도네시아는 국외이전 요건을 엄격히 규정하고 있습니다.

글로벌 시장에 진출하려는 기업은 각국의 개인정보보호법을 철저히 분석하고, 이를 바탕으로 데이터 처리 및 관리 방식을 사전에 설계해야 합니다. 특히, 국외이전 규제가 강한 국가에서는 데이터 보호 수준을 해당 법률에 맞추거나, 해당 국가 내에 데이터베이스를 구축하는 방안을 고려해야 합니다. 또한, 데이터보호책임자(DPO) 지정, 동의 절차 강화, 데이터 암호화 등 법적 요건을 충족할 수 있는 기술적·관리적 조치를 마련하는 것이 중요합니다.

이를 위해 현지 법률 전문가와의 협업은 물론, 각 국가의 규제 동향을 지속적으로 모니터링하며 대응 전략을 수립해야만 안정적으로 비즈니스를 운영할 수 있습니다.