해외콘텐츠 법령정보

 

 

인도네시아의 게임 정책과 법제 V
- 개인정보보호 관련

 

 

 

1. 개인정보 수집 및 동의

1-1. 개인정보 수집 방법 (동의, 고지 등)

Q. 개인정보를 적법하게 수집(처리)하기 위한 방법(근거)은 어떠한 것들이 있는지?

※ 동의, 고지, 정보주체와의 계약 처리 및 이행을 위한 경우 등

 

    관련 법률

    전자 인터랙티브 게임 분류에 관한 정보통신부 규정 제2장, 개인정보보호법(Part I Section 2 of MOCI Regulation 20/2016, PDP Law)

 

A. 부연 설명 참고.

 

    부연 설명

    인도네시아는 최근 전자시스템뿐만 아니라 개인정보를 수집하고 처리하는 모든 경우에 적용되는 개인정보호법을 제정함.

    해당 개인정보보호법은 개인정보를 수집함에 있어 다음과 같은 일반 원칙을 규정함.

    • 데이터 주체의 서면 또는 기록상 명시적 동의를 기반으로 하여야 함.

    • 구체적이고 투명하게 수행되어야 하고 관련 법률을 준수하여야 함.

    (서면 또는 기록상) 동의를 얻기 위하여 데이터 통제자는 다음의 정보 범위를 정보 주체에게 전달하여야 함. 실무적으로 이러한 내용은 수집

    범위에 대한 정보를 요약하여 기재한 개인정보처리방침에 링크를 통하여 제공하는 것이 허용됨.

    ① 데이터 처리의 법적 근거, ② 데이터 처리의 목적, ③ 처리할 데이터의 종류, ④ 보존 기간, ⑤ 수집된 정보의 세부 사항, ⑥ 처리 기간,

    ⑦ 정보주체의 권리.

    앞서 언급한 정보범위에 변경이 있는 경우 데이터 통제자는 정보주체에게 이를 통보해야 함.

 

1-2. 개인정보 제3자 제공 방법 (동의, 고지 등)

Q. 개인정보를 제3자에게 적법하게 제공하기 위한 방법(근거)은 어떤 것들이 있는지?

※ 동의, 고지, 정보주체와의 계약 처리 및 이행을 위한 경우 등

 

    관련 법률

    전자 인터랙티브 게임 분류에 관한 정보통신부 규정 제28조 (f), 개인정보보호법(Article 28 (f) of MOCI Regulation 20/2016, PDP Law)

 

A. 일반적으로 데이터 통제자가 데이터를 제3자에게 이전하려면 데이터 이전에 관한 계약이 있어야 함.

 

1-3. 아동 개인정보 수집

Q. 한국의 경우처럼 아동(한국의 경우 만 14세 미만)의 개인정보를 수집ㆍ이용ㆍ제공하려면, 법정대리인의 동의를 받아야 하는 규제가

     존재하는지? 동의가 불필요 하다면, 어떠한 방법을 적법 처리 근거로 활용할 수 있는지? 법정대리인의 동의를 받아야 한다면,

     그 방법이 구체적으로 규정되어 있는지? (이메일 인증, 전자서명, 서면 동의, 전화 동의 등), 위 규제가 존재하는 국가의 개인정보보호법상

     아동의 연령은? 사업자는 아동의 개인정보 관련 권리를 어떻게 보장해야 하는지? (법정 대리인이 권리행사를 대신할 수 있는지 여부 등)

     해당 법률을 위반 했을 때 벌칙 조항은 어떻게 되는지?

 

    관련 법률

    민법 제330조, 전자결제 시스템 구현에 관한 정부 규정 제46조, 전자 인터랙티브 게임 분류에 관한 정보통신부 규정 제1조 제4항,

    개인정보보호법(Article 330 of the Indonesian Civil Code, Article 46 of GR 71/2019, Article 1(4) MOCI Regulation 20/2016,

    PDP Law)

 

A. 부연 설명 참고.

 

    부연 설명

    위에서 설명한 것처럼 미성년자(일반적으로 만 21세 미만 또는 아직 결혼하지 않은 사람)의 전자 계약 체결은 부모/보호자의 인도네시아어

    (dual language는 허용됨)로의 서면 동의(명시적인 opt-in 동의)를 전제로 하고, 미성년자의 개인정보는 개인정보보호법에 따라 보호되며,

    위반시 제재를 받음 개인정보보호법 제25조에서는 아동의 개인정보 처리를 특별한 방법으로 실시해야 한다고 구체적으로 규정하고 있으나,

    개인정보보호법에서는 미성년자의 개인정보를 처리하기 전에 부모 및 후견인의 동의를 받는 방법에 대하여 구체적으로 규정하고 있지는

    않음.

    현지 로펌에서는 정보보호기관에서 상세한 지침을 내릴 때까지는 실제 플랫폼에서는 (그 내용을) 이용약관에 아래와 같이 포함시킬 수 있을

    것이라고 제안함

    • 서비스를 이용하기 위해서는, 귀하는 더 높은 경우 적어도 귀하 관할지역의 관계법령에 의거 허용되는 최소 연령 (“최소 연령”) 이내에

    들어야 합니다. 최소연령 미만인 사람이 서비스를 이용하는 것은 불법이며 허용되지 않습니다. 서비스를 이용함으로써,

    귀하는 귀하가 위에서 언급한 요건을 충족함을 진술 및 보증합니다. 귀하가 이 요건을 충족하지 못하는 경우, 귀하는 서비스에 접속하거나

    이용할 수 없습니다.

    • 귀하의 연령이 13세와 18세 사이 (또는 최소연령과 귀하의 거주지에서 법적 성년 사이, 즉 "미성년자")인 경우,

    귀하는 그 계약에 구속되기로 동의하는 부모 또는 법정 후견인 (“대리인”)의 감독 하에서만 서비스를 이용할 수 있습니다.

    • 귀하는 당사에 아래와 같이 진술합니다: (i) 귀하는 적어도 최소 연령이거나 아니면 당사가 귀하 관할지역의 법률에 따라 동의를 얻도록

    귀하 부모 또는 후견인의 연락정보를 당사에 제공하겠습니다. 그리고 (ii) 귀하가 미성년자인 경우, 귀하는 그 계약에 구속되기로 동의하는

    대리인의 동의와 감독 하에서만 서비스를 이용할 수 있으며 서비스의 이용은 개인적인 목적을 위한 것입니다.

    당사는 귀하에게 귀하 대리인의 동의 또는 귀하의 연령에 대한 증빙을 제공하도록 요구할 수 있습니다. 당사는 또한 귀하가 당사에 진술한

    내용 중 어느 것이라도 사실이 아니라는 것을 당사가 알게 되는 경우에는 귀하의 서비스 이용을 해지할 수 있습니다.

    귀하는 귀하가 미성년자인 경우, 귀하가 서비스 또는 당사가 제공한 다른 제품이나 서비스의 이용을 시작하기 전에 귀하의 대리인(들)이

    이용약관과 개인정보취급방침을 읽고 그 내용에 동의하였음을 분명히 밝힙니다. 당사는 그들을 대리인으로 하는 미성년자들로 하여금

    서비스를 이용하도록 허용하는 대리인들에게 온라인의 안전성은 물론 콘텐츠의 등급과 서비스에서 발견될 수 있는 우발적인 부적절한

    콘텐츠에 관하여 그 미성년자들과 대화할 것을 권고합니다. 대리인들은 그들이 대리하고 또한 대화형 서비스를 이용하도록 허용한

    미성년자들에 대한 잠재적 위험을 그들이 알도록 해야 합니다. 대리인들은 그들이 대리하는 미성년자들의 행위 또는 부작위에 대하여

    법적 책임을 집니다.

 

1-4. 개인정보 처리 위탁 (동의, 고지, 수탁 업체 계약방법)

Q. 개인정보 처리를 외부 업체에게 위탁하려는 경우 정보주체의 동의를 얻어야 하는지? 동의를 얻지 않아도 된다면, 그 적법성을 어떻게 확보할 수 있는지(정보주체에게 고지, 개인 정보처리방침 공개 등)? 개인정보 처리를 위탁받아 수행하는자(수탁업체)와 체결해야 하는 문서가 있는지(한국의 경우 개인정보보호법 제26조에 따라 문서로 업무를 위탁하여야 함)? 위탁업체게 수탁업체를 관리감독할 의무가 있는지? 있다면, 그 관리 감독 방법은 무엇인지? 개인정보 수탁업체가 개인정보 관련 사고를 발생시킬 경우 그 책임은 누가 지는지(수탁 업체가 온전히 그 책임을 짐. 위탁업체가 그 책임을 짐 등)?

 

    관련 법률

    전자 인터랙티브 게임 분류에 관한 정보통신부 규정 제1조 제4항, 개인정보보호법 (Article 1(4) MOCI Regulation 20/2016, PDP Law)

 

A. 부연 설명 참고.

 

    부연 설명

    개인정보보호법상 데이터 처리자로서 제3자를 통해 정보를 처리하려면 데이터 통제자가 정보주체의 동의를 얻어야 한다고 규정하고 있음.

    둘 이상의 데이터 통제자가 데이터 처리 활동을 수행하는 경우 다음 사항이 필요함.

    • 데이터 통제자 간의 역할, 책임 및 관계에 관한 합의

    • 합의된 목적 및 처리방법,

    • 공동 임명된 연락 담당자

    개인정보보호법에 따르면 데이터 통제자는 데이터 처리자가 목적 외로 개인정보의 처리를 수행하는 경우를 제외하고는, 데이터 처리자 및

    제3자의 오용(예컨대 불법적인 개인 정보 처리 및 접근)을 모니터링하고 이에 대하여 책임을 져야함.

    개인정보보호법에 따르면 데이터 통제자는 1) 데이터 처리의 모든 활동을 기록하고 2) 데이터 통제자의 관리 하에 처리 활동에 관련된

    각 당사자를 감독하며 3) 개인정보를 무단 처리로부터 보호하고 4) 데이터에 대한 불법 접근을 방지하여야 함.

 

1-5. 쿠키수집

Q. 쿠키를 수집(동의 등) 및 이용과 관련하여 규제가 있는지 있다면, 해당 법을 만족시키기 위한 적법한 쿠키 수집(동의 등) 방법은 무엇인지,

     만약 동의를 받아야 한다면, 쿠키 동의가 면제될 수 있는 조건은 무엇이 있는지?

 

    관련 법률

    전자 인터랙티브 게임 분류에 관한 정보통신부 규정, 개인정보보호법(MOCI Regulation 20/2016, PDP Law)

 

A. 쿠키 수집 방법에 관한 구체적인 규정은 없으나, 정보주체의 동의가 필요할 것으로 보임. 실무적으로도 웹사이트는 일반적으로 이용자에게

    쿠키 사용에 대하여 알리고 있음. 현지 로펌에 따르면 실무적으로 쿠키정보 수집과 관련하여 배너가 ‘클릭하여 승인하는 방식

    (click-to-accept mechanism)’을 제공하면 충분하다고 함.

 

2. 개인정보 처리

2-1. 개인정보 파기

Q. 개인정보를 파기해야 하는 의무가 있는지? 어떠한 경우 파기해야 하는지? 개인정보를 파기해야 한다면, 한국의 전자상거래법,

     통신비밀보호법과 같이 별도의 정보를 보관하도록 하는 특별 규정이 있는지?

※ 접속기록 3개월, 표시/광고에 관한 기록 6개월, 계약 또는 청약철회 등에 관한 기록 5년, 대금 결제 및 재화공급등에 관한 기록 5년,

    소비자의 불만 또는 분쟁처리에 관한 기록 3년

 

    관련 법률

    전자 인터랙티브 게임 분류에 관한 정보통신부 규정 제19, 20조, 개인정보보호법(Article 19 and 20 of MOCI Regulation 20/2016,

    PDP Law)

 

A. 부연 설명 참고.

 

    부연 설명

    금융거래와 관련된 자료의 경우의 보관기간은 10년이며, 기타 자료의 보관기간은 5년임. ‘기타자료’에는 적어도 아래 항목에 관한 자료 및

    정보가 포함됨.

    • 고객

    • 전자 오퍼 및 승낙

    • 전자 확인

    • 대금지급 확인

    • 물품 선적상태

    • 거래상의 클레임 및 분쟁

    • 전자 계약

    • 거래된 물품 및/또는 서비스의 종류

     5년 이상 저장된 개인정보는 삭제할 수 있음. 정보주제로부터의 삭제 요청은 해당 법률에 따라 수행되어야 함.

    최근 통과된 개인정보보호법은 개인정보의 삭제와 파기를 구분하고 있음. 위 법은 다음의 경우 데이터 처리자가 개인정보를 삭제하도록

    규정함

    • 개인정보가 더 이상 개인정보 처리에 필요하지 않은 경우

    • 정보주체가 개인정보 처리에 대한 동의를 철회한 경우

    • 정보주체로부터 요청을 받은 경우

    • 개인정보가 불법행위를 통하여 취득된 경우

    한편, 데이터 통제자는 다음의 경우 개인정보를 파기하여야 함.

    • 개인정보의 보존 기간이 만료된 경우

    • 정보주체로부터 요청 받은 경우

    • 어떠한 형태의 분쟁 해결과도 관련이 없는 경우

    • 개인정보가 불법행위를 통하여 취득된 경우

    위와 같이 데이터 통제자가 개인정보를 삭제 또는 파기한 경우 이를 정보 주체에게 알려야 함.

 

2-2. 장기 미 접속 계정 휴면 처리 방법

Q. 한국의 개인정보보호법과 같이 1년간 서비스를 이용하지 않는 이용자의 개인정보를 파기 또는 분리보관 해야 하는 규제가 있는지?

     휴면처리를 어떻게 처리해야 하는지?

 

    관련 법률

    개인정보보호법(PDP LAW)

 

A. 최근 통과된 개인정보보호법은 휴면/비활성 계약을 특별히 규제하지는 않으나, 데이터 통제자들이 더 이상 필요하지 않은 모든 개인정보를

    삭제하여야 하는 요건을 명시하고 있음.

 

2-3. 개인정보 처리 방침

Q. 한국의 개인정보처리방침과 같이 법적으로 필수적으로 기재해야 하는 내용을 규정하고 있는지? 필수는 아니지만 가이드라인 등을 통해

     기재가 권장되는 내용이 있는지? 개인정보 처리방침을 어떻게 공개해야 한다는 사실을 정한 규제가 있는지?

 

    관련 법률

    개인정보보호법(PDP Law)

 

A. 데이터 통제자는 다음의 정보 범위를 데이터 주체에게 전달해야 함. ① 데이터 처리의 법적 근거, ② 데이터 처리 목적, ③ 처리할 데이터의

    종류, ④ 보존 기간, ⑤ 수집된 정보의 세부 사항, ⑥ 처리 기간, ⑦ 정보주체의 권리

    이용자에게 개인정보 수집에 관한 동의를 받을 때 위 정보가 기재된 개인정보처리방침이 제공될 것임.

 

2-4. 개인정보 이용내역 통지

Q. 한국의 경우 개인정보보호법 제39조의8(개인정보 이용내역의 통지)에 따라 연 1회 이용자에게 개인정보의 이용내역을 통지해야 하는데,

     이와 유사한 규제가 있는지? 있다면, 어떠한 방법으로 이용자에게 통지해야 하는지? 만약 통지 수단 (이메일, 핸드폰 번호 등)이 없다면

     이용내역을 통지하지 않아도 되는지?

 

    관련 법률

    개인정보보호법(PDP LAW)

 

A. 개인정보보호법상 데이터 통제자는 개인정보의 사용 범위를 정보주체에게 명확하게 알려야 하고, 정보 범위에 변화가 있는 경우

    통지하여야 함(실무상 이메일을 통해 통지가 이루어질 수 있음). 참고로 개인정보보호법에 따르면 합병, 인수 또는 기타 데이터 통제자

    (data controller)와 관련된 기업 행위에 관한 경우를 제외하고는 통지에 관한 구체적인 요건 (예컨대, 통지 주기)을 특별히 규정하지 않고

    있음. 이에 대하여는 추후 정보보호기관에서 내리는 자세한 지침이 적용될 수 있음.

 

2-5. 해외 사업자의 국내 대리인 지정

Q. 한국의 경우 개인정보보호법 제39조의11(국내대리인의 지정)에 따라 국내에 주소 또는 영업소가 없는 정보통신서비스 제공자는

     이용자수/매출액을 고려하여 국내 대리인을 지정할 의무가 있는데 이와 유사한 규제가 있는지? 있다면 국내 대리인을 지정해야 하는

     기준은 어떻게 되는지? 국내 대리인을 지정해야 한다면 그 사실을 관계 당국에 보고해야 하는 의무가 있는지 아니면 개인정보처리방침에

     공개만 해 두어도 되는지?

 

    관련 법률

    전자상거래에서의 사업허가, 광고, 개발 및 감독에 관한 무역부 규정(제15조) (Article 15 MoT Regulation 50/2020)

 

A. 국내 대리인은 해외 사업자를 대신하는 현지 법인을 의미한다고 가정할 때, 전자상거래에서의 사업허가, 광고, 개발 및 감독에 관한 무역부

    규정에 따르면 아래 기준을 충족하는 사업자는 자신의 행위를 대신할 수 있는 인도네시아 국내 대리인을 지정하여야 함.

    • 거래수: 인도네시아에서 연간 1,000명 이상의 소비자와 거래하는 경우

    • 배송수량: 매년 인도네시아 소비자에게 1,000개 이상의 패키지를 배송하는 경우

    다만, 비영리법인을 대신하여 활동하는 경우에는 국내 대리인 지정을 요구하지 아니함.

 

2-6. 국외 이전 방법 (동의, 방법, 동의 시 고지사항)

Q. 해외 이용자의 개인정보를 국외로 이전하기 위한 방법은 무엇이 있는지?

※ 동의, 개인정보처리방침 공개, 특별한 규제 없이 자유롭게 이전 가능 등

 

    관련 법률

    개인정보보호법(PDP LAW)

 

A. 개인정보보호법은 역외 데이터 전송을 규제하고, 데이터 통제자는 지정된 국가가 개인정보보호법과 동일하거나 더 높은 데이터 보호 수준을

    갖도록 보장하여야 함. 만약, 위 사항이 이행되지 않는 경우 데이터 통제자는 ① 적절하고 구속력 있는 데이터 보호가 이루어지는지

    확인하고, ② 정보주체의 승인을 얻어야 함. 데이터 전송 이슈는 추후 정부에서 더욱 규제될 것으로 보임.

 

2-7. 광고성 정보 (수신,동의,고지,발송,방법)

Q. 한국의 정보통신망법과 같은 광고성 정보(이메일, 핸드폰 번호, 모바일 앱 푸쉬) 발송에 적용되는 규제가 있는지? 있다면 광고성 정보를

     보낼 때 지켜야 하는 표기 의무가 있는지(제목 맨앞 (광고) 표기, 수신거부 조치, 사업자의 물리적 주소 등)? 이용자에게 광고성 정보를

     보내기 위한 조건은 어떻게 되는지(명시적인 사전 수신동의 등)?

 

    관련 법률

    개인정보보호법, 전자결제 시스템 구현에 관한 정부 규정, 전자상거래 시스템에 관한 정부 규정, 광고윤리규정(PDP Law, GR 71/2019,

    GR 80/2019, Indonesian Advertising Code of Ethics)

 

A. 일반적으로 광고에 포함된 정보는 소비자보호법을 준수하여야 함. 또한 광고윤리규정은 SMS를 통해 공유되는 광고는 소비자가 구독을

    취소할 수 있는 절차를 제공하여야 한다고 상세히 규정하고 있음. 이는 실무상 광고가 이메일을 통해 전달되는 경우에도 마찬가지이고,

    소비자가 구독을 취소할 수 있는 플랫폼이 필요함. 이메일 또는 SMS를 통하여 이용자에게 발송되는 경우, ‘광고’라고 표시하여야 할 의무

    규정은 없음.

 

2-8. 데이터 국지화

Q. 자국민의 개인정보를 반드시 현지에 저장해야 한다는 현지화 규제가 있는지, 있다면 그 대상이 되는 개인정보의 범위가 있는지?

     (모든 개인정보, 특정 정보만 현지에 저장 등)

 

    관련 법률

    개인정보보호법, 전자상거래 시스템에 관한 정부 규정 제25조(PDP Law, GR 80/2019)

 

A. 개인정보보호법은 어떠한 종류의 개인정보 처리(저장 포함)도 정보주체의 동의에 근거하여야 한다고 규정하고 있음.

 

2-9. 개인정보보호법 적용 가능성

Q. 자국내 사업장이 없는 해외사업자에게 해당 국가의 개인정보보호법률이 적용되는지?

 

    관련 법률

    개인정보보호법(PDP Law)

 

A. 개인정보보호법은 국내 영업소가 없는 해외 사업자를 포함한 모든 사업자에 대하여 적용됨.

 

3. 개인정보보호

3-1. 이용자 개인정보 권익보호방법

Q. 이용자에게 보장해 주어야 하는 개인정보 관련 권리가 있는지(열람권, 정정권, 이동권, 처리정지권, 삭제권)? 있다면 각 권리를 행사하기

     위한 조건이 있는지(무제한으로 행사가능, 사업자가 합리적인 이유가 있다면 제한 가능 등)?

 

    관련 법률

    개인정보보호법(PDP LAW)

 

A. 정보주체는 ① 개인정보의 명확성, 법률상 이익, 요청 목적 및 이용에 대한 정보를 얻을 권리, ② 개인정보를 요청하는 당사자에게 책임을

    물을 수 있는 권리가 있음.

 

    부연 설명

    일반적으로, 모든 정보주체는 다음과 같은 자격을 가짐.

    • 데이터 통제자에 의하여 처리되기 전에 개인정보를 완성

    •  개인정보에 대한 접근 

    • 법률 및 규정에 따라 정보 처리를 중지하고 정보를 제거 또는 삭제

    •  데이터 통제자에 대한 정보처리 동의의 철회

    • 정보처리 목적에 따라 비례적으로 그 처리를 지연하거나 제한

    정보주체는 상기 권리를 행사하기 위하여 데이터 통제자에 의하여 기록된 어플리케이션을 통하여 신청서를 제출하여야 함.

    데이터 통제자는 정보주체가 정보처리 동의를 철회한 날로부터 3일 이내에 처리를 중지하여야 함. 데이터 통제자가 정보주체로부터

    정보처리 활동을 지연 또는 제한 요청을 수신한 경우에도 동일함.

 

3-2. 개인정보 침해에 대한 보상 보험 요건

Q. 정보주체의 개인정보 관련 사고(유출, 노출, 훼손, 분실 등)가 발생될 경우 정보 주체에게 고지해야 하는 의무가 있는지? 고지 의무가 있다면

     몇명 이상의 개인정보 사고 시 그러한 의무가 부과되는지? 고지 방법이 규정되어 있는지(홈페이지에 사고 사실 공개, 개별 연락 (이메일,

     전화 등))? 정보주체에게 고지해야 할 경우 고 지 시간이 규정되어 있는지(사고 사실을 인지한 순간부터 1주일 이내 등)?

     정보 주체의 개인정보 관련 사고(유출, 노출, 훼손, 분실 등)가 발생될 경우 관계당국에 신고해야 하는 의무가 있는지? 신고 의무가 있다면

     몇명 이상의 개인정보 사고 시 그러한 의무가 부과되는지? 신고 기간이 정해져 있는지(사고 사실을 인지한 순간 부터 1주일 이내 등)?

 

    관련 법률

    개인정보보호법(PDP LAW)

 

A. 부연 설명 참고.

 

    부연 설명

    정보처리 관련 규정 위반으로 인한 개인정보침해의 경우 정보주체는 손해배상을 청구할 권리를 가짐. 한편 위반 통보 요건 관련,

    데이터 통제자는 데이터 보호 및 규제 기관에 3일 이내에 아래 내용을 포함한 서면 통지를 하여야 함.

    • 유출된 개인정보

    • 개인정보가 언제 어떻게 유출되었는지

    • 유출된 개인정보를 처리 및 복구하기 위하여 수행된 노력 개인정보보호의 실패가 공공서비스에 지장을 초래하거나 공익에 중대한

    영향을 미칠 우려가 있는 경우에는 개인정보보호법 제46조 제3항에 따라 데이터 통제자는 그 실패사실을 공개하여야 함.

 

3-3. 데이터 침해에 대한 보상

Q. 한국은 개인정보보호법 제39조의9(손해배상의 보장)에 따라 손해배상책임의 이행을 위해 보험 또는 공제에 가입하거나 준비금을

     적립하는 등 필요한 조치를 하여야 하는데 이와 유사한 규제가 있는지?

 

    관련 법률

    개인정보보호법(PDP LAW)

 

A. 개인정보보호법에 따르면 정보주체는 개인정보 처리 위반에 대하여 소송을 제기하고 손해배상을 청구할 수 있음.

 

3-4. 개인정보 유출 손해 배상 보험

Q. 개인정보 규제(법령)를 위반하거나 개인정보 사고가 발생된 경우 과태료, 과징금 등은 최대 얼마까지 부과되는지?

 

    관련 법률

    개인정보보호법(PDP LAW)

 

A. 부연 설명 참고.

 

    부연 설명

    개인정보보호법은 다음과 같은 행정, 형사상 책임을 규정함.

    • 행정제재: 1) 서면 경고, 2) 모든 정보 처리 활동의 일시 중단 3) 개인정보 파기, 4) 과태료(연소득 또는 수익의 최대 2%) 등

    • 형사제재: 자신의 이익 또는 타인에게 위해를 가할 목적으로 고의로 허위 개인정보를 작성하거나 개인정보를 조작한 개인에 대해서는

    6년 이하의 징역 또는 60억 루피아 이하의 벌금형에 처할 수 있고, 개인정보를 불법적으로 공개 및 사용하는 개인에 대하여는 5년 이하

    및 50억 루피아 이하의 벌금형에 처할 수 있음.

    한편, 법인이 위와 같은 범죄 행위를 한 경우에는 다음과 같은 형사책임을 부담함.

    1. 범죄로 인하여 회사가 취득한 소득 및/또는 자산의 몰수

    2. 전체 또는 일부 자산의 동결

    3. 특정 행위 수행의 영구 금지

    4. 회사 영업의 전부 또는 일부 폐쇄

    5. 보류 중인 의무를 수행하기 위한 지도

    6. 손해배상 지급

    7. 라이선스 취소 및/또는

    8. 회사의 해산

    위 1)항의 “회사가 취득한 소득 및/또는 자산”의 경우, 개인정보보호법상 인도네시아 내에서 발생한 것에 한정되는지, 전세계에서 발생한

    것인지 상세히 언급하고 있지 않음. 이에 대하여는 정보보호기관의 자세한 지침(추후 대통령령으로 제정될 지침)이 적용될 수 있을 것임.

    참고로 개인정보보호법에서는 ‘자산(revenue)’에 대하여 다음과 같이 정의하고 있음: “그 기간 동안 기업체의 정상적인 활동과정에서

    발생하는 것으로서 투자자들의 기여와 관계없이 결과적으로 자기자본을 증가시키는 경제적 이익의 총 유입액”