해외콘텐츠 법령정보

말레이시아의 게임 정책과 법제 V - 개인정보보호 관련

1. 개인정보 수집 및 동의

1-1. 개인정보 수집 방법(동의, 고지 등)

Q. 개인정보를 적법하게 수집(처리)하기 위한 방법(근거)은 어떠한 것들이 있는지?

※ 동의, 고지, 정보주체와의 계약 처리 및 이행을 위한 경우 등

관련 법률

개인정보 보호법(Division 1 of the Personal Data Protection Act 2010 (“PDPA”))

A. 부연 설명 참고.

부연 설명

PDPA에 따르면 일반적으로 정보 이용자는 개인정보를 수집하고 처리할 때 다음 7가지 주요 원칙을 모두 준수하여야 함. PDPA를 준수하지 않는 것은 위법하며, 최대 RM300,000 (약 USD 65,000)의 벌금 및/또는 2년 이하의 징역형에 처해질 수 있음.

(i) 일반 원칙: 개인정보의 처리: ① 일반적으로 정보 주체의 동의가 필요하고(예외가 적용되지 않는 한), ② 정보 이용자의 활동과 직접 관련된 합법적인 목적에 필요하거나 직접적으로 관련되어 있고 이를 달성하기 위하여 적절하여야 함. 민감한 개인정보(즉, 정보 주체의 신체적 또는 정신적 건강 또는 상태에 대한 정보, 정치적 견해, 종교적 신념 또는 유사한 성격의 기타 신념, 범죄 혐의 등)가 처리되는 경우 정보 주체의 명시적 동의는 필수적임.

(ii) 통지 및 선택 원칙: 정보 이용자는 정보 주체에 대하여 자신의 개인정보 보호 정책에 관한 정보를 포함하는 내용의 서면 통지를 하여야 함. 여기에는 정보 수집 목적과 개인정보에 대한 엑세스 및 수정 요청 권리에 대한 정보가 포함되며 그 통지는 영어와 현지 언어로 제공되어야 함.

(iii) 공개 원칙: 개인정보를 정보주체의 동의 없이 공개해서는 안 되며, 이를 위하여 정보 이용자는 처리되었거나 처리 중인 개인정보와 관련하여 제3자에 대한 공개 목록을 보관 및 유지하여야 함.

(iv) 보안원칙: 정보 이용자는 개인정보를 손실, 오용, 수정, 무단 또는 우발적 접근, 공개, 변경 또는 파괴로부터 보호하기 위한 실질적 조치를 취하여야 함.

(v) 보존원칙: 어떤 목적으로든 처리된 개인정보는 그 목적을 달성하기 위하여 필요한 시간보다 오래 보관되어서는 안됨.

(vi) 정보 무결성 원칙: 정보 이용자는 모든 개인정보가 정확하고 완전하며, 오해의 소지가 없고 최신 상태로 유지되도록 합리적인 조치를 취하여야 함.

(vii) 접근원칙: 정보 주체에게 개인정보에 대한 접근권을 부여하고, 정보가 부정확하거나 불완전한 경우 이를 정정할 수 있도록 하여야 함.

위 원칙을 총칭하여 “PDP원칙”이라 함. 한편, 위 (ii) 통지 및 선택 원칙 고지문(Choice Principle Notice)에는 정보 이용자들이 그 정보주체들에게 그들의 처리행위를 서면으로 통지할 것을 요건으로 하고 있음. 그 서면통지에는 최소한 아래 내용이 포함되어야 함.

(a) 정보주체의 개인정보를 정보이용자가 직접 또는 정보이용자를 대신하여 처리하고 있다는 사실 및 그 개인정보의 내역.

(b) 현재 또는 장래 개인정보의 수집 및 처리 목적.

(c) 해당 개인정보의 출처에 관하여 정보이용자가 이용 가능한 정보.

(d) 개인정보의 열람 및 그 수정을 요구할 수 있는 정보주체의 권리와 그 개인정보에 관한 문의 또는 불만 관계로 정보이용자에게 연락하기 위한 방법.

(e) 정보이용자가 그 개인정보를 공개하거나 공개할 수 있는 제3자

(f) 개인정보(그 개인정보로부터 신원이 확인될 수 있는 다른 개인들과 관련된 정보를 포함함)의 처리를 제한하기 위하여 정보이용자가 정보주체에게 제안하는 선택권 및 수단.

(g) 정보주체가 개인정보를 제공하는 것이 의무적인지 또는 임의적인지 여부.

(h) 정보주체가 개인정보를 제공하는 것이 의무적인 경우, 정보주체가 개인정보를 제공하지 아니할 경우 정보주체에 대한 영향. 그리고

(i) 정보이용자에 관한 상세한 정보 (즉, 연락 담당자의 직위, 전화번호 및 기타 관련 정보).

또한 이 서면통지는 영어 및 말레이어로 작성하여야 함. 한편 위 서면통지는 개인정보처리방침 링크를 통하여 제공하여도 무방함. 참고로 개인정보 보호법에서는 아래의 경우 정보이용자가 가능한 한 빨리 서면통지를 보내도록 규정하고 있음을 유의하기 바람.

(i) 정보주체가 그 개인정보를 제공하도록 정보이용자로부터 최초로 요구받은 때,

(ii) 정보이용자가 정보주체의 개인정보를 최초로 수집하는 때, 또는

(iii) 기타 어느 경우든지, 정보이용자가 ① 정보주체의 개인정보를 그 개인 정보의 수집목적과 다른 목적으로 사용하거나, ② 그 개인정보를 제3자에게 공개하기 전

1-2. 개인정보 제3자 제공 방법(동의, 고지 등)

Q. 개인정보를 제3자에게 적법하게 제공하기 위한 방법(근거)은 어떤 것들이 있는지?

※ 동의, 고지, 정보주체와의 계약 처리 및 이행을 위한 경우 등

관련 법률

개인정보 보호법(Division 1 of the Personal Data Protection Act 2010 (“PDPA”))

A. 부연 설명 참고.

부연 설명

개인정보를 제3자에게 공개하기 위하여는 일반적으로 다음의 경우를 제외하고 정보 주체의 동의가 필요함.

(i) 공개 목적이 정보 주체에게 통지되었고/되었거나, 직접적으로 관련된 목적이거나, 제3자의 분류가 privacy notice에 명시되어 있는 경우.

(ii) ① 범죄의 예방 또는 탐지 목적 또는 조사를 위해 필요한 경우, 또는 ② 법률 또는 법원의 명령에 의하여 요구되거나 승인된 경우.

(iii) 정보 이용자가 개인정보를 상대방에게 공개할 법률상 권리를 가지고 있다고 합리적으로 믿고 공개한 경우.

(iv) 정보 이용자는 정보 주체가 개인정보의 공개 또는 그러한 공개 상황을 알았다면 정보 주체의 동의를 얻었을 것이라는 합리적인 믿음에 따라 공개한 경우.

(v) 공공의 이익을 위한 것으로 정당화되는 경우

1-3. 아동 개인정보 수집

Q. 한국의 경우처럼 아동(한국의 경우 만 14세 미만)의 개인정보를 수집ㆍ이용ㆍ제공하려면, 법정대리인의 동의를 받아야 하는 규제가 존재하는지? 동의가 불필요 하다면, 어떠한 방법을 적법 처리 근거로 활용할 수 있는지? 법정대리인의 동의를 받아야 한다면, 그 방법이 구체적으로 규정되어 있는지? (이메일 인증, 전자서명, 서면 동의, 전화 동의 등), 위 규제가 존재하는 국가의 개인정보보호법 상 아동의 연령은? 사업자는 아동의 개인정보 관련 권리를 어떻게 보장해야 하는지? (법정 대리인이 권리행사를 대신할 수 있는지 여부 등) 해당 법률을 위반 했을 때 벌칙 조항은 어떻게 되는지?

관련 법률

개인정보 보호규정(Regulation 3(3) of the Personal Data Protection Regulations 2013 (“PDPR”))

A. 사업자가 미성년자의 개인정보를 수집, 이용, 처리하고자 하는 경우 미성년자의 부모/보호자의 동의를 얻어야 함.

부연 설명

동의를 얻는 방법에 관하여 특별한 방법이 규정되어 있지는 않음. 다만 동의를 얻는 방법은 ① 정보 이용자가 기록하여 적절하게 유지할 수 있는 형식이어야 하고, ② 다른 문제와 관련이 있는 경우 명확히 구별될 수 있는 형식으로 제시되어야 함. 개인정보보호법을 위반하여 유죄판결을 받는 경우 최대 RM250,000 및/또는 2년 이하의 징역에 처해질 수 있음. 한편 만 14세 미만 아동의 개인정보에 대한 별도 규정은 없음. 따라서 만 14세 미만 아동의 개인정보에 관하여는 미성년자(만 18세 미만인 정보주체)와 동일한 요건이 적용될 것으로 보임. 또한 개인정보보호규정(PDPR)은 미성년자의 부모 또는 후견인이 받아야 할 동의의 형식에 관한 구체적인 요건을 일체 규정하지 않고 있음.

1-4. 개인정보 처리 위탁(동의, 고지, 수탁 업체 계약방법)

Q. 개인정보 처리를 외부 업체에게 위탁하려는 경우 정보주체의 동의를 얻어야 하는지? 동의를 얻지 않아도 된다면, 그 적법성을 어떻게 확보할 수 있는지(정보주체에게 고지, 개인 정보처리방침 공개 등)? 개인정보 처리를 위탁받아 수행하는 자(수탁업체)와 체결해야 하는 문서가 있는지(한국의 경우 개인정보보호법 제26조에 따라 문서로 업무를 위탁하여야 함)? 위탁업체가 수탁업체를 관리감독할 의무가 있는지? 있다면, 그 관리감독 방법은 무엇인지? 개인정보 수탁업체가 개인정보 관련 사고를 발생시킬 경우 그 책임은 누가 지는지(수탁 업체가 온전히 그 책임을 짐. 위탁업체가 그 책임을 짐 등)?

관련 법률

개인정보보호법(PDPA)

A. 개인정보의 처리를 위탁하기 위하여는 정보 주체의 동의가 필요함.

부연 설명

개인정보 처리를 위탁한 주체(‘위탁회사’)는 다음 사항을 이행하여야 함.

(i) 수탁자의 개인정보 처리를 관장하는 기술적, 조직적 보안조치에 대하여 충분한 보증을 제공하고, 그러한 조치의 준수를 보장하기 위해 합리적인 조치를 취해야 함.

(ii) 개인정보의 손실, 오용, 수정, 무단 접근 및 공개로부터 안전을 보장하기 위하여 지정된 수탁업체와 개인정보 처리 활동의 운영 및 수행에 관한 계약을 체결해야 함.

위탁회사는 수탁업체에 대한 직접적인 관리감독을 할 것이 요구되지는 않으나, 개인정보처리자(수탁업체)의 불이행에 대한 책임을 부담함. PDPA는 정보처리자에 대한 직접적인 의무를 부과하지는 않음. 위탁회사는 PDPA에 따른 전적인 책임을 부담하나, 위탁회사가 수탁업체에 대하여 계약상 책임을 구하는 것은 배제되지 않음.

1-5. 쿠키수집

Q. 쿠키를 수집(동의 등) 및 이용과 관련하여 규제가 있는지 있다면, 해당 법을 만족시키기 위한 적법한 쿠키 수집(동의 등) 방법은 무엇인지, 만약 동의를 받아야 한다면, 쿠키 동의가 면제될 수 있는 조건은 무엇이 있는지?

관련 법률

개인정보보호법(PDPA)

A. 쿠키의 수집 및 사용에 관한 특정 법률 또는 규정은 없고, 쿠키에 개인정보가 포함되어 있는 한, 이에 대한 모든 처리는 개인정보보호법의 적용을 받음. 쿠키 정보 (또는 개인식별정보)에 [그 정보 또는 정보이용자가 보유하는 다른 정보로부터 신원이 확인되거나 확인될 수 있는 정보주체(즉, 그 개인정보의 주체인 개인)과 직접 또는 간접적으로 관련되는 상거래에 관한 정보로 정의된] 개인정보가 들어있지 아니한 경우, 그 쿠키정보 (또는 개인식별정보)에는 개인정보보호법이 적용되지 않을 것임.

2. 개인정보 처리

2-1. 개인정보 파기

Q. 개인정보를 파기해야 하는 의무가 있는지? 어떠한 경우 파기해야 하는지? 개인정보를 파기해야 한다면, 한국의 전자상거래법, 통신비밀보호법과 같이 별도의 정보를 보관하도록 하는 특별 규정이 있는지?

※ 접속기록 3개월, 표시/광고에 관한 기록 6개월, 계약 또는 청약철회 등에 관한 기록 5년, 대금 결제 및 재화공급등에 관한 기록 5년, 소비자의 불만 또는 분쟁처리에 관한 기록 3년

관련 법률

개인정보보호법 제10조, 소득세법, 서비스세법, Limitation Act(Section 10 of the PDPA, Income Tax Act 1967, Service Tax Act 2018, CA, Limitation Act 1953)

A. 개인정보보호법에 따르면, 어떠한 목적으로든 처리된 개인정보는 그 목적을 달성하기 위하여 필요한 시간보다 오래 보관되어서는 안되고, 정보이용자는 모든 개인정보가 더 이상 처리되어야 할 목적으로 필요하지 않은 경우 개인정보가 파기되거나 영구적으로 삭제될 수 있도록 보장하기 위한 모든 합리적인 조치를 취하여야 함.

부연 설명

2015년 개인정보보호표준에 따른 보유기준(Retention Standards under the Personal Data Protection Standards 2015 (“PDP Standards”))에 따르면, 정보이용자가 개인정보를 파기하기 전에 법에 따른 보존 기간을 준수하도록 하는 것을 포함하여 개인정보가 필요 이상으로 오래 보관되지 않도록 합리적인 조치를 취할 것을 규정하고 있음. 여기에는 원하지 않는 모든 개인정보의 검토 및 파기, 지난 24개월간 사용되지 않은 개인정보에 대한 폐기 일정 작성 및 유지, 중요하지 않은 상업용 개인정보 수집 양식의 14일 이내의 파기 등이 포함됨. 말레이시아 법률에서는 각종 기록에 대한 보관 기간에 대한 규정을 두고 있음. 예를 들어 회계 장부 및 기록, 청구서(invoice), 세금 환급 관련 서류는 최소한 7년을 보관해야 하고, 계약 및 상업적으로 주고받은 서신(commercial correspondences)는 소멸시효를 고려하여 계약 위반에 관한 소 제기에 대응하기 위해 최소한 6년을 보관해야 함.

2-2. 장기 미 접속 계정 휴면 처리 방법

Q. 한국의 개인정보보호법과 같이 1년간 서비스를 이용하지 않는 이용자의 개인정보를 파기 또는 분리보관 해야 하는 규제가 있는지? 휴면처리를 어떻게 처리해야 하는지?

관련 법률

2015년 개인정보보호표준에 따른 보유기준(PDP)

A. 위 ‘2-1. 개인정보 파기’의 내용 참고.

2-3. 개인정보 처리 방침

Q. 한국의 개인정보처리방침과 같이 법적으로 필수적으로 기재해야 하는 내용을 규정하고 있는지? 필수는 아니지만 가이드라인 등을 통해 기재가 권장되는 내용이 있는지? 개인정보 처리방침을 어떻게 공개해야 한다는 사실을 정한 규제가 있는지?

관련 법률

개인정보보호법 제7조(Section 7 of the PDPA)

A. 부연 설명 참고.

부연 설명

정보이용자는 정보주체에게 서면통지로 아래 사항들을 알려야 함.

(i) 정보주체의 개인정보가 정보이용자에 의하여 또는 정보이용자를 대신하여 처리되고 있으며, 해당 정보주체에게 개인정보에 대한 설명을 제공하여야 함.

(ii) 개인정보가 수집 및 추가 처리되는 목적.

(iii) 해당 개인정보의 출처와 관련하여 정보이용자가 이용할 수 있는 모든 정보.

(iv) 정보주체의 개인정보 열람청구권 및 정정청구권, 개인정보에 관한 문의 또는 민원이 있는 경우 정보이용자에게 연락하는 방법.

(v) 정보이용자가 개인정보를 공개하거나 공개할 수 있는 제3자.

(vi) 개인정보에서 식별될 수 있는 제3자 관련 개인정보를 포함하여 개인정보 처리를 제한하기 위하여 정보이용자가 정보주체에게 제공하는 옵션 및 수단.

(vii) 정보주체가 개인정보를 제공하는 것이 의무인지 자발적인지 여부.

(viii) 정보주체가 개인정보를 제공할 의무가 있는 경우, 만약 이를 제공하지 않을 시 정보주체에게 미치는 영향.

위 서면 통지는 영어와 말레이시아어로 모두 작성되어야 함.

2-4. 개인정보 이용내역 통지

Q. 한국의 경우 개인정보보호법 제39조의8(개인정보 이용내역의 통지)에 따라 연 1회 이용자에게 개인정보의 이용내역을 통지해야 하는데, 이와 유사한 규제가 있는지? 있다면, 어떠한 방법으로 이용자에게 통지해야 하는지? 만약 통지 수단 (이메일, 핸드폰 번호 등)이 없다면 이용내역을 통지하지 않아도 되는지?

A. 별도 규정 없음.

 2-5. 해외 사업자의 국내 대리인 지정

Q. 한국의 경우 개인정보보호법 제39조의11(국내대리인의 지정)에 따라 국내에 주소 또는 영업소가 없는 정보통신서비스 제공자는 이용자수/매출액을 고려하여 국내 대리인을 지정할 의무가 있는데 이와 유사한 규제가 있는지? 있다면 국내 대리인을 지정해야 하는 기준은 어떻게 되는지? 국내 대리인을 지정해야 한다면 그 사실을 관계 당국에 보고해야 하는 의무가 있는지 아니면 개인정보처리방침에 공개만 해 두어도 되는지?

A. 별도 규정 없음.

2-6. 국외 이전 방법(동의, 방법, 동의 시 고지사항)

Q. 해외 이용자의 개인정보를 국외로 이전하기 위한 방법은 무엇이 있는지?

※ 동의, 개인정보처리방침 공개, 특별한 규제 없이 자유롭게 이전 가능 등

관련 법률

개인정보보호법 제129조 (Section 129 of the PDPA)

A. 예외적 상황을 제외하고는 외부 이전 불가함.

부연 설명

일반적으로 개인정보보호법은 다음과 같은 제한된 상황을 제외하고 개인정보를 말레이시아 외부로 이전할 수 없음.

(i) 정보주체로부터 동의를 받은 경우 또는

(ii) 정보이용자가 해당 장소에서 개인정보가 개인정보보호법을 위반하는 방식으로 처리되지 않도록 모든 합리적인 예방 조치를 취하고 모든 실사를 실시한 경우 – 이는 일반적으로 정보수출자(data exporter) 와 정보수입자(data importer) 간의 정보호보 계약을 통하여 수행됨.

또한 개인정보보호법에 따르면 장관의 화이트리스트를 통하여 해당 리스트에 기재된 말레이시아 외부 장소로의 개인정보 이전이 허용되나, 아직까지 화이트리스트가 발표된 바는 없음. 한편, 제안된 개인정보보호법 개정안은 화이트리스트 제도가 블랙리스트 제도로 대체될 것임을 강조함(즉, 정보이용자는 장관이 블랙리스트에 올린 장소를 제외하고 일반적으로 개인정보를 어느 누구에게나 이전할 수 있음). 개인정보를 말레이시아 밖에 있는 장소로 이전하기 위한 동의요건에 관하여 구체적인 규정이나 지침은 없음. 다만 실무적으로는 정보이용자가 그 개인정보취급방침을 통하여 정보주체들의 동의를 얻는 것이 일반적임.

2-7. 광고성 정보(수신, 동의, 고지, 발송, 방법)

Q. 한국의 정보통신망법과 같은 광고성 정보(이메일, 핸드폰 번호, 모바일 앱 푸쉬) 발송에 적용되는 규제가 있는지? 있다면 광고성 정보를 보낼 때 지켜야 하는 표기 의무가 있는지(제목 맨앞 (광고) 표기, 수신거부 조치, 사업자의 물리적 주소 등)? 이용자에게 광고성 정보를 보내기 위한 조건은 어떻게 되는지(명시적인 사전 수신동의 등)?

관련 법률

개인정보보호법(Division 1 and Section 43 of the PDPA)

A. 일반적으로 개인정보 처리 시 정보이용자가 PDP 원칙(위 ‘1-1. 개인정보 수집 방법(동의, 고지 등)’ 참조)을 준수하는 범위 내에서 정보주체에 광고를 전송할 때 적용되는 특별한 규정은 없음. 정보이용자는 정보주체가 서면 통지하는 경우, 직접 마케팅 목적으로 정보주체의 개인정보를 처리하는 것을 즉시 중단하거나 시작하지 않아야 함. 여기서 직접마케팅이란 광고 방법이나 마케팅 자료에 상관없이 특정 개인에게 전달되는 것을 의미함. 광고 표시(즉, 직접 마케팅 자료)에 대한 구체적인 요구사항을 정하는 규정은 없음.

2-8. 데이터 국지화

Q. 자국민의 개인정보를 반드시 현지에 저장해야 한다는 현지화 규제가 있는지, 있다면 그 대상이 되는 개인정보의 범위가 있는지? (모든 개인정보, 특정 정보만 현지에 저장 등)

A. 별도 규정 없음.

2-9. 개인정보보호법 적용가능성

Q. 자국내 사업장이 없는 해외사업자에게 해당 국가의 개인정보보호법률이 적용되는지?

관련 법률

개인정보보호법 제2조, 제3조(Sections 2 and 3 of the PDPA)

A. 개인정보보호법의 범위는 말레이시아에서 처리되는 개인정보에 대하여만 적용되고, 말레이시아 내에서 추가적인 처리를 의도하지 않는 이상 말레이시아 밖에서 처리되는 개인정보에 대하여는 적용이 되지 않음.

3. 개인정보보호

3-1. 이용자 개인정보 권익보호방법

Q. 이용자에게 보장해 주어야 하는 개인정보 관련 권리가 있는지(열람권, 정정권, 이동권, 처리정지권, 삭제권)? 있다면 각 권리를 행사하기 위한 조건이 있는지(무제한으로 행사가능, 사업자가 합리적인 이유가 있다면 제한 가능 등)?

관련 법률

개인정보보호법(PDP LAW)

A. 부연 설명 참고.

부연 설명

정보주체는 다음과 같은 권한을 가짐.

(i) 개인정보의 처리 상황을 통보받음.

(ii) 일정 제한 및/또는 자격요건을 조건으로 정보주체의 개인 데이터에 접근.

 (iii) 일정 제한 및/또는 자격요건을 조건으로 개인정보의 시정 요구.

(iv) 개인정보 처리에 대한 동의 철회. 이 경우 정보이용자는 개인정보의 모든 처리를 중단하여야 함.

또한 정보주체는 언제든지 정보이용자에 대하여 직접 마케팅 또는 그 처리 목적상 손해나 고통을 유발할 수 있는 처리를 방지하기 위한 서면 통지를 할 수 있음.

3-2. 개인정보 침해에 대한 보상보험 요건

Q. 정보주체의 개인정보 관련 사고(유출, 노출, 훼손, 분실 등)가 발생될 경우 정보 주체에게 고지해야 하는 의무가 있는지? 고지 의무가 있다면 몇명 이상의 개인정보 사고 시 그러한 의무가 부과되는지? 고지 방법이 규정되어 있는지(홈페이지에 사고 사실 공개, 개별 연락 (이메일, 전화 등))? 정보주체에게 고지해야 할 경우 고 지 시간이 규정되어 있는지(사고 사실을 인지한 순간부터 1주일 이내 등)? 정보 주체의 개인정보 관련 사고(유출, 노출, 훼손, 분실 등)가 발생될 경우 관계당국에 신고해야 하는 의무가 있는지? 신고 의무가 있다면 몇명 이상의 개인정보 사고 시 그러한 의무가 부과되는지? 신고 기간이 정해져 있는지(사고 사실을 인지한 순간 부터 1주일 이내 등)?

A. 별도 규정 없음.

3-3. 데이터 침해에 대한 보상

Q. 한국은 개인정보보호법 제39조의9(손해배상의 보장)에 따라 손해배상책임의 이행을 위해 보험 또는 공제에 가입하거나 준비금을 적립하는 등 필요한 조치를 하여야 하는데 이와 유사한 규제가 있는지?

A. 별도 규정 없음.

3-4. 개인정보 유출 손해배상 보험

Q. 개인정보 규제(법령)를 위반하거나 개인정보 사고가 발생된 경우 과태료, 과징금 등은 최대 얼마까지 부과되는지?

관련 법률

개인정보보호법 제16조, 제130조(Section 16 and 130 of the PDPA)

A. 개인정보보호법 상의 행정, 형사상 책임은 EM 500,000 이하의 벌금 및/또는 3년 이하 징역임.