해외콘텐츠 법령정보

 

 

사우디아라비아의 게임 정책과 법제 VI
- 개인정보보호 관련

 

 

 

1. 개인정보 수집 및 동의

1-1. 개인정보 수집 방법 (동의, 고지 등)

Q. 개인정보를 적법하게 수집(처리)하기 위한 방법(근거)은 어떠한 것들이 있는지?

     (동의, 고지, 정보주체와의 계약 처리 및 이행을 위한 경우 등)

 

    관련 법률

    • 개인정보보호법 경과규정 – 2020년 개인정보보호법(이하, “경과규정”)

 

    부연 설명
    2021년 9월 사우디아라비아 최초의 개인정보보호법(Personal Data Protection Law, “PDPL”)을 공포했음(2022년 3월 발효될

    예정이었으나 지연되어 2023년 9월 발효됨).

    현지 로펌은 그러나 개인정보보호법 초안 원본이 발효되기 전에 국제적인 관행과 보 조를 맞추기 위해 여러 측면에서 수정될 수도 있을

    것이라고 함. 그때까지, 국가정보관리실(National Data Management Office, “NDMO”)의 경과규정 즉 2020년 개인정보보호법이

    유효함(다만, 이것은 가이드라인으로서 이해해야 하며 의무적으로 적용되는 것은 아니라는 것이 중요함).

 

1-2. 개인정보 제3자 제공 방법 (동의, 고지 등)

Q. 개인정보를 제3자에게 적법하게 제공하기 위한 방법(근거)은 어떠한 것들이 있는지?

     (동의, 고지, 정보주체와의 계약 처리 및 이행을 위한 경우 등)

 

    관련 법률

    • 개인정보보호법 경과규정 – 2020년 개인정보보호법

 

    부연 설명
    PDPL과 경과규정에 따르면, 정보주체의 동의를 얻는 것은, 그들의 개인정보를 제3자에게 공개하는 유일하고 명백한 근거임.

    그러나, PDPL이 아직 발효가 되지 않았고 경과규정은 의무적으로 적용되지 않음을 감안할 때, 통지는 리스크를 낮춰줄 수 있음.

    다만 이 입장은 PDPL이 발효되면 다시 검토될 필요가 있음. 현지 로펌은 프라이버시 침해 주장 관련 위험을 낮추기 위해, 가능한 정보

    주체의 동의를 얻는 것을 권장하였음.

 

1-3. 아동 개인정보 수집

Q. 한국의 경우처럼 아동(한국의 경우 만 14세 미만)의 개인정보를 수집ㆍ이용ㆍ제공하려면, 법정대리인의 동의를 받아야 하는 규제가

     존재하는지? 혹 동의가 불필요 하다면, 어떠한 방법을 적법 처리 근거로 활용할 수 있는지? 법정대리인의 동의를 받아야 한다면,

     그 방법이 구체적으로 규정되어 있는지? (이메일 인증, 전자서명, 서면 동의, 전화 동의 등), 위 규제가 존재하는 국가의 개인정보보호법상

     아동의 연령은? 사업자는 아동의 개인정보 관련 권리를 어떻게 보장해야 하는지? (법정대리인이 권리행사를 대신할 수 있는지 여부 등)

     해당 법률을 위반 했을 때 벌칙 조항은 어떻게 되는지?

 

    관련 법률

    • 2020년 아동 및 무능력자의 프라이버시 보호 정책

 

    부연 설명
    PDPL과 경과규정 모두 미성년자들의 개인정보 처리에 대하여 규정되어 있지 않음. 그러나, NDMO는 아동 및 무능력자의 프라이버시

    보호 정책(이하, “정책”)의 형태로 안내사항을 공포했는데, 이것은 그들의 개인정보를 처리할 때 미성년자들의 법정 보호자/부모의 동의를

    얻을 것을 요구함. 현지 로펌은 이것이 엄격한 법적 요구사항은 아니지만, 프라이버시 침해 주장 관련 위험을 낮추기 위하여 이를 준수할

    것을 권장하였음.

    이 정책은 법정 보호자/부모의 동의를 얻는 것과 관련하여 절차를 규정하지 않음.

    정책에서 18세 미만의 아동은 미성년자로 간주됨.

    미성년자의 개인정보 자기결정권은 법정보호자/부모에게 그들을 대신하여 권리를 행사할 수 있도록 허가함으로써 보장될 수 있음.

    그러나, 데이터 통제자(data controller, 이하 “통제자” 또는 “데이터 통제자”)는 법정 보호자/부모에게 아동의 개인정보에 접근을

    허가하기 전에 이와 관련한 NCA 요구사항에 따라 그들의 신분을 먼저 확인해야 함.

    이 정책은 근본적으로 가이드라인에 불과하기 때문에 일체의 벌칙은 규정되어 있지 않음.

 

1-4. 개인정보 처리 위탁 (동의, 고지, 수탁업체 계약방법)

Q. 개인정보 처리를 외부 업체에게 위탁하려는 경우 정보주체의 동의를 얻어야 하는지? 동의를 얻지 않아도 된다면, 그 적법성을 어떻게

     확보할 수 있는지? (정보주체에게 고지, 개인정보처리방침 공개 등), 개인정보 처리를 위탁받아 수행하는 자(수탁업체)와 체결해야 하는

     문서가 있는지?(한국의      경우 개인정보보호법 제26조에    따라 문서로 업무를 위탁하여야 함), 위탁업체가 수탁업체를 관리감독할

     의무가 있는지? 있다면, 그 관리감독 방법은 무엇인지? 개인정보 수탁업체가 개인정보 관련 사고를 발생 시킬 경우 그 책임은 누가 지는지?

     (수탁업체가 온전히 그 책임을 짐. 위탁업체가 그 책임을 짐 등)

 

    관련 법률

    • 개인정보보호법 경과규정 – 2020년 개인정보보호법

 

    부연 설명
    현지 로펌은 PDPL이 현재 발효되지 않았고 경과규정이 강제적으로 적용되지 않는다는 의견에 따라서, 아래와 같이 답변하였음

    (아래의 고려사항들이 현재에는 엄격한 법적 요구사항으로 이해되어서는 안되고, 이 입장은 PDPL이 발효되면 다시 검토될 필요가 있음)

    • 정보처리를 제3의 처리자에게 위탁하기 위해서는 정보주체의 동의가 요구됨.

    • 정보주체의 권리 존중을 보장하는 프라이버시 정책을 정보주체에게 제공하는 것은 동의를 얻는 의무와 함께 요구됨.

    • 제3자와의 처리 계약은 현지의 데이터 보호 고려사항을 반영한 처리 계약에 따라 이뤄져야 함. 

     • 위탁회사는 처리자가 현지의 법적 고려사항을 준수함을 보장하도록 요구되지만, 그러한 감독을 어떻게 해야 하는지에 대한

      세부사항이 없음.

    • 규제당국의 관점에서, 통제자 / 위탁회사는 처리자 / 수탁회사에 의한 일체의 사고에 궁극적인 책임이 있음.

 

1-5. 쿠키 수집

Q. 쿠키를 수집(동의 등) 및 이용과 관련하여 규제가 있는지 있다면, 해당 법을 만족시키기 위한 적법한 쿠키 수집(동의 등) 방법은 무엇인지

     만약 동의를 받아야 한다면, 쿠키 동의가 면제될 수 있는 조건은 무엇이 있는지?

 

    관련 법률

    • 전자상거래법 및 동법 규정

    • 개인정보보호법 경과규정 – 2020년 개인정보보호법

 

    부연 설명

    전자상거래법에 따라서, 쿠키의 사용에 관한 정보는 전자상거래 플랫폼의 프라이버시 정책에 포함되어야 함.

    쿠키 수집의 적법한 방법에 대한 일체의 구체적인 요구사항이 없음.

    쿠키의 방식을 포함하여 개인정보의 처리를 위해서는 일반적으로 동의가 요구됨. 처리를 위한 동의는 해당 처리가 관련 법에 따른 의무

    또는 법원의 명령에 따른 범죄 수사를 용이하게 하기 위해서 발생할 경우에만 요구되지 않음.

 

2. 개인정보 처리

2-1. 개인정보 파기

Q. 개인정보를 파기해야 하는 의무가 있는지, 어떠한 경우 파기해야 하는지, 개인정보를 파기해야 한다면, 한국의 전자상거래 법,

     통신비밀보호법과 같이 별도의 정보를 보관하도록 하는 특별 규정이 있는지?

     (한국: 접속기록 3개월, 표시/광고에 관한 기록 6개월, 계약 또는 청약철회 등에 관한 기록 5년, 대금 결제 및 재화공급 등에 관한 기록 5년,

      소비자의 불만 또는 분쟁처리에 관한 기록 3년)

 

    관련 법률

    • 개인정보보호법 경과규정 – 2020년 개인정보 보호법

 

    부연 설명
    현지 로펌은 PDPL이 현재 발효되지 않았고 경과규정이 강제적으로 적용되지 않는다는 의견에 따라서, 아래와 같이 답변하였음.

    (아래의 고려사항들이 현재에는 엄격한 법적 요구사항으로 이해되어서는 안 되고, 이 입장은 PDPL이 발효되면 다시 검토될 필요가 있음)

    • 개인정보를 파기해야 할 의무가 있음.

    • 처리의 목적을 달성했기 때문에 더 이상 그러한 데이터를 저장할 필요가 없을 경우 개인정보는 파기 / 폐기되어야 함. 개인정보가

      폐기되어야 하는 다른 사례는 정보주체가 본인의 개인정보를 폐기해 달라는 요청을 했을 때와, 통제자가 관련 법의 의무에 따라

      그 개인정보를 더 이상 보유할 필요가 없을 때임.

    • 별도의 정보 저장에 대한 일체의 조항이 없음.

 

2-2 장기 미접속계정 휴면처리방법

Q. 한국의 개인정보보호법과 같이 1년간 서비스를 이용하지 않는 이용자의 개인정보를 파기 또는 분리보관 해야 하는 규제가 있는지,

     있다면, 휴면처리를 어떻게 처리해야 하는지?

 

    관련 법률

    • 전자상거래법 및 동법 규정

 

    부연 설명
    전자상거래 분야에서는, 전자상거래 서비스 제공자가 사용자들에게 본인들의 계정을 폐쇄하는 방법을 명확하게 알려준다면, 해당 사용자의

    계정이 폐쇄될 때까지 계정을 가진 사용자의 개인 데이터를 보유하도록 허가됨.

    휴면 계정을 어떻게 처리해야 하는지에 대한 일체의 요구사항이 없음.

 

2-3. 개인정보 처리방침

Q. 한국의 경우 법령에 의해서 개인정보처리방침에 필수적으로 기재해야 하는 내용이 정해져 있음. 이와 유사하게 법적으로 필수적으로

     기재해야 하는 내용이 있는지, 필수는 아니지만 가이드라인 등을 통해 기재가 권장되는 내용이 있는지, 개인정보 처리방침을 어떻게

     공개해야 한다는 사실을 정한 규제가 있는지?

 

    관련 법률

    • 전자상거래법 및 동법 규정

    • 개인정보보호법 경과규정 – 2020년 개인정보보호법

 

    부연 설명

    현지 로펌은 PDPL이 현재 발효되지 않았고 경과규정이 강제적으로 적용되지 않는다는 의견에 따라서, 아래와 같이 답변하였음

    (아래의 고려사항들이 현재에는 엄격한 법적 요구사항으로 이해되어서는 안 되고, 이 입장은 PDPL이 발효되면 다시 검토될 필요가 있음)

    • 프라이버시 정책은 일반적으로 다음의 정보를 포함해야 함: 수집되는 개인 정보의 종류; 처리의 법적 근거, 처리의 목적; 사용방법 및

     공유기관, 저장기간, 파기수단, 그리고 정보주체의 권리 및 행사방법.

    • 전자상거래법은 전자상거래 플랫폼에서 링크를 통해 프라이버시 정책을 제공하도록 요구함.

 

2-4. 개인정보 이용 내역 통지

Q. 한국의 경우 개인정보보호법 제39조의8(개인정보 이용내역의 통지)에 따라 연 1회 이용자에게 개인정보의 이용내역을 통지해야 하는데,

     이와 유사한 규제가 있는지, 있다면, 어떠한 방법으로 이용자에게 통지해야 하는지? 만약 통지 수단 (이메일, 핸드폰 번호 등)이 없다면

     이용내역을 통지하지 않아도 되는지?

 

    관련 법률

    • 전자상거래법 및 동법 규정

    • 개인정보보호법 경과규정 – 2020년 개인정보보호법

 

    부연 설명

    사용자들이 얼마나 정기적으로 개인정보 처리와 관련하여 통지를 받아야 하는지에 대한 구체적인 요구사항이 없으나, 현지 로펌은 만약

    프라이버시 정책에 물리적인 변화가 있다면, 사용자는 이것에 대해서 갱신 및 통지를 받아야 하는 것으로 예상하였음.

 

2-5. 해외사업자의 국내 대리인 지정

Q. 한국의 경우 개인정보보호법 제39조의11(국내대리인의 지정)에 따라 국내에 주소 또는 영업소가 없는 정보통신서비스 제공자는

     이용자수/매출액을 고려하여 국내 대리인을 지정할 의무가 있는데 이와 유사한 규제가 있는지, 있다면 국내 대리인을 지정해야 하는

     기준은 어떻게 되는지, 국내 대리인을 지정해야 한다면 그 사실을 관계 당국에 보고해야 하는 의무가 있는지 아니면 개인정보처리방침에

     공개만 해 두어도 되는지?

 

    관련 법률

    • 개인정보 보호법(PDPL)

 

    부연 설명

    유사한 요구사항이 있음. PDPL은 사우디아라비아에서 개인들의 개인정보를 처리하는 외국 기관들이, 권한 있는 당국에서 면허를 취득한

    대리인을 사우디아라비아에서 선임할 것을 요구함. 그러나, PDPL이 발효(2023년 3월)된 이후 5년의 유예기간이 있고, 이 기간 후에

    이 요건이 집행될 것이고 PDPL이 아직 발효되지 않았기 때문에, 이 법은 지금 엄격한 법적 요건으로 이해되지 않아야 하고, 이 부분은

    이 법의 최종 안에서 수정 또는 변경될 수 있기 때문에 PDPL이 발효되면 다시 검토할 필요가 있음.

 

2-6. 국외 이전 방법 (동의, 방법, 동의시 고지사항)

Q. 해외 이용자의 개인정보를 국외로 이전하기 위한 방법은 무엇이 있는지?

     (동의, 개인정보처리방침 공개, 특별한 규제 없이 자유롭게 이전 가능 등)

 

    관련 법률

    • 개인정보보호법 경과규정 – 2020년 개인정보보호법

 

    부연 설명

    현지 로펌은 PDPL이 현재 발효되지 않았고 경과규정이 강제적으로 적용되지 않는다는 의견에 따라서, 아래와 같이 답변하였음

    (아래의 고려사항들이 현재에는 엄격한 법적 요구사항으로 이해되어서는 안 되고, 이 입장은 PDPL이 발효되면 다시 검토될 필요가 있음)

    개인정보의 전송을 위해서 정보 주체의 동의를 반드시 얻어야 하고 프라이버시 정책 상 정보 주체에게 이점에 대해 알려주어야 함.

    추가적으로, 현재의 규정상 범위는 국제 전송에 대해서 권한 있는 당국의 승인을 얻을 것을 고려함. 그러나, 승인을 위한 메커니즘은 현재

    제공되어 있지 않아 현재까지는 개인정보를 사우디아라비아 외부로 전송하는 것의 리스크가 낮다고 이해함. 이런 입장은 PDPL이 발효하게

    되면 재검토가 필요함. 2023년에 발효될 PDPL의 최종안이 이 부분에서 수정되어, 권한 있는 당국의 승인이 불필요할 수도 있을 것임.

    따라서 이러한 사정을 고려하여야 함. 현지 로펌은 사우디아라비아 외부로 개인정보를 전송하는 데 있어서, 국제 모범 사례 방법 도입을

    권장하였음.

 

2-7. 광고성 정보 (수신, 동의, 고지, 발송방법)

Q. 한국의 정보통신망법과 같은 광고성 정보(이메일, 핸드폰 번호, 모바일 앱 푸쉬) 발송에 적용되는 규제가 있는지, 있다면 광고성 정보를

     보낼 때 지켜야 하는 표기 의무가 있는지(제목 맨앞 (광고) 표기, 수신거부 조치, 사업자의 물리적 주소 등), 이용자에게 광고성 정보를

     보내기 위한 조건은 어떻게 되는지?(명시적인 사전 수신동의 등)

 

    관련 법률

    • 전자상거래법 및 동법 규정

    • 개인정보 보호법(PDPL)

    • 스팸감축규정

 

    부연 설명

    전자상거래법은 마케팅/광고의 목적으로 개인 데이터를 처리할 때, 사전에 명시적인 동의를 받도록 요구함. 추가적으로, 광고는 서비스

    제공자의 이름과 연락처 세부내용, 광고되는 제품과 서비스의 명칭, 고객들이 정보를 바탕으로 결정할 수 있도록 허용하는 제품 및 서비스에

    관한 정보, 그리고 광고는 광고라는 명백한 문구를 공개해야 함. 그것은 또한 수신자가 미래에 그러한 광고의 수취를 취소할 수 있는 명확한

    메커니즘을 포함해야 함. 나아가, 그러한 광고의 내용에 대한 제한이 있음. 그들은 고객들을 오도하거나 기만할 수 있는 (제3자의 상표권을

    침해하는 자료를 포함하여) 허위의 표시, 진술 또는 잘못된 해석을 포함해서는 안 됨.

     PDPL은 또한 마케팅의 목적으로 개인정보를 사용하기 전에 데이터 주체의 동의를 얻고, 민감한 데이터는 그러한 목적으로 사용되어서는

    안된다고 요구함.

    나아가, 스팸감축규정은 또한 직접 마케팅 환경을 규제하며, 수취인에게 구독 취소 옵션 제공을 요구하며, 제공하지 않을 경우 마케팅

    통신은 스팸으로 간주되고 서비스 제공자에 의해 차단될 것임. 스팸감축규정은 마크 표시 요구사항을 포함하여 SMS상으로 마케팅할 때

    세부적인 요구사항을 설정하지만, 준수 책임은 면허를 받은 SMS 서비스 제공자가 부담함. 현지 로펌은 이것에 관하여 더 많은 정보를

    원하면 추가 질의하라고 함.

 

2-8. 데이터 국지화

Q. 자국민의 개인정보를 반드시 현지에 저장해야 한다는 현지화 규제가 있는지, 있다면 그 대상이 되는 개인정보의 범위가 있는지?

     (모든 개인정보, 특정 정보만 현지에 저장 등)

 

    관련 법률

    • 개인정보보호법 경과규정 – 2020년 개인정보보호법

 

    부연 설명

    경과 규정은 사우디아라비아 내의 개인정보 저장과 국제 전송은 권한이 있는 당국의 승인을 취득해야 한다고 요구함.

    그러나, 앞에서 언급되었듯이, 경과규정은 강제 적용사항이 아니고 안내를 제공하는 것일 뿐임. 추가적으로, 그들은 일체의 집행 메커니즘

    또는 벌칙을 포함하지 않음.

    개인정보를 해외로 전송하는 것은 권한 있는 당국의 승인을 취득해야 하지만, PDPL에는 사우디아라비아 내에 개인 데이터를 저장하는

    것에는 일체의 요건이 없음. 그러나, 현지 로펌은 국제 관행 및 접근방법과 더욱 일치시키기 위해, PDPL이 2023년에 발효되기 전에

    승인을 얻어야 하는 이 요건이 수정될 수 있을 것으로 예상하였음.

    현재, 사우디아라비아 내에서 개인정보를 보유하기 위한 일체의 엄격한 법적 요건이 없고, 현지 로펌은 관계 당국으로부터 일체의 승인을

    얻지 않고 해외로 전송하는 것은 리스크가 낮을 것으로 생각된다고 하며 실제적으로, 개인정보를 해외로 전송하기 전에 승인을 취득하는

    일체의 기관에 대해 알지 못한다고 함.

 

2-9. 개인정보보호법 적용 가능성

Q. 자국내 사업장이 없는 해외사업자에게 해당국가의 개인정보 보호법령이 적용되는지?

 

    관련 법률

    • 개인정보보호법 경과규정 – 2020년 개인정보보호법  

 

    부연 설명

     PDPL 및 경과 규정에 따르면, 사우디아라비아에 있는 개인들의 개인정보를 처리하는 외국 기관은 요건을 따라야 함 (아직 발효되지 않은

    PDPL과 강제 적용이 아닌 경과 규정에 관한 의견 참조). 현지 로펌은 일단 PDPL이 발효되고 그 법에 의한 일체의 유예기간이 만료되면,

    국내 사업장이 없는 해외 사업자에 대한 PDPL이 집행될 것으로 예상하였음.

 

3. 개인정보보호 

3-1. 이용자 개인정보 권익보호방법

Q. 이용자에게 보장해 주어야 하는 개인정보 관련 권리가 있는지(열람권, 정정권, 이동권, 처리정지권, 삭제권), 있다면 각 권리를 행사하기

     위한 조건이 있는지?(무제한으로 행사가능, 사업자가 합리적인 이유가 있다면 제한 가능 등)

 

    관련 법률

    • 개인정보보호법 경과규정 – 2020년 개인정보보호법 

 

    부연 설명
    현지 로펌은 PDPL이 현재 발효되지 않았고 경과규정이 강제적으로 적용되지 않는다는 의견에 따라서, 아래와 같이 답변하였음

    (아래의 고려사항들이 현재에는 엄격한 법적 요구사항으로 이해되어서는 안 되고, 이 입장은 PDPL이 발효되면 다시 검토될 필요가 있음)

    다음의 권리가 정보주체에게 주어짐

    • 법적 근거 및 수집 목적에 대해 통보 받을 권리.

    • 본인들의 개인정보에 접근하여 명확한 형식의 사본을 취득할 권리.

    • 본인들의 개인정보에 대한 수정, 완성 또는 갱신을 요청할 권리.

    • 수집 목적을 위해 더 이상 처리될 필요가 없는 본인들의 개인 정보에 대한 삭제를 요청할 권리.

    • 본인들의 개인정보 처리에 반대하고, 해당 법에서 다르게 요구하지 않는 한 본인들의 동의를 언제든지 철회할 수 있는 권리.

    • 본인들의 개인정보를 이동할 수 있는 권리, 즉 방해받지 않고 다른 데이터 통제자들에게 해당 개인정보를 전송할 수 있는 권리.

       정보주체가 위에 기재된 권리들을 행사하기 위한 조건들이 있다. 먼저, 통제자는 데이터 주체의 신분 확인 요청을 포함하여 개인정보

       접근 권리 행사를 위한 기간을 규정할 수 있다.  또한, 정보주체의 권리는 (i) 개인정보의 소유자 또는 기타 사람들을 일체의 피해로부터

       보호하기 위해 필요한 경우, (ii) 통제자가 공공기관이고 제한이 안보 목적을 위해, 다른 법을 시행하기 위해, 또는 사법적 요구조건을

       충족하기 위해 요구되는 경우 제한될 수 있다.

 

    통제자 역시 다음의 경우에 정보주체의 접근을 제한할 수 있다:

    • 안보에 위협이 되거나, 사우디아라비아의 평판을 해치거나, 또는 사우디아라비아의 이익과 충돌되는 경우

    • 다른 나라에 대한 사우디아라비아의 관계에 영향을 미치는 경우

    • 범죄의 적발을 방해하고, 피고인의 공정한 재판에 대한 권리에 영향을 미치고, 기존 형사절차의 무결성에 영향을 미치는 경우

    • 일체의 개인(들)의 안전을 위협하는 경우

    • 규정에 의해 결정된 개인정보 소유자가 아닌 개인의 프라이버시 침해를 수반하는 경우

    • 자격이 없는 자의 이익과 충돌하는 경우

 

 

3-2. 개인정보 침해에 대한 보상 보험 요건

Q. 정보주체의 개인정보 관련 사고(유출, 노출, 훼손, 분실 등) 가 발생될 경우 정보주체에게 고지해야 하는 의무가 있는지, 고지 의무가 있다면

     몇명 이상의 개인정보 사고 시 그러한 의무가 부과되는지, 고지 방법이 규정되어 있는지(홈페이지에 사고 사실 공개, 개별 연락 (이메일,

     전화 등)), 정보주체에게 고지해야 할 경우 고지 시간이 규정되어 있는지 (사고 사실을 인지한 순간부터 1주일 이내 등), 정보주체의

     개인정보 관련 사고(유출, 노출, 훼손, 분실 등)가 발생될 경우 관계당국에 신고해야 하는 의무가 있는지, 신고 의무가 있다면 몇명 이상의

     개인정보 사고 시 그러한 의무가 부과되는지, 신고 기간이 정해져 있는지(사고 사실을 인지한 순간부터 1주일 이내 등)

 

    관련 법률

    • 개인정보보호법 경과규정 – 2020년 개인정보보호법

 

    부연 설명
    현지 로펌은 PDPL이 아직 발효가 되지 않은 상황에서, 2023년 3월에 발효된다는 전망에 따른다면, 아래와 같이 답변할 수 있다고 함

    • PDPL은 (아직 공포되지 않은) 자체 규정들이 통제자가 정보주체들의 개인 정보와 관련한 사고와 관련하여 본인들에게 통지를 해야

     하는지에 대한 더욱 세부적인 사항을 제공한다고 규정함. 만약 사고의 발생이 그들 또는 그들의 개인정보에 심각한 피해를 유발할

     경우, 통제자는 그들에게 즉시 통지해야 함.

    • 사고의 최소 건수가 규정되지 않고, 통지 방법과 관련하여 일체의 세부사항이 제공되지 않았음. PDPL의 규정들이 공포되면, 그러한

      문제들을 명확히 할 것으로 예상됨.

    • 통지 기간은 명시되지 않고 있고, 나중에 규정에서 명시되겠지만, 사고가 개인정보 및 정보 주체들에게 심각한 피해로 진전된다면,

       정보주체는 즉시 통보를 받아야 할 것임.

     • PDPL은 그들이 사고에 대해 인지하는 대로 권한 있는 당국에 통지할 것을 요구함. (단지 안내일 뿐인) 경과 규정에서는 그러한

      통지는 해당 사건 발생 이후 72시간 이내에 이루어져야 함.

     • 이러한 맥락에서 사고의 최소건수는 일체 없음.

 

3-3. 데이터 침해에 대한 보상

Q. 한국은 개인정보보호법 제39조의9(손해배상의 보장)에 따라 손해배상책임의 이행을 위해 보험 또는 공제에 가입하거나 준비금을

     적립하는 등 필요한 조치를 하여야 하는데 이와 유사한 규제가 있는지?

 

    관련 법률

    • 개인정보보호법 경과규정 – 2020년 개인정보보호법

 

    부연 설명
    이와 관련한 일체의 요건 없음

 

3-4. 데이터 유출 사고 발생 시 금전적 제재

Q. 개인정보 규제(법령)를 위반하거나 개인정보 사고가 발생 된 경우 과태료, 과징금 등은 최대 얼마까지 부과되는지?

 

    관련 법률

    • 개인정보보호법 경과규정 – 2020년 개인정보보호법

 

    부연 설명
    앞서 언급된 바와 같이, 단지 가이드라인에 불과한 경과 규정에서는 일체의 벌칙을 규정하고 있지 않음. PDPL은 아직 발효가 되지

    않았지만, PDPL에서 설정된 벌칙은 경고 또는 5백말 리얄(약 USD 1.3백만) 이하의 벌금을 포함함.

    반복 위반의 경우, 최고 한도를 초과하더라도 한도의 2배를 초과하지 않는다면 벌금은 2배가 됨.