해외콘텐츠 법령정보

싱가포르의 게임 정책과 법제 VI
- 개인정보 관련 (1)

1. 개인정보의 수집과 동의

1-1. 개인정보보호법 적용 대상

Q. 자국 내 사업장이 없는 해외사업자에게 해당 국가의 개인정보보호법률이 적용되는지?

A. 개인정보보호법(Personal Data Protection Act, “PDPA”)의 적용 범위에 대해 해외 영업자에게 추가적인 영토적 제한은 없다1).74)

    싱가포르 거주자의 개인정보와 관련된 경우, 싱가포르와의 연결이 있는 한 PDPA는 해외 영업자에게도 적용된다.

    1) PDPA  https://sso.agc.gov.sg/Act/PDPA2012?WholeDoc=1

1-2. 해외 사업자의 국내 대리인 지정

Q. 해외사업자의 경우 국내 대리인을 지정해야 하는지, 지정해야 한다면 그 사실을 관계 당국에 보고해야 하는 의무가 있는지?

      개인정보처리방침에 공개만 해 두어도 되는지?

A. 개인정보 보호책임자(Data Protection Officer, “DPO”)와 그의 연락처를 회사 웹사이트에 공개해야 한다2).75)

    그러나 이 사실을 싱가포르 정부에 보고할 의무는 없다.

    2) PDPA 제11조 제3항, 제5항

1-3. 개인정보 수집 방법 (동의, 고지 등)

Q. 개인정보를 적법하게 수집(처리)하기 위한 방법(근거)은 어떠한 것들이 있는지?

※ 동의, 고지, 정보주체와의 계약 처리 및 이행을 위한 경우 등

A. 개인정보보호법(PDPA)에서 정하는 주된 법적 근거는 개인정보의 처리 목적을 정보 주체에게 통지한 후 동의를 받는 것이다3).76)

    정보주체의 동의가 없을 경우, 예외적으로 개인정보 처리를 허용하는 법적 근거를 찾아야 한다. 게임과 관련된 예외는 다음과 같다4) :77)

    • 개인정보가 공개되어 있는 경우

    • 조사나 절차에 필요한 경우

    • 개인이 조직에 진 채무를 변제하기 위한 경우

    • 다른 개인이 조직에 제공한 정보를 통해 조직이 그 개인의 개인적 또는 가정적 목적을 위한 서비스를 제공하며, 조직이 그 서비스를 오직

      그 목적을 위해서만 제공하는 경우

    • 합리성 기준에 따라 다음과 같은 사업 개선 목적으로 사용되는 경우5) 78)

    • 제공하는 상품이나 서비스를 향상시키거나 개선하거나, 새로운 상품이나 서비스를 개발하는 경우

    • 운영 방식을 개선하거나 향상시키거나, 새로운 방법이나 절차를 개발하는 경우

    • 조직이 제공하는 상품이나 서비스와 관련하여 정보 주체 또는 다른 개인의 행동과 선호도를 학습하고 이해하는 경우

    • 조직이 정보 주체나 다른 개인에게 적합한 서비스를 식별하거나, 정보 주체나 다른 개인을 위해 이러한 서비스를 개인 맞춤화하거나

      특화하는 경우

    3) PDPA 제13조

    4) PDPA 별표 1

    5) PDPA 별표 1, 제5부, 제1항(3).

1-4. 아동의 개인정보 수집

Q1. 한국의 경우처럼 아동(한국의 경우 만 14세 미만)의 개인정보를 수집/이용/제공 하려면, 법정대리인의 동의를 받아야 하는 규제가 존재

        하는지? 혹 동의가 불필요할 경우, 어떻나 방법을 적법 처리 근거로 활용할 수 있는지?

    A. 개인정보 관련 법령은 다음 사항을 요구한다.

    • 13세 미만의 미성년자에 대해서는, 조직이 아동의 부모나 보호자의 동의를 받아야 한다. 개인정보보호위원회(Personal Data Protection

     Committee, “PDPC”)는 13세 미만의 아동이 단독으로 유효한 동의를 할 수 없다고 본다6)

   • 13세 이상 18세 미만의 미성년자는 정보 보호 정책이 명확하게 작성된 경우 PDPC는 해당 미성년자가 유효한 동의를 할 수 있다고

     판단한다7).

    6) PDPC (개인정보 보호 위원회), 디지털 환경에서 아동의 개인정보 보호법(PDPA) 자문 지침, 4.5항 (2024년 3월 28일)

         https://www.pdpc.gov.sg/-/media/files/pdpc/pdf-files/advisory-guidelines/advisory-guidelin es-on-the-pdpa-for-children's-personal-data-in-

        the-digital-environment_mar24.pdf

    7) UCTA 제4.2항 참조

Q2. 법정대리인의 동의를 받아야 한다면, 그 방법이 구체적으로 규정되어 있는지(이메일 인증, 전사서명, 서면 동의, 전화 동의 등)?

A. 법정대리인의 동의를 받는데 정해진 방법이나 권장되는 방법은 없다.

Q3. 개인정보보호법 상 아동의 연령은 어떻게 되는지?

A. 13세, 18세를 기준으로 유효한 동의가 가능한 요건이 달리 설정된다(1-4. Q1의 답변 참조)

Q4. 사업자는 아동의 개인정보 관련 권리를 어떻게 보장해야 하는지(법정 대리인이 권리행사를 대신할 수 있는지 여부 등)?

A. 대리인과 아동 간의 법적 관계는 부모 관계 또는 보호자 관계여야 한다. 법정대리인이 아동을 대신하여 동의한 경우, 법정대리인은 아동을

    대신하여 권리를 행사할 수 있다8).

    8) 예를 들어, PDPC가 부모나 보호자가 자녀를 대신하여 조치를 취하는 것을 고려하는 권고 지침을 참조하라.

         https://www.pdpc.gov.sg/-/media/files/pdpc/pdf-files/advisory-guidelines/advisory-guidelines-on-th e-pdpa-for-children's-personal-data-in-

         the-digital-environment_mar24.pdf

Q5. 해당 법률을 위반 했을 때 벌칙 조항은 어떻게 구성되어 있는지?

A. 개인정보 보호법 위반 시 1백만 싱가포르달러 이하 또는 연간 매출의 10% 중 큰 금액의 벌금에 처한다9).

    9) PDPA 제48J조 제3항

    Spring College International Pte. Ltd. 사건의 경우10), 미성년자인 몇몇 학생의 개인정보를 동의 없이 마케팅 목적으로 사용했으나

    피해가 발생하지 않았기 때문에 금전적 제재는 없었고, PDPC는 단지 시정 조치만을 명령했다.

    10) [2018] SGPDPC 15 https://www.pdpc.gov.sg/-/media/Files/PDPC/PDF-Files/Commissions-Decisions/Grounds_of_Decision_Spring_College_

            International_240518.pdf

    미성년자의 개인정보를 동의 없이 대규모로 수집한 사례는 발표된 바 없다.

1-5. 개인정보 제3자 제공 방법 (동의, 고지 등)

Q. 개인정보를 제3자에게 적법하게 제공하기 위한 방법(근거)은 어떠한 것들이 있는지(동의, 고지, 정보주체와의 계약 처리 및 이행을 위한

      경우 등)?

    A. 1-3의 기준이 동일하게 적용된다.  추가로 다음 사항의 주의가 필요하다.

    • 개인정보 처리방침을 제공하여 동의를 얻어야 하며, 개인정보 처리방침에는 정보가 제3자에게 제공되는 시점과 목적을 명시해야 한다.

    • 개인정보 처리방침에 개인정보가 제3자에게 제공될 것이라는 명시가 없더라도, 사용자가 개인정보가 제3자와 공유될 것이라고

      합리적으로 예상할 수 있는 상황에서는 개인정보가 제3자에게 제공될 것이라는 계약상 필요에 의한 동의로 간주할 수 있다.

      예를 들어, 사용자가 결제 시 신용카드 정보를 제공하는 경우, 개발자는 사용자와 개발자 간의 계약을 이행하기 위해 신용카드 정보를 

      은행과 결제 처리업체에 공개하는 것을 계약상 필요에 의한 동의로 간주할 수 있다11).84)

    • 정보 전송이 발생할 경우, 개인정보는 개인정보보호법(PDPA) 기준에 따라 동일한 수준으로 보호해야 한다.

    11) 개인정보보호법(Personal Data Protection Act, PDPA) 제15조 제1항과 항을 참조.

             https://www.pdpc.go v.sg/-/media/files/pdpc/pdf-files/advisory-guidelines/ag-on-key-concepts/advisory-guidelines-on-key-concepts-in-

            the-pdpa-17-may-2022.pdf

1-6. 개인정보 처리 위탁 (동의, 고지, 수탁업체 계약방법)

Q1. 개인정보 처리를 외부 업체에게 위탁하려는 경우 정보주체의 동의를 얻어야 하는지?

A. 정보주체의 동의가 필요하다.  위의 1-5 답변 참조.

Q2. 동의를 얻지 않아도 된다면, 그 적법성을 어떻게 확보할 수 있는지(정보주체에게 고지, 개인정보처리방침 공개 등)?

A. 해당사항 없음

Q3. 개인정보 처리를 위탁받아 수행하는 자(수탁업체)와 체결해야 하는 문서가 있는지?

A. 개인정보처리자(개인 또는 회사)와 수탁업체 간에는 위수탁처리계약을 체결해야 한다12).

    12) PDPC 제4조 제2항

Q4. 위탁업체가 수탁업체를 관리감독할 의무가 있는지? 있다면, 그 관리감독 방법은 무엇인지?

A. 위탁자는 개인정보 보호 의무에 대해 모든 책임을 진다. 또한, 외부 수탁자를 고용할 때, 외부 수탁자가 개인정보를 보호하기 위한 합리적인

    보안 조치를 갖추고 있는지 확인해야 한다13), 14). 감독은 다음과 같이 진행된다.

    • 개인정보를 보호하기 위한 정보 중개자 조직의 의무와 책임을 명시하는 계약을 체결하고, 각 당사자의 역할, 의무 및 책임을 보호한다.

    • 제3자가 직원 교육과 효과적인 보안 조치를 포함한 정책과 절차를 마련하여, 관리하는 정보 가 항상 적절하게 보호되도록 확인한다;

    • 다양한 감사 및 감사 메커니즘을 통해 IT 운영과 보안을 유지한다.

    13) PDPC (개인정보 보호 위원회), 정보 중개자 관리 지침 제14조 https://www.pdpc.gov.sg/-/media/files/p dpc/pdf-files/other-guides/guide-to-

             managing-data-intermediaries--2020.pdf

    14) Re SCAL Academy Pte. Ltd. [2020] SGPDPC 22 제8항 및 제9항 “조직은 비즈니스 요건을 명확히 하고, 공급업체와 합의된 기술적 조치를 마련하며,

            비즈니스 요건에서 도출된 위험 시나리오를 기반으로 적절한 테스트를 수행해야 한다.”

Q5. 개인정보 수탁업체가 개인정보 관련 사고를 발생시킬 경우 그 책임은 누가 지는지? (수탁업체가 온전히 그 책임을 지는지 또는

       위탁업체가 그 책임을 지는지)?

A. 위탁자는 궁극적으로 개인정보 보호를 보장할 책임이 있다. 그러나 위탁자는 개인정보 보호에 대한 감독 또는 일반적인 역할을 수행하며,

    수탁업체는 개인정보를 직접 소유하거나 통제함으로써 발생하는 개인정보 보호에 보다 직접적이고 구체적인 역할을 수행한다15).

    15) [2019] PDPC (개인정보 보호 위원회) 3 [57]  https://www.pdpc.gov.sg/-/media/Files/PDPC/PDF-File s/Commissions-Decisions/Grounds-of-

            Decision---SingHealth-IHiS---150119.pdf

    수탁업체가 위반 행위를 저지를 경우, 위탁자는 수탁업체와의 관계에서 개인정보를 보호하기 위한 합리적인 보안 조치를 취하지 않은

    경우에만 책임을 진다16).

    16)  [2019] PDPC (개인정보 보호 위원회) 3 [94]에서 [96]까지 https://www.pdpc.gov.sg/-/media/Files/PD PC/PDF-Files/Commissions-

           Decisions/Grounds-of-Decision---SingHealth-IHiS---150119.pdf

1-7. 쿠키 수집

Q1. 쿠키를 수집(동의 등) 및 이용과 관련한여 규제가 있는지?

A. 일반적으로, 쿠키가 개인정보(개인 맞춤 광고와 같은 마케팅을 포함한)를 수집, 처리, 또는 공개하는 경우 동의가 요구된다.

    이는 개인정보 처리 방침에 쿠키를 사용하여 수집, 처리, 또는 공개하는 목적을 명시함으로써 이루어질 수 있다17).

    17) PDPC, ‘Personal Data Protection Act에 대한 특정 주제에 관한 자문 지침서’ 제6항 (2018년 8월 31일 개정)

             https://www.pdpc.gov.sg/-/media/Files/PDPC/PDF-Files/Legislation-and-Guidelines/FINAL-Advis ory-Guidelines-on-PDPA-for-Selected-

             Topics-31-August-2018.pdf

    사용자가 쿠키 설정을 관리할 수 있도록 쿠키 배너 또는 다른 체계를 제공하는 것이 바람직하지만18), 이는 필수는 아니다.

    만약 쿠키가 세션 로그인 관리와 같은 기술적 기능에만 사용된다면, 동의는 필요하지 않다.

    18) 7.14 https://www.pdpc.gov.sg/-/media/files/pdpc/pdf-files/advisory-guidelines/ag-on-selected-t opics/advisory-guidelines-on-the-pdpa-

            for- selected-topics-(revised-may-2024).pdf

Q2. 쿠키를 수집(동의 등) 및 이용과 관련하여 규제가 있다면, 해당 법을 만족시키기 위한 적법한 쿠키 수집(동의 등) 방법은 무엇인지?

A. 위 Q1의 답변 참조

Q3. 만약 동의를 받아야 한다면, 쿠키 동의가 면제될 수 있는 조건은 무엇이 있는지

A. 쿠키를 마케팅 목적으로 사용하지 않는 경우, 동의가 없더라도 사업 개선 목적 사용으로 볼 수 있어 동의를 받지 않을 수 있다

    (1-3. 답변 참조).

    쿠키가 마케팅 목적으로 사용되는 경우, 해당 예외 규정이 없으므로 동의를 받아야 한다.

1-8. 국외 이전 방법 (동의, 방법, 동의 시 고지사항)

Q. 해외 이용자의 개인정보를 국외로 이전하기 위한 방법은 무엇이 있는지(동의, 개인정보처리방침 공개, 특별한 규제 없이 자유롭게 이전 

      가능 등)?

A. 게임 개발자와 이용자 간에는 개인정보 처리 방침이 전송 목적을 명확히 명시해야 하며 이용자는 개인정보 처리 방침에 동의해야 한다.

    해외로 정보를 이전할 때, 다른 해외 법인으로 이전하는 경우(관련 법인일지라도), 아래 내용이 포함된 계약을 체결해야 한다19).

    • 해외 기관이 개인정보보호법(PDPA) 기준에 상응하는 수준으로 개인정보를 보호할 것임을 보장한다.

    • 계약에 따라 개인정보가 이전될 수 있는 국가 및 지역을 명시해야 한다.

    19) https://www.pdpc.gov.sg/-/media/Files/PDPC/PDF-Files/Advisory-Guidelines/the-transfer-limita tion-obligation---ch-19-(270717).pdf의

         제19.2항

1-9. 데이터 현지화

Q1. 특정 국가의 경우 자국민의 개인정보를 반드시 특정국가 현지에 저장해야 함을 법률로 규정하고 있음에 따라 유사한 규제가 있는지?

A. 싱가포르에는 정보 현지화 요건이 없다. 그러나 정보가 해외로 이전될 때는 1-8.에 명시된 조치를 적용해야 한다.

Q2. 현지화 규제가 있다면, 그 대상이 되는 개인정보의 범위가 있는지(모든 개인정보, 특정 정보만 현지에 저장 등)?

A. 해당하지 않음