윤덕근 변호사(tyun@trowers.com), 트라워즈 앤 햄린즈( Trowers & Hamlins LLP ) 코리아 데스크

1. 연방 개인정보보호법의 도입과 의미

2021년부터 아랍에미리트(이하 "UAE")는 건국 50주년을 맞아 여러 분야에서 획기적인 변화를 시도하고 있다. 주말이 금, 토에서 토, 일로 바뀐 점 외에도 주시해야 할 제도 변화 중 하나는 연방 개인정보보호법(Federal Decree Law No. 45 of 2021 on the Protection of Personal Data)의 제정이라고 할 수 있다. 연방 개인정보보호법은 지난 2021년 9월 20일 공포되었고 2022년 1월 2일부터 발효되었다. 또한, 개인정보 보호에 관한 사무를 수행하기 위한 UAE 정보청(Data Office, 이하 "정보청") 설립에 관한 법률(Federal Decree Law No 44/2021 on the Establishment of the Emirates Data Office)이 연방 개인정보보호법 공포와 함께 발효된 바 있다.

 

종전에는 UAE를 구성하는 7개 토후국 전체에 적용되는 연방법이 존재하지 않았고, 형법, 사이버범죄법, 소비자 보호법 등 특별법에 의해 개인정보 관련 사항이 제한적으로 규율되고 있었다. 연방 개인정보보호법은 유럽연합의 일반 개인정보 보호법(European General Data Protection Regulation, 이하 "GDPR")의 주요 내용들을 채택하고 있어, UAE 내 사업 주체들의 개인정보 처리 실무에 큰 변화를 가져올 것으로 예상된다. 다만 동 법은 일부 구체적인 내용들을 시행령에 위임하고 있고, 특히 사업 주체가 되는 개인정보 관리자(controller)와 개인정보 처리자(processor)의 경우 시행령 공포일로부터 6개월이 지나야 동 법의 적용을 받게 되므로, 동 법에 따른 본격적인 규제 내용과 시기는 향후 공포되는 시행령의 내용을 살펴봐야 확인할 수 있다.

 

한편, 연방 개인정보보호법은 UAE 역내에 적용되며, DIFC(Dubai International Financial Center)나 ADGM(Abu Dhabi Global Market)과 같은 프리존(free zone, 경제자유구역)은 각 프리존에서 제정된 개인정보 보호 관련 법령들이 별도로 적용되기 때문에, 한국기업으로서는 설립하려는 법인이 위치하는 지역에 적용되는 관련 법령 및 규제가 무엇인지 미리 확인할 필요가 있다. 본고에서는 최근 도입된 연방 개인정보보호법의 주요 내용과 그 밖의 개인정보보호 관련 규제 사항을 간략히 살펴보고자 한다.

 

2. 연방 개인정보보호법의 주요 내용

1) 적용 범위(제2조)

연방 개인정보보호법의 적용 범위는 제2조에서 구체적으로 규정하고 있다. 이에 따르면 동 법은 다음의 자들에 의한 개인 정보 처리에 적용된다.

 i. UAE 내에 주거하거나 사무소가 소재한 정보 주체 

 ii. UAE 내외에 소재한 정보 주체의 개인정보를 처리하는 자로서 UAE 내에 소재한 개인정보 관리자 또는 처리자

 iii. UAE 내에 소재한 정보 주체의 개인정보를 처리하는 자로서 UAE 외에 소재한 개인정보 관리자 또는 처리자

 

특히 위 iii에 의하면, 예컨대 UAE에 거주하는 소비자가 한국회사에 상품을 온라인으로 주문하고 해당 한국회사는 말레이시아에 위치한 클라우드 서비스 업체를 이용할 경우 한국회사와 말레이시아 회사 모두 동 법의 적용을 받는 결과가 된다. 이는 유럽 GDPR의 규정보다도 적용범위를 지나치게 확대하는 것이어서 주의가 필요하다. 한편 연방 개인정보보호법은 정부 기관, 사법기관, 프리존의 회사 및 기관의 경우 적용을 받지 않으며, 관련 법령에 따른 건강 관련 개인정보, 은행 및 신용 관련 개인정보에도 적용되지 않는다. 이와 관련하여 DIFC, ADGM 및 두바이 헬스케어 시티 외의 프리존은 개인정보 보호 관련 법령을 두고 있지 않기 때문에 개인정보 보호와 관련하여 규제 공백이 생길 여지도 있어 보인다.

2) 주요 개념(제1조)

연방 개인정보보호법은 제1조에서 주요 개념들에 관하여 정의하고 있다. 이에 따르면 "개인정보(personal date)"는 '특정된 자연인에 관한 정보 또는 성명, 목소리, 그림, 주민등록번호, 온라인 식별기, 지리적 위치 또는 특정인의 물리적, 정신적, 경제적, 문화적 또는 사회적 정체성을 나타내는, 하나 이상의 특징을 사용하여 다른 정보와 결합하여 직접 또는 간접적으로 식별할 수 있는 개인에 관한 정보'라고 정의된다. 또한, "정보 주체(date subject)"를 '개인정보의 주체가 되는 자연인'으로, "개인정보 관리자(controller)"를 '개인정보를 소유하고 개인정보 처리를 위한 방법, 범위 및 목적을 정하는 법인 또는 자연인', "개인정보 처리자(processor)"를 '개인정보 관리자로부터 지시 감독을 받아 개인정보 관리자를 대신하여 개인정보를 처리하는 법인 또는 자연인'으로 정의하고 있다.

3) 개인정보 처리를 위한 요건(제4조)

원칙적으로 정보 주체의 동의가 없으면 개인정보를 처리하는 것은 금지된다. 그러나 다음의 경우에는 정보 주체의 동의 없이도 개인정보를 처리하는 것이 허용된다.

  - 공공의 이익을 보호하기 위해 필요한 경우

  - 정보 주체의 행위에 의해 접근할 수 있고 공공에 알려진 개인정보를 위한 경우

  - 소송 제기 또는 소송상 방어를 위해 필요한 경우

  - 법령에 따라 안전 보건 목적을 위해 필요한 경우

  - 법령에 따라 과학적, 역사적 및 통계적 연구를 위해 필요한 경우

  - 정보 주체의 이익을 보호하기 위해 필요한 경우

  - 노동법 또는 사회보장법에 따라 허용되는 범위에서 개인정보 관리자 또는 정보 주체의 권리 행사 또는 의무 이행을 위해 필요한 경우

  - 정보 주체의 요청에 따라 정보 주체가 당사자인 계약의 이행, 또는 계약의 체결, 수정 또는 종료를 위한 절차상 필요한 경우

 

이상과 관련하여 유럽 GDPR과 같이 '합법적 이익(legitimate interest)'의 개념이 전제되어 있지 않기 때문에, 정보 주체의 동의 없이 처리가 가능한 '필요한 경우'가 언제를 말하는지가 불분명하다는 문제가 있다.  

4) 개인정보 처리의 원칙(제5조)

개인정보보호법 제5조는 다음과 같은 개인정보 처리의 원칙을 규정하고 있다.

  - 개인정보 처리가 공정하고, 투명하고 적법한 방법에 의할 것

  - 개인정보는 명확한 처리 목적을 위해 수집되어야 하고 그 목적 외의 용도로 활용되어서는 안 될 것

  - 개인정보는 처리 목적을 위해 충분하고 제한될 것

  - 개인정보는 정확해야 하며 필요한 경우 업데이트될 것

  - 부정확한 정보를 삭제 또는 수정하기 위해 적절한 조치가 이루어질 것

  - 개인정보는 안전하게 보관되고 위법한 처리로부터 보호될 것

  - 개인정보는 그 목적 달성 후에는 더 이상 보관되지 않을 것, 다만 정보 주체의 신원이 익명 처리될 경우에는 보관 가능

  - 그 밖에 시행령에서 정하는 원칙에 의할 것

 

이상의 원칙은 EU GDPR의 주요 원칙들을 채택한 것이다. 이상의 원칙들을 고려하면 사업주들은 사업에 필요한 개인정보의 성격, 정보 수집 절차, 정보 주체에게 제공되는 정보들, 정보수집으로 발생할 수 있는 상황, 정보의 보관 기간, 보안 유지 방법 등에 대해 충분히 숙지하고 있어야 한다. 이러한 내용으로 인해 UAE의 비즈니스 실무가 바뀔 가능성이 크다. 예컨대 UAE 소매상들이 그동안 통상적으로 소비자에게 요구해 오던 성명, 전화번호, 이메일 주소 등 개인정보의 경우 동 규정에 따라 정보수집의 목적을 소비자에게 미리 고지해야 할 수 있다.

5) 개인정보 처리 동의의 조건(제6조)

제4조에 따라 개인정보 처리를 위해서는 원칙적으로 정보 주체의 동의가 필요한데, 이러한 정보 주체의 동의로 인정받기 위해서는 다음 조건들이 충족되어야 한다(제1항).

 i. 개인정보 처리가 정보 주체의 동의에 근거한 경우, 개인정보 관리자가 동의 사실을 입증할 수 있을 것

 ii. 동의는 명확하고, 단순하며, 애매모호하지 않고 쉽게 확인할 수 있는 방식으로 이루어질 것(서면 또는 전자적 방식 불문)

 iii. 동의와 함께 정보 주체가 동의를 철회할 수 있는 권리와 그 철회가 용이하게 가능하다는 점이 표시될 것

 

한편, 정보 주체는 언제든지 개인정보 처리에 대한 동의를 철회할 수 있으나, 철회는 철회 전에 이루어진 개인정보 처리의 적법성에 영향을 미치지는 않는다(제2항).

6) 개인정보 기록 보관 의무(제7조 및 제8조)

동 법은 개인정보 관리자와 처리자의 다양한 의무를 규정하고 있는데, 특히 개인정보 규제를 담당하는 UAE 정보청이 접근할 수 있도록 개인정보 기록을 보관할 의무를 부담한다는 점을 유의할 필요가 있다.  

7) 개인정보 침해 보고 의무(제9조)

개인정보 관리자는 개인정보 침해 사실을 알게 된 때 즉시 UAE 정보청에 이를 보고할 의무가 있다. 이 경우 개인정보 침해의 성격, 방식, 원인, 개인정보 보호 책임자(Date Protection Officer)의 정보, 개인정보 침해로 인해 잠재적으로 예상되는 효과, 개인정보 침해를 통제하고 부정적 효과를 최소화하기 위해 가능한 조치 등을 보고 내용에 포함해야 한다.

8) 개인정보 보호 책임자(Data Protection Officer)의 지정(제10조 내지 제12조)

개인정보 관리자와 처리자 모두 (i)개인정보 처리가 정보 주체 개인정보의 비밀과 사생활을 현저히 침해할 우려가 있는 경우, (ii)개인정보 처리가 민감정보의 조직적이고 종합적인 측정에 관련되는 경우, (iii)개인정보 처리가 대량의 민감정보에 관하여 이루어지는 경우를 위해 개인정보 보호 책임자를 지정해야 한다(제10조 제1항). 여기서 민감정보(Sensitive Personal Date)란 자연인의 가족, 인종, 정치적 또는 철학적인 의견, 종교적 신념, 형사기록, 생물학적 정보, 또는 건강과 관련된 여하의 정보 등을 직간접적으로 나타내는 정보를 말한다(제1조).

 

개인정보 보호 책임자의 지정이 필요한 구체적인 경우에 대해서는 시행령이 규정할 예정이다(제10조 제4항). 그 밖에 제11조는 개인정보 보호 책임자의 책임에 대해서, 제12조는 개인정보 보호 책임자에 대한 개인정보 관리자 및 처리자의 의무에 대해서는 각각 규정하고 있다.

9) 정보 주체의 권리(제13조 내지 제18조)

정보 주체는 처리 대상인 정보의 유형과 정보처리의 목적, 개인정보 보관 기간에 대한 통제 및 기준, 정보처리 수정, 삭제 또는 제한의 절차와 개인정보에 대한 이견, 국외 이전에 대한 보호조치, 개인정보 침해 시 조치 등에 관한 정보를 개인정보 관리자에게 무료로 요청할 수 있다(제13조 제1항). 그 밖에 정보 주체는 다음 권리를 갖는다. 

  - 개인정보 관리자로 하여금 다른 관리자에게 정보를 이전할 것을 요구할 권리(제14조 제2항)

  - 부정확한 정보를 지체없이 정정 또는 삭제할 것을 요구할 권리(제15조 제1항).

  - 정보 수집의 목적이 사라지거나, 정보 주체가 정보 처리에 대한 동의를 철회한 경우, 개인정보 관리자가 정보처리를 계속할 합법적인 이유(legitimate reasons)가 없거나, 정보 주체가 정보 처리에 반대한 경우, 개인정보가 법에 위반하여 처리된 경우 관리자에게 개인정보의 삭제를 요구할 권리(제15조 제2항)

  - 정보 주체가 정보의 부정확성, 목적에 벗어난 정보 처리, 법 위반에 대해 이의를 제기한 경우 개인정보 처리의 제한 및 정지를 요구할 권리(제16조 제1항)

  - 개인정보 처리가 마케팅 또는 통계조사를 위한 경우이거나 제5조에 따른 개인정보 처리 원칙을 위반한 경우, 개인정보 처리의 정지를 요구할 권리(제17조)

  - 정보 주체에게 법적인 영향을 미치거나 심각한 영향을 미치는 개인정보 자동 처리(프로파일링 포함) 결정에 반대할 권리(제18조)

 

이상의 정보 주체의 요구에 대하여 개인정보 관리자가 언제까지 회신해야 하는지, 요구 불응 시 제재에 관한 규정은 시행령에서 이루어질 것으로 예상된다.

 

10) 개인정보 영향 평가(제21조)

개인정보 관리자와 처리자 모두 개인정보 처리로 인하여 개인정보의 침해가 우려되는 경우 그 위험요인의 분석과 개선사항 도출을 위한 평가를 할 수 있는 기술적, 조직적 방법을 구축할 의무가 있다.

11) 개인정보의 국외 이전(제22조 및 제23조)

UAE 내 개인정보의 UAE 밖으로의 이전은 개인정보가 이전되는 국가의 개인정보 보호 규정 또는 해당 국가와의 개인정보 보호 관련 상호조약 내용에 따르는 것이 원칙이다(제22조). 이에 해당하지 않는 경우에는 개인정보는 다음의 경우에 한하여 국외로 이전될 수 있다(제23조).

  - 연방 개인정보보호법에 따른 내용들을 실시할 수 있도록 개인정보를 이전하는 자와 이전받는 자 사이에 계약이 체결된 경우

  - 공공의 안보와 이익에 반하지 않는 방법으로 정보 주체가 개인정보의 국외 이전에 동의한 경우

  - 국외 이전이 사법 절차에서 권리 행사 및 보호 의무 이행을 위해 필요한 경우

  - 국외 이전이 개인정보 관리자와 정보 주체 사이에 체결된 계약 또는 정보 주체의 이익을 위해 개인정보 관리자와 제3자 사이에 체결된 계약의 이행을 위해 필요한 경우

  - 국외 이전이 국제 사법 공조를 위해 필요한 경우

  - 국외 이전이 공익을 보호하기 위해 필요한 경우

12) 법 위반 시 제재

이상의 법 내용을 개인정보 관리자나 처리자가 위반할 경우의 제재 규정은 특별히 없다. 다만 정보 주체가 법 위반이 있다고 판단하는 경우 UAE 정보청에 민원을 신청할 수 있다고 되어 있고, 정보청은 개인정보 관리자나 처리자에게 행정벌을 부과할 수 있다고 규정하고 있어(제24조), 제재 관련 사항은 추후 공포될 시행령 등의 내용을 확인해야 할 것으로 보인다.  

 

3. 기타 UAE의 개인정보 보호 관련 규제

앞서 언급한 바와 같이 프리존인 DIFC, ADGM 그리고 두바이 헬스케어 시티는 별도로 개인정보 보호법을 두고 있기 때문에, 각 법령들이 개별적으로 적용된다. DIFC는 2020년, ADGM은 2021년부터 개인정보보호법을 새롭게 공포, 시행하고 있는데, 모두 유럽 GDPR과 유사한 내용으로 구성되어 있고 제재 강도도 높은 편이므로 해당 프리존에 법인을 설립하려는 한국 기업들은 관련 법령의 내용을 면밀히 살필 필요가 있다. 한편 그 밖의 프리존 및 UAE 역내에서는 행위 유형 및 사업 분야에 따라 형법, 사이버범죄법, 의료 부문의 정보 기술 사용에 관한 법, 소비자 보호법 등의 적용이 문제 될 수 있다.

 

먼저 형법 제379조는 직업상 다른 사람으로부터 위임받아 비밀을 보관하는 자는 동의가 있거나 법령에 의한 경우가 아닌 한 비밀을 이용하거나 공개해서는 안 된다고 규정하고 있으며, 이를 위반한 자는 1년 이하의 징역 또는 2만 디르함 이하의 벌금에 처한다. 동 조항은 의사의 환자 정보 유출과 같이 사무 위임이 있는 경우를 전제로 하지만, 개인정보의 이전과 처리에도 폭넓게 적용될 수 있기 때문에 유의할 필요가 있다.

 

사이버범죄법은 해킹 등 컴퓨터 시스템 및 정보에 권한 없이 접속하는 행위, 컴퓨터 네트워크를 사용하여 개인을 모욕하는 행위 등을 규율한다. 최근 신법(Federal Decree-Law No. 34 of 2021 Concerning the Fight Against Rumors and Cybercrime)이 2022년 1월 2일 발효되어, 종전 사이버범죄법(Federal Decree- Law No. 5 of 2012 on Combatting Cybercrimes)이 폐지되었으므로 변경된 내용을 확인할 필요가 있다.

 

의료 부문의 정보 기술 사용에 관한 법(Federal Law No 2 of 2019 on the use of Information Technology in the Healthcare Sector)에 따르면, UAE에서 행해지는 의료 조치에 관한 모든 환자 정보는 보안 처리되고 개인정보 보호 원칙에 따라 처리될 것이 요구된다. 특히 의료 관련 정부 기관의 특별 승인 없이는 국외로 환자 정보가 이전되는 것이 금지된다. 이과 관련하여 아부다비 보건부(Department of Health)는 더욱 구체적인 정보 처리 기준을 발표하여 많은 의료 관련 당사자들이 준수할 의무를 구체화하였는바, 다른 토후국의 의료 관련 정부 기관에서도 후속 기준을 발표할 것으로 예상된다.

 

소비자 보호법(Federal Law No 15 of 2020 on Consumer Protection)은 소비자 보호를 위한 일반법으로 2020년 11월 10일 공포되었는데, 제4조 제5호에서 소비자의 권리 중 하나로 소비자의 개인정보를 보호하기 위한 권리와 상업 및 홍보 목적으로 사용되지 않도록 할 권리를 규정하고 있다. 그러나 해당 권리들을 구체적으로 어떻게 행사할 것인지에 대한 하위법령은 아직 제정되지 않은 상황이다.

 

4. 마치며

이상과 같이 UAE의 개인정보 보호 관련 규제는 사업주체가 위치한 구역 및 사업 분야에 따라 다양한 법령이 적용되기 때문에, 법인 설립을 준비 중인 한국기업으로서는 사업 개시 후 받게 되는 규제 사항들을 미리 점검한 후 법인 설립지역을 정할 필요가 있다. 또한 연방 개인정보보호법을 비롯하여 더욱 구체적인 가이드라인이 이른 시일 내에 발표될 것으로 예상되는바, 규제 동향을 수시로 파악하는 것도 매우 중요하다. 참고로 연방 개인정보법에 의하면 시행령 공포가 법 공포일로부터 6개월이 지난 시점인 2022년 3월 20일까지 예정되어 있음에도 현재까지 발표되고 있지 않아 귀추가 주목된다. 

 

UAE의 개인정보보호 규제는 특히 최근 UAE 진출을 도모하고 있는 가상자산 관련 한국기업들이 사전에 반드시 확인해야 할 내용 중 하나라고 할 수 있다. 최근 발효된 두바이 가상자산규제법도 두바이 가상자산규제청(Dubai's Virtual Assets Regulatory Authority, VARA)의 권한으로서 가상자산 소유자의 개인 정보 보호를 위한 절차 정비를 명시하고 있다(제6조 제6호). 두바이 가상자산규제청의 가이드라인도 당초 6월경 발표될 것으로 예상되었으나 연방 개인정보보호법 시행령 공포와 맞물려 늦어지고 있는 것으로 보인다.

 

UAE의 개인정보 관련 규제 내용은 다음과 같은 정부 기관의 공식사이트에서도 확인할 수 있으니 참고하시기 바란다.

  - UAE Data Protection Law: https://u.ae/en/about-the-uae/digital-uae/data/data-protection-laws

  - DIFC Commissioner of Data Protection.: https://www.difc.ae/business/operating/data-protection/

  - ADGM Data Protection Office: https://www.adgm.com/faqs/data-protection-office

  - Abu Dhabi Department of Health standards: https://doh.gov.ae/en/resources/standards

  - Dubai Healthcare City Regulations: https://dhcr.gov.ae/en/laws-and-regulations

  - Telecommunications Regulatory Authority: https://www.tra.gov.ae/en/home.aspx

  - UAE government cyber laws portal: https://u.ae/en/resources/laws

 

※ 위 원고는 트라워즈 앤 햄린즈(Trowers & Hamlins LLP) 코리아 데스크의 윤덕근 변호사가 작성한 내용으로, KOTRA의 공식 의견이 아님을 알려드립니다. 위 정보에 대해 문의 사항이 있으시면, 윤덕근 변호사(tyun@trowers.com)에게 연락하시기 바랍니다.