오만 개인정보보호법 제정

GCC 국가 대부분은 자체적인 개인정보보호법을 제정하고 있으며, 중동 지역의 정보보호법을 포함한 개인정보보호법은 유럽연합의 주요 정보보호법인 GDPR(General Data Protection Regulation)과 매우 유사하다. 오만 최초의 포괄적인 개인정보 관련법인 개인정보보호법(Personal Data Protection Law, PDPL)이 2022년 2월 9일 왕령(Royal Decree) 6/2022로 공포되어 2023년 2월 13일부터 발효되었다. 왕령 공포 이후 교통통신정보기술부가 세부사항을 포함한 별도의 집행규정(Executive Regulation)을 발표하기로 되어 있었으나 규정 발표가 1년 이상 지연돼 왔다. 개인정보보호법 최초 공포일로부터 약 2년이 지난 2024년 1월 29일 오만 교통통신정보부의 장관결정(Ministerial Decision) 34/2024로 관련 집행규정이 공포됐으며, 공포된 내용은 관련 허가 신청 접수 등의 절차 수립 등을 이유로 1년간의 유예 기간을 거쳐 2025년 2월부터 적용할 예정이다. 이번 집행규정 발표는 관련 규정 미비로 개인정보보호법 준수가 어려웠던 관련 기업들에 필요한 명확성을 제공함과 동시에 개인의 정보를 보호하고 책임있는 정보처리 관행을 장려하고자 하는 오만의 노력을 강조하고 있다.

오만 개인정보보호법에서의 용어 정의

오만 개인정보보호법에서의 개인정보(Personal Data)는 “하나 이상의 식별자를 참조하여 직간접적으로 자연인(natural person)을 식별하거나 식별할 수 있게 하는 정보”를 뜻한다. 이는 이름이나 계좌 번호와 같은 간단한 정보일 수도 있고, IP 주소, 사용자 이름 또는 GPS 좌표와 같은 위치 정보 등의 디지털 식별 표시일 수도 있다. 개인의 정보는 이름, ID 번호, 이메일 주소 등과 같은 처리 중인 정보를 통해 특정 개인을 식별할 수 있는 직접 정보와 성별, 생년월일, 차량 번호 등 서로 다른 출처의 정보를 결합하여 특정 개인을 식별할 수 있는 간접 정보로 나뉘는데, 어느 쪽이든 개인을 식별할 수 있다는 점에 유의해야 한다. 오만 개인정보 보호법은 “Sensitive Personal Data” 및 “Special Categories of Personal Data”와 관련한 별도의 정의가 없으며, 이러한 정보를 처리하기 위한 조건 또는 특정 안전장치가 없다. 대신 허가 없이 유전자 정보, 생체 정보, 건강 정보, 인종, 성생활, 정치 또는 종교적 의견, 철학적 신념, 범죄 전과 및 보안 조치와 관련된 개인정보 처리를 전면 금지하고 있다. 또한, 보호자의 승인이 없는 한 아동의 개인정보 처리를 금지하고 있다.

오만 개인정보보호법에서는 개인정보 통제자(Controller)와 개인정보 처리자(Processor)를 명확히 구분하고 있다. 개인정보 통제자는 개인 정보의 처리 목적과 수단을 결정하는 모든 단체로 어떤 정보를 처리하고 왜 처리하는지에 대한 결정을 내린다. 처리자는 통제자를 대신하여 개인 정보를 처리하는 주체로 처리자가 처리의 일부 또는 전부를 다른 조직에 재위탁하는 경우에는 Sub-Processor(하위 처리자)라고 한다.

오만 개인정보보호법 및 집행규정의 주요 요구 사항

1)  개인정보 처리에 대한 여러 합법적 근거를 제공하는 국제 정보보호법과 달리, 오만 개인정보보호법은 정보 처리가 법적 의무의 이행, 중대한 이익 보고 또는 정보 주체가 당사자인 계약의 이행과 관련된 예외적인 상황을 제외하고는 정보 처리 전 정보 주체의 명시적 동의(Express consent)를 요구한다. 집행규정에서는 동의가 필요한 경우 행위능력자가 동의를 제공해야 하며, 동의에 강제성이 없어야 하고, 서면 진술이나 전자적 수단 또는 개인정보 통제자가 결정하는 기타 수단을 통해 제공되어야 한다고 명시되어 있다. 따라서 기업은 개인정보보호법 및 집행 규정에 따라 정보 주체의 동의를 수집하기 위한 적절한 동의 관리 절차를 구현해야 한다.

2) 개인정보보호법에 따라 기업은 유전자 정보, 생체 인식 정보, 건강 정보, 인종, 정치적 또는 종교적 의견, 범죄 전과와 관련된 정보를 처리하기 위해 교통통신정보기술부의 허가를 받아야 한다. 오만 교통통신정보기술부는 이번 집행규정 발표를 통해 관련 허가 승인 절차를 명확히 하고 있으며, 허가의 유효기간은 5년이다. 허가 신청서에는 ①개인정보 보호 책임자의 이름, 주소 및 이메일, ②개인 정보 처리 목적, ③처리할 개인 정보의 식별 및 분류, ④개인 정보 처리를 위해 계약한 업체(있는 경우), ⑤처리될 개인 정보를 공개할 법인 또는 제3자 식별, ⑥개인 정보가 전송되거나 저장될 장소, ⑦개인 정보를 관리하고 보호하기 위한 시스템, ⑧그 외 교통통신정보기술부가 요청하는 정보 등이 기재되어야 한다.

3) 개인정보 주체에게는 수집 동의의 철회, 수정 및 업데이트, 삭제 요청, 차단, 사본 요구, 다른 통제자에 전송 요구 등의 권리가 있다. 집행규정에서는 통제자가 개인정보 주체의 요청을 접수한 날로부터 45일 이내에 응답해야 한다고 명시하고 있으며 해당 기간 동안 개인정보 주체는 요청 처리 시까지 개인정보 통제자에게 자신의 개인정보 처리 중단을 요청할 수 있다.

4) 집행규정은 광고, 마케팅 또는 상업적 목적으로 자료를 전송하려면 정보 주체의 서면 동의가 필요하다고 규정하고 있다. 또한 이러한 마케팅 활동에서 기업은 개인정보 주체에게 지정된 정보를 제공하고 개인정보 주체가 이러한 자료의 구독을 취소할 수 있는 메커니즘을 구현해야 한다.

5) 통제자와 처리자는 개인정보 및 개인정보에 접근할 권한이 있는 사람에 대한 설명, 개인 정보가 처리되는 기간, 처리 목적 및 정보 수신자 등 집행규정에 명시된 최소한의 정보를 포함하는 개인정보 처리 활동에 대한 특별기록(ROPA, Records of processing activities)을 작성해야 한다.

6) 개인정보 침해가 개인 정보 주체의 권리를 위협할 가능성이 있는 경우 통제자는 침해 사실을 인지부터 72시간 이내에 오만교통통신정보기술부 내 관련 부서에 이를 통지해야 한다. 아동의 개인정보를 처리하기 전 아동의 보호자로부터 명시적인 동의를 얻어야 하며, 신원 확인 및 동의를 얻기 위해 아동으로부터 보호자의 최소한의 정보를 요청할 수 있다. 또한 보호자의 명시적인 동의를 얻은 경우를 제외하고는 아동의 개인 정보를 공개하거나 제3자와 공유할 수 없다.

7) 타 개인정보보호법과는 다르게 오만의 개인정보보호법은 개인정보 법적 처리 준수 여부 확인을 위해 통제자와 처리자가 외부 감사인(External Auditor)을 임명하도록 요구하고 있다. 집행규정에 따르면 감사인은 교통통신정보기술부의 인가 및 허가를 받은 독립적인 사람이어야 하며, 통제자와 처리자는 감사에 필요한 경우 감사인에게 기록과 시스템, 정보를 제공해야 한다. 또한 감사인이 임명된 날로부터 60일 이내에 감사인의 보고서 사본을 정부에 제공해야 한다.

8) 오만 개인정보보호법은 다른 국제 정보보호법과 다른 정보 전송 요건을 도입하고 있다. 오만을 벗어난 국외로 개인 정보를 전송하기 전에 통제자는 정보 전송이 오만의 국가 안보 또는 국익을 훼손하지 않는다는 전제하에 개인정보 주체의 명시적 동의(explicit consent)를 얻어야 한다. 단 당사자인 계약에 따른 국제 의무 준수를 위해 전송이 필요하거나(사법 협력, 조세 협력 등), 개인정보 주체의 신원을 감추기 위해 익명화한 정보는 동의가 필요하지 않다. 또한 통제자는 개인 정보를 국외로 전송하기 전에 외부 처리 주체가 오만 개인정보보호법 및 집행규정에서 제공하는 보호 수준보다 더 높은 보호 수준을 제공하는 것을 보장해야 한다. 일반적으로 정보보호 당국이 제3국에 제공하는 보호 수준을 결정하는 다른 법률과 달리, 오만의 개인정보보호법에서는 통제자가 외부 처리자가 제공하는 보호 수준과 그러한 처리자에게 개인 정보를 전송할 때의 위험에 대한 자체 평가를 수행해야 할 책임이 따른다.

규정 미준수의 결과

오만 교통통신정보기술부는 집행규정을 위반하는 경우 경고, 위반 사항이 시정될 때까지 민감 정보의 승인 금지, 각 위반에 대해 2,000오만 리알(약 5,200달러)의 행정 벌금 부과 또는 면허 취소 등의 과태료를 부과할 수 있다. 또한, 위반 행위에 따라 최대 500,000오만 리알(약 1,300,000달러)까지 벌금이 부과될 수 있다. 오만 형법 및 기타 법률에 따른 기밀 공개 또는 기타 개인정보 관련 범죄에 대한 형사 처분은 계속 적용된다.

시사점

집행규정은 1년의 유예 기간을 제공하고 있으며, 이번 발표에 따라 2025년 2월까지 관련 기관은 집행규정에 따른 개인정보보호 프레임워크를 구축해야 한다. 오만 내 사업을 운영하거나, 오만 주체의 개인정보를 처리하는 등 오만 개인정보보호법의 적용을 받는 모든 사업체는 기존 정보 사용을 감사하여 프로세스, 계약, 고지, 정책 및 직원 인식을 개선하여 개인정보보호법을 준수할 수 있도록 조치를 해야 한다. 글로벌 개인정보보호 프로그램을 운영하는 사업체는 오만을 포함하도록 프로그램을 확장해야 하며 규정 준수를 위해 적절한 조치를 취해야 한다. 급여, 인사, 채용, 마케팅 등을 아웃소싱하는 경우, 공급업체와 정보 처리 계약을 체결하여 개인정보보호법을 준수해야 하며 공급업체의 별도 감사 진행이 필요할 것으로 보인다.

개인정보보호법 제5조항에 따르면 건강 정보, 생체 인식 정보 등 민감한 정보를 처리하고자 하는 모든 기업은 해당 정보처리 전 오만 교통통신정보기술부의 허가를 받아야 한다. 이 조항은 적용 범위가 넓어, 지문 인식기 등 생체정보를 사용하여 직원의 출퇴근을 추적하는 조직, 직원 또는 고객에게 예방 접종 데이터 제공을 요구하는 조직, 고객에게 알레르기 요구 사항을 요청하는 조직, 그 외 개인의 건강 또는 생체 데이터를 요청하는 모든 조직에 적용될 수 있는 점 참고가 필요하다.

오만의 법률은 별도 영문 번역본 없이 아랍어 원문만 공포하는 것이 일반적이다. 오만 개인정보보호법에서는 아랍어로 [نقل]와 [تحويل]이라는 용어를 사용하는데, 이 두 용어는 영어로 번역할 시 둘 다 전송(Transfer)으로 번역할 수 있으며, 그 외의 뜻인 이동(Transport)으로 번역될 시 정보의 물리적 이동을 의미할 수 있다. 이렇듯 오만 법률에서 아랍어본과 영문본의 뜻이 일치하지 않는 경우 아랍어본이 우선(Prevail)되는 점 참고가 필요하다.

※ 본 해외시장뉴스는 기업의 참고를 위한 동향 정보로, 관련 업무 진행시에는 반드시 상세내용을 직접 확인하여 주시기 바랍니다.

자료: PWC, Clyde & Co, Al Tamimi & Co, Degree.om, 현지언론 종합