싱가포르, 개인정보 보호법 위반기업에 첫 처벌사례 발생

- 총 11개 기업 및 기관에 벌금형, 경고조치 및 지침 발부 -

- 개인정보 수집 및 관리 기업은 해당 법규 내용 파악 및 준수에 힘써야 -

□ 싱가포르 정부, 개인정보 보호법 위반한 11개사 처벌

 ○ 2016년 4월 21일, 개인정보 보호법을 위반한 11개사에 대한 처벌 내용 발표

  - 싱가포르 정부는 개인정보 보호법을 위반한 11개 기업 및 기관에 대해 벌금형, 경고조치, 지침발부 등의 처벌을 내림.

  - 이는 개인정보 보호법 위반에 대한 싱가포르 최초의 처벌 사례임.

 ○ 4개사, 5000~5만 싱가포르달러의 벌금형에 처해짐.

  - K Box Entertainment Group은 고객 개인정보 보호를 위한 적절한 보안조치 및 방침 부재로 2014년 9월 pastebin.com 웹사이트에 31만7000명의 회원들의 개인정보가 유출 및 업로드돼 5만 싱가포르달러의 가장 큰 벌금형에 처해짐.

  - 위의 K Box사의 콘텐츠 관리 시스템 운영을 담당하는 IT 회사인 Finantech Holdings는 고객사의 보안 취약점을 개선하지 않고 방관한 죄로 1만 싱가포르달러의 벌금형에 처해짐.

  - 싱가포르 엔지니어학회(Institution of Engineers Singapore)는 적절한 보안조치를 시행하지 않아 2014년 10월 4000명 이상 회원의 연락처, 비밀번호 등 개인정보가 유출돼 1만 싱가포르달러의 벌금형에 처해짐.

  - 건강보조식품 공급사 Fei Fah Medical Manufacturing은 2014년 9월, 900명 이상의 고객 개인정보 데이터를 유출해 5000싱가포르달러의 벌금형에 처해짐.

 ○ 6개사에 경고조치, 1개사에 지침 발부

  - 6개사는 개인정보관리 부주의에 대해 경고조치를 받음.

  - 해당 기업 및 기관은 Challenger Technologies, Xirlynx Innovations, Full House Communications, Metro, Singapore Computer Society, YES Tuition Agency 등임.

  - Universal Travel Corporation(UTC)의 경우 개인정보 보호 방침을 개선하도록 지침을 발부받음.

□ 싱가포르 개인정보 보호법(Personal Data Protection Act, PDPA)

 ○ 2014년 7월 2일부로 전격 시행된 PDPA

  - 2012년 도입된 개인정보 보호법(Personal Data Protection Act, PDPA)은 2013년 1월부터 18개월 동안 단계적으로 시행됨. 이는 기업 및 기관들이 내부 개인정보 보호 정책 및 운영방안을 검토하고 PDPA를 준수하기 위한 준비기간을 마련해주기 위함임.

  - 2013년 1월, 개인정보보호위원회(Personal Data Protection Committee, PDPC) 구성을 시작으로 2014년 1월에는 Do Not Call(DNC) Registry가 시행되고, 2014년 7월 전반적인 데이터 보호 규정이 시행되면서 PDPA가 전격 시행됨.

  - 싱가포르 개인정보 보호법(PDPA)은 크게 ‘개인정보 보호(personal data protection)’와 ‘수신 거부 등록(Do Not Call(DNC) Registry)’으로 구성돼 있음.

 ○ PDPA 하에서 기업들은 아래의 9가지 의무사항을 지켜야 함.

 ○ 이에 대해 싱가포르 정부는 기업에 아래와 같은 가이드라인을 제시하고 있음.

 ○ 수신 거부 등록(Do Not Call(DNC) Registry)

  - 전화, 문자, 팩스 등을 통한 원하지 않는 텔레마케팅 메시지 수신을 막기 위한 조치로, 개인의 전화번호를 DNC에 등록하면 기업은 해당 번호로 텔레마케팅 메시지를 발신할 수 없음.

  - 개인이 구매한 상품 및 서비스에 대한 서비스 전화 또는 메시지, 기업을 대상으로 하는 텔레마케팅 전화 또는 메시지는 제외됨.

  - 기업은 텔레마케팅 메시지를 발신하고자 할 경우, ① DNC 등록 여부를 확인하고, ② 해당 메시지를 발신하거나 발신을 승인한 기업의 연락처 정보를 제공해야 하며, ③ 전화할 경우 발신 번호가 표시되도록 해야 함.

  - 하지만, 개인으로부터 텔레마케팅 메시지 수신에 대한 서면 또는 입수 가능한 형식의 동의서를 받았다면, DNC 등록 여부와 관계없이 메시지를 보낼 수 있음.

 ○ 참고: 관련 기관

□ 시사점 및 전망

 ○ 싱가포르 진출 우리 기업, 고객 개인정보 관리에 각별히 주의 필요

  - 싱가포르 정부는 개인정보 보호에 대한 고강도 관리 의지를 보이고 있음.

  - 싱가포르는 'Fine(벌금) Country'라 불릴 만큼 규정 위반에 대한 처벌 수준이 강력하므로, 해당 법규 내용 파악 및 준수에 힘써야 함.

  - 사내 개인정보 관리 담당관 임명, 고객 데이터 보호 시스템 도입, 정기 감사 시행 등을 통해 싱가포르 개인정보 보호법에 명시돼 있는 의무사항을 잘 수행해야 함.

  - 또한, 많은 기업이 비용 편익을 위해 데이터 관리 등 IT 업무를 아웃소싱하는데, 개인정보 보호법을 위반해 양쪽 모두가 처벌받은 이번 사례를 고려했을 때, 아웃소싱을 하는 경우에도 데이터 보안에 각별한 주의를 기울여야 함.

  - 아웃소싱을 고려하는 경우 그로 인한 위험요소 분석 및 위험 관리 방안에 대한 고려가 필요함.

 ○ 개인정보 보호를 위한 규제 강화될 전망

  - 싱가포르는 스마트네이션으로 거듭나기 위해 힘쓰고 있으며, 이를 위해 데이터 센터 유치, 데이터 시장 구축 등을 계획하고 있음. 데이터를 ‘새로운 자원(new oil)’이라고 부를 정도로 그 중요성과 잠재력에 주목하고 있는 만큼, 개인정보 보호 및 보안 강화 움직임은 지속될 것으로 보임.

  - Leong Keng Thai 개인정보 보호위원회(PDPC) 회장은 “개인정보 보호법은 비즈니스 경쟁력 강화를 위한 개인정보 사용을 막고자 하는 것이 아니다. 우리는 오늘날의 경제에서 데이터가 혁신을 위해 필수적인 요소라는 것을 인지하고 있다”며 “다만 개인정보를 다른 상업적으로 민감하거나 가치 있는 정보들처럼 똑같이 책임감을 가지고 다루며 보호 조치를 취해야 한다”고 이야기함.

  - 다른 PDPC 대변인은 “데이터 보호 체계의 부재는 오히려 국경을 뛰어넘는 정보의 흐름을 저해할 것이며, 이는 글로벌 경제 속에서 싱가포르 비즈니스에 불이익으로 작용할 것”이라고 하며 개인정보 보호정책의 중요성을 강조함.

자료원: The Straits Times, Business Times, Today 및 KOTRA 싱가포르 무역관 자료 종합