홍콩 개인정보보호 법제 개요

홍콩의 개인정보보호 법제는 비교적 단순하며 기본법은 1996년 12월 발효된 <개인정보(프라이버시) 법령> (Personal Data (Privacy) Ordinance, 아래 PDPO 법령)이다. PDPO 법령은 2013년과 2021년에 총 2차례 개정을 거쳐 지난 10월부터 개정된 내용으로 시행되고 있다. 동 법령은 개인과 직간접적으로 관련된 모든 정보에 적용되며 개인정보를 수집∙보유∙처리∙사용하는 모든 민간과 공공 부문에 적용된다.

<홍콩 개인정보보호법 관련 용어 정의>

[자료: 홍콩 개인정보 감독기구(PCPD)]

PDPO 법령은 기본적으로 △ 개인정보의 수집을 최소화 △ 정보의 수집과 처리 방식의 투명성, 공정성 및 안정성 준수를 목표로 제정되었다. 부칙으로 ‘개인정보의 수집 목적 및 방식’, ‘정보의 정확성 및 보유기간’, ‘정보의 사용’, ‘정보보호를 위한 보안 조치’, ‘정보 사용∙처리의 투명성’과 ‘정보 접속 및 수정’ 등 6대의 개인정보보호 원칙을 정하고 있다.

<홍콩 개인정보보호법(PDPO법령)의 6대 정보보호 원칙>

[자료: 홍콩 개인정보 감독기구(PCPD)]

홍콩 개인정보 감독기구(Office of the Privacy Commissioner for Personal Data, PCPD)는 개인정보 보호를 추진하기 위해 설립된 독립기구로 홍콩 민간 또는 공공 부문에서 이루어지는 모든 개인정보 수집∙보유∙이용∙제공 등에 대해 조사를 수행하며 법규 준수 여부를 감시하고 있다.

준수사항 1 – 정보 수집∙처리에 대한 합법적인 목적과 방법 명시

PDPO 법령은 정보 사용자가 그의 직업이나 활동과 관련된 합법적인 목적을 가져 충분한 필요성을 보이는 상황에서만 개인정보를 취급할 수 있다고 규정하였다. 정보주체(즉 개인)로부터 정보를 직접 수집하는 경우 정보 수집의 목적, 정보 제공의 필수 여부, 정보 수정의 권리와 방법 등 사항을 정보주체에게 명확하게 고지해야 한다. 실무적으로 사업자들은 기업 홈페이지, SNS, 라이브 채팅 등 서비스를 제공하는 모든 곳에 기업의 개인정보보호 규칙과 정보 수집의 목적을 업로드하여 대외 공개할 의무가 있다.

준수사항 2 – 다이렉트 마케팅(direct marketing) 실시 시 개인으로부터 동의 취득

개인정보보호 정책의 또 하나의 원칙은 정보주체(개인)의 동의에 기초하여 개인정보를 수집∙이용∙제공하는 것이다. 정보 사용자 또는 처리자는 개인의 동의를 취득하기 위해 정보 처리 목적, 방법과 같은 내용을 사전에 충실히 알려야 하며 그 동의를 철회할 권리가 있음을 명시해야 한다. 정보주체의 자발적 동의 없이 수집된 개인정보를 새로운 목적으로 사용할 수 없다.

2013년 신설된 다이렉트 마케팅*(direct marketing) 관련 조항에 따르면, 잠재 고객에게 직접 광고를 실시할 시 광고될 상품 또는 서비스의 종류, 광고에 이용되는 개인정보의 범위(성함, 주소, 전화번호 등) 등을 고객에게 고지해야 한다. 업무 제휴 또는 공동 마케팅을 위해 개인정보를 외부의 제3자에게 제공하는 경우, 상기 사항과 더불어 제3자가 수행하는 업무 종류까지 알려야 하며 제3자에게 개인정보 제공을 거절하는 옵션도 부여해야 한다. 홍콩에서는 정보 이용약관이나 개인정보 마케팅 활용 동의서에 갖가지 개인정보 이용 내역을 열거해 소비자들로부터 동의를 받는 것이 일반적이다. 동의서 작성 시 ‘옵트인(Opt-in)’ 방식을 채택하여 정보 이용에 대한 개별적 동의를 받거나 반대로 ‘옵트아웃(Opt-out)’ 방식으로 정보주체가 정보 이용에 대한 거부 의사를 명시적으로 밝히지 않는 이상 정보 이용에 동의한 것으로 간주하고 마케팅을 진행할 수 있다.

*주: 상품 또는 서비스를 홍보하기 위해 잠재고객에게 직접 광고를 실시하는 것

<옵트인(Opt-in) 방식의 개인정보 마케팅 활용 동의서 예시>

[자료: 홍콩 개인정보 감독기구(PCPD)]

<옵트아웃(Opt-out) 방식의 개인정보 마케팅 활용 동의서 예시>

[자료: 홍콩 개인정보 감독기구(PCPD)]

준수사항 2 – 처리 목적에 더 이상 필요하지 않은 개인정보 삭제

개인정보의 보유 기한에 관련하여 PCPO 법령 제26조는 개인정보의 보존 기한을 처리 목적 달성에 필요한 최단 시간으로 규정하였다. 즉, 개인정보 사용자는 정보주체와의 약정에 따라 수집 목적에 있어 더 이상 필요하지 않은 개인정보를 삭제해야 한다. 실무적으로 고용자들은 인적자원 관리를 실행하기 위해 근로자의 근로계약서, 임금대장 등 개인정보를 보관할 수 있으나, 근로자가 퇴직할 경우 다른 규정이 있는 경우를 제외하고 퇴직일 기준으로 7년 이내에 퇴직자의 개인정보를 파기해야 한다. 참고로, 입사지원자의 개인정보는 불합격 통보일로부터 2년 이내에 파기해야 한다.   

준수사항 4 – 개인정보보호를 위한 보안 조치 취함

개인정보의 보안에 대한 책임은 정보 사용자에 부여되어 있어 정보 사용자는 개인정보 침해∙유출∙불법 열람 및 사용 등이 발생하지 않도록 최대한 노력과 조치를 취해야 한다. 또한 도급업체(정보 처리자) 측의 보안 결함으로 인한 개인정보 유출이나 오용에 책임을 질 수 있음을 주의해야 한다. 홍콩 개인정보 감독기구에서는 모든 기업과 기관에 자체 개인정보 보호관리 프로그램(Privacy Management Programme)의 도입을 권장하고 있으며 데이터 사용에 대해서 △ 데이터 암호화 △ 정보 유출위험 평가 △ 직원 훈련 등 사전 보안 조치를 시행하도록 권장하고 있다.

재택근무에 대한 개인정보보호 가이드라인

코로나19 장기화로 재택근무를 시행하는 기업이 증가하는 가운데 홍콩 개인정보 감독기구에서 기업들이 적용할 개인정보보호 관련 가이드라인을 발간하였다. 기업 차원에서는 △ 재택근무자를 대상으로 기본적인 IT 기기 및 보안 네트워크(VPN 등) 제공 △ 다중 인증*(Multi-Factor Authentication) 채택 △ 재택근무에 대한 보안 및 업무 지침 마련 등 조치를 참고할 수 있다. 특히 코로나19 사태로 화상회의 수요가 증가하면서 화상회의 참여자들의 개인정보 침해 위험을 최소화하기 위해 △ 업무용 계정 제공 △ 강력한 암호 정책 채택 △ 가상 대기실**(virtual waiting room) 활용 등 권고하고 있다.

주: *정보 사용자 식별∙인증을 위한 OTP(1회성 비밀번호) 등을 활용한 2단계 또는 다중 단계 인증 체계

**회의 가입 전의 대기 공간으로 채팅 관리자가 참가자의 입장을 수락할 수 있는 동시 불청객을 제외할 수 있음.

<홍콩 개인정보보호 감독기구 발간한 재택근무 시 개인정보보호 가이드라인>

[자료: 홍콩 개인정보 감독기구(PCPD)]

신상털기(doxxing)에 대한 규제 강화

2021년 홍콩 개인정보 감독기구는 타인의 개인정보 공개에 관한 이해를 돕기 위한 가이드라인을 수립하였다. 이는 여타 정보주체의 개인정보를 인터넷 포럼, SNS 등에 공개하는 신상털기*(doxxing) 행위를 금지한다고 규정하였다. PDPO법령의 제 64조에 따르면, 정보주체의 동의 없이 정보주체 또는 그 가족에게 피해를 입히고자 하는 의도를 가진 채 타인의 개인정보를 포함한 콘텐츠를 배포하는 경우 감독기관에서 관련 콘텐츠 제거를 요청할 수 있으며 범죄수사와 기소를 진행할 권한이 있다. 2020년 당국에서 발표한 민원 통계 자료에 따르면, 2020년 기준 접수된 총 4,862건의 개인정보 침해 관련 민원 중 약 25%가 신상털기와 관련된 민원이다. 따라서 온라인 서비스 제공자(현지∙해외 SNS 플랫폼 등)들은 신상털기 사태의 심각성을 인식하여 타인의 개인정보 공개에 유의해야 한다.

*주: ‘신상(身上)’과 ‘털기’의 합성어로 특정인의 신상 관련 자료를 인터넷 검색을 이용하여 찾아내어 다시 인터넷에 무차별 공개하는 행위

홍콩 내 취득한 개인정보의 해외제공

최근 중국본토에서 개인정보보호법 시행으로 우리기업들이 홍콩에서 취득한 개인정보의 해외 제공 문제에 대한 관심이 증가하고 있다. 홍콩은 중국본토와 별도의 개인정보보호 정책을 시행하고 있으며 개인정보의 해외제공에 대한 별도의 규정(PDPO 법령 제33조)이 정식적으로 시행되지 않았다. 단, 개인정보 감독기관에서는 향후 기업들이 관련 규정 도입에 대비할 수 있도록 지침을 발간하였다. 이에 따르면, 정보사용자는 정보주체와의 약정에 따라 수집 목적에 있어 다른 목적으로 개인정보를 해외로 제공하지 않도록 해야 하며 고객의 개인정보를 해외 파트너에 제공하는 경우에도 개인정보 손실이 발생하지 않도록 조치를 취해야 하며 관련 법적 책임도 져야 한다. 예를 들어 홍콩 현지 법인(정보사용자)이 고객의 개인정보를 해외 파트너에 제공하여 해외 파트너로부터 광고전화를 진행하는 경우, 홍콩 법인이 PDPO 법령에서 개인정보의 마케팅 활용에 관련된 규정을 준수해야 한다.

정식적으로 시행되지 않았지만 향후 개인정보 규정 강화에 대비하기 위해 PDPO 법령 제33조 내용을 미리 파악할 수 있다. 제33조에 따르면, 홍콩에서 수집된 개인정보를 해외로 제공 시 정보주체로부터 동의 취득 등 다음 요건 중 하나를 충족해야 한다. 이에 따라 개인정보 해외이전을 위한 동의서를 미리 작성할 수 있으며 홍콩 개인정보 감독기구에서 발간한 동의서 양식을 참고할 수 있다.  (https://www.pcpd.org.hk/english/resources_centre/publications/guidance/fact1_model.html )

<홍콩 내 취득한 개인정보를 해외로 제공 시 요건>

[자료: 홍콩 개인정보 감독기구(PCPD)]

시사점

개인정보보호에 투자할 인적 역량과 경제적 역량이 부족한 기업이라 하더라도 홍콩은 개인정보보호 규정이 비교적 단순하며 개인정보 감독기구에서 개인정보보호법 관련 규칙과 이를 이행하기 위한 단계별 조치 체크리스트를 제공하고 있으므로 이를 참고하여 안전한 업무환경을 구축할 수 있을 것이다. 또한 홍콩에서 시행되는 개인정보보호법은 해외 사업자에 적용되는 경우도 있으므로 우리기업들은 이 점을 고려하여 관련 정책을 숙지할 필요가 있다.

자료: 홍콩 개인정보 감독기구(PCPD), 한국인터넷진흥원, KOTRA 홍콩무역관 자료 종합