태국, 5월 27일 신규 개인정보 보호법 전면 발효 예정 ‘국경 간 전송에도 적용’

[산업일보]
태국 개인정보 보호법이 오는 5월 27일 전면 발효된다. 이에 따라 정보통제자나 정보처리자 등 정보 이용자는 수집된 개인 정보 이용 또는 처리와 관련해 더욱 엄격한 규제를 받게 될 예정이나, 데이터 주체는 법적 보호를 받을 여지가 넓어지게 될 것으로 보인다.

KOTRA의 ‘신규 발효되는 태국의 개인정보 보호법’ 보고서에 따르면, 태국의 ‘개인정보 보호법(2019)’은 지난해 5월 27일 부분 발효됐으며, 1년의 유예 기간을 거쳐 2020년 5월 27일 전면 발효를 앞두고 있다.

2018년 5월 유럽연합(EU)의 ‘일반 개인정보 보호법(GDPR)’ 발효 이후 태국 정부는 태국 디지털경제사회부(MDES)를 주축으로 개인정보 보호법 제정을 명령, 공공부문과 민간 부문 모두 법규를 준수하도록 했다. EU는 태국의 중요 교역 대상국이며, GDPR은 EU 회원국 간 그리고 EU 이외의 국가들과의 국경 간 데이터 전송에 모두 적용되기 때문이다.


개인정보 보호법은 태국 내에 있는 개인정보가 정보통제자 또는 정보처리자에 의해 수집, 사용, 공개되는 경우에 적용된다. 또한, 해당 정보의 수집 사용·공개가 태국 내 또는 이외에서 이뤄지는 지와 관계없이 적용된다.

‘태국 정보보호 가이드라인 1.0’에 따르면 ‘정보주체(Data Subject)’는 개인 정보를 통해 식별 가능한 자연인을 의미한다. ‘정보통제자(Data Controller)’는 개인정보의 수집, 사용, 공개를 결정할 권한과 의무를 지닌 개인 또는 법인을 의미하며, ‘정보처리자(Data Processor)’는 정보통제자의 지시에 의해 개인정보의 수집, 사용 공개에 관한 업무를 수행하는 자로 정보통제자와 다른 별도의 개인 또는 법인을 일컫는다.

개인정보 보호법 제19조에 따라 정보통제자는 정보주체의 ‘사전동의’ 없이는 개인정보의 수집, 사용, 공개를 할 수 없다. 또한 데이터 규제 당국이 확인할 수 있도록 8가지의 의무 기록 보유 사항을 남겨야 하는 의무를 가지며, 해외에 거주하는 정보통제자는 태국 내 책임대표자를 선임해 정보통제자의 업무를 대신 수행하도록 해야한다.

정보주체에 대한 동의 요청은 서면 또는 전자 시스템을 통해 분명하게 기재돼야 하며, 데이터 수집, 사용, 공개의 목적이 나타나야 한다. 즉, 사전동의가 핵심, 직접 수집이 원칙이다.

정보주체는 개인정보 수집에 동의하기 전 정보 수집의 목적, 수집 정보의 법적 구속력 또는 계약의 효력 발생, 개인정보 보유 기간, 정보처리자 또는 정보통제자에 관한 사항, 정보보호관 연락처 등에 관한 정보를 제공받아야 하며, 제공 정보에 대한 철회권 및 거부권, 사용 요청, 위법 행위에 대한 이의제기권 등을 가진다.

KOTRA의 김민수 태국 방콕무역관은 보고서를 통해 ‘한국 기업들은 태국 개인정보 보호법에 따라 정보 주체가 태국에 소재하는 한 국경 간 전송에도 적용되므로, 개인정보의 수집 및 활용 시에 유의해야 한다’며 ‘필요하다면 태국 법률사무소 등을 통해 전문가로부터 법률 자문 등을 받는 것도 도움이 될 것’이라고 말했다.

한편, 태국 정부는 최근 코로나19 사태로 정부 및 기업 측에서 개인정보 보호법 시행과 관련한 충분한 준비를 할 여력이 없는 점을 인식해 법 발효 시점 연기에 대해 고려 중이다.