탄자니아 의회는 2022년 11월 개인정보보호법(Personal Data Protect Act No. 11,2022)을 통과시켰고, 5개월 후인 올해 5월1일 발효되었다. 이 법은 탄자니아는 헌법 제16조(1977년)에 이미 명시된 바와 같이 개인의 사생활을 보호하기 위한 법적 프레임워크로 탄자니아의 개인정보 수집 및 처리에 대한 최소 요구사항을 규정했다.
개인정보보호법 개요
개인정보보호법은 탄자니아에서 개인정보를 수집하고 처리할 책임이 있는 공공 및 민간 기관 모두에 적용되며, 개인정보의 수집과 처리를 엄격히 통제하기 위해 마련되었다. 이 법안은 총 9개 부분으로 구성되어 있으며, 개인정보는 정보의 수집과 처리가 법에 규정된 원칙에 따라 투명하고 공정하게 이루어져야 하며, 개인정보 보호를 위한 법적 및 제도적 메커니즘 수립을 목표로 하고 있다.
구분 |
제목 |
1 |
총칙(Preliminary Provisions) |
2 |
개인정보보호위원회(Personal Data Protection Commission) |
3 |
데이터 수집가 및 처리자 등록(Registration of Data Collectors and Processors) |
4 |
개인정보의 수집, 사용, 공개 및 보존(Collection, Use, Disclosure and Retention of Personal Data) |
5 |
개인정보 역외(해외)전송(Transfer of Personal Data Outside Tanzania) |
6 |
개인정보 주체의 권리(Rights of Data Subjects) |
7 |
불만사항 조사(Complaint Investigations) |
8 |
재무 조항(Financial Provisions) |
9 |
부칙(Miscellaneous Provision) |
탄자니아 개인정보보호법에서의 개인정보란 다음을 포함하며, 모든 형태로 저장된 식별 가능한 개인 정보를 의미한다.
∙ 개인의 피부색, 국적, 부족, 종교, 나이 및 결혼 상태에 관한 정보
∙ 교육, 병력, 범죄 경력 및 고용에 관한 정보
∙ 개인을 식별하는 식별 번호 및 표시
∙ 주소, 지문 및 혈액형
∙ 관련된 다른 사람의 개인 데이터에 나타나거나 해당 이름을 공개하면 개인 정보가 노출될 수 있는 사람의 이름
한편, ‘민감한 개인정보’란 다음과 같이 정의하였다.
∙ DNA, 아동, 범죄, 개인의 금융 거래, 보안 정보 및 생체인식 정보
∙ 가공(처리)된 정보의 경우, 인종, 부족, 정치적 이념, 종교, 철학적 신념, 노동조합 가입 여부, 성별, 건강정보를 나타내는 개인정보
∙ 탄자니아 법률에 따라 데이터 주체(정보의 주체인 개인)의 권리에 중대한 영향을 미치는 것으로 간주되는 개인 정보
법의 목적
탄자니아 개인정보보호법은 개인정보의 수집 및 처리를 통제하기 위해 마련되었으며, 법에 따라 수집자와 처리자는 합법적으로 개인 정보를 수집∙처리하여 공정성과 투명성을 준수해야 한다. 또한 개인 정보는 지정된 적법한 목적을 위해 수집되고, 개인정보의 보안에 대한 책임은 수집자와 처리자에 부여된다. 개인정보의 보존 기간은 필요 기간을 초과하지 않아야 하며 데이터 주체의 권리를 침해하지 않아야 한다고 규정하였다.
개인정보보호위원회
탄자니아 개인정보보호법은 개인정보의 수집자 및 처리자의 등록과 민간 및 공공 부문에서 이루어지는 모든 개인정보 처리의 모니터링을 수행하는 개인정보보호위원회(Personal Data Protection Commission)를 설립하도록 규정하였다.
탄자니아 개인정보보호법은 민간 및 공공 부문에서 이루어지는 모든 개인정보의 수집과 처리과정을 관리 감독하도록 개인정보보호위원회(Personal Data Protection Commission)을 설립하도록 규정하였다. 개인정보보호위원회는 개인정보의 수집자 및 처리자 등록 업무를 주관하며, 개인정보의 수집∙보유∙이용∙제공에 있어 법규 준수 여부를 감시하고, 개인정보 보호에 대한 위반이 있는 경우 불만 접수와 조사를 수행한다.
데이터 수집자와 처리자의 등록
개인정보보호법은 탄자니아에서 개인정보를 수집하거나 처리하려는 개인 또는 기관은 개인정보위원회에 등록하도록 규정하고 있다. 등록증은 발급일로부터 5년간 유효하며, 등록 기간 만료 3개월 전에 갱신 신청을 해야 한다.
개인정보의 수집∙이용∙공개∙보유
개인정보는 합법적인 목적으로 수집되어야 하며 수집된 개인정보의 정확성 보장을 위해 개인정보 수집자에게 일련의 조치를 취하도록 의무를 부과한다. 또한 법률에 면제되는 특정 상황이 아닌 한 개인정보의 주체로부터 직접 수집하도록 하고 있으며, 수집된 개인정보는 △개인정보 주체의 동의가 있는 경우 △ 법률에 의해 허용된 경우 △ 공개가 개인정보의 수집 목적과 직접적으로 연관된 경우 △ 공익에 부합하는 경우 △통계 또는 연구 목적으로 해당 개인정보가 개인 주체를 식별하는 방식으로 게시되지 않는 경우에 한하여 공개가 가능하다. 또한 수집된 개인정보가 적법하지 않은 방식으로 접근, 파기, 변환되지 않도록 하는 효과적인 개인정보보안 시스템을 구축하고 관리해야 한다.
개인정보의 역외(해외)전송
제31조와 32조에서는 개인정보의 역외 전송에 대한 조건을 규정하고 있다. 개인정보에 대한 적절한 보안을 보장하는 법적 규제가 있는 국가에만 개인정보를 전송할 수 있다고 규정하고 있으며 개인정보의 수취인은 해당 개인정보 전송의 필요성을 정당화해야 하며, 개인정보 처리자는 개인정보를 역외로 전송하기 전에 중요성/필요성에 대한 평가를 수행하도록 규정하고 있다. 한편, 개인정보보호위원회는 개인정보를 역외로 전송하는 것을 금지할 수 있다.
개인 정보를 탄자니아 역외로 전송하는 경우 개인정보가 안전하게 보호될 수 있는 국가로만 반출할 수 있도록 규정하고 있으나, 개인정보 주체로부터의 동의를 얻는 것에 대한 요구사항은 설정하지 않았다.
개인정보 주체의 권리
개인정보보호법 제 6장에서는 개인정보 보호를 보장하기 개인정보 주체에게 다음과 같은 권리를 부여한다.
∙ 수집 및 처리된 개인정보에 접근권한
∙ 개인정보의 처리 제한
∙ 개인정보의 정정
∙ 개인정보 주체에게 영향을 미칠 수 있는 경우 데이터 수집자 및 처리자가 대신하여 내린 결정의 대상이 되지 않을 권리
∙ 개인정보가 불법 처리 또는 수집으로 인해 입은 손해에 대해 보상받을 권리
불만 사항 조사 및 위반에 대한 책임
개인정보보호법 위반이 발생한 경우 개인정보위원회는 법률에 명시된 바에 따라 90일 이내에 이에 대해 조사하고 위반 정도에 따라 처벌을 결정할 수 있다. 제60조에 의하면 본 법률을 위반한 불법적인 개인정보 공개는 개인의 경우 10만실링(약 43달러) 이상 2,000만 실링(약 8,600달러) 이하의 벌금 또는 10년 이하의 징역에 처해질 수 있으며, 경우에 따라 벌금과 금고형 모두 부과될 수 있다. 법인 및 단체의 대해서는 동 법률을 위반하여 개인정보를 공개할 경우 100만 실링(약 430달러)이상 50억 실링(약 212만 달러) 이하의 벌금에 처해질 수 있다.
한편, 법률에 위배되는 개인정보의 파기, 삭제, 은닉 또는 변경의 경우 10만 실링(약 43 달러) 이상 1,000만 실링(약 4,300달러) 이하의 벌금 또는 5년 이하의 징역에 처해질 수 있으며 경우에 따라 벌금과 금고형 모두 부과될 수 있다.
법인이 법률을 위반한 경우 의도적으로 이러한 위반을 승인한 임원에게는 법률 위반에 대한 책임을 부과한다.
시사점
탄자니아의 개인정보보호법이 발효됨에 따라 탄자니아 기업도 개인정보 수집 및 처리 과정에서 발생할 수 있는 여러 위험 요소를 제한하기 위해 개인정보의 수집부터 처리 보관에 이르기까지 해당 법률에 규정을 준수할 것으로 요구 받게 될 전망이다. 해당 법률을 위반할 경우 기업은 적게는 100만 실링(약 430달러)이상 많게는 50억 실링(약 212만 달러)의 벌금이나 금고형에도 처해질 수 있어 기업경영상의 리스크 요인이 추가된 셈이다.
다만, 전문가들에 따르면 법률에 향후 해결이 필요한 몇가지 불명확한 조항이 있다는 분석이다. 예를 들어 제35조에서는 상업적 광고 목적을 위한 개인정보 처리를 금지하고 있음에도 불구하고 개인정보 수집자/처리자가 다른 상업적 용도로 개인 정보를 처리하는 것에 대해서는 명확하게 제한하지 않아 모호하다. 또한 개인정보의 역외 전송에 있어서 개인정보의 주체자의 동의 권한을 부여하지 않아 개인정보 오용의 가능성이 있다. 이 외 제 34조 4항에 따르면 개인정보주체가 민감정보에 대한 동의를 할 능력이 없는 당사자를 대신하여 개인정보 처리에 동의할 수 있으나, ‘동의를 할 능력이 없는 당사자’에 대한 정의가 모호하다는 지적이 있다.
기업은 향후 개인정보를 다루는 전 과정에서 적법하게 관리될 수 있도록 시스템을 구축하고 모니터링 할 필요가 있어 해당 법률과 관련 정책을 숙지할 필요가 있다. 다만, 아직 법률에 일부 모호성이 있어 실무적인 관리와 운용에 다소 어려움이 예상되는 바 탄자니아에 진출하는 기업이 내부적으로 본 법률에 대한 이해와 조치가 어렵다면 현지 법률사무소를 통해 실무적인 도움을 받는 것을 고려해볼 필요가 있다.
자료: 탄자니아 정보, 통신 및 정보기술부, ABC 법무법인, Clyde and Co., KOTRA 다레살람무역관 자료종합
원문링크 | https://dream.kotra.or.kr/kotranews/cms/news/actionKotraBoardDetail.do?MENU_ID=70&pNttSn=202712 |
---|