대만에서의 개인 데이터 보호

대만은 개인정보 보호와 관련된 사항을 전반적으로 규율하는 단일 법률인 개인정보보호법(PDPA)을 보유하고 있다. PDPA는 정부 기관뿐만 아니라 민간 기업과 개인에도 적용된다. 아울러 금융, 건강 및 보험을 포함한 특정 측면에서 개인정보를 보호하는 기타 법률 및 규정도 존재한다.

기본적인 수준의 데이터 보호를 제공하는 PDPA는 대만인과 외국인 모두에게 적용된다. 대만 국민의 개인정보를 수집, 처리 또는 사용하는 외국 단체도 PDPA에서 규정한 의무를 준수해야 한다.

감독 기관

대만 개인정보보호위원회(PDPC) 준비 사무국은 2023년 12월에 설립됐다. PDPC는 2025년 8월부터 단일 데이터 보호 기관으로 운영을 시작하며, PDPA를 집행하고 해석하며 데이터 보호와 관련된 사항을 감독할 예정이다.

동시에, 특정 산업에 대한 권한을 가진 다른 정부 기관들은 해당 특정 분야에서의 데이터 보호 문제를 계속 규제하게 된다.

예를 들어, 디지털 산업에 대한 권한을 가진 디지털부(MODA)는 PDPA 프레임워크를 기반으로 고급 데이터 보호 요건을 규정한 ‘디지털 경제 산업의 개인정보 안전 유지 규정'(MODA 규정)을 공포했다.

MODA 규정은 전자상거래, 소프트웨어, 컴퓨터 프로그래밍, 데이터 관리 및 정보 서비스 등의 사업에 적용된다.

사전 동의

PDPA에 따라 데이터 주체는 다음 사항을 통지받은 경우에만 유효한 정보 제공 동의를 할 수 있다:

1. 1. 수집/처리/사용 주체의 명칭;
   2. 수집/처리/사용의 목적;
   3. 수집된 개인정보의 유형;
   4. 수집된 개인정보의 사용 기간, 지역, 대상, 방법;
   5. 데이터 주체의 권리;
   6. 개인정보 공개 여부에 대한 데이터 주체의 결정이 그의 권리와 이익에 영향을 미치지 않는다는 점.

데이터 주체가 디지털 형식으로 동의를 제공할 수 있지만, 개인정보를 수집하는 주체는 데이터 주체가 적절히 동의했음을 입증할 책임이 있다.

개인 기관은 데이터 주체가 명시적으로 동의한 경우에만 수집 목적과 다른 목적으로 데이터 주체의 개인정보를 사용할 수 있다. 즉, 암묵적인 동의는 2차 사용에 적용되지 않는다.

데이터 주체의 명시적 동의를 받을 수 없는 경우, 해당 기관은 2차 사용에 대한 다른 법적 근거를 찾아야 한다.

데이터 보호 책임자

현행 PDPA에 따르면, 개인정보를 포함한 파일을 저장하는 민간 기관은 관리 인력이 포함될 수 있는 적절한 보안 조치를 취해야 한다. MODA 규정에 따라 디지털 경제 기관은 다음 업무를 전담하는 관리 인력을 지정해야 한다:

1. 1. 기관의 개인정보 보호 정책 수립/개정;
   2. 기관의 안전 유지 계획 수립/개정/시행.

2024년 12월, PDPC는 PDPA에 대한 개정을 제안하여 정부 기관과 PDPC가 지정한 민간 기관에 데이터 보호 책임자 및 데이터 보호를 담당하는 관리 인력을 임명할 의무를 부과했다. 기업들은 PDPA 개정의 향후 진행 상황에 주의를 기울이는 것이 현명할 것이다.

보안 조치

PDPA와 MODA 규정 모두 민간 기관이 수집하거나 저장한 개인정보의 보안을 보장하기 위한 의무에 대해 상세한 규정을 제시하고 있다. PDPA에 따르면, 민간 기관은 다음과 같은 데이터 보안 조치를 유지해야 한다:

1. 1. 관리 인력 지정;
   2. 개인정보의 범위 명확화;
   3. 위험을 평가하고 관리하는 메커니즘 채택;
   4. 데이터 유출 방지, 유출 사건 보고 및 즉각적인 조치를 위한 내부 규정 채택;
   5. 수집, 처리 및 사용에 대한 내부 표준 운영 절차(SOP) 채택;
   6. 정보 보안 담당자 임명/유지;
   7. 직원 대상 교육 세션 제공;
   8. 정보 서비스 장비의 보안을 보장하는 메커니즘 채택;
   9. 정보 보안 감사;
   10. 사용 기록 보존, 추적 및 증거화;
   11. 데이터 보호 관행을 개선하기 위한 계획 채택.

MODA 규정에 따르면, 디지털 경제 산업에 속한 기관은 직원들을 대상으로 다음과 같은 관리 활동을 수행해야 한다:

1. 1. 직원과 비밀유지계약(NDA)을 체결;
   2. 개인정보의 수집, 처리 또는 사용과 관련된 업무를 담당할 직원을 식별;
   3. 필요에 따라 각 직원의 개인정보 접근 권한을 결정하고, 해당 권한을 정기적으로 검토;
   4. 퇴사하는 직원에게 개인정보가 저장된 기기를 반환하고, 업무 수행 중 보유했던 개인정보를 삭제하도록 요청.

또한, MODA 규정에 따라 다음의 기록은 최소 5년간 보관되어야 한다:

1. 1. 수집, 처리 또는 사용 기록;
   2. 자동화 장비의 추적 정보;
   3. 기관의 데이터 보안 계획 준수를 입증하는 증거.

데이터 유출 통지

현행 PDPA에 따르면, 데이터 유출 사건이 발생한 경우, 민간 기관은 사건에 대한 명확한 이해를 얻은 후 정보 주체에게 이를 통지해야 한다.

통지는 정보 주체에게 구두/서면 진술, 전화 통화, 메시지, 이메일, 팩스 또는 기타 적절한 방식으로 이뤄질 수 있다. PDPA는 통지에 대한 특정 기한은 정하지 않았다.

반면, MODA 규정에 따르면 디지털 경제 산업에 속한 기관은 데이터 유출 사건 발생 후 72시간 이내에 관련 당국에 이를 보고해야 한다.

PDPA 개정안에 따르면, 민간 기관은 데이터 유출 사건을 인지했을 때, 그리고 해당 사건이 정보 주체의 권리와 이익에 심각한 피해를 줄 경우, 당국에 보고하고 정보 주체에게 통지해야 한다. 기업들은 PDPA 개정안의 향후 발전에 주의를 기울이는 것이 현명할 것이다.

마케팅 활용

PDPA에 따르면 정보 주체가 마케팅 목적의 모든 의사소통을 거부할 경우, 민간 기관은 즉시 해당 정보 주체의 개인 데이터를 마케팅 목적으로 사용하는 것을 중단해야 한다.

민간 기관은 처음으로 마케팅 목적으로 정보 주체에게 연락할 때, 옵트아웃할 수 있는 채널을 제공해야 한다. ‘마케팅’은 광범위하게 해석되며, eDM, 개인화된 서비스 또는 추천을 포함하여 제품이나 서비스를 홍보하는 거의 모든 종류의 활동을 포함한다.

크로스보더 전송

PDPA에 따르면, 정부 당국은 다음의 경우 민간 기관이 대만 영토 외부로 개인 데이터를 전송하는 것을 제한할 수 있다:

1. 1. 중대한 국가 이익이 관련된 경우;
   2. 국제 협정 또는 조약에 따라야 하는 경우;
   3. 수신국이 개인 데이터에 대한 적절한 보호를 제공하지 않는 경우;
   4. PDPA에 명시된 요구 사항을 회피하기 위해 전송이 이루어진 경우.

외국 기관도 동일한 의무를 부담해야 한다. MODA 규정에 따르면, 디지털 경제 산업에 속한 기관은 개인 데이터를 해외로 전송하기 전에 MODA가 부과한 제한 사항이 있는지 확인해야 한다. 또한, 해당 기관은 정보 주체에게 그들의 개인 데이터가 전송될 지역을 통지하고, 수신 기관의 이후 개인 데이터 사용을 감독해야 한다.

FORMOSA TRANSNATIONAL
Taipei 13th Fl, 136, Sec 3, Jen-Ai Road
Taipei 106 Taipei Taiwan
전화: 886 2 2755 7366
이메일: brian.hsieh@taiwanlaw.com
www.taiwanlaw.com/en/