보안뉴스 창간 17주년을 축하합니다!!

Home > 전체기사

신밧드의 나라 ‘오만’의 개인정보보호법과 집행 규정

입력 : 2024-04-03 12:03
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
알파벳 ‘O’로 시작하는 유일한 국가...2025년 2월부터 개인정보보호법 집행규정 발효

[보안뉴스 정규문 기자] 오만(Oman)은 아라비아반도 남동부에 위치한 국가로, 외교부 지정 명칭은 ‘오만 왕국’이며 정식 국명은 ‘오만 술탄국’이다. 수도는 항구도시로 인도양과 걸프만을 연결하는 요충지에 위치한 ‘무스카트(Muscat)’이며, 아랍어로는 마스카트(Masqaţ)라고 한다. 오만은 국토의 80%가 바위산으로 이루어져 있고, 아름다운 사막을 가지고 있으며, 아름다운 경관과 따뜻하고 친절해 신의 축북을 받은 나라로 불린다. 전쟁과 테러가 없는 평화로운 나라로 중동의 스위스라고도 불리며, 알파벳 O로 시작하는 유일한 국가이기도 하다. 또한 대한민국, 일본, 싱가포르 등의 바로 아래 단계에 위치할 만큼 치안이 좋으며 소매치기도 거의 없다.

[이미지=GettyImagesBank]


오만은 2022년 왕령으로 개인정보보호법을 공포했으며 이듬해 2월부터 발효했다. 페르시아 만안의 6개 아랍 산유국이 역내 협력을 강화하기 위해 결정한 지역협력기구인 GCC(Gulf Cooperation Council, 걸프협력이사회) 국가 대부분은 자체적인 개인정보보호법을 제정하고 있으며, 중동 지역의 정보보호법을 포함한 개인정보보호법은 유럽연합의 주요 정보보호법인 GDPR(General Data Protection Regulation)과 매우 유사하다. 오만 최초의 포괄적인 개인정보 관련 법인 개인정보보호법(PDPL : Personal Data Protection Law)은 2022년 2월 9일 왕령(Royal Decree) 6/2022으로 공포돼 2023년 2월 13일부터 발효됐다.

왕령 공포 후 교통통신정보기술부가 세부사항을 포함한 별도의 집행규정을 발표하기로 돼 있었지만 1년 이상 지연돼왔다. 그리고 개인정보보호법의 최초 공포일로부터 약 2년 후인 2024년 1월 29일 오만 교통통신정보부의 장관결정 34/2024로 관련 집행규정이 공포됐으며, 관련 허가 신청 접수 등의 절차 수립 등을 이유로 1년여의 유예기간을 거쳐 2025년 2월부터 적용할 예정이다.

이번 집행규정 발표는 관련 규정 미비로 개인정보보호법 준수가 어려웠던 기업들에 필요한 명확성을 제공함과 더불어 개인의 정보를 보호하고 책임있는 정보처리 관행을 장려하고자 하는 오만의 노력을 강조하고 있다.

오만 개인정보보호법에서의 주요 용어
오만 개인정보보호법에 표현된 주요 용어 정의를 살펴보면 ‘개인정보(Personal Data)’는 하나 이상의 식별자를 참조해 직간접적으로 자연인(Natural Person)을 식별하거나 식별할 수 있게 하는 정보를 뜻한다. 이는 이름이나 계좌 번호 등의 간단한 정보일 수도 있고, IP 주소, 사용자 이름, GPS 좌표와 같은 위치 정보 등의 디지털 식별 표시일 수도 있다.

개인의 정보는 이름이나 ID 번호, 이메일 등과 같은 처리 중인 정보를 통해 특정 개인을 식별할 수 있는 △직접 정보와 성별이나 생년월일, 차량 번호 등 서로 다른 출처의 정보를 결합해 특정 개인을 식별할 수 있는 △간접 정보로 나뉘는데, 어느 쪽이든 개인을 식별할 수 있다는 점에 유의해야 한다.

오만 개인정보보호법은 ‘Sensitive Personal Data’ 및 ‘Special Categories of Personal Data’와 관련한 별도의 정의가 없으며, 이러한 정보처리를 위한 조건이나 특정 안전장치도 없다. 대신 허가 없이 유전자 정보나 생체 정보, 건강 정보, 인종, 성생활, 정치 또는 종교적 의견, 철학적 신념, 범죄 전과 및 보안 조치와 관련한 개인정보 처리를 전면 금지하고 있으며, 보호자의 승인 없는 아동의 개인정보 처리도 금하고 있다.

오만 개인정보보호법에서는 ‘개인정보 통제자(Controller)’와 ‘개인정보 처리자(Processor)’를 명확하게 구분하고 있다. ‘개인정보 통제자’는 개인정보의 처리 목적과 수단을 결정하는 모든 단체로 어떤 정보를 처리하고 왜 처리하는지에 대한 결정을 내린다. ‘처리자’는 통제자를 대신해 개인정보를 처리하는 주체로 처리자가 처리의 일부 또는 전부를 다른 조직에 재위탁하는 경우 ‘하위 처리자(Sub-Processor)’라고 한다.

오만 개인정보보호법, 정보처리가 법적 의무의 이행
오만 개인정보보호법은 개인정보 처리에 대한 여러 합법적 근거를 제공하는 국제 정보보호법과 달리, 정보처리가 법적 의무의 이행이며, 중대한 이익 보고 또는 정보 주체가 당사자인 계약의 이행과 관련된 예외적인 상황을 제외하고는 정보처리 전 정보 주체의 명시적 동의(Express consent)를 요구한다. 집행 규정에서는 동의가 필요한 경우 행위능력자가 동의를 제공해야 하며, 동의에 강제성이 없어야 하고 서면 진술이나 전자적 수단 또는 개인정보 통제자가 결정하는 기타 수단을 통해 제공돼야 한다고 명시돼 있다. 이에 기업은 개인정보보호법 및 집행 규정에 따라 정보 주체의 동의를 수집하기 위한 적절한 동의 관리 절차를 구현해야 한다.

기업은 개인정보보호법에 따라 유전자 정보나 생체 이식 정보, 건강 정보, 인종, 정치적 또는 종교적 의견, 범죄 전과와 관련한 정보를 처리하기 위해 교통통신정보기술부의 허가를 받아야 한다. 오만 교통통신정보기술부는 집행규정 발표를 통해 관련 허가 승인 절차를 명확하게 하고 있으며, 허가의 유효기간은 5년이다.

허가신청서에는 ①개인정보 보호 책임자의 이름, 주소, 이메일 ②개인정보 처리 목적 ③처리할 개인정보의 식별 및 분류 ④개인정보 처리를 위해 계약한 업체(있는 경우) ⑤처리될 개인정보를 공개할 법인 또는 제3자 식별 ⑥개인정보가 전송되거나 저장될 장소 ⑦개인정보를 관리하고 보호하기 위한 시스템 ⑧그 외 교통통신정보기술부가 요청하는 정보 등이 등재돼야 한다.

개인정보 주체에게는 수집 동의의 철회와 수정 및 업데이트, 삭제 요청, 차단, 사본 요구, 다른 통제자에게 전송 요구 등의 권리가 있다. 집행규정에서는 통제자가 개인정보 주체의 요청을 접수한 날로부터 45일 이내에 응답해야 한다고 명시하고 있으며, 해당 기간 개인정보 주체는 요청 처리 시까지 개인정보 통제자에게 자신의 개인정보 처리 중단을 요청할 수 있다.

집행규정은 광고, 마케팅 또는 상업적 목적으로 자료를 전송하려면 정보 주체의 서면 동의가 필요하다고 규정하고 있다. 또한 이러한 마케팅 활동에서 기업은 개인정보 주체에게 지정된 정보를 제공하고 개인정보 주체가 이러한 자료의 구독을 취소할 수 있는 메커니즘을 구현해야 한다.

통제자처리자는 개인정보 및 개인정보에 접근할 권한이 있는 사람에 대한 설명과 개인정보 처리 기간, 처리 목적 및 정보 수신자 등 집행규정에 명시된 최소한의 정보를 포함하는 개인정보 처리 활동에 대한 특별기록(ROPA : Records of processing activities)을 작성해야 한다.

▲오만 교통통신정보기술부 웹사이트[이미지=오만 교통통신정보기술부 웹사이트 캡쳐]


개인정보 침해와 제공에의 규정
개인정보 침해가 개인정보 주체의 권리를 위협할 가능성이 있는 경우, 통제자는 침해 사실을 인지부터 72시간 이내에 오만교통통신정보기술부 내 관련 부서에 이를 통지해야 한다. 아동의 개인정보를 처리하기 전 아동의 보호자로부터 명시적인 동의를 얻어야 하며, 신원 확인 및 동의를 얻기 위해 아동으로부터 보호자의 최소한의 정보를 요청할 수 있다. 또한 보호자의 명시적인 동의를 얻은 경우를 제외하고는 아동의 개인정보를 공개하거나 제3자와 공유할 수 없다.

오만의 개인정보보호법은 타 개인정보보호법과는 다르게 개인정보 법적 처리 준수 여부 확인을 위해 통제자와 처리자가 외부 감사인(External Auditor)을 임명하도록 요구하고 있다. 집행규정에 따르면 감사인은 교통통신정보기술부의 인허가를 받은 독립적인 사람이어야 하며, 감사에 필요한 경우 통제자와 처리자는 감사인에게 기록과 시스템 정보를 제공해야 한다. 또 감사인이 임명된 날로부터 60일 이내에 감사인의 보고서 사본을 정부에 제공해야 한다.

또한 오만 개인정보보호법은 다른 국제 정보보호법과 다른 정보 전송 요건을 도입하고 있다. 오만을 벗어난 국외로 개인정보를 전송하기 전에 통제자는 정보 전송이 오만의 국가 안보나 국익을 훼손하지 않는다는 전제하에 개인정보 주체의 명시적 동의(Explicit Consent)를 얻어야 한다. 단 당사자인 계약에 따른 국제 의무 준수(사법 협력, 조세 협력 등)를 위해 전송이 필요하거나, 개인정보 주체의 신원을 감추기 위해 익명화한 정보는 동의가 필요없다. 또한 통제자는 개인정보를 국외로 전송하기 전에 외부 처리 주체가 오만 개인정보보호법 및 집행 규정에서 제공하는 보호 수준보다 더 높은 보호 수준을 제공하는 것을 보장해야 한다. 일반적으로 정보보호 당국이 제3국에 제공하는 보호 수준을 결정하는 다른 법률과 달리, 오만의 개인정보보호법에서는 통제자가 외부 처리자가 제공하는 보호 수준과 그러한 처리자에게 개인정보를 전송할 때의 위험에 대한 자체 평가를 수행해야 할 책임이 따른다.

규정 미준수 시, 승인 금지 및 최대 130만달러 벌금 등 부과
오만 교통통신정보기술부는 집행규정을 위반하는 경우 ‘경고’, 위반 사항이 시정될 때까지 ‘민감 정보의 승인 금지’, 각 위반에 대해 2,000오만리알(약 5,200달러)의 ‘행정 벌금 부과’ 또는 ‘면허 취소’ 등의 과태료를 부과할 수 있다. 또한 위반행위에 따라 최대 50만오만리알(약 130만달러)까지 벌금이 부과될 수 있으며, 오만 형법 및 기타 법률에 따른 기밀 공개 또는 기타 개인정보 관련 범죄에 대한 형사 처분은 계속 적용된다. 집행 규정은 1년의 유예기간을 제공하고 있으며, 이번 발표에 따라 관련 기관은 2025년 2월까지 집행 규정에 따른 개인정보보호 프레임워크를 구축해야 한다.

오만 내에서 사업을 운영하거나 오만 주체의 개인정보를 처리하는 등 오만 개인정보보호법의 적용을 받는 모든 사업체는 기존 정보 사용을 감사해 프로세스와 계약, 고지, 정책 및 직원 인식을 개선해 개인정보보호법을 준수할 수 있도록 조치해야 한다. 글로벌 개인정보보호 프로그램을 운영하는 사업사업체는 오만을 포함하도록 프로그램을 확장해야 하며 규정 준수를 위해 적절한 조처를 해야 한다.

KOTRA 무스카트무역관은 “급여, 인사, 채용, 마케팅 등을 아웃 소싱하는 경우 공급업체와 정보처리 계약을 체결해 개인정보보호법을 준수해야 하며, 공급업체의 별도 감사 진행이 필요할 것으로 보인다”고 조언했다.

이어 “개인정보보호법 제5조항에 따르면 건강 정보와 생체인식 정보 등 민감한 정보를 처리하고자 하는 모든 기업은 해당 정보처리 전 오만 교통통신정보기술부의 허가를 받아야 한다. 이 조항은 적용 범위가 넓어, 지문인식기 등 생체 정보를 사용해 직원의 출퇴근을 추적하는 조직, 직원 또는 고객에게 예방 접종 데이터 제공을 요구하는 조직, 고객에게 알레르기 요구 사항을 요청하는 조직, 그 외 개인의 건강 또는 생체 데이터를 요청하는 모든 조직에 적용될 수 있다는 점을 반드시 참고해야 한다”라고 덧붙였다.

오만 법률 아랍어본과 영문본 뜻 일치하지 않는 경우, 아랍어본 우선 적용
마지막으로 오만의 법률은 별도 영문 번역본 없이 아랍어 원문만 공포하는 것이 일반적이다. 오만 개인정보보호법에서는 아랍어로 [نقل]와 [تحويل]이라는 용어를 사용하는데, 이 두 용어는 영어로 번역할 경우 둘 다 전송(Transfer)으로 번역할 수 있으며, 그 외의 뜻인 이동(Transport)으로 번역하면 정보의 물리적 이동을 의미할 수 있다. 이렇듯 오만 법률에서 아랍어본과 영문본의 뜻이 일치하지 않는 경우 아랍어본이 우선(Prevail)된다. 따라서 법률 내용에 대한 최종 해석과 결정은 관련 법무법인과의 상담을 통해 이루어져야 함을 꼭 기억해야 한다.
[정규문 기자(kmj@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
 하이젠 파워비즈 23년 11월 16일~2024년 11월 15일까지 아스트론시큐리티 파워비즈 2023년2월23일 시작 위즈디엔에스 2018 넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지
설문조사
3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
영상정보처리기기 및 안전조치 기준
개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
손해배상책임 의무대상자 변경 및 확대
공공기관 개인정보 보호수준 평가 확대
기타(댓글로)