정치∙사회 인니 개인정보보호법, 국회 최종 승인 단계...위반 기업에게 벌금 폭탄 정치 편집부 2022-09-14 목록
본문
인도네시아가 정보 유출을 방지하고 데이터 보호를 강화할 목적으로 준비한 법령이 이를 위반한 기업들에게 중대한 위협이 되고 있다.
현재 국회의 최종 인준을 앞두고 있는 개인정보보호법(PDP)이 개인정보유출에 대해 책임이 있는 기업들에게 연 매출의 2%까지 벌금을 매길 수 있도록 규정하고 있기 때문이다.
12일 자카르타포스트에 따르면, 정보통신부 조니 G 쁠라테 장관은 정보를 취급하고 처리하는 기업들에게 사이버 공격을 막아낼 수 있는 강력한 암호보안체계를 구축하도록 요구할 것이며 이를 따르지 않아 정보유출사고가 발생할 경우 해당 기업에 부과되는 벌금은 터무니없다 할 정도로 엄청난 금액이 될 것이라고 경고했다.
이 법령은 행정제재와 형사처벌을 통해 정보취급업체와 처리업자들로 하여금 사용자들의 구체적인 개인정보 보호를 위해 새로운 데이터 관리 시스템 구축을 강제하려는 취지이며 지난 몇 년 사이 중대한 정보유출사고를 겪었던 인도네시아로서 매우 참신하고 강력한 정책이다.
정보통신부는 벌금을 최대 매출 2%까지로 정한 것이 그나마 많이 봐준 것이라고 강조한다. 유럽연합은 일반정보보호규정(GDPR)에 따라 다국적 기업의 경우 전 세계에서 일으킨 총 매출의 4%까지 벌금을 부과할 수 있도록 했기 때문이다.
정보 및 첩보 분야를 감독하는 국회 제1위원회의 압둘 카리스 아람샤리 부위원장은 과거에는 데이터 유출 범죄가 관대하게 처리되었지만 이제 개인정보보호법이 통과되면 정보유출에 대해 누가 책임을 져야 하며, 해당 사건을 형사사건으로 다룰지, 행정명령으로 처리할지, 어느 수준까지 처벌할지 등에 대한 기준이 명확해질 것이라고 설명했다.
해당 법령이 국회를 통과하면 형사처벌을 포함한 원칙과 규정들이 즉각 효력을 발휘하지만 이 법령을 준수할 수 있도록 각 기업들이 사이버 보안을 강화하는 등 관련 준비와 조정을 위해 2년간의 유예기간을 두고 정부의 행정명령 발동도 그 기간 만큼 유예할 수 있다.
EU에서 이와 비슷한 상황을 목도한 독일-인도네시아 상공회의소(EKONID) 마틴 코호우텍(Martin Kohoutek) 부소장은 2년이면 새로운 법령에 적응하기 충분한 기간이라고 평가했다.
하지만 당시 유럽에서 유예기간이 거의 다 끝나는 마지막 순간까지도 기업들이 좀처럼 스스로 조정하는 움직임을 보이지 않았던 것처럼 인도네시아에서도 똑같은 상황이 벌어질 것으로 전망했다.
더욱이 인도네시아 서비스 다이얼로그(ISD) 위원회의 조사에 따르면 해당 산업의 구성원 대부분이 개인정보처리 종료 같은 구체적인 규정 준수에 대해 회의적인 것으로 나타났다.
ISD의 데피 아리야니 대표는 기업들이 기꺼이 규정을 준수해 조정할 의사가 있다고 해도 실제로 관련 요건들을 모두 갖추려면 실무적인 지원과 지도가 필요하다고 말한다. 개인정보취급종료를 위한 데드라인에 맞출 준비가 된 기업들은 23%에 불과하고 나머지는 전혀 준비가 되어 있지 않기 때문이다.
하지만 개인정보보호법은 해당 산업이 어떻게 돌아가야 하는지를 시사하며 산업기반을 새로 구축할 것이며 소비자들의 신뢰를 얻는 것이 경쟁력의 기본임을 기업들에게 상기시키는 장치가 될 것이다.
인도네시아는 그동안 정보보호법을 가지고 있지 않아 여러 국제적 데이터 전송 시스템에서 제외되어 왔다. 이번에 오래 기다려 왔던 개인정보보호법이 마침내 발효되면 인도네시아는 같은 정보보호법을 가지고 있는 국가들의 커뮤니티에 비로소 입장할 수 있게 된다.
개인정보보호법 지지자들은 유럽연합에서 일반정보보호규정(GDPR)이 이루어낸 성과를 인도네시아에서도 누릴 수 있을 것이라고 기대한다. 인도네시아의 개인정보보호법은 사실상 유럽연합의 일반정보보호규정을 벤치마킹하여 만들어졌다.
코호우텍은 정보유출사고가 한 번 벌어지면 매체를 통해 크게 보도되므로 해당 사고를 내면 엄청난 벌금을 내도록 하는 법규정은 필연적으로 보다 철저히 정보보호가 가능하도록 시스템의 개선을 가져올 것이라고 주장했다.
해당 법령은 대기업에게만 적용되는 것이 아니라 상대적으로 작은 회사에도 똑같이 적용된다.
유럽연합에서도 일반정보보호규정이 발효되자 수많은 기업들이 이로 인해 중압감을 느끼고 각자 최선의 솔루션을 찾아 나섰으나 작은 회사들은 뭘 어떻게 해야 할지 몰라 속절없이 크게 흔들렸다.
싱가포르는 개인정보보호법(PDPA)이 강력하게 시행되는 나라로 유명하다. 호주, 동남아시아, 뉴질랜드, 한국을 아우르는 IBM 보안회사의 CTO인 페이 유엔웡(Pei Yuen Wong)은 싱가포르의 개인정보보호법(PDPA)이 은행법, 보험법 같이 개인정보보호가 필수적인 분야에서 개인정보보호가 어떤 식으로 이루어져야 하고 이에 실패할 경우 어떤 처벌이 따르는가에 대한 기본틀을 만들었다고 평가했다.
그 결과 관련 프로세스와 IT 보호장치의 개선이 이루어졌다. 이후 같은 위반 사례의 재발을 막기 위해 거대한 벌금을 매기는 것이 싱가포르 개인정보보호법의 대표적 특징이기도 하다
싱가포르의 개인정보보호위원회(PDPC)처럼 인도네시아의 개인정보보호법도 이를 감독하는 기관의 설립을 규정하고 있다.
개인정보보호법 위반 사례들은 개인정보보호위원회 공식 웹사이트에 있는 그대로 기록되어 공개되는데 이는 싱가포르가 국가적인 차원에서 개인정보보호 문제의 중요성을 얼마나 진지하게 받아들이고 있는가 보여주는 지점이다.
해당 법령 시행 후 싱가포르에 사업장을 가진 기업들 사이에서 데이터 유출에 대한 경각심이 커지고 졍보보호 방식의 성숙도도 높아진 것으로 나타났다.[자카르타포스트/자카르타경제신문]
- 이전글반뜬 주 찔레곤 시장, 교회 건축 반대로 종교의 자유 침해 논란 촉발 2022.09.14
- 다음글인도네시아의 이슬람 정당 통합개발당의 리더십 위기 2022.09.12
댓글목록
등록된 댓글이 없습니다.