[기고] 인도네시아 핀테크 분야에서의 개인정보보호

 이대호 변호사 법무법인(유) 세종

 핀테크 산업과 및 핀테크 사업자의 개인정보보호

인도네시아 금융감독청(Otoritas Jasa Keuangan; OJK)의 2022년 보고서에 따르면, 인도네시아의 P2P 대출 사업자의 총 자산은 전통적인 소액 대출 위주의 금융기관이 보유한 총 자산의 약 4배에 이르고 있다. 인도네시아 P2P 대출 산업의 급속한 성장이라는 긍정적 측면과 별개로, 그동안 P2P 대출 산업 내에서 채권 회수방법의 위법성, 다소 높은 이자율, 개인정보보호의 미비, P2P 대출 사업자의 난립 등의 문제로 인하여 P2P 대출 산업에 대한 비판도 꾸준히 제기돼 왔다. 특히, OJK의 허가를 받지 않은 불법적인 P2P 대출 사업자의 존재 등으로 인하여 P2P 대출 산업에 대한 불신이 확산되기도 하였다. 이에 P2P 대출 산업의 성장에 따른 규제 공백을 보완하고 소비자 보호를 제고하며 개인정보보호의 강화 등을 위하여 2022년 7월 4일 「2022년 제10호 정보기술기반 자금조달서비스에 관한 OJK규정」(PERATURAN OTORITAS JASA KEUANGAN REPUBLIK INDONESIA NOMOR 10/POJK.05/2022 TAHUN 2022 TENTANG LAYANAN PENDANAAN BERSAMA BERBASIS TEKNOLOGI INFORMASI, 이하 “POJK 10/2022”)이 제정 및 공포되었다.

POJK 10/2022에 의하면, P2P 방식의 대출에 있어서 자금제공자(대주)와 자금수령자(차주) 사이의 대출계약은 ‘전자문서’에 의하도록 하고 있고 그러한 ‘전자문서’의 내용에는 “당사자의 신원”이 필수적으로 포함돼야 한다. 그리고 POJK 10/2022에서는 핀테크 사업자들 사이의 데이터 교환행위를 가능하도록 규정하면서 그러한 데이터의 교환 협력은 개인정보보호에 관한 법령의 규정에 따르도록 하고 있다. 즉, P2P사업자의 경우 자금제공자 및 자금수령자의 금융정보를 보유하고 있는 자로서 인도네시아 개인정보보호에 관한 법률(UNDANG-UNDANG REPUBLIK INDONESIA NOMOR 27 TAHUN 2022 TENTANG PELINDUNGAN DATA PRIBADI, 이하 “개인정보보호법”) 상의 ‘개인정보관리자’에 해당하는 자로서 개인정보를 보호하여야 하는 의무를 부담한다고 보는 것이 타당하다.

핀테크 사업자의 개인정보보호 의무 

핀테크 사업자는 인도네시아 개인정보보호법상의 ‘개인정보관리자’로서의 지위를 보유하고 있으므로 온라인 P2P대출의 과정에서 개인정보를 처리함에 있어서 개인정보의 주체로부터 명시적으로 개인정보의 수집 등에 관한 명시적인 승인을 받아야 한다.

개인정보에 대한 주체의 명시적 승인은 전자적 또는 비전자적인 방법으로 행해질 수 있는데, 구체적으로 전자적인 문서 또는 오프라인의 서면 문서에 서명을 하거나 또는 문서가 아니더라도 녹음과 같은 기록의 방식으로도 행해질 수 있다. 만약, 개인정보에 대한 주체의 명시적인 승인을 받지 않은 상태에서 개인정보의 처리를 가능하도록 하는 계약이 체결된다면, 그러한 계약은 인도네시아 개인정보보호법에 의하여 무효가 된다.

개인정보보호법에 따른, 핀테크 사업자의 개인정보의 처리는 다음과 같은 개인정보보호의 원칙에 따라 수행되어야 한다.

<개인정보보호의 원칙>

 a. 개인정보 수집은 제한적이고 특정한 방식으로 합법적이고 투명하게 수행
b. 개인정보 처리는 일정한 목적에 따라 수행
c. 개인정보 처리는 개인정보 주체의 권리를 보장하여 수행
d. 개인정보 처리는 정확하고 완전하며 오해의 소지가 없이 책임 있게 수행
e. 개인정보 처리는 개인정보의 무단 접근, 무단 공개, 무단 수정, 오용, 파괴 및/또는 손실로부터 개인정보의 보안을 보호하는 방법으로 수행
f. 개인정보의 처리는 개인정보 보호의 실패 뿐만 아니라 목적 및 처리 활동을 주체에게 통지하는 방법으로 수행g. 개인정보는 법령에 특별한 규정이 없는 한 보유기간 경과 후 또는 개인정보 주체의 요청에 따라 파기 및/또는 삭제 개인정보의 처리는 책임감 있게 수행되며 명확하게 입증될 수 있어야 함.

한편, POJK 10/2022에 의할 때에도, 핀테크 사업자가 개인정보를 취득하고 사용하기 위해서는 개인정보 소유자(주체)의 승인을 받아야 하고 또한, 다음과 같은 개인정보보호 의무를 부담한다.

<POJK 10/2022에 따른 개인정보보호 내용>

 a. 데이터를 얻은 시점부터 데이터가 파기될 때까지 관리하는 개인정보, 거래 데이터 및 재무 데이터의 기밀성, 무결성 및 가용성을 유지하여야 함.
b. 개인정보, 거래 데이터 및 관리하는 금융 데이터에 대한 접근, 처리 및 실행 거부를 지원하는 인증, 확인 및 유효성 검사 프로세스를 보장하여야 함.
c. 법률 및 규정에 달리 명시되지 않는 한 데이터 소유자의 승인을 기반으로 핀테크 사업자가 얻은 거래 및 금융 데이터에 대한 개인정보의 수집, 사용, 활용 및 공개를 보장하여야 함.
d. 처리하는 거래 및 금융정보에 관한 개인정보의 비밀을 보호하지 못하는 경우 개인정보, 거래정보, 금융정보의 소유자에게 서면으로 통지하여야 함.

개인정보가 오용되는 경우의 법적 조치

개인정보 주체(소유자)의 동의 없이 개인정보를 사용하거나 처리하는 핀테크 사업자는 POJK 10/2022 및 인도네시아 개인정보보호법에 따라 각종의 제재를 받을 수 있다.

만약, 핀테크 사업자가 개인정보의 처리 등에 관한 개인정보 주체의 승인 없이 개인정보보호의 내용을 위반하게 되면 당해 사업자는 POJK 10/2022의 규정에 따라 금융감독국(OJK)에 의하여 서면 경고, 영업 정지 및 사업허가 취소에 이르는 제재를 부과받을 수 있다.

또한, 인도네시아 개인정보보호법에 따라 i) 서면 경고, ii) 개인정보 처리 등 활동의 일시 중단, iii) 개인정보의 삭제 또는 파기, iv) 연간 사업자 매출액 또는 이익액의 최대 2%에 이르는 과징금과 같은 행정적 제재를 부과받을 수 있다.

개인정보를 침해당한 개인정보의 주체(소유자)는 당해 핀테크 사업자를 상대로 인도네시아 민법 제1365조에 따른 불법행위에 기한 손해배상을 청구할 수 있고 사안에 따라서 자신 또는 타인에게 이익이 될 의도를 가지고 개인정보를 고의적으로 불법적으로 취득 또는 수집한 개인정보관리자(핀테크 사업자)는 인도네시아 개인정보보호법에 따라 형사처벌을 받을 수 있다.

 시사점

2022. 10. 17. 인도네시아 개인정보보호법의 제정으로 인하여 인도네시아에서의 개인정보에 보호 수준이 기존에 비하여 강화되었다. 개인정보를 수집, 처리를 하는 사업자의 입장에서는 강화된 개인정보보호법의 내용을 숙지하고 관련 법령의 내용을 준수하여 불이익을 입지 않을 뿐만 아니라 개인정보 주체의 개인정보가 함부로 오용되거나 개인의 의사에 반하여 사용되지 않도록 각별한 주의를 기울여야 할 것이다.

※ 본 글은 외부 전문가의 기고문으로 KOTRA의 공식 의견이 아님을 알려드립니다.

<저작권자 : ⓒ KOTRA & KOTRA 해외시장뉴스>

제보는 카카오톡 haninpost 무단 전재-재배포 <금지>