인도네시아에서 개인정보보호법(UU PDP)이 국회를 통과했다.
개인정보보호법은 2016년 처음 발의 되었지만 수년간 법안 추진이 지연되어 오다가 2020년에서야 우선입법대상법안(Prolegnas)으로 본회의에 상정되었다. 결국 최종 통과까지 6년이 걸린 셈이다.
20일 콤파스에 따르면 이날 열린 2022-2023 회기 제 5차 본회의에서 개인정보법안이 가결됐다.
이에 따라 인도네시아에서 기업이 실수로 고객 정보를 유출할 경우 연 매출의 최대 2%의 벌금을 내야 한다. 또한 개인 정보를 불법 수집하거나 위조할 경우 수십억 루피아에 달하는 벌금형 또는 최대 징역 6년형에 처해진다.
기업이나 국가기관은 특정 목적을 위해 개인정보를 수집할 수 있다. 이 경우 반드시 개인의 동의를 받아야 하며, 데이터 사용 목적 및 책임을 명확히 해야 한다. 수집 목적이 충족되면 기록을 삭제해야 하며 이 같은 의무를 위반할 경우 개인은 배상을 요구할 수 있다.
또한 개인 정보를 위조하면 6년 이하의 징역, 정보를 불법 수집한 경우 5년 이하의 징역에 처해질 수 있다.
한편 이 법은 본격적인 시행에 앞서 2년 간의 계도 기간을 거칠 예정이다. 기업 및 기관이 보안 강화 등 시스템을 정비할 수 있도록 하기 위함이다.
본회의에 참석한 조니 G. 플라테(Johnny G. Plate) 정보통신부 장관은 “오늘은 PDP법이 통과된 역사적인 날”이라며 “PDP법이 개인의 소중한 정보를 지킬 수 있는 법적 보호막이 되길 진심으로 바란다”고 말했다.
최근 몇 달 사이 인도네시아에서 다수의 데이터 유출 사건이 발생해 정부 당국이 몸살을 앓고 있다.
인디홈의 2,600만 가입자의 정보와 접속 기록이 유출됐으며, PLN의 1,700만 고객정보 및 전력사용량 등의 정보도 다크웹에 매물로 올라왔다가 삭제된 일이 있었다.
여기에 정부 데이터 유출 의혹도 불거졌다. 여기에는 정보통신부에 등록된 13억 건의 유심카드 데이터와 대통령 통신기록 등 비밀 문서가 포함되어 있는 것으로 알려졌다.
브리치드 포럼(Breached Forums)이라는 다크웹에 한 해커가 이 정보들을 공개하면서 논란이 됐다. 정부는 유효하지 않은 데이터라고 부인했지만, 일명 ‘비요르카’로 불리는 이 해커를 잡기 위해 분주한 모습이다.
인니투데이 사회부
[저작권자(c) 인니투데이, 무단 전재-재배포 금지]
