행정처분 법적 근거
PDPC는 조직의 개인정보보호 의무 위반에 대해 시정 지시를 내릴 수 있음 (제48I조)
• PDPC는 조직이 동법 제3장~제6B장, 제9장 등에 규정된 개인정보보호 의무를 준수하지 못했다고 판단하는 경우 각 조항의 준수를 보장하기 위해 아래와 같은 지시를 내릴 수 있음
- 동법에 반하는 개인정보의 수집, 이용, 제공 중지, 동법에 반하여 수집된 개인정보 파기, 개인정보 열람 및 정정 거부나 타 조직으로의 이전 거부 등을 중단하고 개인정보 접근, 정정, 이전 수행 등
PDPC는 고의 또는 과실로 조직이 개인정보보호 의무를 위반한 경우 서면 통지로써 과징금 부과가 가능 (제48J조)
• PDPC가 조직에 과징금을 부과할 경우 아래의 금액을 상한으로 함(동조 제3항)
- 싱가포르 연간 매출액 1,000만 싱가포르 달러(약 100억 원)를 초과하는 조직에는 최대 싱가포르 연간 매출액의 10%
- 그 밖의 경우 최대 100만 싱가포르 달러(약 10억 원)
PDPA는 특정 행위가 단순한 위법을 벗어나 범죄로 나아갈 경우 이를 형사범죄로 규정하고 벌금 및 징역으로 처벌 (제51조)
• 권한 없이 타인의 개인정보를 대상으로 열람 또는 정정 요청을 하는 경우 5,000 싱가포르 달러 (약 500만원) 이하의 벌금 및/또는 12개월 이하의 징역에 처할 수 있음 (제51조제2항)
• 개인의 개인정보 열람권 및 정정권 행사를 회피할 목적으로 개인정보 등을 처분, 변경, 위조, 은폐, 파기하거나 타인에게 처분, 변경, 위조, 은폐, 파기를 지시하는 경우 개인은 5,000 싱가포르 달러 (약 500만원) 이하의 벌금 및/또는 12개월 이하의 징역, 그 외의 경우 5만 싱가포르 달러 (약 5,000만원) 이하의 벌금에 처함 (제51조제4항)
• 감독기관, 조사관, 공무원 등의 기능이나 의무 수행, 권한 행사를 방해하거나 감독기관, 조사관 등을 대상으로 고의 또는 무모하게 허위 진술을 하거나 허위 정보 또는 문서를 제공할 경우 개인은 1만 싱가포르 달러 (약 1,000만원) 이하의 벌금 및/또는 12개월 이하의 징역, 그 외의 경우 10만 싱가포르 달러 (약 1억 원) 이하의 벌금에 처함 (제51조제5항)
• 감독기관, 조사관에게 제공했어야 하는 정보 또는 문서를 제공하지 않았다거나 제공을 거부하는 경우, 그리고 동법에 따라 요구되는 감독기관, 조사관에 대한 출두를 거부하는 경우, 개인은 5,000 싱가포르 달러 (약 500만원) 이하의 벌금 및/또는 6개월 이하의 징역, 그 외의 경우 1만 싱가포르 달러 (약 1,000만원) 이하의 벌금에 처함 (제51조제6항)
• 조직이나 공공기관이 보유 또는 관리하는 익명 정보를 고의로 무단 재식별하거나 재식별을 유발할 경우 5,000 싱가포르 달러 (약 500만원) 이하의 벌금 및/또는 2년 이하의 징역에 처할 수 있음 (제48F조)
한편, PDPA 위반으로 피해를 입은 개인은 특정 요건 하에 소송을 제기하여 권리를 구제받을 수 있음
• PDPA 위반의 결과로 직접적으로 손실이나 피해를 입은 개인은 민사소송을 제기할 수 있으나, 소송은 PDPC가 내린 행정처분 및 행정처분에 대한 이의제기 등 기타 모든 방법을 모두 소진한 후에만 제기할 수 있음 (제48O조)
국가기관(법무부 등)에 대한 개인정보보호법 적용 조항, 행정처분 및 권고 사례
• PDPA는 동법의 개인정보보호 권리 및 의무를 규정하고 있는 제3장~제6B장의 각 조항이 공공기관에 의무를 부과하지 않는다고 규정함으로써 국가기관에 대한 개인정보보호법 적용이 법률상 불가 (제4조제1항)
• 현실적으로도 PDPC가 IMDA의 산하기관으로서 독립성이 결여되어 있으므로 정부부처 및 타 국가기관 등에 대상으로 집행 권한을 행사하는 것이 불가능