나이지리아 데이터보호법(2023) 제정
김성천 연구소장
1. 개요
나이지리아에서는 2022년 데이터보호법안이 마련되었고 2023년 상원과 하원에서 데이터보호법안(Data Protection Bill)에 관한 성공적인 3번째 독회 이후 대통령이 2023년 6월 12일 서명, 데이터보호법(The Data Protection Act, 2023) 시행되었다. 포괄적인 데이터보호법을 향한 나이지리아의 20년 여정에서 2023년 데이터보호법(The Data Protection Act, 2023)은 중요한 이정표를 세웠다.
데이터보호법 이전에 나이지리아의 데이터보호환경은 2019년 나이지리아 데이터 보호규칙(NDPR) 및 2019년 나이지리아 데이터 보호 규칙 : 시행 프레임워크의 적용을 받았다. 그러나 NDPR의 공백을 메우고, 기존 데이터보호기관을 위한 법적 기반을 만들며, 국가 디지털 식별 프로그램의 발표를 위한 필수조건으로 새로운 입법 프레임워크를 만들어야 했다. 그러나, NDPR 및 그 구현 프레임워크는 데이터 보호법과 함께 계속 유효하다. 법 제63조에 따라 기존 조항과 충돌하는 경우 새 법률이 우선한다.
데이터보호법은 많은 국제데이터보호 프레임워크에 공통적인 데이터보호원칙을 규정한다. “개인 데이터(personal data)를 광범위하게 정의하고 전세계 대부분의 데이터보호법과 유사하게 정의된 ”데이터통제자 및 처리자(data controllers” and “processors)에 대한 법적 의무를 포함한다. 데이터보호법은 데이터보호를 위한 다른 국제 프레임워크와 일치하지만 주목할 만한 고유 조항이 포함되어 있다.
2. 주요 내용
가. 적용주체 : 데이터 통제자 및 처리자라는 새로운 범위
데이터보호법은 가장 중요한 데이터통제자 및 처리자라는 새로운 범주를 도입했다. 데이터보호법은 개인데이터를 처리하는 개인, 사기업 또는 공공기관의 데이터통제자 및 처리자 및 제3자에 의한 개인 데이터처리에 적용된다.
데이터 통제자는 단독으로 또는 다른 사람과 공동으로 개인 데이터 처리의 목적과 수단을 결정하는 개인, 민간단체, 공적위원회 또는 기관 또는 그 밖의 기구라고 정의한다.
데이터 처리자는 개인, 민간단체, 공공기관 또는 데이터 통제자나 다른 데이터처리자를 대신하거나 이에 따른 개인 데이터를 처리하는 그 밖의 기관이라 정의한다. 그러나 제3자는 정의하고 있지 않다.
나. 적용객체 : 민간한 개인 데이터의 광범위한 범주
데이터보호법은 개인 데이터와 민감한 개인 데이터 모두를 다룬다. 개인데이터는 이름, 식별번호, 위치데이터, 온라인 식별요소 또는 하나 이상의 요소와 같은 식별요소를 참조하여 직간접적으로 식별할 수 있거나 식별할 수 있는 개인과 관련된 모든 정보라고 정의한다. 또한 민간함 개인 데이터를 자연인을 고유하게 식별하기 위한 유전 및 생체 데이터, 인종 및 민족, 양심이나 철학을 반영하는 것과 같은 종교적 또는 유사한 신앙, 건강상태, 성생활, 정치적 견해 또는 소속, 노동조합 회원 등 개인과 관련된 개인 데이터라 정의한다.
다. 적용영역 : 법의 광범위한 역외 적용
데이터보호법은 나이지리아에 설립되지 않은 통제자 또는 처리자가 나이지리아에서 데이터 주체의 개인 데이터를 처리하는 모든 형태를 다루는 광범위한 역외적용을 규정하고 있다(제2조(2)(c)). 데이터보호법은 법의 광범위한 적용에서 여러 가지 다른 면제를 제공하고 위원회가 법에서 면제될 수 있는 처리 활동을 확장할 여지를 규정하고 있다(제3조).
라. 데이터 통제자 및 처리자의 의무 : 데이터 통제자 및 처리자에 대한 새로운 등록 요구 사항
"중요한 데이터 통제자 및 처리자"의 지정과 그러한 주체를 분류하고 규제하는 위원회의 권한은 핵심적인 새로운 발전이다. 데이터보호법은 법 시행 후 6개월 이내에 또는 가장 중요한 데이터 관리자 또는 처리자의 자격을 갖추기 위한 법적 기준을 충족할 때 위원회에 등록하는 것을 포함하여 그러한 주체가 준수해야 하는 프로세스 및 일정을 마련한다(제44조).
데이터 통제 및 처리자의 중요한 의무는 데이터보호원칙 준수, 감사보고서 제출, 개인 데이터 수집 전 데이터 주체에 대한 정보제공, 데이터보호 영향 평가 수행 등이다.
마. 개인데이터 처리의 적법적 근거, 동의요건 및 아동의 개인데이터
데이터보호법은 GDPR와 유사한 개인 데이터 처리에 대한 6가지 근거를 규정하고 있다. 즉 특정 목적을 위한 개인 데이터 처리에 대한 데이터 주체의 동의, 데이터 주체가 당사자인 계약 의무 이행, 데이터 통제자 또는 처리자가 적용되는 법적 의무 준수, 데이터 주체 또는 다른 사람의 중요한 이익 보호, 공익을 위한 작업 수행 또는 데이터 통제자 또는 처리자의 공식 권한 행사, 데이터 주체가 개인 데이터가 규정된 방식으로 처리되고 그들의 기본적인 권리와 자유를 무시하지 않는 합리적인 기대를 가질 수 있다는 점을 고려하며 데이터 통제자 또는 처리자 또는 데이터를 공개하는 제3자의 정당한 이익 이행 등이다.
바. 데이터 주체 권리 : 데이터 주체를 위한 구현 메커니즘이 없고 권리 행사에 대한 좁은 제한이 있는 강력한 권리
사. 시행 : 나이지리아 데이터 보호국의 법적 기반, 관리위원회 구성 및 예상 규칙
아. 위법행위, 제재 및 손해배상 : 데이터 통제자 및 처리자에 대한 더 높은 처벌
3. 시사점
나이지리아가 글로벌 디지털 경제에서 지속적으로 명성을 얻고 기술 생태계를 빠르게 확장함에 따라 데이터보호법은 국제적으로 통용되는 데이터 보호 원칙에 따라 나이지리아 시민의 개인 데이터 보호에 지속적으로 초점을 맞추고 있음을 보여준다.
우리나라 개인정보보호법은 최근 일부 개정되어 시행예정이다(2023년 3월 14일 일부개정, 2024년 3월 15일).
나이지리아 데이터보호법은 향후 개인정보보호법 개정 논의에 참고 입법례가 될 것이다.
<참고문헌>
NIGERIA DATA PROTECTION ACT, 2023 https://assets.kpmg.com/content/dam/kpmg/ng/pdf/nigeria-data-protection-act2023.pdf orhttps://placng.org/i/wp-content/uploads/2023/06/Nigeria-Data-Protection-Act-2023.pdf
MERCY KING’ORI, NIGERIA’S NEW DATA PROTECTION ACT, EXPLAINED, Future of Privacy Forum, JUNE 28, 2023, https://fpf.org/blog/nigerias-new-data-protection-act-explained/
나이지리아 데이터보호법(2023) 제정
김성천 연구소장
1. 개요
나이지리아에서는 2022년 데이터보호법안이 마련되었고 2023년 상원과 하원에서 데이터보호법안(Data Protection Bill)에 관한 성공적인 3번째 독회 이후 대통령이 2023년 6월 12일 서명, 데이터보호법(The Data Protection Act, 2023) 시행되었다. 포괄적인 데이터보호법을 향한 나이지리아의 20년 여정에서 2023년 데이터보호법(The Data Protection Act, 2023)은 중요한 이정표를 세웠다.
데이터보호법 이전에 나이지리아의 데이터보호환경은 2019년 나이지리아 데이터 보호규칙(NDPR) 및 2019년 나이지리아 데이터 보호 규칙 : 시행 프레임워크의 적용을 받았다. 그러나 NDPR의 공백을 메우고, 기존 데이터보호기관을 위한 법적 기반을 만들며, 국가 디지털 식별 프로그램의 발표를 위한 필수조건으로 새로운 입법 프레임워크를 만들어야 했다. 그러나, NDPR 및 그 구현 프레임워크는 데이터 보호법과 함께 계속 유효하다. 법 제63조에 따라 기존 조항과 충돌하는 경우 새 법률이 우선한다.
데이터보호법은 많은 국제데이터보호 프레임워크에 공통적인 데이터보호원칙을 규정한다. “개인 데이터(personal data)를 광범위하게 정의하고 전세계 대부분의 데이터보호법과 유사하게 정의된 ”데이터통제자 및 처리자(data controllers” and “processors)에 대한 법적 의무를 포함한다. 데이터보호법은 데이터보호를 위한 다른 국제 프레임워크와 일치하지만 주목할 만한 고유 조항이 포함되어 있다.
2. 주요 내용
가. 적용주체 : 데이터 통제자 및 처리자라는 새로운 범위
데이터보호법은 가장 중요한 데이터통제자 및 처리자라는 새로운 범주를 도입했다. 데이터보호법은 개인데이터를 처리하는 개인, 사기업 또는 공공기관의 데이터통제자 및 처리자 및 제3자에 의한 개인 데이터처리에 적용된다.
데이터 통제자는 단독으로 또는 다른 사람과 공동으로 개인 데이터 처리의 목적과 수단을 결정하는 개인, 민간단체, 공적위원회 또는 기관 또는 그 밖의 기구라고 정의한다.
데이터 처리자는 개인, 민간단체, 공공기관 또는 데이터 통제자나 다른 데이터처리자를 대신하거나 이에 따른 개인 데이터를 처리하는 그 밖의 기관이라 정의한다. 그러나 제3자는 정의하고 있지 않다.
나. 적용객체 : 민간한 개인 데이터의 광범위한 범주
데이터보호법은 개인 데이터와 민감한 개인 데이터 모두를 다룬다. 개인데이터는 이름, 식별번호, 위치데이터, 온라인 식별요소 또는 하나 이상의 요소와 같은 식별요소를 참조하여 직간접적으로 식별할 수 있거나 식별할 수 있는 개인과 관련된 모든 정보라고 정의한다. 또한 민간함 개인 데이터를 자연인을 고유하게 식별하기 위한 유전 및 생체 데이터, 인종 및 민족, 양심이나 철학을 반영하는 것과 같은 종교적 또는 유사한 신앙, 건강상태, 성생활, 정치적 견해 또는 소속, 노동조합 회원 등 개인과 관련된 개인 데이터라 정의한다.
다. 적용영역 : 법의 광범위한 역외 적용
데이터보호법은 나이지리아에 설립되지 않은 통제자 또는 처리자가 나이지리아에서 데이터 주체의 개인 데이터를 처리하는 모든 형태를 다루는 광범위한 역외적용을 규정하고 있다(제2조(2)(c)). 데이터보호법은 법의 광범위한 적용에서 여러 가지 다른 면제를 제공하고 위원회가 법에서 면제될 수 있는 처리 활동을 확장할 여지를 규정하고 있다(제3조).
라. 데이터 통제자 및 처리자의 의무 : 데이터 통제자 및 처리자에 대한 새로운 등록 요구 사항
"중요한 데이터 통제자 및 처리자"의 지정과 그러한 주체를 분류하고 규제하는 위원회의 권한은 핵심적인 새로운 발전이다. 데이터보호법은 법 시행 후 6개월 이내에 또는 가장 중요한 데이터 관리자 또는 처리자의 자격을 갖추기 위한 법적 기준을 충족할 때 위원회에 등록하는 것을 포함하여 그러한 주체가 준수해야 하는 프로세스 및 일정을 마련한다(제44조).
데이터 통제 및 처리자의 중요한 의무는 데이터보호원칙 준수, 감사보고서 제출, 개인 데이터 수집 전 데이터 주체에 대한 정보제공, 데이터보호 영향 평가 수행 등이다.
마. 개인데이터 처리의 적법적 근거, 동의요건 및 아동의 개인데이터
데이터보호법은 GDPR와 유사한 개인 데이터 처리에 대한 6가지 근거를 규정하고 있다. 즉 특정 목적을 위한 개인 데이터 처리에 대한 데이터 주체의 동의, 데이터 주체가 당사자인 계약 의무 이행, 데이터 통제자 또는 처리자가 적용되는 법적 의무 준수, 데이터 주체 또는 다른 사람의 중요한 이익 보호, 공익을 위한 작업 수행 또는 데이터 통제자 또는 처리자의 공식 권한 행사, 데이터 주체가 개인 데이터가 규정된 방식으로 처리되고 그들의 기본적인 권리와 자유를 무시하지 않는 합리적인 기대를 가질 수 있다는 점을 고려하며 데이터 통제자 또는 처리자 또는 데이터를 공개하는 제3자의 정당한 이익 이행 등이다.
바. 데이터 주체 권리 : 데이터 주체를 위한 구현 메커니즘이 없고 권리 행사에 대한 좁은 제한이 있는 강력한 권리
사. 시행 : 나이지리아 데이터 보호국의 법적 기반, 관리위원회 구성 및 예상 규칙
아. 위법행위, 제재 및 손해배상 : 데이터 통제자 및 처리자에 대한 더 높은 처벌
3. 시사점
나이지리아가 글로벌 디지털 경제에서 지속적으로 명성을 얻고 기술 생태계를 빠르게 확장함에 따라 데이터보호법은 국제적으로 통용되는 데이터 보호 원칙에 따라 나이지리아 시민의 개인 데이터 보호에 지속적으로 초점을 맞추고 있음을 보여준다.
우리나라 개인정보보호법은 최근 일부 개정되어 시행예정이다(2023년 3월 14일 일부개정, 2024년 3월 15일).
나이지리아 데이터보호법은 향후 개인정보보호법 개정 논의에 참고 입법례가 될 것이다.
<참고문헌>
NIGERIA DATA PROTECTION ACT, 2023 https://assets.kpmg.com/content/dam/kpmg/ng/pdf/nigeria-data-protection-act2023.pdf orhttps://placng.org/i/wp-content/uploads/2023/06/Nigeria-Data-Protection-Act-2023.pdf
MERCY KING’ORI, NIGERIA’S NEW DATA PROTECTION ACT, EXPLAINED, Future of Privacy Forum, JUNE 28, 2023, https://fpf.org/blog/nigerias-new-data-protection-act-explained/