남아프리카공화국 개인정보보호법(POPIA)의 주요 내용과 시사점

▶ 2020년 7월 1일에 발효된 남아프리카공화국 개인정보보호법(POPIA: Protection of Personal Information Act)의 유예기간이 2021년 6월 30일에 종료됨에 따라 2021년 7월 1일부로 모든 조항에 관한 실질적인 준수 의무가 부여됨. ▶ POPIA는 EU의 개인정보보호법(GDPR: General Data Protection Regulation)과 유사한 내용을 담고 있으나 적용 대상과 범위, 처벌 수준, 정보책임자의 책임범위 등에서 차이를 보임. - [적용 대상] GDPR은 정보주체를 살아 있고 식별 가능한 자연인으로 보나 POPIA는 법인도 정보주체로 포함함. - [적용 범위] POPIA는 남아공 내에 사업장이 있거나 개인정보를 처리하는 경우에 관해 법률을 적용하나 GDPR은 역외에서 개인정보를 처리하더라도 EU에 있는 정보주체에게 재화나 서비스를 제공하거나 EU 내에 있는 정보주체의 활동을 모니터링하는 경우에도 법률을 적용함. - [처벌] 법률을 미준수할 경우 GDPR은 과징금만 부과하고 있으나 POPIA는 이를 범법행위로 보고 구속형도 부과할 수 있음. - [정보책임자의 책임] GDPR과 POPIA 모두 정보책임자(컨트롤러) 및 정보처리자(프로세서)에게 개인정보의 기밀 보장 의무 준수를 위한 안전조치를 마련하도록 하고 있으나 POPIA의 경우 이에 대한 입증 및 책임은 전적으로 정보책임자에게 있음. ▶ POPIA와 GDPR 간 세부적인 차이점이 있지만 이미 GDPR을 준수하고 있는 기관들은 POPIA를 용이하게 준수할 수 있을 것으로 보임. - 2021년 7월 1일부로 POPIA가 전적으로 발효되었기 때문에 아직 개인정보보호 위반사항에 대한 해석과 감독기관(IR)의 판단이 명확하지 않은 만큼 GDPR의 해석 및 적용 사례가 유용한 참고자료가 될 것으로 보임. ▶ POPIA에 저촉하지 않기 위해 남아공의 주요 교역국에서 유사한 수준의 개인정보보호 규제를 마련할 것으로 보이며, 이러한 규제의 수렴을 통해 아프리카의 교역 환경 개선에 기여할 수 있을 것으로 보임. - 일관된 규제의 부재는 국별로 상이한 규제를 준수하기 위한 비용을 증가시키고 데이터의 자유로운 이동을 저해함.