임수지 One Law Partners 변호사

인도네시아 ICT 현황

2010년 이후 인도네시아 Internaltiona Communication Technology(이하 ‘ICT’) 시장은 연평균 13%의 빠른 속도로 성장하여 2010년 말까지 동남아시아 지역의 최대 디지털 시장으로서의 입지를 공고히 하는 동시에 인도네시아 국가내에서 키워낸 Gojek과 Tokopedia 같은 거대한 ICT 업체들이 아시아의  유니콘으로 성장 하였다.

이는 인도네시아 젊은 새대들의 모바일 사용량이 늘어남과 동시에 지역의 도시화 및 인도네시아인들의 생활 패턴이 바뀌면서 더욱 ICT 이용자들이 늘어났으며, 더욱이 Covid-19의 발생으로 인해 오프라인에서 이루어지던 많은 상품의 거래가 온라인으로 바뀜으로써 더욱 이 시장은 발전하게 이르렀다.

향후 인도네시아에서는 다른 선진국에서 이미 크게 성장한 빅 데이터, 디지털 결제 및 사이버 보안과 인공 지능, IoT(사물 인터넷) 및 심지어 암호 화폐 등의 다양한 ICT 산업의 분야에서도 활발한 비즈니스가 일어날 것이며 이를 뒷받침할 클라우드 컴퓨팅을 통한 데이터 저장 및 데이터 처리를 위한 인프라 발전이 박차를 가해질 것으로 예상된다. 이에 따른 데이터 산업의 인프라 발전과 함께 중요해지고 있는 것은 데이터 보안 능력이다. 팬데믹 이전에 클라우드 공급업체를 선택하는데 있어 가장 중요한 요소에 대한 설문 조사에서 77%의 인도네시아 기업 응답자는 기존 솔루션/IT 인프라와 잘 연동되는 솔루션의 연동 능력이라고 답하였고 62%의 응답자는 보안 능력이 중요하다고 답하였다. 하지만 팬데믹 이후, 이 순서는 보안 능력이 기존의 솔루션의 연동성보다 좀 더 중요한 것으로 바뀌었다. 향후 디지털 사업으로 점점 확장함에 따라 보안 능력이 클라우드 공급 업체를 선정할 때 가장 중요한 요소가 되었으며, 앞으로도 이 점은 변함이 없을 것으로 보여진다.

하지만 이러한 빠른 ICT의 성장 및 보안의 중요성이 강조되고 있는 시점에서 아직도 속도를 내지 못하는 인도네시아의 법의 제정 및 적용은 하나의 문제점으로 다가오고 있다. 예를 들어 전반적인 ICT관련 서비스에 대한 소비자 보호 및 데이타 보호 관련 법이 아직 명확히 제정되어 있는 않은 인도네시아에서는 개인들이 올린 수많은 정보들이 악용될 수 있는 위험에 노출되어 있고 소비자들의 개인 정보들이 쉽게 제 3자 혹은 업체들에게 전달 됨으로써 그에 따른 2차, 3차의 피해 발생 문제점들을 지니고 있다. 이 글에서는 소비자 보호 및 데이터 개인 정보보호 측면에서 ICT 부문에 영향을 미치는 여러 법적 고려 사항을 살펴보도록 하겠다.

개인 정보 보호에 관한 법

정부령 GR 71/2019에 따르면 모든 전자 개인 정보를 취득하기 위해서는 개인의 정보는 개인으로부터 명확하게 정보 취득의 목적을 알리고 개인의 동의를 얻어야 함을 명기하고 있다. 또한 전자 정보 서비스 업자들이 취득한 개인 정보들은 그의 사용함에 있어  제한적이어야 하며 그의 목적에 적절하게 사용되어져야 함을 강조하고 있다.

또한 개인정보 보호를 위해 개인은 법으로 제한하는 용도를 제외(eg. 국가 보안관련 정보 및 금융 정보)하고는 회사가 보유하고 있는 개인 정보에 어떠한 데이터 시스템의 제한없이 접속할 수 있는 권리 및 개인 히스토리를 취득할 권리를 가실 수 있다.

하지만 현실적으로 인도네시아 법에 따라 ‘목적’ 자체에 대해서 명확한 의미 및 범의 제한에 대해서는 명기된 법이 제정되어 있지 않으며 상황에 따라 그 목적 자체를 넓게 해석하여 사업자들이 사용하고 있는 것이 인도네시아에 현실 상황이다.

프로세싱을 위한 기반 법

인도네시아 법에 따르면 개인의 정보를 가지고 프로세싱 및 정보 분석을 하기 위해서는 개인으로부터 그의 전자 정보를 취득하는 시점에 정확하게 취합 목적을 알려야 하며 동의를 받고 그 알린 목적으로만 개인 정보를 사용할 수 있음을 명기하고 있다. 그러므로 어떠한 정보 분석 및 프로세싱을 하기 위해서는 그 행위에 대한 각각의 동의를 받도록 하는 것이 필요하며, 만약 개인이 프로세싱을 원하지 않을 경우 프로세싱을 거부 할 수 있는 권리도 있으며 그러한 정보는 제 3자에게 전달되어서는 아니된다.

다만, 인도네시에아서는 프로세싱에 대한 정확한 개념이나 그에 따른 법은 제정되어 있지 않고 있고 프로세싱이 되었을 때 그것에 대한 위법성에 대해서도 명확히 제재할 수 있는 법령이없다.

개인 정보 사용의 제한성

정부령 GR 71/2019에 따르면 개인 정보 사용 목적이 없어졌다면 그 목적을 위한 개인 정보 또한 개인의 요청에 의해 삭제해야 함을 명시하고 있다. 회사가 개인의 정보를5년 동안  보유가능하나  만약 개인이 개인 정보 삭제를 원할 시 사업자는 데이터를 삭제해야 하는 의무를 지니고 있다.

결론

현재 많은 선진국에서 데이터 이용을 활성화하기 위해서 개인 정보 보호법, 정보 통신망 이용 촉진을 위한 법들을 제정하고 있다. 즉 데이터 이용을 촉진하여 여러 사업에서 그 정보를 통한 비즈니스를 할 수 있도록 하되, 개인의 정보는 최대한 피해가 없도록 법을 정비하여 어떠한 경우에도 개인 정보가 바로 제 3자에게 전달되어 악용되지 못하도록 하고 있다. 이러한 세계적인 흐름에도 불구하고 아직 인도네시아 정부에서는 안전한 데이터 이용을 위한 법의 제정 혹은 정보를 가지고 안전한 비즈니스 활용할 수 있는 근간의 법들을 제정하고 않고 있다.

향후 인도네시아에서 데이터 이용률이 증가되고 IT 기술이 더욱 발전된다면 개인의 정보 보호 및 다양한 변화에 대응하기 위한 IT관련 사항을 단순한 법으로 보호하기는 힘들어 질 것이다. 그러므로 많은 인도네시아 IT 기업들이 좀 더 자유롭게 사업을 하고 이용자들이 그러한 기업들을 믿고 신뢰하기 위해서는 인도네시아의 적극적인 노력과 개선의 의지가 필요하고 먼저는 정보 및 통신망 이용에 관련된 좀 더 세밀하고 현실적인 법의 개선이 시급해 보인다.