2024년 7월 16일, 「2010 개인정보보호법」 개정안이 디지털부 장관의 제2독회를 거쳐 하원에서 통과되었다. 하원에서 통과된 개정안은 상원의 독회를 거치고 국왕의 결정을 통해 공포된다. 이번 개정안은 글로벌 표준의 변화 및 발전에 따른 필요와 개인정보 침해 문제 해결을 목적으로 제안되었다. 말레이시아 개인정보보호국(PDP)이 발표한 통계에 따르면 개인정보 침해 사례가 2024년에 전년 대비 41%로 대폭 상승하였다. PDP는 개인정보 도난 및 유출 사고로 인한 온라인 신원 도용 및 사기 증가를 그 원인으로 추정하고 있다. 이러한 배경에 따라 법률 개정안 추진 당시 공공부문, 민간부문, 규제기관 및 업계 당사자 등이 참여하는 간담회를 통해 다양한 전문가의 의견을 청취하였다.

「2010 개인정보보호법」 개정안의 주요 내용은 첫째, 개인정보 침해 사실 통보를 의무화한다. 일반 상거래에서 개인정보사용자*는 개인정보 침해 사례가 발생하는 경우 PDP에 즉시 보고해야 하는 의무가 있으며 보고는 PDP 위원장이 정하는 방식과 기간 내에 이루어져야 한다. 이를 따르지 않으면 2년 이하의 징역 또는 25만 링깃(한화 약 7천 4백만 원) 이하의 벌금에 처하거나 이를 병과한다. 둘째, 개인정보처리자에게 개인정보 보호원칙 준수에 대한 책임을 부여한다. 기존에는「2010 개인정보보호법」에서 정한 개인정보 보호원칙을 위반하는 경우 개인정보사용자에게만 조치를 취할 수 있었지만 이번 개정으로 개인정보처리자에게도 책임을 부여했다. 셋째, 개인정보 보호책임자(DPO)를 임명해야 한다. 개인정보사용자와 처리자는 DPO를 임명해야 하며 DPO는 개인정보사용자와 개인정보의 주체 및 PDP 사이의 연락 담당자 역할을 하게 된다. 넷째, 정보주체의 개인정보 이동권 개념을 도입한다. 개인정보 이동권이란 정보주체가 자신의 개인정보에 대한 전송을 요청하면 개인정보처리자가 보유한 개인정보를 개인(요청자) 또는 개인이 지정하는 제3자에게 전송하는 정보주체의 권리를 말한다. 다섯째, 개인정보의 국외 전송을 위한 관보 게시 요건을 폐지한다. 개정 전에는 개인정보 전송 국가를 장관이 화이트리스트로 관리했으나 이를 폐지하여 국제무역협상을 촉진하고자 하는 목적을 가지고 있다.

*개인정보사용자는 개인정보처리와 관련하여 전반적인 책임을 가지고, 정보의 수집, 사용, 저장, 삭제 등을 관리한다. 반면, 개인정보처리자는 정보사용자를 대신하여 지시에 따라 정보처리 업무를 수행하기 때문에 개인정보에 대한 관리 권한은 없다.

브라질은 2024년 내에 인공지능(AI) 관련 입법을 목표로 하고 있다. 관련 법안은 법학자, 전문가 및 시민 대표로 구성된 선정단이 2022년부터 준비하여 2023년 5월에 호드리고 파셰꼬 (Rodrigo Pacheco) 연방상원의장에게 「법안 2338/2023」이란 제명으로 제출되었다. 연방상원의장에 의하면, 해당 법안은 AI의 법적 근거를 만들어 AI 감사 기관을 통해 AI를 국가경영에도 사용하며 시민 보호를 위한 정부의 권한을 확립하는 데 그 목적이 있다. 본 법안에 따르면 AI 시스템은 상업적으로 사용하기 전에 테스트를 받아야 하며, 책임 추적을 위해 테스트 결과를 공개해야 한다. 그 외에 관련 기관은 AI가 제공하는 위험성의 정도를 분류하기 위해 알고리즘 분석을 수행할 수 있다.

연방상원의장은 「법안 2338/2023」이 올해 4월 말까지 표결되어야 한다고 밝혔지만, 더 많은 분석과 토론이 필요하다는 에두아르도 고미스 (Eduardo Gomes) CTIA* 위원장의 요청으로 표결이 연기된 상태이며 CTIA에서 해당 법안을 검토 중이다. CTIA는 5월 23일까지 유지될 예정이었지만 현재 7월 17일로 위원회 운영 종료 일정이 연기되어 있는 상황이다.
* CTIA: 브라질 인공지능에 관한 임시 내부 위원회(Comissão Temporária Interna sobre Inteligência Artificial)의 약자이며 의회 내 기관으로 브라질 인공지능관련 법안 토론 및 분석을 위해 임시적으로 운영됨.

올해 G20 의장국으로서 브라질은 루이스 이나시오 룰라 다 시우바(Luiz Inácio Lula da Silva) 대통령이 G20 의장직을 맡으면서 인공 지능 규제 및 산업을 선도하는 국가로 발전하겠다는 강한 의지를 보여주고 있지만, 현재 추진하는 법안은 유럽의 AI 관련 법을 단순히 모방하고 브라질 실정에 맞게 준비되어 있지 않다는 점에서 국내 많은 법학자와 전문가의 비난을 받고 있다. 현재 AI 관련 일반 사항은 「개인정보보호법(LGPD)」, 「민법」, 「1988년 브라질 연방 헌법」에서 다루고 있다.