목차 요약문 머리말 GDPR 제정이전의개인정보보호를위한 EU의노력 150 가. CoE Convention 나. 정보보호지침 (95/46/EC) 150 다. US-EU Safe Harbor Framework 151 라. EU-US

Transcription

1 EU GDPR 의분석및시사점 가천대학교법과대학최경진교수 NAVER Privacy White Paper

2 목차 요약문 머리말 GDPR 제정이전의개인정보보호를위한 EU의노력 150 가. CoE Convention 나. 정보보호지침 (95/46/EC) 150 다. US-EU Safe Harbor Framework 151 라. EU-US Privacy Shield Framework 152 마. 개인정보보호를둘러싼주요판결 General Data Protection Regulation 155 가. GDPR 입법과정 155 나. GDPR 초안 156 다. GDPR 유럽의회수정안 167 라. GDPR 우리법제에의시사점 174 가. GDPR과우리법제의비교 174 나. 우리법제에의시사점 맺음말 182 참고문헌 184 2

3 요약문 1. 연구개요 - 개인정보보호영역에서세계경제에많은영향을미치는미국과의대척점에서있다고평가받는 EU의법제화과정과그결과물인 GDPR을살펴보는것은향후우리법제가나아가야할방향을가늠하는때에많은시사점을줄수있음 - 이러한인식하에이보고서에서는 GDPR이제정되기이전의 EU에서의개인정보보호규율을위한법제도적인노력을살펴보고, GDPR의입법과정에서의논의와최종적인 GDPR의주요규정에대한소개및분석, 이를바탕으로한우리개인정보보호법제와의비교와바람직한법제개선을위한시사점을제시하였음 2. GDPR 제정이전의개인정보보호를위한 EU 의노력 CoE Convention Convention 108은협약당사국에게이협약에따른기본원칙을국내법에서반영하도록의무를부여하면서, 그러한기본원칙으로서정보의질에관한원칙, 특수유형의정보보호 ( 민감정보 ) 에관한원칙, 정보보안, 정보주체를위한부가적인세이프가드, 예외및제한설정시법률유보의원칙, 제재및구제등을규정 - 국가간정보이전을보장하기위한규정도두고있음 - 유럽평의회는 Convention 108의현대화를위하여 2013년에특별위원회를설치하여개정작업을추진중 EU 정보보호지침 (95/46/EC) - 개인정보수집및처리를위한원칙으로서 (a) 공정하고적법한처리, (b) 수집목적의특정성과정당성, (c) 수집및처리의목적관련성, (d) 최신정보의유지를위한합리적인조치, (e) 개인정보보관의방식과시간의적절성등의기준을설정하고있다 ( 제6조 ). 이러한원칙은최근입법된 GDPR의개인정보처리기준에서도그대로따르고있음 - EU 정보보호지침이콘트롤러 (controller) 의개인정보처리를적법하게하는인정하는경우로서는 (a) 정보주체의명백한 (unambiguous) 동의가있는경우, (b) 정보주체가당사자인계약의이행에필요한경우, (c) 콘트롤러의법적의무준수에필요한경우, (d) 정보주체의중대한이익의보호에필요한경우, (e) 공공의이익을위해필요한경우등을규정하고있다 ( 제7조 ). 또한특별한보호대상으로서민족또는인종적기원, 정치적의견, 종교또는철학적신념, 노동조합회원자격 3

4 을드러내는개인정보, 건강또는성생활에대한개인정보와같은민감정보에대한처리는원칙적으로금지. 예외적으로정보주체가명시적 (explicit) 동의를하는등의경우에는개인정보의처리가가능 - 개인정보의국가간이전의경우에 EU 회원국에서비회원국으로개인정보를이전하려고하는경우, 원칙적으로그비회원국이적절한 (adequate) 수준의개인정보보호를보장할경우에만그국외이전이가능하도록규정. 이처럼적절성평가기준을충족해야하는것이기본원칙이지만, 적절성평가기준에미달하더라도 구속력있는기업규칙 (Binding Corporate Rules, BCRs)' 등에따라 EU 회원국들의국민의개인정보를자유롭게 EU회원국외로이전할수있는예외가인정 US-EU Safe Harbor Framework - 미국은 EU 정보보호지침이정하는제3국으로의정보이전에관한적절성기준을만족시키기위해 EU와의사이에서 Safe Harbor 원칙을설정하여, 이원칙을준수하는미국기업은 EU 정보보호지침에따른적절성을충족하는것으로보아 EU와의사이에서개인정보의국가간이전을허용하고자 US-EU Safe Harbor Framework을추진 EU-US Privacy Shield Framework - Privacy Shield의세부적인원칙들은기존의 Safe Harbor 제도와비교해서정보주체의권리를확대하고정보보호를강화하는방향으로제정 - 정보를관리하는기업들에게더강한의무를부과하면서, Privacy Shield 체제에가입한기업들이 Privacy Shield 원칙을준수하지않을경우에는제재조치를받게되고동시에 Privacy Shield 명단에서삭제됨 - 특히제3자로의개인정보의재이전 (onward transfer) 요건들을엄격하게함 - EU와미국사이에논란이되었던 EU 회원국국민의개인정보에대한미국정보기관의접근을규율하기위하여미국정부가정보에접근할경우에명확한안전장치를제공하고투명성의무를이행할것을제시 - 더나아가 EU 회원국국민들이개인정보침해로인한구제를받을수있도록하였으며, 특히미국상무부내에옴부즈맨 (ombudsman) 제도를도입해서 EU 회원국국민에대한정보활동 (national intelligence) 영역에서의보상또는구제제도를설치 개인정보보호를둘러싼주요판결 - 유럽사법재판소는잊힐권리 (right to be forgotten) 와관련하여삭제권을명확히하는판결과미국과 EU 사이의 Safe Harbor 협정을무효화하는판결을내림 4

5 3. EU 일반정보보호규정 (General Data Protection Regulation) GDPR은지침 (Directive) 이아니라규정 (Regulation) 이기때문에각국정부에의한별도의이행입법이필요하지않으며, 2년간의유예기간을거쳐 2018년 5월 25일발효됨 GDPR은 173개항의전문과본문 99개의조문으로구성되어있다. 본문은총 11개장으로구성 GDPR은개인정보의처리와관련한자연인의보호및개인정보의자유로운이동에관하여규정하는것을목적으로함 GDPR은 EU 회원국의정보주체에게유상이든무상이든재화나용역을제공하는활동을처리하거나 EU 내에서의 EU 회원국정보주체의활동의모니터링과관련한활동을처리하는 EU 밖의정보콘트롤러나프로세서에게도적용됨 GDPR이발효되면 EU 회원국의별도이행입법없이도 EU 전역에서단일법규정이적용된다. GDPR에따라회원국은개인정보관련민원을접수및처리하고행정제재를과하기위한독립된감독기구 (Supervisory Authority) 를설치하게되며, 각회원국의감독기구는다른감독기구와상호지원및공동활동을수행하면서협력 기존의제29조작업반 (Article 29 Working Party) 을대체하는유럽정보보호위원회 (European Data Protection Board (EDPB), GDPR 제68조 ) 가각감독기구를조정하는역할을수행 GDPR의개인정보보호수준의강화의주요수단중의하나는동의요건을강화한것이다. GDPR 에따른유효한동의는수집되는개인정보가이용되는목적에대한명시적인동의이어야함 GDPR은정보주체의권리를강화하면서특히삭제권 ( 잊힐권리, right to be forgotten) 을규정. 잊힐권리란정보주체가개인정보처리에대한동의를철회하고더이상합법적인처리근거가없는경우와같은일정상황하에서정보주체가콘트롤러에서부당한지체없이해당정보를삭제할것을요구할수있도록권리로서인정한것임 GDPR은개인정보를다른콘트롤러에게쉽게이전할수있는형태로개인정보를반환받을수있는권리를인정함으로써소위 정보이동성 (data portability) 을보장 GDPR은국경간개인정보의이전을규율하면서, 국외이전허용근거로서적절성결정 (adequacy decision), 적절성결정이없는경우적절한안전조치 (appropriate safeguards) 에의한이전, 구속력있는기업규칙 (binding corporate rules) 에따른이전을규정. 제46조하에서인정되는적절한안전조치의예로서는 (1) 공공기관간의법적으로구속력있고집행가능한법률문서, (2) 제47조에따른구속력있는기업규칙, (3) 집행위원회가채택한표준정보보호조항, (4) 감독기구가채택하고집행위원회가승인한표준정보보호조항, (5) 제3국에서적절한세이프가드를적용하는콘트롤러나프로세서의구속력있고집행가능한약정과함께제40조에따른승인된행동강령, (6) 제3국에서적절한세이프가드를적용하는콘트롤러나프로세서의구속력있고집행가능한약정과함께제42조에따른승인된인증체계 (approved certification mechanism) 가있음. 인증의예로서유럽정보보호인장 (European Data Protection Seal) 이인정됨 5

6 4. 우리법제와비교와시사점 개인정보의개념 - GDPR이개인정보의개념정의를하고그해석의기준을제시한것처럼개인정보인지아닌지의판단은규범적으로이루어져야하고일반적 객관적인다양한요소를고려하여사회평균인의시각에서합리적으로판단하여개인정보의범위를확정할필요가있음 - 이러한판단기준을법률에보다명확히명시하여개인정보의판단표지내지요건으로서 식별가능성 외에 합리성 이라는요건을추가하는입법노력도바람직 익명화된정보처리의합리적허용 - 관련법률의개정을통하여중간영역에존재하는정보, 특히가명화를통하여생성된정보에대한안전조치등을통하여합법적인처리를가능하게하는형태의개선이필요 합법적 비침해적이용의보장및처리기준의원칙적인일원화 - GDPR에서규정하는것처럼공익적목적의처리사유를명문으로규정하거나 개인정보처리자의정당한이익을달성하기위하여필요한경우로서명백하게정보주체의권리보다우선하는경우 ( 이경우개인정보처리자의정당한이익과상당한관련이있고합리적인범위를초과하지아니하는경우에한한다 ) 를적극활용하여합법적 비침해적이용을최대한보장할필요가있음 - 우리개인정보보호법이나정보통신망법은개인정보의수집 이용과제공을구분하여일부다른기준을설정하고수집 제공목적이외의처리를위한기준도별도로설정하고있지만, 불가피한경우가아닌한모든처리에대하여원칙적으로동일한기준을설정할필요가있음 - 개인정보보호법령을통하여정보주체의권리를보장하려는것은결국안전한처리를통하여실현될수있고, 반대로안전한처리를하는이상개인정보처리자가개인정보를합리적으로활용할수있도록보장하는것이바람직 우리국민의실질적인개인정보보호를위한국외이전규정합리화 - GDPR은개인정보의역외이전상황에서도 EU 회원국국민의개인정보를실질적으로보호하기위하여실질적으로동일한수준의법적보호가이루어지는상황하에서는개인정보가국외로이전되어처리될수있도록다양한법적근거를마련하고있음 - 우리나라는개인정보의국외이전에제한된기준을설정하거나국내와형식적 실질적으로완전히동일한법준수를요구함으로써실제에있어서는법을형해화할가능성이존재 - 해외개인정보처리자들의우리법준수에대한유인도강화하면서, 실질적으로국외이전을통한개인정보의처리로부터우리국민들을보호하고, 나아가우리국민의개인정보가외국에서오남용되지않도록실질적으로집행가능한개인정보국외이전체계를마련할필요가있음 6

7 1. 머리말 최근몇년간개인정보를이야기하는사람들은누구나빼놓지않고언급하는것이바로 EU의 GDPR이다. GDPR의정식명칭은 개인정보의처리와관련한자연인의보호및그정보의자유로운이전과지침 95/46/EC를폐지하는 유럽의회및유럽이사회의 2016/679 규정 1 이다. 이를줄여서일반정보보호규정 (General Data Protection Regulation) 이라한다. GDPR이주목을받은이유는세계최대강대국인미국의프라이버시혹은개인정보보호흐름과대비하여 EU는다소상이한방향으로법제도적규제를설정해나가고있다는점과함께 EU 회원국전체에직접적인강제력혹은규범력을가지는규정 (regulation) 의형태로제정을추진했다는점이다. GDPR이가지는또다른의미는제 4차산업혁명으로대변되는미래정보사회가개인을둘러싼다양한정보의처리에기반을두고형성 발전될수밖에없기때문에개인정보에대한법제도적인접근은어떤식으로든미래사회의형성 발전에영향을주게되고, 미래사회의주도권을가지려는국가, 사회, 기업등은개인정보에대한법제도적인접근방식의여하에따라서큰영향을받을수있다는점이다. 특히나모든것이연결되는사물인터넷 (Internet of Things) 세상에서는빅데이터는일상화되면서개인과관련된정보의유통이나처리가방대해지게되고이러한개인정보에대한규제의정도에따라서관련산업의발전은많은영향을받게된다. 이런점에서 EU의 GDPR은전세계인터넷경제에막강한영향을미치고있는미국의글로벌기업들에게는커다란장애물로인식될수도있는반면, EU 회원국내의개인이나기업들에게는 GDPR의보호하에개인정보와관련된기본적권리를보장받거나 EU 역내시장을보호할수있는방패막이로느껴질수도있다. 그런데모든법규제는양날의칼과같아서개인정보보호를통하여정보주권을지키고개인의기본적권리를보장할수도있겠지만한편으로는사회 경제의자유로운발전을가로막고정보유통의자유가제한될수도있다. 개인정보에대한규제는이러한대립되는이익의충돌이끊임없이이루어지고있는영역이기때문에우리사회의발전과정에서어떻게효과적인규율을할것인지는해결하기쉽지않은문제이다. 이미개인정보보호에관한일반법과다양한특별법을두고있는우리나라에서도충돌하는이익의조화를위한많은논의와함께끊임없는법개선노력이이루어지고있다. 이런과정에서개인정보보호영역에서세계경제에많은영향을미치는미국과의대척점에서있다고평가받는 EU 의법제화과정과그결과물인 GDPR을살펴보는것은향후우리법제가나아가야할방향을가늠하는때에많은시사점을줄수있을것이다. 이러한인식하에이하에서는 GDPR이제정되기이전의 EU에서의개인정보보호규율을위한법제도적인노력을살펴보고, GDPR의입법과정에서의논의와최종적인 GDPR의주요규정에대한소개및분석, 이를바탕으로한우리개인정보보호법제와의비교와바람직한법제개선을위한시사점을제시하겠다. 1 REGULATION (EU) 2016/679 OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation). 7

8 2. GDPR 제정이전의개인정보보호를위한 EU 의노력 2 가. CoE Convention 108 유럽평의회 (Council of Europe) 는 1981년에 개인정보의자동처리와관련한개인의보호에관한협약 (Convention for the Protection of Individuals with regards to Automatic Processing of Personal Data) 을체결하였는데, 이협약은통상 Convention 108(CETS No. 108) 이라고불린다. Convention 108은 1985년발효되었는데, 협약의가입국에게법적인구속력을가진다는측면에서주목할만하다. 이협약은이후 EU의개인정보보호의이정표가되었던 1995년 EU 정보보호지침 (EU Data Protection Directive) 의형성에중요한영향을미치기도하였다. Convention 108은 47개의유럽평의회회원국들중터키를제외한 46개국국가가비준을완료하였다. 한편으로는유럽평의회비회원국들도가입이가능하도록규정하고있는데비회원국들중에서는우루과이만이이조약에가입하고비준을완료하였다. Convention 108은협약당사국에게이협약에따른기본원칙을국내법에서반영하도록의무를부여하면서, 그러한기본원칙으로서정보의질에관한원칙, 특수유형의정보보호 ( 민감정보 ) 에관한원칙, 정보보안, 정보주체를위한부가적인세이프가드 (safeguard, 안전조치 ), 예외및제한설정시법률유보의원칙, 제재및구제등을규정하였다. 아울러국가간정보이전을보장하기위한규정도두고있다. 그러나이러한규정들은현재와같은고도의정보처리환경을고려하지못한과거의상황에기반을둔것들이었고, 규정들의주요내용들은구체적인기준을제시하기보다는추상적으로선언적내용을규정한측면이강하였다. 이러한반성에기하여유럽평의회는 Convention 108의현대화를위하여 2013년에특별위원회를설치하여개정작업을추진하고있다. 나. EU 정보보호지침 (95/46/EC) EU는회원국국민의기본권과자유를보호하고개인정보처리와관련한프라이버시권을보호하며 EU 회원국사이에서개인정보의자유로운유통을촉진하기위하여, 1995년 10월 24일 개인정보의처리와자유로운유통에관한개인정보보호지침 (Directive of the European Parliament of individuals with regard to the processing of personal data and on the free movement of such data, 2 EU 의개인정보보호규율을포함하여국제적인개인정보보호노력에대하여는 [ 부록 ] 개인정보보호를위한국제적인법제발전 과정 참조. 최경진, 정보법 - 과거와현재 개인정보분야를중심으로, 한국정보법학회 20 주년기념세미나및총회자료집, 2016 에서발췌. 8

9 95/46/EC) 을채택하였다. 3 이지침은회원국에대한법률의제 개정을촉구하면서, 독립된감독기구의의무적설치및자국민의개인정보보호와관련하여 EU 수준으로적절하게개인정보를보호하지않는국가에대하여개인정보의이전을금지하는내용등을담고있다. 주요내용을보면, EU 정보보호지침은개인정보수집및처리를위한원칙으로서 (a) 공정하고적법한처리, (b) 수집목적의특정성과정당성, (c) 수집및처리의목적관련성, (d) 최신정보의유지를위한합리적인조치, (e) 개인정보보관의방식과시간의적절성등의기준을설정하고있다 ( 제6조 ). 이러한원칙은최근입법된 GDPR의개인정보처리기준에서도그대로따르고있다. EU 정보보호지침이콘트롤러 (controller) 의개인정보처리를적법하게하는인정하는경우로서는 (a) 정보주체의명백한 (unambiguous) 동의가있는경우, (b) 정보주체가당사자인계약의이행에필요한경우, (c) 콘트롤러의법적의무준수에필요한경우, (d) 정보주체의중대한이익의보호에필요한경우, (e) 공공의이익을위해필요한경우등을규정하고있다 ( 제7조 ). 또한특별한보호대상으로서민족또는인종적기원, 정치적의견, 종교또는철학적신념, 노동조합회원자격을드러내는개인정보, 건강또는성생활에대한개인정보와같은민감정보에대한처리는원칙적으로금지한다. 다만, 예외적으로정보주체가명시적 (explicit) 동의를하는등의경우에는개인정보의처리가가능하도록하였다. 한편, 개인정보의국가간이전의경우에 EU 회원국에서비회원국으로개인정보를이전하려고하는경우, 원칙적으로그비회원국이적절한 (adequate) 수준의개인정보보호를보장할경우에만그국외이전이가능하도록규정하였다. 이처럼적절성평가기준을충족해야하는것이기본원칙이지만, 적절성평가기준에미달하더라도 구속력있는기업규칙 (Binding Corporate Rules, BCRs)' 등에따라 EU 회원국들의국민의개인정보를자유롭게 EU회원국외로이전할수있는예외가인정된다. 그러나이러한 EU 정보보호지침은지침에불과하고각회원국의입법을통하여비로소구속력을가진다는한계를가지고있어서 EU 회원국전체에공통적으로적용되는규범의필요성이논의되었다. 다. US-EU Safe Harbor Framework 미국은 EU 정보보호지침이정하는제 3 국으로의정보이전에관한적절성기준을만족시키기위해 EU 와의사이에서 Safe Harbor 원칙을설정하여, 이원칙을준수하는미국기업은 EU 정보보호지침에따 3 EU 정보보호지침이후에온라인영역에대한개인정보보호에대한보충적인규범으로서 전자프라이버시지침 (Directive 2002/58/EC of the European Parliament and of the Council of 12 July 2002 concerning the processing of personal data and the protection of privacy in the electronic communications sector (Directive on privacy and electronic communications)) 이 2002년제정되었고, 동지침은 2009년개정되었다. 주요내용으로서전송정보의파기및익명처리의무부과, 발신자번호 접속자번호의표시및표시제한, 부가서비스제공목적의위치정보이용의제한, 원치않는광고성정보전송의제한등다양한개인정보규율을담고있다. 2009년개정지침에서는스팸 (spam) 형태의전송이나쿠키와같은추적 (tracking) 기술을적용하는경우까지포함하여, 온라인영역에서개인정보를자동으로수집하는경우에원칙적으로정보주체의사전동의 (opt-in) 를요구하도록규정하였다. 9

10 른적절성을충족하는것으로보아 EU와의사이에서개인정보의국가간이전을허용하고자 US-EU Safe Harbor Framework을추진하였다. 미국과 EU간의 Safe Harbor 원칙에따르면, 미국의기업이나단체가자발적으로세이프하버원칙을준수하겠다고미국상무부에신고할경우적절한개인정보보호조치를강구하고있는것으로간주하여 EU로부터정보이전을계속해서받을수있다. Safe Harbor 원칙은고지 (Notice: 수집되는정보가어떻게쓰일것인지에대해정보주체에게알릴의무 ), 선택 (Choice: 이전에대해 opt-out할기회부여 ), 이전 (Onward Transfer: 적절한정보보호원칙을따르는기관에만이전가능 ), 접근 (Access: 정보에대한접근권, 정정권, 삭제권 ), 안전성 (Security: 분실을막기위한합리적인노력의무 ), 정보의무결성 (Data Integrity: 수집한정보는수집목적에관련되고신뢰할만한것이어야함 ), 집행 (Enforcement: 원칙을집행할효과적인수단이있어야함 ) 에관한총 7 개의원칙으로구성되어있다. 그러나 유럽사법재판소판결에의하여 US-EU Safe Harbor Framework가무효화되면서새롭게 EU-US Privacy Shield가추진되었다. 라. EU-US Privacy Shield Framework 유럽사법재판소의무효판결이후 EU집행위원회와미국정부사이에기존의 Safe Harbor를대체하는새로운개인정보의국가간이전체제에대하여정치적합의가도출되었다. 4 이합의에근거해서 EU집행위원회는 Privacy Shield의초안을작성한후다양한의견수렴을위하여초안을공개했다. 5 이공개후 EU Working Party 29는 Privacy Shield에대한의견서를제출했고, EU정보보호감독기구 (European Data Protection Supervisor) 도관련의견을공개했다. 이외에도유럽의회 (European Parliament) 가 Privacy Shield ( 안 ) 에대한결의 (resolution) 절차를거치게되었다. 이와같은기관들에서의의견들을반영하여 Privacy Shield의초안에대한수정작업을거친후이수정안에대해서미국정부와의합의과정도완료되었다. 그후 EU집행위원회는 Privacy Shield의최종안을확정했다. Privacy Shield의기본적인체계는기존의 Safe Harbor와유사하다. 즉, Privacy Shield도자율인증 (self-certify) 체제로운영된다. 미국에기반을둔조직들이 Privacy Shield 체제에가입하기위해서는미국상무부 (Department of Commerce) 에신청을해서자율인증절차를거쳐야한다. 6 Privacy Shield에의가입자체는기업들의자율적판단에기반을두고있지만, 일단해당기업이자율인증을해서 Privacy Shield 체제의원칙들을준수할것을공표를한이후에는미국의국내법에의해서이런준수에대해집행을강제할수있다. 그러나 Privacy Shield의세부적인원칙들은기존의 Safe Harbor 제 4 EU-U.S. Privacy Shield(IP/16/216). 5 European Commission, < (last visited November 30, 2016) 6 Department of Commerce, (last visited November 30, 2016) 10

11 도와비교해서정보주체의권리를확대하고정보보호를강화하는방향으로제정되었다. 정보를관리하는기업들에게더강한의무를부과하면서, Privacy Shield 체제에가입한기업들이 Privacy Shield 원칙을준수하지않을경우에는제재조치를받게되고동시에 Privacy Shield 명단에서삭제가된다. 특히제3자로의개인정보의재이전 (onward transfer) 요건들을엄격하게하였다. 또한 EU와미국사이에논란이되었던 EU 회원국국민의개인정보에대한미국정보기관의접근을규율하기위하여미국정부가정보에접근할경우에명확한안전장치를제공하고투명성의무를이행할것을제시하였다. 더나아가 EU 회원국국민들이개인정보침해로인한구제를받을수있도록하였으며, 특히미국상무부내에옴부즈맨 (ombudsman) 제도를도입해서 EU 회원국국민에대한정보활동 (national intelligence) 영역에서의보상또는구제제도를설치했다. 7 마. 개인정보보호를둘러싼주요판결 유럽사법재판소는개인정보보호를위한많은판결을내렸지만, 특히그중에서도개인정보보호에있어 서큰영향을미친전환점이된 2 개의판결이있다. 하나는잊힐권리 (right to be forgotten) 와관련된 것이고다른하나는미국과 EU 사이의 Safe Harbor 협정에관한것이었다. 1) 구글사건판결스페인변호사인곤잘레스와구글사이에서소위 잊힐권리 (right to be forgotten) 8 를둘러싸고벌어진소송에서유럽사법재판소는 EU 정보보호지침에따라서정보주체와개인적으로관련된해당정보가정보주체의이름과연계한검색결과에서더이상그이름과연결되지말아야한다는권리를정보주체가보유하는가를검토하여야한다고판시하였다. 반면, 검색결과에해당정보가포함됨으로써정보주체에게해가되는지를판단할필요는없다고하였다. 유럽연합기본권헌장제7조및제8조에따른기본권적측면에서정보주체는해당정보가검색결과에포함되어더이상일반에공개되지않도록요청할수있기때문에원칙적으로정보주체의그러한권리는검색엔진운영자의경제적이익만존재하는경우에는그보다우월하며, 정보주체의이름과관련한검색에나타나는정보에접근할일반공중의이익보다도앞선다는것이다. 다만, 특별한경우로서예를들면, 정보주체의공인으로서의역할과같이검색결과에포함되어일반에공개되는정보에접근하는공중의우월한이익에의해서정보주체의기본권에대한간섭이정당화되는경우에는예외가인정된다고한다. 결과적으로유럽사법재판소는, 정보주체의이름과사회보장채무집행을위한압류소송과관련된부동산 7 European Commission, 'Guide to the Privacy Shield'(pdf) (2016). 8 Case C-131/12, Google Spain SL, Google Inc. v Agencia Espanola de Proteccion de Datos (AEPD), Mario Costeja Gonzalez (May 13, 2014). 11

12 경매가언급된일간신문의온라인기사페이지로의링크가검색결과에나타난본사건에서, 해당정보가최초로공개된것이 16년전이었고그에포함된정보의사생활에대한민감성을고려할때에정보주체는검색결과에의하여해당정보가자신의이름과더이상연결되지않도록할권리를가진다고판단하였다. 이판결은이후 GDPR에서의삭제권혹은잊힐권리를규정하는데에도큰영향을미쳤다. 2) 페이스북사건판결 2008년부터페이스북 (Facebook) 이용자였던 Maximillian Schrems이라는오스트리아시민이페이스북에제공했던개인정보가페이스북아일랜드자회사로부터미국에있는서버로이전되어처리되었는데, 미국정보기관 (NSA) 가미국스노든사건에서드러난사실관계를바탕으로미국의법과실무가미국으로이전된정보의공적기관에의한감시에대한충분한보호를제공하지못한다고주장하면서아일랜드정보보호청에청원을제기하였다. 아일랜드감독기구는 2000년 7월 26일 EU 위원회가미국상부부와적절한보호수준을제공하기위한자발적인체계를구축하기위하여세이프하버협정 9 을체결하여시행되고있다는점을근거로그청원을거부하였다. 이세이프하버협정에의하여소송당시까지 4,000개이상의미국기업들이 EU로부터미국으로개인정보를이전할수있었다. 그런데 유럽사법재판소가지난 15년가까이유지해온세이프하버협정을무효화하는판결을선고한것이다. 10 판결의핵심내용은 EU 정보보호지침하에서요구되는적절한개인정보보호수준이세이프하버체계하에서충족되지못한다는것이다. 그이유는미국정보기관에의하여미국으로전송되는 EU 회원국국민의개인정보에대한접근이특히세이프하버협정에대한문언적검토에비추어세이프하버협정이엄격하게필수적이고필요한범위를초과하여미국집행당국의개인정보에대한접근을허용한다는점에서유럽기본권헌장에의하여보장되는사생활의자유와권리및개인정보보호에대한권리를침해한다는것이고, 미국의감청이나감시와관련하여유럽시민이질의하는경우에적절한회신을받을수없는상황은유럽기본권헌장에의하여보호되는효과적인침해제거및구제에대한유럽시민의권리가침해되는것에상응한다는것이다. 이판결은 GDPR과함께미국과 EU 사이에새로운 Privacy Shield 타결의전기가되었다 /520/EC: Commission Decision of 26 July 2000 pursuant to Directive 95/46/EC of the European Parliament and of the Council. 10 C-362/14, Maximillian Schrems v Data Protection Commissioner. 12

13 3. EU 일반정보보호규정 (General Data Protection Regulation) 가. GDPR 입법과정 EU는회원국국민의기본권과자유를보호하고개인정보처리와관련한프라이버시권을보호하며 EU 회원국간의개인정보의자유로운유통을촉진하기위하여 1995년 10월 24일 EU 정보보호지침을제정하였다. 이러한 EU 정보보호지침이현재까지 EU 역내에서개인정보의처리에관한중요한지침으로작용하고있지만, EU 회원국에대하여직접적인강제력을가지거나직접적용될수없는지침 (directive) 의형태로되어있어서각국은국내법에따라서로상이한보호수준을채택하여회원국간불균형이발생하였다. 또한인터넷을통한개인정보의유통으로부터개인을보호할필요성도더욱강조되었다. 결국, 인터넷상에서의개인정보처리의중요성및 EU 회원국내의단일한규율체계정비의필요성등을바탕으로하여 2011년 7월 6일유럽의회 (European Parliament) 가 유럽연합에서의개인정보보호에관한종합적접근 을의결하면서입법이가시화되기시작하였다. 11 이후 EU 역내의강화된단일개인정보보호입법을목표로 2012년 1월 25일에 GDPR 초안및 형사범죄의예방, 수사, 기소또는형집행및그정보의자유로운이동을위한관할관청에의한개인정보의처리와관련한개인의보호에관한유럽의회및유럽이사회지침안 (Proposal for a DIRECTIVE OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL on the protection of individuals with regard to the processing of personal data by competent authorities for the purposes of prevention, investigation, detection or prosecution of criminal offences or the execution of criminal penalties, and the free movement of such data) 이발표되면서입법이구체화되었다. EU 차원의개인정보보호를위한입법노력은 1995년 EU가 EU 정보보호지침을제정한이후 16년여만이다. 더욱이이번발표에서주목할만한점은지침의전면개정에머무르지않고 EU 회원국의국내에직접법적효과가발생하는 Regulation 의형태로추진된다는점이다. EU 법체계하에서 Regulation 은 EU 전체에직접적용되는매우강력한규범이고, Regulation 이발효되면회원국의국내법에우선하여적용된다. 따라서회원국은국내법을 EU 규정에일치시키는입법을하거나기존법을개정하여야한다. 규정안이발효되려면 27개회원국정부대표로구성된유럽이사회와유럽의회의승인을받아야한다. 최초 GDPR 초안이제안되었을때에는 2014년발효를목표로하였지만, 2013년에유럽의회를통과할때까지 4,000개이상의수정안및수정의견이제시되었을정도로많은논란과논의가진행되어실제입법이완료될때까지많은어려움이있을것으로예상되었다. 그런데스노든 (Edward Snowden) 사건을전기로하여 EU 역외, 특히외국국가기관에의하여처리되는 EU 회원국국민의개인정보보 11 European Parliament resolution of 6 July 2011 on a comprehensive approach on personal data protection in the European Union(2011/2025(INI))

14 호의강화논의가촉발되었고결국 2013년 10월 22일에유럽의회를통과하였다. 그리고 2014년유럽선거이전에최종통과를목표로하였지만, 2013년 10월 25일에유럽이사회는최종기한을 2014 년이아닌 2015년으로수정하여향후일정을최종확정하였다. 12 이후 2016년 4월 27일에당초제안되었던규정안과지침안이 GDPR 및 형사범죄의예방, 수사, 기소또는형집행을위한관할관청에의한개인정보의처리와관련한자연인의보호및그정보의자유로운이동에관한유럽의회및유럽이사회지침 (Directive (EU) 2016/680 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data by competent authorities for the purposes of the prevention, investigation, detection or prosecution of criminal offences or the execution of criminal penalties, and on the free movement of such data, and repealing Council Framework Decision 2008/977/JHA) 으로각각입법되었다. GDPR은지침 (Directive) 이아니라규정 (Regulation) 이기때문에각국정부에의한별도의이행입법이필요하지않으며, 2년간의유예기간을거쳐 2018년 5월 25일발효된다. 나. GDPR 초안 1) GDPR 초안의목적 GDPR 초안은개인정보의처리와관련된개인의보호및개인정보의자유로운이동에관하여규율함을목표로하였다 ( 제1조제1항 ). GDPR 초안은자연인의기본적권리와자유, 특히개인정보보호에대한권리를보호한다 ( 제1조제2항 ). 또한개인정보의처리와관련하여개인의보호를이유로유럽연합내에서의개인정보의자유로운이동이제한되거나금지되어서는안된다고선언하고있다 ( 제1조제3항 ). 2) 적용범위 1 물적범위 GDPR 초안은개인정보파일링시스템 (filling system) 의개념을활용하여파일링시스템의일부이거나일부를이룰의도가있는개인정보에대하여적용되며, 자동화여부는불문한다 ( 제2조제1 항 ). 다만, (a) 유럽연합법률의범위를벗어나는, 특히국가안보와관련된활동과정에서이루어진개인정보처리의경우, (b) 유럽연합기관, 기구, 관청등에의한처리, (c) 유럽연합조약 (Treaty on European Union) 제2장의범위를벗어나는활동을하는회원국에의한처리, (d) 개인적활동또는가정활동과정에서영리목적이아닌자연인에의한처리, (e) 범죄행위의예방, 조사, 수사, 기소또는형사처벌의집행을위한주무기관에의한처리에대하여는적용되지않는다 ( 제2조제2항 ). 아울 12 EUCO 169/13. 14

15 러 역내시장에서정보사회서비스, 특히전자상거래의법적측면에관한유럽의회및이사회지침 ( 전자상거래지침 )(Directive 2000/31/EC of the European Parliament and of the Council of 8 June 2000 on certain legal aspects of information society services, in particular electronic commerce, in the Internal Market ('Directive on electronic commerce')) 제12조부터 15조까지에서규정된매개적서비스제공자 (intermediary service provider) 의책임에관한규정의적용을배제하지않아야한다 ( 제2조제3항 ). 2 장소적범위기본적으로 GDPR 초안은유럽연합내의콘트롤러 (controller) 나프로세서 (processor) 의활동에따른개인정보의처리에적용된다 ( 제3조제1항 ). 그러나유럽연합내에설립되지않은콘트롤러라고하더라도유럽연합내에거주하는정보주체의개인정보를처리하는경우에는 GDPR 초안이적용된다 ( 제3조제2항 ). 즉, (a) 유럽연합내에서이들정보주체에게재화나용역을제공하는경우나 (b) 정보주체의행동을감시 (monitoring) 하는경우에는 GDPR 초안이적용된다. 나아가유럽연합내에설립되지않았더라도국제사법에의해회원국의국내법이적용되는곳에설립된콘트롤러의개인정보처리에도적용된다 ( 제3조제3항 ). 3) 개인정보처리의기준 1 기본원칙 GDPR 초안은 6가지개인정보처리의기준을선언하였다 ( 제5조 ). 즉, (a) 정보주체와관련하여합법적으로, 공정하게그리고투명한방식으로처리되어야한다. (b) 구체적, 명시적, 합법적목적을위해수집되어야하고, 이러한목적에배치되게처리되어서는안된다. (c) 처리되는목적에맞게적절하고, 타당하고, 최소한의필요에맞게제한되어야하며, 개인정보를포함하고있지않은정보를처리함으로써목적이충족될수없는경우에만처리되어야한다. (d) 정확하고최신정보여야하며, 처리되는목적과관련하여부정확한개인정보를즉시삭제하거나수정한다는것을보증하기위해적절한조치가취해져야한다. (e) 개인정보가처리되는목적을위하여필요한범위내에서정보주체가확인할수있는형태로보관되어야한다. 한편, 개인정보는제83조의규정에따라역사, 통계, 과학연구목적으로만처리되어야할때에는개인정보의계속보관의필요성을정기적으로평가하는한더오랜기간동안보관될수있다. (f) GDPR 초안의준수를보증하고증명하여야하는콘트롤러의책임하에개인정보는처리되어야한다. 2 처리의적법성 개인정보의처리는 (a) 정보주체가하나이상의구체적인목적을위해자신의개인정보처리에동의 를하는경우, (b) 정보주체가계약당사자인계약의이행을위해또는계약체결전정보주체의요청 15

16 에따라조치를취하기위해개인정보처리가필요한경우, (c) 콘트롤러가법적의무를준수하기위하여필요한경우, (d) 정보주체의주요이익을보호하기위해필요한경우, (e) 공공의이익을위해필요하거나또는콘트롤러에게부여된공적권한의행사를위해필요한경우, (f) 개인정보의보호가필요한정보주체, 특히정보주체가어린이인경우로서그정보주체의이익또는기본적권리와자유가우선되는때를제외하고, 콘트롤러가추구하는적법한이익의목적에부합하는경우 ( 공공기관이그업무의수행과정에서개인정보를처리하는경우에는적용되지않음 ) 에는적법하다 ( 제6조제2 항 ). (c) 와 (e) 에따라처리하는경우에근거가되는법은유럽연합이나각회원국의법을의미한다 ( 제 6조제3항 ). 한편, 역사, 통계, 과학연구목적으로개인정보의처리가필요한경우제83조에서규정한조건및세이프가드 (safeguards) 에따라개인정보를처리하는경우에는적법하다 ( 제6조제2항 ). 3 동의요건콘트롤러는정보주체의동의에대한입증책임을부담한다 ( 제7조제1항 ). 다른사항과함께동의가요구될때에는동의요건은다른사항으로부터외관상구분될수있도록제시되어야한다 ( 제7조제2 항 ). 정보주체는자신의동의를언제든지철회할수있으며, 동의의철회로인해서철회전동의에기초하여처리한사항의적법성이영향을받지않는다 ( 제7조제3항 ). 정보주체와콘트롤러사이에서심각한불일치가존재하는경우에는동의를처리에대한법적기초로삼을수없다 ( 제7조제4항 ). 4 아동의개인정보의처리 GDPR 초안에의하면, 13세미만아동의개인정보처리는아동의부모나보호자가동의하거나승인하는경우에만적법하다 ( 제8조제1항 ). 콘트롤러는적용가능한기술을고려하여, 입증할수있는동의를얻기위한합리적인노력을해야한다 ( 제8조제1항 ). 다만, 이러한규정이아동과관련된계약의유효성, 성립, 효과등에대하여규정하는회원국의일반계약법에는영향을미치지않는다 ( 제8조제2항 ). 5 특별한범주의개인정보처리소위 민감정보 (sensitive data) 라고불리는특별한범주의개인정보의범위를유전정보나형사판결또는보안처분관련정보까지확대하여원칙적으로그러한정보의처리를금지하고있다. 즉, 인종, 출신민족, 정치적견해, 종교및신념, 노동조합가입여부, 유전정보, 건강이나성생활정보, 형사판결또는보안처분과관련된개인정보의처리는금지된다 ( 제9조제1항 ). 다만, 정보주체가동의한경우, 법률에따른권리의행사와의무의이행을위하여필요한경우, 정보주체가물리적또는법률적으로동의를할수없는경우로서정보주체나제3자의중요한이익을보호하기위해필요한경우, 정보주체가명백히공개한개인정보를처리하는경우등일정한예외가인정된다 ( 제9조제2항 ). 16

17 4) 정보주체의권리기존의 EU 정보보호지침은정보주체의권리에관하여접근권 ( 제12조 ), 거부권 ( 제14조 ), 자동화된결정에대한거부권 ( 제15조 ) 만을규정하였지만, GDPR 초안은정보주체의권리를하나의장으로편성하여일반적측면에서투명성 ( 제11조 ) 을선언하고, 정보주체의권리를실행할절차와체계 ( 제12 조 ) 및콘트롤러로부터개인정보를제공받은자와관련한권리 ( 제13조 ) 를규정한후, 개별적권리로서콘트롤러의정보제공의무 ( 제14조 ), 접근권 ( 제15조 ), 정정권 ( 제16조 ), 잊힐권리및삭제권 ( 제17 조 ), 정보이동성에관한권리 ( 제18조 ), 거부권 ( 제19조 ), 프로파일링 (profiling) 과관련된권리 ( 제20 조 ) 를규정하여정보주체의권리를대폭강화하였다. 이하에서는주요사항을간략하게소개한다. 1 투명성콘트롤러는개인정보의처리와관련하여그리고정보주체의권리행사를위해, 투명하고쉽게접근할수있는정책을갖추어야한다 ( 제11조제1항 ). 콘트롤러는개인정보의처리와관련된정보, 특히아동에게전달되는정보의경우에해당정보주체에게적합하게명확한보통어를사용하여알기쉬운형태로정보를제공하거나의사소통하여야한다 ( 제11조제2항 ). 2 정보주체의권리행사를위한절차및체계콘트롤러는정보주체의권리행사를위한절차를정하여야하며, 개인정보가자동화된수단에의해처리되는경우에는콘트롤러는요청이전자적으로처리될수있는수단을제공해야한다 ( 제12조제 1항 ). 콘트롤러는요청을받은날로부터 1개월이내에지체없이정보주체에게조치여부를알려야한다 ( 제12조제2항 ). 콘트롤러가정보주체가요청한조치를거절하는경우, 이와관련하여콘트롤러는거절사유와함께감독기관에민원을제출하는방법이나법률적으로구제받을수있는방법을정보주체에게알려야한다 ( 제12조제3항 ). 정보주체의요청에따른정보제공및조치는무료로제공되어야하지만, 요청이명백하게과도한경우, 특히계속반복되는경우에콘트롤러는요청받은정보제공이나조치에대해수수료를부과하거나요청받은조치를취하지않을수있다 ( 제12조제4항 ). 다만, 콘트롤러는요청이명백히과도하다는것을입증할책임을부담해야한다. 3 정보제공의무콘트롤러가개인정보수집시정보주체에게제공하여야하는정보는콘트롤러및콘트롤러의대리인및정보보호책임자 (data protection officer) 의신원및상세연락처, 개인정보의처리목적, 개인정보의보관기간, 정보주체와관련된개인정보의접근및수정또는삭제를요청하거나이러한개인정보의처리를반대할수있는권리의존재여부, 감독기관에게불만사항을제기할수있는권리와감독기관의상세연락처정보, 개인정보를제공받는제3자또는범주, 개인정보의국외이전, 개인정보가수집되는특수한상황과관련하여정보주체와관련된개인정보의공정한처리를보증하기위 17

18 해필요한추가정보이다 ( 제14조제1항 ). 한편, 개인정보가정보주체로부터수집되지않는경우콘트롤러는기본적인제공정보외에개인정보를어디에서수집하였는지를정보주체에게알려야한다 ( 제14조제3항 ). 그러나이와같은정보제공의무는 (a) 정보주체가이미해당정보를가지고있는경우, (b) 개인정보가정보주체로부터수집되지않은경우로서그러한정보의제공이불가능하거나불필요한경우, (c) 개인정보가정보주체로부터수집되지않은경우로서법률에서기록이나공개를규정하는경우, (d) 개인정보가정보주체로부터수집되지않은경우로서그러한정보의제공이제21조에따른유럽연합또는회원국법률에서규정한제3자의권리나자유를해치는경우에는적용되지않는다 ( 제14조제5항 ). 4 잊힐권리및삭제권 GDPR 초안의내용중에서국제적으로큰반향을불러일으킨사항이제17조에규정된잊힐권리이다. 13 이에의하면, 정보주체는콘트롤러를상대로자신과관련된개인정보의삭제권및확산중지권 (abstention from further dissemination) 을보유한다 ( 제17조제1항 ). 특히, 아동인정보주체의개인정보에대하여그러한권리가보장되어야한다. 다만, 이러한권리가인정되기위해서는 (a) 해당개인정보가수집되거나처리되는목적에더이상부합하지않는경우, (b) 해당개인정보를처리할수있는법적근거가없는경우로서제6조제1항 (a) 에따라이루어지는처리에대한동의를철회하거나동의한보관기간이만료된경우, (c) 정보주체가제19조에따라해당개인정보의처리에반대하는경우, (d) 다른이유로인하여해당개인정보의처리가 GDPR( 안 ) 을준수하지못하는경우이어야한다 ( 제17조제1항 ). 이처럼잊힐권리가인정되면콘트롤러는개인정보를지체없이 (without delay) 삭제하여야한다 ( 제17조제3항 ). 나아가 GDPR 초안은콘트롤러가개인정보를공개한경우에콘트롤러는공개에대하여책임있는개인정보와관련하여기술적조치를포함하여그개인정보를처리하는제3자에게정보주체가그들에게그개인정보의링크, 사본을삭제할것을요청한다는점을알리기위한모든합리적인조치를취하여야한다 ( 제17조제2항 ). 콘트롤러가제3자에게개인정보의공개를허용하였다면, 그콘트롤러는그공개에대하여책임있는것으로보아야한다 ( 제17조제2항 ). 그러나잊힐권리에대한예외도인정된다. 즉, (a) 제80조에따라표현의자유에대한권리를행사하는경우, (b) 제81조에따라공공보건부문에서공익을위한경우, (c) 제83조에따라역사, 통계, 과학연구목적으로필요한경우, (d) 유럽연합또는콘트롤러가속한회원국의법률에의해개인정보를보관해야하는법적의무를준수해야하는경우 ( 이경우에회원국법률은공공의이익을위한목 13 잊힐권리는 GDPR 초안에서상세히규정하고있고, 우리나라를비롯한각국에서많은논란을불러일으킨사항이지만, 이글에서는 지면의한계로인하여간략하게주요내용만을소개한다. 잊힐권리의상세한내용과우리법과의비교에대하여는최경진, 잊혀질 권리 - 개인정보관점에서, 정보법학제 16 권제 2 호, 2012, 면. 18

19 적을충족하고, 개인정보의보호를위한권리를존중하고, 추구하는합법적목적에적합해야한다 ), (e) 제 17 조제 4 항에따라콘트롤러가개인정보의처리를제한해야하는경우에는예외적으로개인 정보를보유할수있다 ( 제 17 조제 3 항 ). 5 정보이동성에관한권리개인정보가전자적수단및구조화되고일반적으로이용되는형식으로처리되는경우에정보주체는일반적으로이용되고추후에정보주체가이용할수있는전자적이고구조화된형식으로처리되고있는정보의사본을얻을권리를가진다 ( 제18조제1항 ). 6 거부권콘트롤러가정보주체의이익이나기본적권리와자유에우선하는적법한처리근거를제시하지않는한, 정보주체는자신의특정한상황과관련된기준에따라언제든지제6조 (1) 항의 (d), (e) 및 (f) 에서규정한개인정보의처리에를거부할수있는권리를갖는다 ( 제19조제1항 ). 개인정보가다이렉트마케팅 (direct marketing) 을위해처리되는경우에정보주체는무료로자신의개인정보가이러한마케팅을위해처리되는것에반대할권리를가지며, 이러한권리는이해하기쉬운방식으로정보주체에게분명하게제공되어야하고다른정보와뚜렷이구별되어야한다 ( 제19조제2항 ). 이처럼거부또는반대가인정되는경우에콘트롤러는해당개인정보를더이상이용또는처리할수없다 ( 제 19조제3항 ). 7 프로파일링과관련된권리 GDPR 초안은최근의새로운트렌드인빅데이터 (Big Data) 를고려하여프로파일링과관련된규정을두고있다. 즉, 자연인과관련된개인적측면을평가하거나특히업무, 경제적상황, 지역, 건강, 개인적취향, 신뢰성또는태도에서자연인의행동을분석하거나예측할의도를가진자동화된처리에만기초하고자연인과관련된법적효과를야기하거나자연인에게중대한영향을미치는조치에따르지않을권리를가진다 ( 제20조제1항 ). 다만, 정보주체의적법한이익을보호해주는적합한기준이제공되거나정보주체에의한계약체결또는이행의요청이충족되는경우에계약체결또는이행과정에서처리되는경우, 정보주체의합법적이익을보장하기에적합한기준을규정한 EU 또는회원국의법률에의하여명시적으로승인되어처리되는경우, 제7조의동의요건과적합한세이프가드하에서정보주체의동의에기초하여처리되는경우에는프로파일링이예외적으로허용된다 ( 제20조제2항 ). 이러한프로파일링거부권선언과함께 GDPR 초안은자연인과관련된일정한인적특성을평가하기위한자동화된처리는제9조에규정된특정범주의개인정보에만의존하지말아야한다고하여민감정보에만기초한자동화된처리의제한을규정하였다 ( 제20조제3항 ). 동시에콘트롤러는정보제공의무의일부로서프로파일링조치에의한개인정보처리의사실및그러한처리로인하여 19

20 정보주체에게예상되는영향에관하여정보를제공하여야한다 ( 제 20 조제 4 항 ). 5) 제한 GDPR 초안은개인정보에관한권리와의무의범위를입법적조치에의하여제한할수있도록규정하였다 ( 제21조제1항 ). 다만, 그러한제한은 (a) 공공의안녕, (b) 범죄의예방, 조사, 수사, 기소, (c) 유럽연합또는회원국의공익, 특히금융, 예산, 조세문제및시장의안정을포함한유럽연합또는회원국의주요금융또는재정적이익, (d) 규제직종 (regulated professions) 의윤리위반의예방, 조사, 수사, 기소, (e) (a)~(d) 에관한공식적인권한행사와관련된감독, 조사또는규제작용, (f) 정보주체나제3자의권리및자유의보호를확보하기위하여민주사회에서필요하고적절한수단인경우이어야한다 ( 제21조제1항 ). 6) 콘트롤러와프로세서 1 Data protection by design and by default 기술수준및실행비용을고려하여, 콘트롤러는개인정보의처리수단을결정할때및개인정보를처리할때에해당처리가 GDPR 초안의요건을충족하고정보주체의권리보호를확보하는방식으로적절한기술적및관리적조치와절차 (appropriate technical and organisational measures and procedures) 를이행하여야한다 ( 제23조제1항 ). 또한콘트롤러는기본적으로 (by default) 정보의양및보관시간의양측면에서목적에필요한최소한의범위를넘어개인정보가수집되거나보유되지않도록하고, 개인정보가각각의특정한처리목적을위하여필요하도록처리되도록하기위한메커니즘을이행하여야한다 ( 제23조제2항 ). 2 공동콘트롤러콘트롤러가제3자와함께개인정보처리목적, 조건, 수단을결정하는경우, 공동콘트롤러는각각 GDPR 초안에따른의무, 특히이들사이의협정에따라정보주체의권리를행사하는데필요한절차및조치에대한의무를준수해야하는책임을가진다 ( 제24조 ). 3 유럽연합내에설립되지않은콘트롤러의대리인유럽연합내에설립되지않은콘트롤러가제3조제2항을적용받는경우에해당콘트롤러는유럽연합내에대리인을지정해야한다 ( 제25조제1항 ). 다만, (a) 제41조에따라적절한보호수준을보증한다고집행위원회가결정한제3국에설립된콘트롤러, (b) 250명미만의직원을고용한기업, (c) 공공기관또는단체, (d) 유럽연합에거주하는정보주체에게간헐적으로만재화또는용역을제공하는콘트롤러의경우에는예외이다 ( 제25조제2항 ). 20

21 4 콘트롤러및프로세서의감독하에서의처리 콘트롤러나개인정보에접근할수있는프로세서의감독에따르는프로세서나사람은유럽연합또 는회원국법률에서요구하지않는한콘트롤러의지시없이처리할수없다 ( 제 27 조 ). 5 문서보관의무모든콘트롤러와프로세서그리고해당되는경우콘트롤러의대리인은자신이책임을지고있는모든처리과정을문서화하여보관해야한다. 이문서에는최소한다음의정보가포함되어야한다. 즉, (a) 콘트롤러, 또는공동콘트롤러, 또는프로세서, 그리고해당되는경우대리인의이름과상세연락처, (b) 해당되는경우, 정보보호책임자의이름과상세연락처, (c) 제6조제1항 (f) 에의해처리되는경우, 콘트롤러가추구하는적법한이익을포함한처리의목적, (d) 정보주체의범주및이들과관련된개인정보의범주에대한설명, (e) 적법한이익을위해개인정보가공개되는콘트롤러를포함하여개인정보를제공받는자또는범주, (f) 해당되는경우, 제3국또는국제기관에대한정보를포함한제3국또는국제기관으로의정보의이전, 제44조제1항 (h) 에서규정한이전인경우적절한세이프가드의문서화, (g) 다양한범주의정보삭제에대한시간제한의표시, (h) 제22조 (3) 항에서규정한메커니즘에대한설명이포함되어야한다 ( 제28조제1항 ). 이상과같은문서보관의무는 (a) 상업적이익을추구하지않고개인정보를처리하는자연인, (b) 주된업무의부수적인활동으로만개인정보를처리하고직원수가 250명미만인기업이나단체의경우에는해당되지않는다 ( 제28조제4항 ). 7) 신고및통지 1 감독기관에대한개인정보침해의신고개인정보가침해된경우에는콘트롤러는지체없이그리고가능한경우에는이를알게된후 24시간이내에개인정보침해사실을감독기관에게신고하여야한다. 감독기관에 24시간이내에신고되지않은경우에는신고시에합당한이유를포함하여야한다 ( 제31조제1항 ). 또한프로세서는개인정보의침해가이루어진후즉시콘트롤러에게이를경고하고알려야한다 ( 제31조제2항 ). 신고해야할사항은 (a) 관련된정보주체의범주및수, 관련된정보기록의범주및수를포함한개인정보침해의특성에대한설명, (b) 정보보호책임자의신원및상세연락처그리고더많은정보를얻을수있는기타연락처, (c) 개인정보침해의부정적인효과를완화하기위해권고되는조치, (d) 개인정보침해로인해발생하는결과에대한설명, (e) 개인정보침해문제를다루기위해콘트롤러가제안한또는취한조치에대한설명이다 ( 제31조제3항 ). 2 정보주체에대한개인정보침해의통지 개인정보침해가정보주체의개인정보나프라이버시의보호에부정적인영향을미칠경우에콘트롤 21

22 러는감독기관에대한신고를한후부당한지체없이개인정보침해사실을정보주체에게알려야한 다 ( 제 32 조제 1 항 ). 8) 정보보호영향평가처리행위가그성질, 범위, 목적으로인해정보주체의권리및자유에특정위험을나타내는경우에콘트롤러또는콘트롤러를대신하여행하는프로세서는예상되는처리행위가개인정보의보호에미치는영향에대한평가를하여야한다 ( 제33조제1항 ). 9) 정보보호책임자콘트롤러와프로세서는 (a) 공공기관이나단체가처리하는경우, (b) 250명이상의직원을고용한기업이처리하는경우, (c) 콘트롤러나프로세서의핵심활동이성질, 범위, 목적에의해정보주체에대한정기적이고체계적인모니터링을필요로하는처리행위로구성되는경우에는정보보호책임자를지정해야한다 ( 제35조제1항 ). 하나의사업체집단 (group of undertakings) 은단일한정보보호책임자를지정할수있다 ( 제35조제2항 ). 콘트롤러나프로세서가공공기관이나단체인경우, 공공기관이나단체의조직구조를고려하여여러명의정보보호책임자를지정할수있다 ( 제35조제3항 ). 10) 행동강령및인증 GDPR 초안은그적용이적절하게이루어지도록하기위하여회원국, 감독기관및집행위원회가행동강령 (code of conduct) 의제정을장려하도록규정하고있다 ( 제38조 ). 한편, 회원국과집행위원회는특히유럽차원에서콘트롤러와프로세서가제공한정보보호수준을신속하게평가할수있도록정보보호인증체계와정보보호인장 (seal) 및마크 (mark) 를사용하도록장려해야한다 ( 제39조제1항 ). 집행위원회는인증체계와정보보호인장및마크를장려하고인정하기위해, 인증체계와정보보호인장및마크에대한기술적표준을정할수있다 ( 제39조 ). 11) 개인정보의역외이전 기존에 EU 정보보호지침에서 2 개의조문으로규율하던개인정보역외이전에대하여 GDPR 초안에 서는보다구체적으로규정하여제 40 조부터제 45 조까지상세한규정을두고있다. 1 역외이전의일반원칙 GDPR 초안제40조는역외이전을위한일반원칙을규정하고있다. 즉, 제3국이나국제기관에서다른제3국이나다른국제기관으로의향후이전을포함하여, 제3국이나국제기관으로이전된후처리되고있거나처리될예정인개인정보의이전은 GDPR 초안에서의다른조항과함께본장에서규정된요건을콘트롤러가충족하는경우에가능하다 ( 제40조 ). 이러한원칙에따라역외이전은집행 22

23 위원회의적절성결정에따라이루어질수있고, 적절성결정이없는경우에는적절한세이프가드가 있는경우에이전이가능하다 ( 제 42 조 ). 2 적절성결정에의한이전 GDPR 초안집행위원회의적절성결정에따른이전을규정한다. 즉, EU 집행위원회가제3국, 제3국의영토또는처리부문, 국제기관등이적절한수준의보호를보증하고있다고판단하는경우이전이가능하다 ( 제41조제1항 ). 이러한이전에추가적인승인은필요하지는않다. 이처럼 EU집행위원회가보호수준의적절성을평가할때에는다음요소에대해고려해야한다. 즉, (a) 법률규정, 일반적으로또는부문별로시행중인공공의안녕, 국방, 국가안보, 형법등과관련된것을포함한관련법률, 해당국가또는해당국제기관에서준수해야하는관련법률및보안조치, 정보주체, 특히개인정보가이전되는유럽연합에거주하는정보주체에대한효과적인행정및사법적시정을포함한효과적이고도실행가능한권리, (b) 정보보호규정의준수, 권리행사하는정보주체에대한지원및통지, 유럽연합및회원국감독기관과의협력등에책임이있는하나이상의제3국의독립적인감독기관이나해당되는국제기관의존재및효율적역할, (c) 해당되는제3국이나국제기관이체결한국제협약을고려하여야한다 ( 제41조제2항 ). EU 정보보호지침제25조제1항또는제26조제4항에기초하여집행위원회가채택한결정은집행위원회가수정, 교체, 폐기할때까지계속유효하다 ( 제41 조제8항 ). 3 적절한세이프가드에의한이전적절성결정이없는경우에는적절한세이프가드를통하여역외이전을할수있다. 적절한세이프가드로는 (a) 제43조에따른구속력있는기업규칙 (Binding Corporate Rules), (b) 집행위원회가채택한표준정보보호조항, (c) 제62조제1항 (b) 에따라집행위원회가유효하다고인정하는경우, 제 57조에서규정한일관성메커니즘 (consistency mechanism) 에따라감독기관이채택한표준정보보호조항, (d) 제4항에따라감독기관이승인한콘트롤러와정보수령인사이의계약조항을말한다. 이중 (a), (b), (c) 의표준정보보호조항이나구속력있는기업규칙에기초한이전의경우추가승인이필요하지않다. 반면, 역외이전이 (d) 의계약조항에기초하는경우, 콘트롤러는제34조제1 항 (a) 에따라감독기관으로부터계약조항에대해사전승인을받아야한다. 역외이전이상대방회원국이나다른회원국에거주하는정보주체와연관된처리활동과관련되거나유럽연합내에서개인정보의자유로운이전에큰영향을미치는경우, 감독기관은제57조에서규정된일관성메커니즘 (consistency mechanism) 을적용해야한다. 4 예외 이상과같은적절성결정이나적절한세이프가드가없는경우에도일정한요건하에서역외이전이 23

24 허용된다 ( 제44조 ). 즉, (a) 정보주체가정당한결정이나적절한안전조치의부재로인해발생할수있는이전의위험에대해통지를받은후제안된이전에동의하는경우, (b) 정보주체와콘트롤러사이에서의계약이행을위해또는정보주체의요청에의해취해진계약전사전조치의이행을위해이전을해야하는경우, (c) 정보주체의이익을위해콘트롤러와다른자연인또는법인사이에서체결된계약의이행을위해이전을해야하는경우, (d) 공공의이익을위해이전이필요한경우, (e) 법적소송의제기, 행사, 방어를위해이전이필요한경우, (f) 정보주체가물리적으로또는법률적으로동의를할수없는경우에정보주체또는제3자의중요한이익을보호하기위해이전이필요한경우, (g) 유럽연합이나회원국법률에따라일반대중에정보를제공하기위해그리고일반대중또는정당한이익을입증할수있는사람에의한협의를위해유럽연합이나회원국법률에서규정한조건이충족되는한도내에서공개되는등록부 (register) 로부터이전되는경우, (h) 콘트롤러가정보또는일련의정보이전행위와관련된모든상황을평가하고이러한평가에기초하여개인정보의보호를위해적절한세아프가드를제시하는경우로서콘트롤러가추구하는정당한이익의목적을위해이전되는경우에는예외적으로역외이전이허용된다 ( 제44조제1항 ). 12) 배상받을권리및책임 GDPR 초안은개인정보침해로인한손해배상책임을원칙적으로인정하면서, 공동불법행위책임과함께입증책임의전환을규정하고있다. 즉, 정보처리행위나 GDPR 초안의불이행으로인해손해를입은사람은그손해에대해콘트롤러나프로세서로부터배상을받을권리를갖고있다 ( 제77조제1 항 ). 하나이상의콘트롤러나프로세서가개인정보처리에관련된경우, 각콘트롤러나프로세서는연대하여전체손해액에대한책임을부담해야한다 ( 제77조제2항 ). 콘트롤러나프로세서가손해를발생시킨행위에대해책임이없다는것을입증하는경우, 콘트롤러나프로세서는이러한책임으로부터전체또는부분적으로면제될수있다 ( 제77조제3항 ). 13) 처벌 GDPR 초안은회원국에형사처벌을입법하도록규정하면서, 행정제재에대하여는구체적으로규정하고있다. 즉 GDPR 초안을위반한경우최대 1,000,000유로또는기업의경우에는연간전세계매출액의 2% 까지과징금을부과하도록규정하고있다. 다만, GDPR 초안을처음또는고의없이위반한경우로서다음의경우에는서면경고가주어지고, 제재는부과되지않는다. 즉, (a) 자연인이상업적이익의추구없이개인정보를처리하는경우, (b) 고용된직원의수가 250명미만인기업이나단체가주된활동에대한부수적인활동으로써개인정보를처리하는경우에는서면경고가내려진다. 24

25 다. GDPR 유럽의회수정안 유럽의회를통과한수정안의기본내용은 GDPR 초안과동일하기때문에유럽의회를통과한 GDPR 유 럽의회수정안의주요내용및수정사항을중심으로살펴보겠다. 1) 삭제권 GDPR 초안의가장큰이슈중의하나였던잊혀지권리에대해서는많은논란이있었다. 그중에서도유럽연합기관이나회원국을위하여사이버보안이슈에대한업무를수행하는 EU 산하기관인 ENISA(European Union Agency for Network and Information Security) 가 GDPR 초안에대하여검토한보고서에는잊힐권리에대한다양한시각과개선방향이잘나타나있다. 여기에서제시된시사점들은우리가 EU의규정안에대하여어떠한시각으로접근해야하는가를보여주는좋은자료로서의미가있기때문에그주요사항을소개하고자한다. GDPR 초안이공개된이후잊힐권리가과연어느정도로까지보장될수있고또한현실적으로보장가능한가에대하여다양한의문이제기되어 ENISA에서는이에대한검토를진행하였고, 그결과잊힐권리에관한보고서를공표하면서, 다음과같은권고를제시하였다. 14 즉, (1) 잊힐권리를실행하기위한기술적수단들은개인정보의범위의정의를요구하며, 누가어떤환경하에서개인정보의삭제를요구할권리를가지는가를명확히할것을요구하며, 정보를삭제에영향을미치는방법으로서수용가능한것들이무엇인가를명확히할것을요구한다는점을인식하면서, 규제당국들이이에대한명확화작업을공동으로수행할것을요구하였다. (2) 개념정의를규정함에있어서도잊힐권리를집행하는데있어서의기술적도전들을신중히고려하여야한다. 또한 (3) 개방인터넷상에서의잊힐권리를강제하기위한순수한기술적이고포괄적인해결책은일반적으로불가능하다는점도인식하였다. (4) 잊힐권리를실행할수있는실현가능한접근은 EU 내의검색엔진운영자와공유서비스들이 EU 영역내외에저장된잊힌정보에대한참조를필터링하는것이라는점도인식하였다. (5) 폐기된오프라인저장장치에저장된개인정보의삭제와관련한특별한주의가취해져야한다. (6) 정보처리자는그보유하고있는개인정보에대하여이용자가쉽게접근할수있도록하여야하고, 이용자의비용부담없이그리고부당한지체없이정보를최신화, 수정및삭제할수있는방법을제공하도록규정되어야한다. 다만, 이는다른현행법과충돌하지않는범위내에서허용된다. (7) 정보의원치않는수집및확산을막기위한기술을개발하여야한다. 또한보다더넓은맥락에서 (8) 정책결정자들이온라인에서수집되고저장된개인정보의양을최소화하기위하여최소공개원칙을지원하는기술의이용을확보할것을권고하였다. (9) 모든당사자들에게개인정보의보관및이전을위한암호의활용을권고하였다. (10) 온 14 ENISA, The right to be forgotten - between expectations and practice, identity-and-trust/library/deliverables/the-right-to-be-forgotten, 자. 25

26 라인상의추적과프로파일링에대하여특별한주의가기울여져야하며, 정책결정자들은명확한제재를규정하고위법행위자들을차단하기위하여집행하기위한수단과개인정보보호와관련한규칙을준수하도록강제할수단을규정하여야한다고권고하였다. (11) 개인정보보호기관및관련이해관계당사자들은정보보호입법으로부터유래한권리에대한이용자들의인식을증진하기위하여노력하여야하며, 개인정보의과도한수집과보관의경우에민원을제기하는것을포함하여그권리를실행하기위한법체계에의하여이용자에게제공된가능성에관하여도이용자들의인식을증진하기위하여노력하여야한다. 동시에 (12) 회원국은충돌하는규제를제거하여야하며, 한편개인정보보호기관, 제29조정보보호작업반, 유럽정보보호감독관등은실무적인이행측면을고려하여현안인개념정의이슈를명확히하기위한공동의작업을하여야한다. 이러한논의의과정을토대로, 유럽의회는논란이되는 잊힐권리 라는용어를더이상사용하지않고, 단순히 삭제권 이라는용어를사용하였다. 또한삭제권이인정되는경우로서유럽연합내의법원이나규제기관이관련개인정보가삭제되어야한다고최종적이고절대적인결정을한경우를추가하고, 기존에 GDPR( 안 ) 을준수하지않는경우로되어있던것을 해당정보가불법적으로처리된경우 로수정하였다 ( 제17조제1항 (ca) 및 (d)). 한편, 개인정보가웹사이트등에공개된경우에 GDPR 초안에의하면해당개인정보를처리하고있는제3자에게통지할의무를규정하였지만, GDPR 유럽의회수정안은그러한일반적의무를삭제하였다 ( 제17조제2항 ). 2) 표준정보정책 (Standardised information policies) 정보주체와관련된개인정보가수집되는경우에콘트롤러는 GDPR( 안 ) 에의해서요구되는정보를제공하기전에문자로열거된일정한상세를정보주체에게제공하여야한다 ( 제13a조 ). 일정한상세는개인정보가각각의특정처리목적을위하여최소한의필요를넘어수집되는지의여부, 개인정보가상업적인제3자에게제공되는지의여부를포함한다. 3) 프로파일링 GDPR 유럽의회수정안은프로파일링거부권을강화하여, 정보주체는매우알아보기쉬운방식 (highly visible manner) 으로프로파일링거부권에대하여고지받도록규정하였다 ( 제20조제1항 ). 또한프로파일링으로인한차별을명백히금지하였다. 즉, 인종, 출신민족, 정치적견해, 종교, 신념, 노동조합가입, 성적성향이나성정체성에기초하여개인에대하여차별의효과를가지거나결과적으로그러한효과를가지는조치가되는프로파일링은금지되어야한다 ( 제20조제3항 ). 또한콘트롤러는프로파일링으로부터야기될수있는차별에대하여효과적인보호를실행하여야한다 ( 제20조제3항 ). 26

27 4) 위험분석 GDPR 유럽의회수정안은예방활동의중요성을인식하여, 콘트롤러또는프로세서는정보처리행위의성질, 범위또는목적이중대하게변화하게되면, 매년또는즉시위험분석의수행을요구받게된다 ( 제32a조 ). 5) 정보보호책임자 GDPR 유럽의회수정안은정보보호책임자지정기준을확대하여, 콘트롤러또는프로세서가법인으로서연속 12개월동안 5,000명이상의정보주체와관련된정보를처리하는경우에정보보호책임자를지정하도록규정하였다 ( 제35조제1항 (b)). 6) 유럽정보보호인장유럽정보보호인장 (European Data Protection Seal) 을제정하여자발적인인증제도를시행하고자규정하였다 ( 제39조 ). 유럽정보보호인장은콘트롤러또는프로세서가 GDPR 유럽의회수정안을완전히준수하는한유효하며, 최종 5년동안유효하다 ( 제39조제1f항및제1g항 ). 7) 개인정보의역외이전역외이전이가능한경우로서 GDPR 초안은집행위원회의적절성결정또는적절한세이프가드에의하여이전가능했다. 적절한세이프가드는 (a) 제43조에따른구속력있는기업규칙 (Binding Corporate Rules), (b) 집행위원회가채택한표준정보보호조항, (c) 제62조제1항 (b) 에따라집행위원회가유효하다고인정하는경우, 제57조에서규정한일관성메커니즘 (consistency mechanism) 에따라감독기관이채택한표준정보보호조항, (d) 제4항에따라감독기관이승인한콘트롤러와정보수령인사이의계약조항이인정되었다. 그러나 GDPR 유럽의회수정안은집행위원회의적절성결정이나적절한세이프가드에의하여역외이전이가능한데, 허용되는세이프가드의유형으로서 집행위원회가채택한표준정보보호조항 을삭제하고, 새롭게 콘트롤러및개인정보를제공받는자의유럽정보보호인장 을추가하여새롭게역외이전이가능한사유를추가하였다 ( 제 42조제2항 (aa)). 한편, 집행위원회의적절성결정이나적절한세이프가드가없는경우에도역외이전이허용되는예외중에서콘트롤러나프로세서의합법적이익을위한경우는삭제되었다. 8) 행정제재 GDPR 유럽의회수정안은행정제재의유형을추가및강화하여, GDPR 유럽의회수정안을위반한자에게는 (a) 최초의비고의적인위반의경우에서면경고, (b) 정규의정기적인정보보호감사, (c) 1 억유로또는전세계연간매출액의 5% 에해당하는과징금중더큰액수중최소한하나의제재를과하여야한다 ( 제79조제2a항 ). 27

28 라. GDPR 1) 구성 GDPR 은 173 개항의전문과본문 99 개의조문으로구성되어있다. 본문은총 11 개장으로구성되어 있으며. 각장의내용은다음과같다. GDPR 체계 ( 괄호안숫자는조문번호 ) 일반규정 ( 제1장 ) 원칙 ( 제2장 ) 목적 (1), 물적범위 (2), 장소적범위 (3), 정의 (4) 개인정보처리관련원칙 (5), 처리의적법성 (6), 동의조건 (7), 정보사회서비스에관한아동의동의에적용되는조건 (8), 특정범주의개인정보처리 (9), 범죄경력및범죄행위에관한개인정보의처리 (10), 식별을요하지않는처리 (11) 제 1 절투명성및형식정보주체의권리를행사하기위한투명한정보, 통신및형식 (12) 정보주체권리 ( 제 3 장 ) 제2절정보및개인정보접근제3절정정및삭제제4절반대할권리및자동적인개별의사결정 정보주체로부터개인정보를수집하는경우제공되는정보 (13), 정보주체로부터개인정보가수집되지않는경우제공되는정보 (14), 정보주체의접근권 (15) 정정권 (16), 삭제권 ( 잊힐권리 )(17), 처리에대한제한권 (18), 개인정보의정정이나삭제또는처리제한에관한고지의무 (19), 정보이동권 (20) 반대할권리 (21), 프로파일링을포함하는자동적인개인의사결정 (22) 제 5 절제한제한 (23) 콘트롤러와프로세서 ( 제 4 장 ) 제1절일반적인의무제2절개인정보의보안제3절정보보호영향평가및사전자문제4절정보보호담당관 콘트롤러의책임 (24), 설계에의한그리고기본으로서의정보보호 (25), 공동콘트롤러 (26), 유럽연합내에설립되지않은콘트롤러또는프로세서의대리인 (27), 프로세서 (28), 콘트롤러또는프로세서의권한에따른처리 (29), 처리활동의기록 (30), 감독기관과의협력 (31) 처리의보안 (32), 감독기관에대한개인정보침해통지 (33), 정보주체에대한개인정보침해통지 (34) 정보보호영향평가 (35), 사전자문 (36) 정보보호담당관의지정 (37), 개인정보보호담당관의지위 (38), 개인정보보호담당관의임무 (39) 제 5 절행동강령및인증행동강령 (40), 승인된행동강령의모니터링 (41), 인증 (42), 인증기구 (43) 제3국또는국제기구로의개인정보이전 ( 제5장 ) 독립감독기구 ( 제6장 ) 이전을위한일반원칙 (44), 적절성결정에기초한이전 (45), 적절한안전조치에의한이전 (46), 구속력있는기업규칙 (47), 유럽연합법률로허가되지않은이전또는공개 (48), 특정상황을고려한적용제외 (49), 개인정보보호를위한국제협력 (50) 감독기구 (51), 독립성 (52), 감독기구위원의일반요건 (53), 제1절독립적인지위감독기구설치에관한규칙 (54조) 제2절기능, 임무및권한기능 (55), 주감독기구의기능 (56), 임무 (57), 권한 (58), 활동보고서 (59) 28

29 협력및일관성 ( 제 7 장 ) 제 1 절협력 제 2 절일관성 제 3 절유럽정보보호이사회 주감독기구와관련된다른감독기구간협력 (60), 상호지원 (61), 감독기구의공동활동 (62) 일관성메커니즘 (63), 유럽정보보호이사회의견 (64), 유럽정보보호이사회에의한분쟁해결 (65), 긴급절차 (66), 정보의교환 (67) 유럽정보보호이사회 (68), 독립성 (69), 유럽정보보호이사회의임무 (70), 보고서 (71), 절차 (72), 의장 (73), 의장의임무 (74), 사무국 (75), 비밀 (76) 구제, 책임및처벌 ( 제8장 ) 특정처리상황에관한규정 ( 제9장 ) 위임법률및시행법률 ( 제10장 ) 최종규정 ( 제11장 ) 감독기관에민원을제기할권리 (77), 감독기구를상대로한효과적인사법구제권 (78), 콘트롤러나프로세서를상대로한효과적인사법구제권 (79), 정보주체의대리 (80), 법적절차의중지 (81), 보상에대한권리및책임 (82), 행정과태료부과에관한일반조건 (83), 처벌 (84) 처리및표현과정보의자유 (85), 처리및공식문서에대한일반인의접근 (86), 국가식별번호의처리 (87), 고용맥락에서의처리 (88), 공익을위한기록보존목적, 과학이나역사연구목적또는통계목적을위한처리와관련한안전조치및적용제외 (89), 비밀유지의무 (90), 교회및종교단체의현행정보보호규정 (91) 위임의행사 (92), 위원회의절차 (93) 지침95/46/EC의폐지 (94), 지침2002/58/EC와의관계 (95), 이전에체결된협정과의관계 (96), 집행위원회보고서 (97), 기타유럽연합의정보보호법률에대한검토 (98), 발효및적용 (99) 2) 목적 GDPR은개인정보의처리와관련한자연인의보호및개인정보의자유로운이동에관하여규정하는것을목적으로하며, 자연인의기본적권리와자유, 특히개인정보의보호를위한권리의보호를목적으로한다. 아울러 EU 역내에서의개인정보의자유로운이동이제한되거나금지되지않도록보장하는것도주요목적으로한다. GDPR의목적은 GDPR 초안에서부터최종적인 GDPR에이르기까지동일하게규정되었다. 3) 장소적적용범위의확장 GDPR은 EU 회원국의정보주체에게유상이든무상이든재화나용역을제공하는활동을처리하거나 EU 내에서의 EU 회원국정보주체의활동의모니터링과관련한활동을처리하는 EU 밖의정보콘트롤러나프로세서에게도적용된다. 이때문에 EU 역외의콘트롤러나프로세서는 GDPR을준수하여야한다. 이러한장소적적용범위의확장은 GDPR 초안과마찬가지로인터넷으로연결되는정보화사회에서 EU 회원국정보주체를실질적으로보호하기위함이다. 4) EU 단일법규정및 One-Stop Shop GDPR이발효되면 EU 회원국의별도이행입법없이도 EU 전역에서단일법규정이적용된다. GDPR 에따라회원국은개인정보관련민원을접수및처리하고행정제재를과하기위한독립된감독기구 (Supervisory Authority) 를설치하게되며, 각회원국의감독기구는다른감독기구와상호지원및공동활동을수행하면서협력하게된다. 사업자가 EU에여러사무소를두는경우에주된사업장이소재하는지역의주감독기관 (lead supervisory authority, GDPR 제56조 ) 의단일한감독을받 29

30 게되어규제기관측면에서의중복을피하고자하였다. 주감독기관은해당사업자의 EU 전역에서의개인정보의처리를감독하는소위원스톱숍 (one-stop shop) 의기능을수행한다. 기존의제29조작업반 (Article 29 Working Party) 을대체하는유럽정보보호위원회 (European Data Protection Board (EDPB), GDPR 제68조 ) 가각감독기구를조정하는역할을수행한다. 5) 책임성강화일정기준 ( 예를들면, 공공기관이나 12개월동안 5,000명이상의정보주체의정보를처리하는기업 ) 에해당하는콘트롤러나프로세서는정보보호책임자 (Data Protection Officer) 를지정해야하고 (GDPR 제37조부터제39조 ), 콘트롤러에게 GDPR의각규정의준수를위하여일정한의무가부과된다. 예를들면, 문서보관의무나정보보호영향평가 (GDPR 제35조 ) 를받을의무가있으며, 정보보호를위하여기획단계에서부터기본적으로정보보호가높은수준으로설정될수있도록정보보호활동을수행하여야한다 (privacy by design and by default, GDPR 제25조 ). 정보보호책임자는충분한전문적지식을갖춰야하며, 그구체적인내용은정보보호책임자가책임지게되는개인정보처리활동에따라달라진다. 정보보호책임자는콘트롤러에고용되어활동을할수있지만서비스계약하에서관련활동을수행할수도있다. 또한하나의기업그룹은단일정보보호책임자를임명할수도있다. 6) 프로세서에대한규율 GDPR을통한가장큰변화의하나는프로세서에게도직접적인의무가부과된다는점이다. 예를들면, 콘트롤러를위하여실행되는정보처리활동의서면기록유지의무, 일정한경우에정보보호책임자를지정할의무, 일정한경우에 EU에법인을설립하지않은자가대표자를임명할의무, 개인정보침해가발행한경우에부당한지연없이해당사실을콘트롤러에게통지할의무등이다. 개인정보역외이전규정은프로세서에게도적용되며, 프로세서를위한 BCRs도공식적으로인정된다. 7) 동의요건의강화 GDPR의개인정보보호수준의강화의주요수단중의하나는동의요건을강화한것이다. GDPR에따른유효한동의는수집되는개인정보가이용되는목적에대한명시적인동의이어야한다 (GDPR 제7조및제4조 ). 콘트롤러는동의를받았다는사실을증명할수있어야하고, 해당동의는철회될수있다. 16세미만의아동의경우에는아동의부모나보호자의동의를받아야하며, 입증할수있어야한다 (GDPR 제8조 ). 다만, GDPR은회원국이이러한부모나보호자의동의를요하는아동의연령을 16세로부터 13세로낮출수있도록허용함으로써 EU 전역의법규범의조화를깰가능성을내포하고있다. 30

31 8) 개인정보침해통지의무콘트롤러는개인정보침해사실을정보보호감독기구에게통지하여야한다. 이러한통지는부당한지체없이이루어져야하며, 가능한한해당사실을인지한때로부터 72 시간이내에이루어져야한다 (GDPR 제33조 ). GDPR 초안에서 24시간이내로규정하였던것에비하여는보다늘어났다. 또한개인정보침해가자연인의권리와자유에높은위험을야기할수있는경우에콘트롤러는부당한지체없이개인정보침해로부터영향을받는정보주체에게도해당침해사실을알려야한다 (GDPR 제34조 ). 9) 제재 GDPR은감독기구가전세계연간매출액의 4% 또는 2천만유로이하의범위내에서더높은금액을위반에대한과징금으로부과할수있도록규정하고있다. 예를들면, 국제적인개인정보이전에관한요건을위반한경우나동의요건과같은개인정보처리의기본원칙의위반의경우가그에해당한다 (GDPR 제83조제5항 ). 한편, GDPR 제8조, 제11조, 제25조부터제39조, 제42조와제43조에따른콘트롤러나프로세서의의무위반과같은경우에는전세계연간매출액의 2% 또는 1천만유로이하의범위내에서더높은금액을과징금으로부과할수있다 ( 제83조제4항 ). 10) 정보주체의권리정보주체의권리중에서가장주목받았던것은 GDPR 초안으로부터촉발된소위잊힐권리 (right to be forgotten) 이다. 잊힐권리는구글스페인사건에관한유럽사법재판소 (European Court of Justice) 판결 (Google Spain SL, Google Inc. v Agencia Española de Protección de Datos, Mario Costeja González) 을통해서다시한번주목받은이후최종 GDPR에서는삭제권 ( 잊힐권리, right to be forgotten) 으로규정되었다 (GDPR 제17조 ). 이에따르면잊힐권리란정보주체가개인정보처리에대한동의를철회하고더이상합법적인처리근거가없는경우와같은일정상황하에서정보주체가콘트롤러에서부당한지체없이해당정보를삭제할것을요구할수있도록권리로서인정한것이다. 이외에 GDPR은개인정보를다른콘트롤러에게쉽게이전할수있는형태로개인정보를반환받을수있는권리를인정함으로써소위 정보이동성 (data portability) 을보장하고있다 (GDPR 제20조 ). 11) 개인정보의역외이전 GDPR 제 5 장 ( 제 44 조부터제 49 조 ) 는국경간개인정보의이전을규율하고있다. 제 45 조는국외이 전허용근거로서적절성결정 (adequacy decision) 을규정한다. 15 제 46 조는적절성결정이없는경 15 U.S.-EU Safe Harbor 를무효화시킨 ECJ 의 Schrems 판결 (C-362/14) 은적절성결정에요구되는수준을 essential equivalence ( 본질적인등가성 ) 으로높였다. 31

32 우적절한세이프가드 (appropriate safeguards) 에의한이전의요건을규정한다. 제47조는구속력있는기업규칙 (binding corporate rules) 을규정하고, 제48조는외국법원이나행정청이 GDPR에의하여허용되지않는이전을명령하는상황을규율한다. 제49조는적절성결정이나적절한세이프가드가없는경우의특정상황에서의수정조건을규정한다. 제46조하에서인정되는적절한세이프가드의예로서는 (1) 공공기관간의법적으로구속력있고집행가능한법률문서, (2) 제47조에따른구속력있는기업규칙, (3) 집행위원회가채택한표준정보보호조항, (4) 감독기구가채택하고집행위원회가승인한표준정보보호조항, (5) 제3국에서적절한세이프가드를적용하는콘트롤러나프로세서의구속력있고집행가능한약정과함께제40 조에따른승인된행동강령, (6) 제3국에서적절한세이프가드를적용하는콘트롤러나프로세서의구속력있고집행가능한약정과함께제42조에따른승인된인증체계 (approved certification mechanism) 가있다. 이러한인증의예로서유럽정보보호인장 (European Data Protection Seal) 이인정된다. 4. 우리법제에의시사점 가. GDPR 과우리법제의비교 GDPR은 EU 회원국전체에직접적용되는규정으로서회원국의다양한상황을고려하면서도대외적인관계에서 EU 회원국전체의이익을고려하여제정된만큼제재규정이나개별규정의구체성측면에서직접적으로우리의 개인정보보호법 ( 이글에서 개인정보보호법 이라함 ) 이나 정보통신망이용촉진및정보보호등에관한법률 ( 이글에서 정보통신망법 이라함 ) 과비교하는것은적절하지않을수도있다. 그러나 EU 내외적으로많은논의와검토를통하여개인정보의보호와활용이라는두관점이함께고려되어만들어진 GDPR은우리법제의나아가야할방향을설정하는데에많은참조가될수있다. 이러한시각에서이하에서는 GDPR의많은내용중에서특별히우리법제와의관계에서차별적인사항이나우리법제에서꾸준히문제되는쟁점에대하여 GDPR이어떻게다루고있는지를살펴보겠다. 1) 개인정보의개념 GDPR은개인정보의개념에대하여 식별되었거나식별가능한정보주체인자연인과관련한정보 16 라고정의하면서, 식별가능한자연인이란그자연인의구체적으로신체적, 생리적, 유전적, 정신적, 경제적, 문화적또는사회적동일성에특유한하나또는 2 이상의요인이나이름, 식별번호, 위치정보, 온라인식별자와같은식별자를특별히참조하여직접또는간접적으로식별될수있는자를말 16 GDPR 4(1). 32

33 한다고정의한다. 우리법의경우에는개인정보보호법은 살아있는개인에관한정보로서성명, 주민등록번호및영상등을통하여개인을알아볼수있는정보 ( 해당정보만으로는특정개인을알아볼수없더라도다른정보와쉽게결합하여알아볼수있는것을포함한다 ) ( 제2조제1호 ) 로정의하고, 정보통신망법도제2조제6호에서 생존하는개인에관한정보로서성명 주민등록번호등에의하여특정한개인을알아볼수있는부호 문자 음성 음향및영상등의정보 ( 해당정보만으로는특정개인을알아볼수없어도다른정보와쉽게결합하여알아볼수있는경우에는그정보를포함한다 ) 고정의한다. 이상의정의규정을문언그대로살펴보면, EU도우리나라와마찬가지로식별성을중요한판단표지로두고자연인이식별되었거나자연인을식별할수있는정보라는공통된요건을요구한다. 그러나실제판단에있어서 EU GDPR은전문을비롯한다양한부분에서개인정보의해석에관한기준을제시하고있다. 17 즉, 직접또는간접적으로자연인을식별하기위하여자연인을선별해내기위한모든합리적인수단에관한고려가이루어져야한다고하여식별성을판단하는데에는 합리성 과 종합적인판단 이필요함을나타내고있다. 예를들면, 합리적인종합판단을위하여식별을위하여요구되는비용과시간, 처리시의가용한기술과기술발전등이고려되어야한다는것이다. 18 한편, 최근우리대법원에서개인정보의개념을판시한판례가있다. 즉, 개인정보자기결정권의보호대상이되는개인정보의개념혹은범위에대하여개인의신체, 신념, 사회적지위, 신분등과같이개인의인격주체성을특징짓는사항으로서그 개인의동일성을식별할수있게하는일체의정보 라고할수있고, 반드시개인의내밀한영역에속하는정보에국한되지아니하며공적생활에서형성되었거나이미공개된개인정보까지포함한다고판시하여비교적개인정보의범위를폭넓게파악하고있다. 19 2) 가명화를통한개인정보처리범위의확대 GDPR은익명화된정보 (anonymous data) 가더이상개인정보로서보호되지않는다는점을명시하고있다. 20 이와함께개인정보에해당되지않는익명화수준을판단하는기준으로서 합리성 (likely reasonably to be used) 을채택하고있다. 21 예를들면, 식별화처리를위해필요한시간과비용, 가 17 비교법적인검토의참고를위하여우리의법제와서로영향을주고받고있는일본의개인정보관련법을살펴보면, 일본개인정보의보호에관한법률 ( 個人情報の保護に關する法律 ) 제2조제1항은개인정보에관하여 생존하는개인에관한정보로서, 해당정보에포함되는성명, 생년월일기타기술 ( 記述 ) 등에의하여특정개인을식별할수있는것 ( 다른정보를용이하게조합 ( 照合 ) 할수있으며, 그정보에의하여특정개인을식별할수있는것을포함한다 ) 으로정의하고있다. 18 GDPR, Recital 대법원 선고 2014다 판결. 또한이판결에서개인정보자기결정권은인간의존엄과가치, 행복추구권을규정한헌법제10조제1문에서도출되는일반적인격권및헌법제17조의사생활의비밀과자유에의하여보장되는권리로서자신에관한정보가언제누구에게어느범위까지알려지고또이용되도록할것인지를그정보주체가스스로결정할수있는권리를말한다고판시하였다. 20 GDPR, Recital GDPR, Recital

34 용한기술수준등을고려하여식별가능하지않게된정보들은개인정보가아니다. 앞에서살펴본것처럼개인정보에대한규범적해석을유지하는이상우리나라의개인정보보호법이나정보통신망법에의하는경우에도동일한결론을도출할수있다. 다만, GDPR은가명화 (pseudonymization) 에대하여규정을두어개인정보처리의허용범위를확장하고있다. 즉, 가명화란추가정보가없는상태에서는특정정보주체에게귀속될수없는방식으로개인정보를처리하는것을의미한다. 22 다만, 가명화를위해서는두가지전제적요소로 (1) 추가정보의분리보관과 (2) 해당개인정보가식별되었거나식별가능한자연인에게귀속되지않도록하기위한기술적및관리적조치를취할것을규정하고있다. 23 그러나주의할것은가명화가개인정보성을완전히제거하거나 GDPR의적용을완전히배제하는것은아니라는점이다. 24 가명화처리된개인정보는정보가 ( 재 ) 식별될위험성을낮추는역할을한다는관점에서 ( 재 ) 식별의위험성을관리하는기술적방식들중의하나로서제시된것이다. 25 이러한접근방식에기초하여 GDPR은가명화와관련하여몇가지규정을두고있다. 즉, 개인정보의수집목적외의처리와관련해서가명화에대한내용이포함되어있다. 예를들어, 개인정보를수집한목적이외로처리하기위해서는암호처리및가명처리가포함될수있는적절한안전조치을비롯하여일정한요건을갖추어야한다고규정하고있다. 26 또한콘트롤러는프라이버시중심디자인 (Privacy by Design) 을구현하기위해처리수단을결정한시점과처리당시시점에서가명처리등적절한기술적 관리적보호조치를이행하여야한다. 27 뿐만아니라개인정보처리시보안에철저를기하기위하여콘트롤러와프로세서는위험에적합한보안수준을보장하는데적절한기술적 관리적보호조치를실행해야하는데, 그중하나가개인정보의가명처리및암호처리이다. 28 공익을위한기록보존목적, 과학이나역사적연구의목적또는통계목적에서개인정보를처리할때정보주체의자유와권리를보호하기위해적절한안전조치를확보해야하는데, 그방법중에하나가가명처리이다. 29 이처럼정보처리자가합법적인처리를할수있는합리적인범위를열어두는수단으로써가명화가활용되고있다. 이에반하여, 우리개인정보보호법이나정보통신망법에는가명화에대한규정을두고있지않다. 더욱이우리개인정보보호법제는엄격성과세밀한규제를통하여개인정보보호를꾀하고있기때문에관련규정의해석에유연성이떨어지고있다. 특히, 개인정보의범위를결정함에있어서정보처리자의개인정보처리로인한책임을합리적으로충족시켜줄수있는방안을명확히제시하고있지못하다. 22 GDPR 4(5). 23 GDPR 4(5). 24 GDPR, Recital GDPR, Recital 28 and GDPR GDPR GDPR GDPR

35 3) 개인정보처리기준 GDPR은개인정보의수집, 이용, 제공등처리에대하여기본적으로동일한원칙을설정하고있으며, 개인정보의합법적처리기준으로서 (a) 정보주체가하나이상의특정목적을위해본인의개인정보처리에동의를제공한경우, (b) 정보주체가계약당사자로있는계약의이행을위해또는계약체결전정보주체의요청에따라조치를취하기위해처리가필요한경우, (c) 콘트롤러에적용되는법적의무를준수하는데처리가필요한경우, (d) 정보주체또는제3자의중대한이익을보호하기위해처리가필요한경우, (e) 공익상또는콘트롤러에게부여된공적권한의행사를위한업무수행에처리가필요한경우, (f) 개인정보보호를요구하는정보주체의이익이나기본권및자유가해당이익에우선하지않는한, 특히정보주체가아동일경우, 콘트롤러나제3자가추구하는적법한이익의목적으로개인정보처리가필요한경우 30 를규정하고있다. 31 이러한개인정보처리의적법성기준을살펴보면, 우리나라의개인정보보호법상의처리기준과매우유사하다. 그러나 GDPR은각영역에원칙적으로공통되는기준으로작용하고있고, 개인정보가처리되는행위태양에일원적인원칙이적용되는반면, 우리의경우에는개인정보보호법과정보통신망법, 신용정보의이용및보호에관한법률 등각법률마다합법적처리기준이동일하지않고, 처리기준도개인정보의수집 이용, 제공, 위탁등에대하여다르게설정되어있어서개인정보처리에실질적으로많은제한이가해지고있다. 나아가 GDPR은 공익상또는콘트롤러에게부여된공적권한의행사를위한업무수행에처리가필요한경우 와같이상당히포괄적인적법처리사유를규정함으로써개별적인개인정보의처리에대하여각각의맥락에따라적법한지의여부를판단할수있는여지를열어두고있다는점에서우리의개인정보보호법이나정보통신망법이더욱엄격하다. 4) 개인정보의역외이전 GDPR은 EU 역내에서준수하여야할개인정보처리에관한기준을설정하면서도, EU를벗어난국가간개인정보이전에관하여는별도의기준을설정하고있다. 기본적으로는 EU 회원국내와동일한수준의개인정보보호를목적으로하지만, EU 회원국내의수범자들과형식적으로도완전히동일한기준을설정하는것이아니라 실질적으로동일한기준 을설정하여 EU 회원국밖으로벗어나는 EU 회원국국민의개인정보에대한권리를실질적으로보장하고자꾀하고있다. 즉, GDPR은제 5장에서예외적인개인정보의국가간이전근거로서적절성결정에기초한역외이전 ( 제45조 ), 적절성결정이없는경우적절한안전조치 (appropriate safeguards) 에의한이전 ( 제46조 ), 구속력있는기업규칙 (binding corporate rules) 에의한이전 ( 제47조 ) 을규정한다. 또한외국법원이나행정청이 GDPR에의하여허용되지않는이전을명령하는상황을규율하기위한규정도두고있으며, 나아 30 다만, 공공기관이해당기관업무의수행을위해진행하는처리에는적용되지않는다. 31 GDPR 6. 35

36 가적절성결정이나적절한안전조치가없는경우의특정상황에서의수정조건도규정하고있다 ( 제 48조 ). 이에반하여우리개인정보보호법은정부가개인정보국외이전으로인하여정보주체의권리가침해되지아니하도록관련시책을마련하도록책무를부여하는것 ( 제14조 ) 외에개인정보처리자가개인정보를국외의제3자에게제공할때에는고지사항을정보주체에게알리고동의를받아야하며, 개인정보보호법을위반하는내용으로개인정보의국외이전에관한계약을체결하지못하도록금지하고있다 ( 제17조제3항 ). 이에따르면국외이전에대해서는별도의예외나특별한규율없이국내외동일한규정을준수해야한다. 한편, 정보통신망법도개인정보보호법과마찬가지로정보통신서비스제공자등이이용자의개인정보에관하여정보통신망법을위반하는사항을내용으로하는국제계약을체결하지못하도록규정을두고있다. 이외에도정보통신망법은정보통신서비스제공자등이이용자의개인정보를국외에제공 ( 조회되는경우를포함 ) 처리위탁 보관 ( 이하 " 이전 " 이라함 ) 하려면이용자의동의를받도록규정하였다 ( 제63조제2항 ). 다만, 정보통신서비스의제공에관한계약을이행하고이용자편의증진등을위하여필요한경우로서고지사항을공개하거나전자우편등대통령령으로정하는방법에따라이용자에게알린경우에는개인정보처리위탁 보관에따른동의절차를거치지않을수있도록예외를인정한다. 또한정보통신서비스제공자등은동의를받아개인정보를국외로이전하는경우대통령령으로정하는바에따라보호조치를하여야한다 ( 제63조제4항 ). 정보통신망법의경우에는처리위탁 보관의경우에동의예외를인정하지만, 기본적으로국외이전에대하여는별도의동의를받도록하고있다. 이처럼우리의법제는국외이전에대하여매우경직된규율을하고있고, 해외사업자가국내의모든형식적기준까지준수하도록함으로써글로벌 ICT 시대에적합하지않다는비판을받을수있다. 반면, 국외이전문제는글로벌경제의관점에서만바라볼것이아니라우리나라국민들의개인정보보호및정보주권등다양한국내법익의보호라는관점도고려하여야한다. 따라서합리적인범위내에서안전하게개인정보가국외이전되고, 국외이전된개인정보가안전하게처리되도록환경을보장하는것이무엇보다중요하다. 이런점에서현재의규정들은동의를받지않는한국외이전이용이하지않은구조로되어있어서합리적인국외이전에대한수요까지도막을수있는문제가있다. 36

37 GDPR 개인정보보호법정보통신망법 제44조 ( 이전을위한일반원칙 ) 제45조 ( 적절성결정에기초한이전 ) 제46조 ( 적절한안전조치에의한이전 ) 제47조 ( 구속력있는기업규칙 ) 제48조 ( 유럽연합법률로허가되지않은이전또는공개 ) 제49조 ( 특정상황을고려한적용제외 ) 제50조 ( 개인정보보호를위한국제협력 ) 제14조 ( 국제협력 ) 1 생략 2 정부는개인정보국외이전으로인하여정보주체의권리가침해되지아니하도록관련시책을마련하여야한다. 제17조 ( 개인정보의제공 ) 1 생략 2 생략 3 개인정보처리자가개인정보를국외의제3자에게제공할때에는제2항각호에따른사항을정보주체에게알리고동의를받아야하며, 이법을위반하는내용으로개인정보의국외이전에관한계약을체결하여서는아니된다. 제63조 ( 국외이전개인정보의보호 ) 1 정보통신서비스제공자등은이용자의개인정보에관하여이법을위반하는사항을내용으로하는국제계약을체결하여서는아니된다. 2 정보통신서비스제공자등은이용자의개인정보를국외에제공 ( 조회되는경우를포함한다 ) 처리위탁 보관 ( 이하이조에서 이전 이라한다 ) 하려면이용자의동의를받아야한다. 다만, 정보통신서비스의제공에관한계약을이행하고이용자편의증진등을위하여필요한경우로서제3항각호의사항모두를제27조의 2제1항에따라공개하거나전자우편등대통령령으로정하는방법에따라이용자에게알린경우에는개인정보처리위탁 보관에따른동의절차를거치지아니할수있다. 3 정보통신서비스제공자등은제2항에따른동의를받으려면미리다음각호의사항모두를이용자에게고지하여야한다. 1. 이전되는개인정보항목 2. 개인정보가이전되는국가, 이전일시및이전방법 3. 개인정보를이전받는자의성명 ( 법인인경우에는그명칭및정보관리책임자의연락처를말한다 ) 4. 개인정보를이전받는자의개인정보이용목적및보유 이용기간 4 정보통신서비스제공자등은제2항에따른동의를받아개인정보를국외로이전하는경우대통령령으로정하는바에따라보호조치를하여야한다. 나. 우리법제에의시사점 1) 개인정보에대한합리적판단기준의설정개인정보보호법이제정된이후에가장뜨거운논란의중심에있었던것이개인정보의개념을어떻게파악하는가하는점이었다. 특히, 개인식별성의판단과관련하여기술적인측면에서볼때에는식별에소요되는시간이나비용, 사용되는기술의가용성및기술의진보등에대한종합적고려없이기술적측면에서의식별의가능성을주된판단자로삼아서거의모든개인에관한정보가법의보호대상이되는개인정보에포함된다는식의판단을하는경우가드물지않았다. 그러나 GDPR이개인정보의개념정의를하고그해석의기준을제시한것처럼개인정보인지아닌지의판단은규범적 37

38 으로이루어져야하고일반적 객관적인다양한요소를고려하여사회평균인의시각에서합리적으로판단하여개인정보의범위를확정할필요가있다. 이러한판단기준을법률에보다명확히명시하여개인정보의판단표지내지요건으로서 식별가능성 외에 합리성 이라는요건을추가하는입법노력도바람직하다. 그러나이러한판단기준은법의개정이없더라도현재의법률과일반적해석방법론에의하더라도설정이가능하다. 즉, 법원과행정청이법위반을판단함에있어서일반적법의해석기준으로서활용되는규범적해석또는합리적해석기준을채택함으로써개인정보관련법률의무한한확장내지남용을방지할수있다. 2) 가명화된정보처리의합리적허용방안마련필요우리개인정보보호법이나정보통신망법등개인정보관련법률에서는식별성을기준으로하여개인정보와비개인정보로구분하여개인정보에대하여는관련규정을모두적용하고있기때문에실제개인정보를처리함에있어서는개인정보침해의가능성은낮은반면그정보처리의효용성이높은경우에도개인정보처리와관련한엄격한규제에가로막히는경우가많다. 이런점에서 EU가가명화에대한몇몇규정을둔사례나일본개인정보의보호에관한법률에서규정된익명가공정보에관한규정은우리개인정보보호관련법률의개선에도참고할필요가있다. EU GDPR이나일본법모두보호의대상이되는개인정보의구분표지를주로식별성에두는이상식별과비식별의중간영역에분포되어있는다양한수준의개인정보에대하여합리적인조치를통한처리를허용할필요가있다. 최근관계부처합동으로공표된비식별조치가이드라인 32 은그러한노력의시작으로볼수있지만, 법률에서정한식별성기반의개인정보개념과이에대한각종규정들을유지하는이상비식별조치가이드라인은개인정보처리자나정보통신서비스제공자등에게합리적인책임면제혹은감경의근거를제시하기에는미약할수밖에없다. 따라서관련법률의개정을통하여중간영역에존재하는정보, 특히가명화를통하여생성된정보에대한안전조치등을통하여합법적인처리를가능하게하는형태의개선이필요하다. 3) 합법적 비침해적이용의보장및처리기준의원칙적인일원화필요 GDPR은공익목적개인정보처리나양당사자의이익을비교형량하여개인정보처리의적법성을인정해주는규정을둠으로써개인정보의보호와활용사이의적절한균형상태를꾀하려는노력을엿볼수있다. 그에반하여, 우리법제는상대적으로엄격한기준을설정함으로써개인정보보호에보다더주안점을두고있는것으로보인다. 그러나실무상개인정보의활용으로인하여국민에게가져다주는편익혹은공익이큰반면, 개인정보보호의필요성이나침해의위험성은상대적으로낮은경우에는제한적으로안전하고합법적으로개인정보를처리할수있도록가능성을열어두는규정을신 32 관계부처합동, 개인정보비식별조치가이드라인 - 비식별조치기준및지원관리체계안내 -,

39 설하는것도고려할필요가있다. 33 최근대법원판결은공개된개인정보의처리와관련한사건에서 정보주체가공적인존재인지, 개인정보의공공성과공익성, 원래공개한대상범위, 개인정보처리의목적 절차 이용형태의상당성과필요성, 개인정보처리로침해될수있는이익의성질과내용등여러사정을종합적으로고려하여, 개인정보에관한인격권보호에의하여얻을수있는이익과정보처리행위로얻을수있는이익즉정보처리자의 알권리 와이를기반으로한정보수용자의 알권리 및표현의자유, 정보처리자의영업의자유, 사회전체의경제적효율성등의가치를구체적으로비교형량하여어느쪽이익이더우월한것으로평가할수있는지에따라정보처리행위의최종적인위법성여부를판단하여야 34 한다고판시하여종합판단에기초한비교형량을시도한사례가있다. 이러한이익형량에의한개인정보보호법령의해석을통하여실질적으로합리적인개인정보보호법제가완성될것이지만, GDPR에서규정하는것처럼공익적목적의처리사유를명문으로규정하거나 개인정보처리자의정당한이익을달성하기위하여필요한경우로서명백하게정보주체의권리보다우선하는경우 ( 이경우개인정보처리자의정당한이익과상당한관련이있고합리적인범위를초과하지아니하는경우에한한다 ) 를적극활용하여합법적 비침해적이용을최대한보장할필요가있다. 아울러우리개인정보보호법이나정보통신망법은개인정보의수집 이용과제공을구분하여일부다른기준을설정하고있으며, 수집 제공목적이외의처리를위한기준도별도로설정하고있다. 그러나불가피한경우가아닌한모든처리에대하여원칙적으로동일한기준을설정할필요가있다. 개인정보보호법령을통하여정보주체의권리를보장하려는것은결국안전한처리를통하여실현될수있고, 반대로안전한처리를하는이상개인정보처리자가개인정보를합리적으로활용할수있도록보장하는것이바람직할것이다. 4) 우리국민의실질적인개인정보보호를위한국외이전규정합리화 GDPR은개인정보의역외이전상황에서도 EU 회원국국민의개인정보를실질적으로보호하기위하여실질적으로동일한수준의법적보호가이루어지는상황하에서는개인정보가국외로이전되어처리될수있도록다양한법적근거를마련하고있다. 이를통하여국외개인정보처리자들의법준수에대한실행가능성과유인을높이고있다. 반면, 우리나라는개인정보의국외이전에제한된기준을설정하거나국내와형식적 실질적으로완전히동일한법준수를요구함으로써실제에있어서는법을형해화할가능성이존재한다. 따라서해외개인정보처리자들의우리법준수에대한유인도강화하면서, 실질적으로국외이전을통한개인정보의처리로부터우리국민들을보호하고, 나아가우리국민의개인정보가외국에서오남용되지않도록실질적으로집행가능한개인정보국외이전체계를마련할필요가있다. 예를들면, GDPR과같은적절성결정에의한이전을허용하거나구속력있는 33 최경진, 빅데이터 사물인터넷시대개인정보보호법제의발전적전환을위한연구, 중앙법학, 제 17 집제 4 호 ( ), 면. 34 대법원 선고 2014 다 판결. 39

40 기업규칙이나적절한보호수준을제공하는인증등을통한이전을허용하는법적인개선이검토되 어야한다. 5. 맺음말 우리나라가개인정보보호법을제정하는데많은참고를하였던 EU 정보보호지침이 GDPR로업그레이드되면서세계각국의개인정보보호또는개인정보를기반으로하는국가간정보서비스나정보기반경제 (Data-driven economy) 에많은영향을미치고있다. 특히, 각국의개인정보보호및정보주권과글로벌정보자유화또는자유로운정보의공유나유통이라는두가지상반되는가치가부딪히면서어느방향으로가야할지에대하여많은논의가이루어지고있다. 엄격한개인정보보호법을제정한우리나라는특히세계초강대국인미국과또다른초대형국가공동체인 EU 사이에서우리나라의국익을보호하면서도세계경제의주도권을가지기위한합리적인개인정보보호법제를지속적으로정비하는것은불가피하다. 처음개인정보보호법이제정된이후현재까지수차례의개정이있었지만, 대부분개인정보유출과같은침해사고에대한비판을근거로개인정보보호를강화하는방향으로입법이이루어졌다. 그러나개인정보의처리가없이는국가나사회가영위될수없고, 나아가정보기반경제가주를이루게될미래에는더더욱개인정보의처리는불가피하다. 때문에실질적으로개인정보를보호하면서도안전한처리를허용하는솔로몬의지혜가절실히필요하다. 이런관점에서전세계적으로많은논란이있었고가장최근에입법이이루어진 GDPR을살펴보는것은우리법제가나아가야할방향을정립하는데많은참고가될수있다. 이보고서에서는우리법제가나아가야할바람직한방향에대한시사점을 GDPR이입법되어온과정에서의논의와최종적으로입법된 GDPR에서찾고자시도하였다. 결과적으로 GDPR의모든규정을세세히살펴보지는못했지만, 법의가장근간이되는개인정보의개념에대한합리적인판단기준의설정이무엇보다필요하다는점을지적하였다. 즉, 판단기준을법률에보다명확히명시하여개인정보의판단표지내지요건으로서 식별가능성 외에 합리성 이라는요건을추가하는입법노력도바람직하다. 그러나이러한판단기준은법의개정이없더라도현재의법률과일반적해석방법론에의하더라도설정이가능하다. 즉, 법원과행정청이법위반을판단함에있어서일반적법의해석기준으로서활용되는규범적해석또는합리적해석기준을채택함으로써개인정보관련법률의무한한확장내지남용을방지할수있다. 또한빅데이터와사물인터넷시대에적합하도록관련법률의개정을통하여중간영역에존재하는정보, 특히가명화를통하여생성된정보에대한안전조치등을통하여합법적인처리를가능하게하는형태의개선이필요하다. 아울러우리개인정보보호법이나정보통신망법은개인정보의수집 이용과제공을구분하여일부다른기준을설정하고있으며, 수집 제공목적이외의처리를위한기준도별도로설정하고있다. 그러나불가피한경우가아닌한모든처리에대하여원칙적으로동일한기준을설정할필요가있다. 개인정보보호법령을통하여정보주체의권리를보장하려는것은결국안전한처리를통하여실현될수있고, 반대로안전한처리를하는이상개인정보 40

41 처리자가개인정보를합리적으로활용할수있도록보장하는것이바람직할것이다. 이와함께 GDPR 에서규정하는것처럼공익적목적의처리사유를명문으로규정하거나 개인정보처리자의정당한이익을달성하기위하여필요한경우로서명백하게정보주체의권리보다우선하는경우 ( 이경우개인정보처리자의정당한이익과상당한관련이있고합리적인범위를초과하지아니하는경우에한한다 ) 를적극활용하여합법적 비침해적이용을최대한보장할필요가있다. 마지막으로글로벌 ICT 환경에맞춰서해외개인정보처리자들의우리법준수에대한유인도강화하면서, 실질적으로국외이전을통한개인정보의처리로부터우리국민들을보호하고, 나아가우리국민의개인정보가외국에서오남용되지않도록실질적으로집행가능한개인정보국외이전체계를마련할필요가있다. 예를들면, GDPR과같은적절성결정에의한이전을허용하거나구속력있는기업규칙이나적절한보호수준을제공하는인증등을통한이전을허용하는법적인개선이검토되어야한다. 해외의입법례가언제나우리에게모범답안을제공해주는것은아니지만, 우리의환경과법제를고려하여해외입법례에서우리에게도적용할만한모범사례가있다면적극적으로검토하고수용하는자세가필요하다. 앞의몇몇시사점들은우리의개인정보보호법제개선에의미있는참고가될수있을것이다. 그러나사회환경은계속변하고가치도변하기때문에빠르게변화하는정보화시대에서매순간가장적합한개인정보보호법제가무엇인지끊임없이논의하고그것을법령에반영하는노력을게을리하지말아야할것이다. 41

42 참고문헌 ENISA, The right to be forgotten - between expectations and practice, 2012 European Commission, 'Guide to the Privacy Shield', 2016 고학수편, 개인정보의법과정책 ( 제2판 ), 박영사, 2016 관계부처합동, 개인정보비식별조치가이드라인 - 비식별조치기준및지원관리체계안내 -, 최경진, 빅데이터 사물인터넷시대개인정보보호법제의발전적전환을위한연구, 중앙법학, 제17집제4호, 최경진, 잊혀질권리 - 개인정보관점에서, 정보법학제16권제2호, 2012 최경진, 유럽사법재판소세이프하버협정무효판결과개인정보보호정책의변호, 언론중재, 2016년봄호 ( 통권 138호 ), 2016 최경진, 정보법-과거와현재 개인정보분야를중심으로, 한국정보법학회 20주년기념세미나및총회자료집, 2016 한국정보법학회, 정보법판례백선II, 박영사,

43 [ 부록 ] 개인정보보호를위한국제적인법제발전과정 43