네이버 개인정보백서

Similar documents
1 - 서울특별시강서구누리소통망서비스 (SNS) 관리및 운영에관한조례제정안 검토보고서 1. 회부경위 가. 의안번호 : 나. 제출자 : 서울특별시강서구청장다. 제출일 : 2017 년 5월 2일라. 회부일자 : 2017 년 5월 8일 2. 제안이유 인터넷,

개인정보수집 제공동의서작성가이드라인 업무처리에필요한개인정보파악 처리하고자하는업무에꼭필요한최소한의개인정보는어떤것들이있는지파악합니다 고유식별정보나민감정보는일반개인정보와구분하여처리하여야하므로처리하고자하는개인정보중에고유식별정보나민감정보가있는지확인해야합니다 개인정보의보유기간확인

<4D F736F F D205B46696E616C5DB0B3C0CEC1A4BAB8C3B3B8AEB9E6C4A75FC1F7BFF8BFEB5F E30332E3239>

개인정보처리방침 ( 개정 ) 한국교육개발원 ' 방송통신중 고등학교운영센터 ( 이하 운영센터 )' 에서취급하는모든개인정보는관련법령에근거하여수집 보유및처리되고있습니다. 개인정보보호법 은이러한개인정보의취급에대한일반적규범을제시하고있으며, < 방송중 고사이버교

[ 목차 ]

개인정보보호지침 개인정보보호지침 제 6 장영상정보처리기기설치 운영 제 1 절영상정보처리기기의설치 제61조 ( 적용범위 ) 이장은본교가공개된장소에설치 운영하는영상정보처리기기와이기기를통하여처리되는개인영상정보를대상으로한다. 제62조 ( 영상정보처리기기운영 관리방침 ) 1 영

프랑스 (Loi n du 6 janvier 1978 relative a l'informatique, aux fichiers et aux libertes L'Assemblee nationale et le Senat ont adopte) 독일 (Bundesdat


개인정보처리방침_성동청소년수련관.hwp

개인정보처리방침 제1조 ( 개인정보의처리목적 ) 1 정보통신정책연구원 ( 이하 연구원 이라한다 ) 은개인정보의처리목적에필요한최소한의개인정보를처리하고있으며, 연구원홈페이지 ( 또는소관부서의홈페이지에게재하여정보주체가확인할수있도록안내를하고있습니다

추계예술대학교개인정보처리방침 추계예술대학교 ( 이하본교 ) 는개인정보보호법제 30 조에따라정보주체의개인정보를 보호하고이와관련한고충을신속하고원활하게처리할수있도록하기위하여다음과 같이개인정보처리지침을수립 공개합니다. 제1조개인정보의처리목적, 개인정보의처리및보유기간, 처리하는

PowerPoint 프레젠테이션

중요문서 개인정보처리방침 제정 : 최근개정 : 제1조 ( 목적 ) 신한아이타스 ( 이하 회사 라한다 ) 는개인정보보호법제30조에따라정보주체의개인정보를보호하고이와관련한고충을신속하고원활하게처리할수있도록하기위하여다음과같이개인정보처리방침

(012~031)223교과(교)2-1

<37322DC0CEB1C7BAB8C8A3BCF6BBE7C1D8C4A2C0C7B0DFC7A5B8ED5B315D2E687770>

1. 상고이유 제1점에 대하여 구 도시 및 주거환경정비법( 법률 제9444호로 개정되기 전의 것, 이하 구 도시정비법 이라 한다) 제4조 제1항, 제3항은 시 도지사 또는 대도시의 시장이 정비구 역을 지정하거나 대통령령이 정하는 경미한 사항을 제외한

대림코퍼레이션은 ( 이하 ' 회사 ' 라칭함 ) 개인정보보호법, 정보통신망이용촉진및정보보호에관한법률 을준수하고있으며, 정보주체의개인정보보호및권익을보호하고개인정보와관련한정보주체의고충을원활하게처리할수있도록다음과같은개인정보처리방침을제정하고이를준수하고있습니다. 회사의 " 개인

연구원은법령에따른개인정보처리 보유또는정보주체로부터동의받은개인정보를처리및보유합니다. 각각의개인정보처리및보유기간은다음과같습니다. 1) 연구원내부방침에의한정보보유사유가. 부정이용기록 ( 비정상적서비스이용기록 ) - 보존이용 : 부정이용방지 - 보존기간 : 6개월 2) 관계법

동서울대학교개인정보처리방침 동서울대학교 이하본교 는개인정보보호법제 조에따라정보주체의개인정보 를보호하고이와관련한고충을신속하고원활하게처리할수있도록하기위하여 다음과같이개인정보처리지침을수립 공개합니다 제 조 개인정보의처리목적 본교는다음의목적을위하여개인정보를처리합니다 처리하고있

개인

1. 상수도사업본부 개인정보 처리방침(내용_ ).hwp

개인정보취급방침 제정 개정 개정 베스타스자산운용 ( 주 )( 이하 " 회사 " 이라한다 ) 는개인정보보호법제 30 조에따라정보주체의개인 정보를보호하고이와관련한고충을신속하고원활하게처리할수있도록하기위하여다음과 같이

외이용등의목적, 목적외이용등을한개인정보의항목 제 4 조. 개인정보처리의위탁에관한사항 < 개인정보열람, 정정 삭제, 처리정지등청구절차 > 1 부산지방우정청은원활한개인정보업무처리를위하여다음과같이개인정보처리업무를위탁하고있습니다. 1. 청사관리및금융창구경비를위한업무위탁 : (

추계예술대학교개인정보처리방침 추계예술대학교 ( 이하본교 ) 는개인정보보호법제 30 조에따라정보주체의개인정보를 보호하고이와관련한고충을신속하고원활하게처리할수있도록하기위하여다음과 같이개인정보처리지침을수립 공개합니다. 제1조개인정보의처리목적, 개인정보의처리및보유기간, 처리하는

1. 상고이유 제1, 2점에 관하여 가. 먼저, 구 정보통신망 이용촉진 및 정보보호 등에 관한 법률( 법률 제11690호로 개정되기 전의 것, 이하 구 정보통신망법 이라 한다) 제44조의7 제3항이 정한 정보의 취급 거부 등 에 웹사이트의 웹호스팅

제 4 조. 개인정보처리의위탁에관한사항 < 개인정보열람, 정정 삭제, 처리정지등청구절차 > 1 서울지방우정청은원활한개인정보업무처리를위하여다음과같이개인정보처리업무를위탁하고있습니다. 1. 청사관리및금융창구경비를위한업무위탁 : ( 재 ) 우체국시설관리단 2. 소포배달을위한업

한국의 양심적 병역거부

< C617720BBF3B4E3BBE7B7CAC1FD20C1A632B1C72E687770>

< Personal Information Handlers’ Privacy Policy on Processing (Handling) of Personal Information>

Zentralanweisung

슬라이드 1

제공, 4대보험등법정보험의가입과근로기준법기타고용관계관련법령의준수, 균등한처우및기회제공, 보훈대상자확인및처우제공, 외국인근로자관련법령준수등회사에부과되는법적ㆍ행정적의무준수 E. 보안유지, 향상및점검 F. 향후회사영업의전부또는일부양도 ( 회사가포함된그룹의영업이양도되는경우포함

회사가추론할수있는개인정보또는정보주체를아는를통해얻은개인정보를 처리하기도합니다. 3) 회사는정보주체가제공한개인정보를상기의목적범위내에서이용하여야합니다. 다만, 다음의경우에는예외적으로목적범위를초과하여이용할수있습니다. 1 정보주체로부터별도의동의를받는경우 2 법률에특별한규정이있는

1 1 [ ] ( ) 30 1 ( ) 31 1 ( ),. 2 [ ]. 1., ( ). 2.,,,,,,,,,,, ( 訂正 ),,,,, ( 破棄 ), ( 集合物 ). 5., /38

<B0B3C0CEC1A4BAB8C3B3B8AEB9E6C4A72E687770>

(중등용1)1~27

3 삭제요구 4 처리정지요구 2. 제 3 조 1 항에따른권리행사는회사에대해개인정보보호법시행규칙별지제 8 호서식에 따라서면, 전자우편, 모사전송 (FAX) 등을통하여하실수있으며회사는이에대해지체없이 조치합니다. 3. 정보주체가심각한개인정보의오류등에대한정정또는삭제를요구한경우

슬라이드 1

<B0B3C0CEC1A4BAB8C3B3B8AEB9E6C4A728BFCDC0CCBFA1BDBAC0E5292E687770>

41호-소비자문제연구(최종추가수정0507).hwp

목차 Ⅰ. 추진배경 1 Ⅱ. 개인정보수집원칙 2 Ⅲ. 개인정보처리자조치요령 3 1. 필요최소한개인정보수집 3 2. 정보주체의실질적동의권보장 8 3. 고유식별정보및민감정보처리제한 12 < 참고 > 개인정보수집이용동의서 ( 예시 )

제2조 ( 개인정보의처리및보유기간 ) 1 관세청은법령에따른개인정보보유 이용기간또는정보주체로부터개인정보를수집시에동의받은개인정보보유 이용기간내에서개인정보를처리 보유합니다. 2 각각의개인정보처리및보유기간은다음과같습니다. 1. 민원사무처리 : 민원처리종료후 3년 2. 정보통신

Pringles International Operations SARL 싱가포르지점개인정보처리방침 Pringles International Operations SARL 싱가포르지점 ( 이하 회사 라합니다 ) 는정보통신망이용촉진및정보보호등에관한법률및개인정보보호법등국내의개인

C O N T E N T S Ⅰ. 개요 1 1) 목적 1 2) 보호필요성 1 Ⅱ. 적용범위 2 1) 대상정보 2 2) 대상사업자 4 3) 법령과의관계 4 4) 재검토기한 4 Ⅲ. 바이오정보보호원칙 5 1) 비례성원칙 5 2) 수집 이용제한의원칙 6 3) 목적제한의원칙

개인정보 처리방침

슬라이드 1

¾Æµ¿ÇÐ´ë º»¹®.hwp

2. 개인정보제3자제공에관한사항본교는정보주체의개인정보를수집 이용목적으로명시한범위내에서처리하며, 다음의경우를제외하고는정보주체의사전동의없이는본래의목적범위를초과하여처리하거나제3자에게제공하지않습니다. 정보주체로부터별도의동의를받는경우 법률에특별한규정이있는경우 정보주체또는법정대리

2002report hwp

내부정보관리규정

해설서-앞(웹사이트개발운영을위한개인정보안내서)

제 2 편채권총론 제1장채권의목적 제2장채권의효력 제3장채권의양도와채무인수 제4장채권의소멸 제5장수인의채권자및채무자

USC HIPAA AUTHORIZATION FOR

120330(00)(1~4).indd

슬라이드 1

2015

<28C0DABFAC29BDC0C1F6BAB8C8A3B9FDC0D4B9FDBFB9B0ED2E687770>

[ 별지제3 호서식] ( 앞쪽) 2016년제2 차 ( 정기ㆍ임시) 노사협의회회의록 회의일시 ( 월) 10:00 ~ 11:30 회의장소본관 11층제2회의실 안건 1 임금피크대상자의명예퇴직허용및정년잔여기간산정기준변경 ㅇ임금피크제대상자근로조건악화및건강상

<C7D0BCFAC1A4BAB8BFF820C7D0BCFAC1A4BAB8BCADBAF1BDBA20B0B3C0CEC1A4BAB8C3B3B8AEB9E6C4A72E687770>

<4D F736F F D D504F4C2D32382DB0B3C0CEC1A4BAB820C3B3B8AEB9E6C4A720B0D4BDC3BFEB>

교육학석사학위논문 윤리적입장에따른학교상담자의 비밀보장예외판단차이분석 년 월 서울대학교대학원 교육학과교육상담전공 구승영

CONTENTS Ⅰ 가이드라인 개요 6 Ⅱ 기본원칙 10 Ⅲ 개인정보 처리단계별 원칙 개인(신용)정보 수집 개인(신용)정보 이용 개인(신용)정보 제공 고유식별정보 및 민감정보의 처리 개인(신용)정보 처리 업무 위탁

진흥원은개인정보처리방침을변경하는경우에는시행의시기 변경된내 용을정보주체가쉽게확인할수있도록변경전 후를비교하여공개하 도록합니다 제 조 개인정보의처리목적 진흥원 산업정보종합시스템 은다음의목적을위해개인정보를처리합니다 처리하고있는개인정보는다음의목적이외의용도로는사용되지않으며 이용목

[ 나이스평가정보 ( 주 ) 귀중 ] 나이스평가정보 ( 주 )( 이하 회사 ) 는 SK텔레콤 ( 주 ) 의업무를대행하여휴대폰본인확인서비스를제공함에있어고객으로부터개인정보를수집하고이용하기위해 정보통신망이용촉진및정보보호에관한법률 에따라서다음과같이본인의동의를받습니다. 1. 개

개인정보처리방침 한국외국어대학교가취급하는모든개인정보는개인정보보호법등관련법령상의개인정보보호규정을준수하여이용자의개인정보보호및권익을보호하고개인정보와관련한이용자의고충을원활하게처리할수있도록다음과같은처리방침을두고있습니다. 제 1 조. 개인정보의처리목적 한국외국어대학교는개인정보를다

< 주의사항 > 본가이드는 정보통신망이용촉진및정보보호등에관한법률 ( 12 년 2월 17 일일부개정, 12 년 8월 18 일시행, 법률제11322 호 ) 의제정취지및구체적인예를제시하여실무적용상혼란을방지하고, 이법률을올바르게이해하여, -사업자의개인정보보호에대한법적의무이행을

CONTENTS Ⅰ 가이드라인개요 6 Ⅱ 기본원칙 10 Ⅲ 개인정보처리단계별원칙 개인 ( 신용 ) 정보수집 개인 ( 신용 ) 정보이용 개인 ( 신용 ) 정보제공 고유식별정보및민감정보의처리 개인 ( 신용 ) 정보처리업

<B0B3BFE42E687770>

1. 이 사건 공소사실의 요지 이 사건 공소사실의 요지는 피고인 함선주, 김 영은는 삼성에스디아이(SDI)주식회사(이하 삼성SDI'라고 함)의 협력업체인 영 회사 소속 근로자였고, 피고인 강용환는 또 다른 협력업체인 명운전자 주식회사 소 였다. 삼성SDI는 세계 디스플

주식회사조비는 ( 이하 회사 라한다 ) 고객님의개인정보보호를모든업무절차의필수요소로 고려하고있으며, 개인정보보호법등관련법령상의개인정보보호규정을중시하고이를준수하 기위하여항상노력하는자세를견지하고있습니다. 회사는고객님의개인정보보호및권익을보호하고개인정보와관련한고객님의고충을원활하

-. BSE ( 3 ) BSE. ㆍㆍ ( 5 ). ( 6 ) 3., ( : , Fax : , : 8 177, : 39660).. ( ). ( ),. (

신광초등학교는개인정보보호법에따라이용자의개인정보보호및권익을보호 하고개인정보와관련한이용자의고충을원활하게처리할수있도록다음과같은 처리방침을두고있습니다. 제 1 조. 개인정보의처리목적및항목 개인정보는다음의목적을위해처리합니다. 처리한개인정보는다음의목적이외의 용도로는사용되지않으며이

회사는개인정보를다음의목적을위하여처리합니다. 처리한개인정보는다음의목적이외의 용도로는사용되지않으며이용목적이변경될시에는사전동의를구할예정입니다. 상품 ( 서비스포함 ) 제공, 컨텐츠제공, 물품배송또는청구서등의발송, 구매및결제, 정산및추심, AS, 회원가입및가입상담, 변경및해지

제 1 장가이드라인개요 1. 적용대상및범위 목 제 1 장가이드라인개요 차 적용대상 : 뉴미디어서비스제공자및뉴미디어서비스이용자 - 뉴미디어서비스제공자 ( 이하 서비스제공자 라한다 ) 란정부통합전산센터 ( 클라우드컴퓨팅서비스 ), 다음 ( 마이피플 ), 네이버 ( 미투데이

제2조 ( 처리하는개인정보의항목등 ) 진흥원이 SW산업정보종합시스템의회원가입, 각종서비스제공을위해 개인정보보호법 32조에따라등록ㆍ공개하는개인정보파일의처리목록은다음과같습니다. 1. 진흥원 SW산업정보종합시스템에서회원가입, 각종서비스제공을위해처리하는개인정보의항목및수집방법은

처리하는모든개인정보는개인정보보호법등관련법령상의개인정보보호규정을준수하여수집 보유 처리되고있습니다 진흥원은개인정보보호법에따라이용자의개인정보및권익을보호하고개인정보와관련한이용자의고충을원활하게처리할수있도록다음과같은처리방침을두고있습니다 진흥원은 소프트웨어산업진흥법 제 조 소프트웨

Microsoft PowerPoint 지성우, 분쟁조정 및 재정제도 개선방향

< >, 2(2012~2013) 8,474( , , ,781). 3,846( , ,615)., (2012 9, ,628) 149 ( 109, 40 ), ( ,99

슬라이드 1

저작자표시 - 비영리 - 변경금지 2.0 대한민국 이용자는아래의조건을따르는경우에한하여자유롭게 이저작물을복제, 배포, 전송, 전시, 공연및방송할수있습니다. 다음과같은조건을따라야합니다 : 저작자표시. 귀하는원저작자를표시하여야합니다. 비영리. 귀하는이저작물을영리목적으로이용할

A 목차

- 2 - 장하려는것임. 주요내용 가. 기획재정부장관은공기업 준정부기관임원임명에양성평등을실현하기위하여특정성별이임원정수의 100분의 70을초과되지아니하도록하는지침을정하되, 그비율을 2018년부터 2021년까지는 1 00분의 85, 2022년부터 2023년까지는 100분의

관람가, 12세 이상 관람가, 15세 이상 관람가, 청소년 관람불가, 제한상영가로 분류하 고 있고, 같은 조 제7항은 위 상영등급에 대한 구체적인 기준은 건전한 가정생활과 아 동 및 청소년 보호에 관한 사항, 사회윤리의 존중에 관한 사항, 주제 및 내용의 폭력 성 선정

저작자표시 - 비영리 - 변경금지 2.0 대한민국 이용자는아래의조건을따르는경우에한하여자유롭게 이저작물을복제, 배포, 전송, 전시, 공연및방송할수있습니다. 다음과같은조건을따라야합니다 : 저작자표시. 귀하는원저작자를표시하여야합니다. 비영리. 귀하는이저작물을영리목적으로이용할

개인정보처리방침 Ver 개인정보처리방침 ( 주 ) 실리콘웍스 ( 이하 ' 회사 ' 라한다 ) 는개인정보보호법제 30 조에따라정보주체의개인정보를보호하고개인정보가 어떠한용도와방식으로이용되고있으며, 개인정보보호를위해어떠한조치를취하고있는지알려드립니다. 회사는관련 법


01-02Àå_»ç·ÊÁýb74öÁ¤š

- 2 - 결혼생활 유지에 중대한 지장을 초래하는 정신질환 병력과 최근 10년간 금고 이상의 범죄경력을 포함하고, 신상정보(상대방 언어 번역본 포함)의 내용을 보존토록 하는 등 현행법의 운영상 나타나는 일부 미비점을 개선 보완함으로써 국제결혼중개업체의 건전한 영업을 유

98 자료 개발 집필 지침

아동

< FBFACBECFB0F8B0FAB4EBC7D0B1B320B0B3C0CEC1A4BAB8C3B3B8AEB9E6C4A72E687770>

목 차 Ⅰ 개인정보보호법주요내용 Ⅱ I-PIN, My-PIN 활용 Ⅲ 개인정보보호를위한사업자수칙

(Microsoft PowerPoint - privacy_learn_5.ppt [\310\243\310\257 \270\360\265\345])

목 차 1. 개인정보보호법 2. 개인정보보호법시행령 3. 개인정보보호법시행규칙 4. 정보통신망이용촉진및정보보호등에관한법률 5. 정보통신망이용촉진및정보보호등에관한법률시행령 6. 정보통신망이용촉진및정보보호등에관한법률시행규칙 7. 전자금융거래법 8. 전자금융거래법시행령 9.

m (-6933, `12.5.2) ( ),,,,.,. 2 2 ( ) 1 2 (( 高 ) M10 110) 2,280, H, H.. - (, ) H, H, H. - ( 引拔 ), H,. (-6933, `12.5.2) ( ),. 3 (2,280), (, ) ( 共

학부모서비스신청자명단 교육기본법제 23 조의 3 학부모의자녀정보열람 기타 ( 학부모성명, 학부모생년월일, 이메일, 전화번호, 주소, 자녀성명, 생년월일, 신청자와의관계 ) 회원탈퇴시까지 (2 년 ) 온라인 학교생활기록부 초중등교육법제 25 조, 학교생활기록작성및관리지침

Zentralanweisung

제 장 의설치 운영 제 조 관리범위및체계 설치 운영 민원접수 처리 화상정보의수집 처리등의업무를총괄하는부서는시설관리담당부서로한다 운영에관한총괄책임자는시설관리담당부서장으로하고 총괄책임자는운영담당자를지정하여관리하도록한다 운영담당자는화상정보의열람 재생등의업무를수행한다 제 조

감사위원회 규정

인터넷법제동향 제 호 인터넷법제동향제 60 호 2012 년 9 월호

Transcription:

2017 NAVER Privacy White Paper 규제측면에서의한국 EU 일본의 개인정보보호법령의비교 법무법인민후김경환변호사

목차 요약문 3 1. 서설 5 가. 규제의개념 5 나. 개인정보규제의특징 6 다. 본연구에서의규제비교의방법 8 2. 수집 이용관련실체적규제의비교 10 가. 일반개인정보수집 이용의 허용사유 의비교 10 나. 민감정보수집 이용의 허용사유 의비교 13 다. 목적외이용의 허용사유 의비교 18 3. 제공 위탁관련실체적규제의비교 22 가. 제공의 허용사유 의비교 22 나. 위탁의 절차 의비교 26 다. 국외이전의 허용사유 의비교 27 4. 관리 파기관련실체적규제의비교 31 가. 파기사유 의비교 31 나. 개인정보유효기간제도 의비교 33 5. 종합적인평가 34 6. 결어 36 참고문헌 37

1. 머리말요약문 o 개인정보에대한규제는정보주체에대한규제와개인정보처리자또는정보통신서비스제공자등정보처리자에대한규제가있고, 정보처리자에대한규제는개인정보처리자체를하지못하게하는실체적규제와개인정보처리는가능하지만일정한절차적부담을주는절차적규제로나눌수있음 o 본연구에서는정보처리자의영업의자유를제한하는정보처리자에대한실체적규제를중심으로, 한국의개인정보보호법과정보통신망법, EU의 GDPR, 일본의개인정보보호법을상호비교하고, 이를토대로우리나라의규제가어느정도되는지및상대적인순위가어떻게되는지에대하여파악하고자함 o 실체적규제는수집 이용 제공 위탁 관리 파기의생명주기순서로검토하되, 수집 이용단계에서는일반개인정보수집 이용의허용사유, 민감정보수집 이용의허용사유, 목적외이용의허용사유를비교 검토하고, 제공 위탁단계에서는제공의허용사유, 위탁의절차사유를비교 검토하며, 관리 파기단계에서는파기사유와개인정보유효기간제도에대하여각각비교및검토하였음 o 그결과대체로 EU GDPR이가장허용사유가많았고, 우리나라의입법들이허용사유가적었는바, EU GDPR이우리입법들에비하여유연한태도를취하고있었음 o 한국의개인정보보호법과정보통신망법, EU의 GDPR, 일본의개인정보보호법에나타난실체적규제를비교하고각각의허용사유에대한순위를더하여총점을낸결과, EU의 GDPR이가장낮은점수가나와실체적규제가가장낮음이밝혀졌으며, 한국의정보통신망법이가장높은점수가나와실체적규제가가장높음이밝혀짐. 일본의개인정보보호법은한국의개인정보보호법보다는실체적규제의정도가낮은것으로드러남 o EU GDPR을기준으로비교하면, 일본개인정보보호법은 1.4배의규제가더있고, 우리나라개인정보보호법은 2.6배, 우리나라정보통신망법은 3.4배의규제가더존재 (2.6배 ~ 3.4배 ). 일본개인정보보호법을기준으로비교하면, 우리나라개인정보보호법은 1.8배, 우리나라정보통신망법은 2.4배의규제가더존재하는것으로나타남 (1.8배 ~2.4배 ) 3

o 다른입법에비하여상대적으로높게나타난우리나라개인정보보호법령의실체적 규제는기업의규제비용을증대시키고개인정보의활용도를낮추는역할을하고있 는바, 실체적규제를다른입법수준에맞추어조절하는노력이필요할것으로보임 4

관한연구 규제측면에서의한국 EU 일본의 개인정보보호법령의비교 김경환 ( 법무법인민후변호사 ) 1. 서설 가. 규제의개념 규제란 국가나지방자치단체가특정한행정목적을실현하기위하여국민 ( 국내법을적용받는외국인을포함한다 ) 의권리를제한하거나의무를부과하는것 을의미한다 ( 행정규제기본법제2조제1호 ). 따라서국민의권리제한또는의무부과에관한사항이아닌경우나국민의권리를제한하거나의무를부과하는사항이기는하지만그것이특정한행정목적실현을위한것이아닌경우에는규제가될수없다. 이러한규제는법률에근거하여야하며, 그내용은알기쉬운용어로구체적이고명확하게규정되어야한다. 다만, 규제의세부적인내용은법률또는상위법령 ( 上位法令 ) 에서구체적으로범위를정하여위임한바에따라하위법령으로정할수있다 ( 행정규제기본법제4조참조 ). 우리행정규제기본법제5조는규제를도입함에있어반드시지켜야할몇가지원칙을제시하고있는데, 1 국가나지방자치단체는국민의자유와창의를존중하여야하며, 규제를정하는경우에도그본질적내용을침해하지아니하도록하여야하고, 2 국가나지방자치단체가규제를정할때에는국민의생명 인권 보건및환경등의보호와식품 의약품의안전을위한실효성이있는규제가되도록하여야하며, 3 규제의대상과수단은규제의목적실현에필요한최소한의범위에서가장효과적인방법으로객관성 투명성및공정성이확보되도록설정되어야한다. 5

나. 개인정보규제의특징 개인정보영역에서도규제는존재한다. 개인정보영역에서의규제는두가지가있는데, 국가등의민간기업 ( 개인정보보호법적용대상중민간의 개인정보처리자 및정보통신망법의 정보통신서비스제공자등 이여기에해당함. 이하민간기업을 정보처리자 라고표현함 ) 의영업의자유에대한제한이있으며, 또다른규제로는국가등의정보주체의자기결정권제한이존재한다. 전자를정보처리자규제로칭한다면, 후자는정보주체규제로부를수있다. 예컨대정보처리자가 정보주체의동의를받은경우 에개인정보를수집할수있는것이전자의예이고, 공공기관이 법령등에서정하는소관업무의수행을위하여불가피한경우 에개인정보를수집할수있는것이후자의예이다. 본연구에서는전자의경우, 즉국가등이정보처리자의영업의자유를제한하는경우에한하여살펴보도록할것인바, 이하규제라하면정보처리자규제, 즉정보처리자의영업의자유가제한받는경우를의미한다. 참고로본연구에서는정보처리자의영업의자유를중심으로살펴볼것이지만, 아래에서볼수있는바와같이정보주체의권리인 개인정보자기결정권 과충돌되는권리또는이익으로는정보처리자의영업의자유만있는것이아니다. 예컨대공개된개인정보의영리목적의이용에관한대법원 2016. 8. 17. 선고 2014다 235080 판결에서, 대법원은 개인정보자기결정권 과충돌또는형량되는이익으로서정보처리자의영업의자유, 사회전체의경제적효율성등의가치 뿐만아니라 정보처리행위로인하여얻을수있는이익, 즉정보처리자의알권리와이를기반으로한정보수용자의알권리및표현의자유도함께언급하였다. 6

(1) 정보처리자 정보주체 개인정보자기결정권 알권리 영업의자유 (3) 사회전체의경제적효율성 (2) 정보수용자 알권리 표현의자유 < 그림 1> 개인정보에관련된권리또는이익 한편정보처리자의영업의자유를제한하는개인정보규제가추구하는특정한행정목적이무엇인지문제되는데, 개인정보보호법은 개인의자유와권리를보호하고, 나아가개인의존엄과가치를구현함을목적으로 규정하고있는바 ( 제1조 ), 결국규제의목적, 즉특정한행정목적은 정보주체의개인정보자기결정권보호 라고볼수있다. 즉, 정보처리자는개인정보보호법령이존재하지않았을때는아무런제한없이정보주체의개인정보를수집 처리할수있었으나, 개인정보자기결정권보호를목적으로하는개인정보보호법령이제정된이후에는그법령이정한절차에따라서, 그법령이정한요건을충족한경우에만개인정보를수집 처리할수있게된것이다. 개인정보보호법령의제정으로인하여, 정보처리자의영업의자유는그만큼제한되었고의무를부과받게되었는바, 정보처리자입장에서는그만큼규제를받는것이다. 그리고정보처리자의영업의자유가제한받는개인정보규제에서추구하는그목적또는특정한행정목적에해당하는 개인정보자기결정권 의정체가문제되는데, 우리헌법재판소는개인정보자기결정권에대하여아래와같이설명하고있다. 인간의존엄과가치, 행복추구권을규정한헌법제10조제1문에서도출되는일반적인격권및헌법제17조의사생활의비밀과자유에의하여보장되는개인정보자기결정권은자신에관한정보가언제누구에게어느범위까지알려지고또이용되도록할것인지를그정보주체가스스로결정할수있는권리이다. 즉, 정보주체가개인정보의공개와이용에관하여 7

스스로결정할권리를말한다. 개인정보자기결정권의보호대상이되는개인정보는개인의신체, 신념, 사회적지위, 신분등과같이개인의인격주체성을특징짓는사항으로서그개인의동일성을식별할수있게하는일체의정보라고할수있고, 반드시개인의내밀한영역이나사사 ( 私事 ) 의영역에속하는정보에국한되지않고공적생활에서형성되었거나이미공개된개인정보까지포함한다. 또한그러한개인정보를대상으로한조사 수집 보관 처리 이용등의행위는모두원칙적으로개인정보자기결정권에대한제한에해당한다 ( 헌재 2005. 5. 26. 99헌마513등, 공보 105, 666, 672). 헌법재판소가파악하는개인정보자기결정권을요약하면, 첫째, 정보주체에게부여되는권리이며, 둘째, 헌법상명문의규정은없지만헌법상도출되는기본권이라는것이며, 셋째, 정보주체는이권리에의하여자신의개인정보에대하여공개 이용등의여부와범위를결정할수있다는것이다. 정리하면개인정보규제는정보주체의개인정보자기결정권보호를위하여정보처리자의영업의자유를제한한것인바, 결국개인정보규제는기본권의충돌의문제를형량하여규정화한것이라볼수있다. 다. 본연구에서의규제비교의방법 본연구는한국의개인정보보호법과정보통신망법, 2018년 5월시행예정인 EU의 GDPR, 2017년 5월시행된일본의개인정보보호법을정보처리자규제측면에서비교하고자한다. 즉, 정보처리자의영업의자유가정보주체의개인정보자기결정권에의하여어느정도제한되는지상대적으로비교함으로써우리개인정보보호법령의현재실태를파악하고자한다. 한편정보처리자의영업의자유를제한하는개인정보규제, 즉정보처리자규제는여러가지유형으로구분할수있는데, 예컨대아래표와같이유형화할수있다. 8

< 표 1> 정보처리자규제유형 유형내용예시 실체적규제 절차적규제 규제내용을만족하지않으면개인정보처리가허용되지않는경우 규제가있더라도정보처리자의개인정보처리는가능하나절차적부담이있는경우 수집 이용의허용사유 제공의허용사유 개인정보국외제공의허용사유 파기의사유 개인정보유효기간제도 개인정보처리방침의제정및공개 개인정보보호책임자의지정의무 안전성확보조치기준의준수 개인정보파일의등록및공개 개인정보보호인증 개인정보영향평가 개인정보유출통지 정보주체의권리 개인정보이용내역통지제도 실체적규제는정보처리자의개인정보처리자체를못하게하는규제로서, 규제내용을만족하지않으면개인정보처리가허용되지않는경우를의미한다. 절차적규제는정보처리자의개인정보처리자체를불가능하게하는규제는아닌것으로서, 규제가있더라도정보처리자의개인정보처리는가능하나절차적부담이있는경우를의미한다. 실체적규제의예시로는, 수집 이용의허용사유, 제공의허용사유, 개인정보국외제공의허용사유, 파기의사유, 개인정보유효기간제도등이존재한다. 절차적규제의예시로는, 개인정보처리방침의제정및공개, 개인정보보호책임자의지정의무, 안전성확보조치기준의준수, 개인정보파일의등록및공개, 개인정보보호인증, 개인정보영향평가, 개인정보유출통지, 정보주체의권리, 개인정보이용내역통지제도등이존재한다. 본연구에서는절차적규제보다는실체적규제중심으로살펴보고자한다. 그이유는절차적규제는상호비교가쉽지않으며절차적규제가있다고하더라도정보처리자입장에서는개인정보처리자체가불가능한것이아니기때문이다. 절차적규제에대한상호비교나평가는앞으로의과제로남겨두고, 본연구에서는실체적규제를비교 평가하되, 비교순서는수집 이용 제공 위탁 관리 파기의개인정보의생명주기순서대로진행하며, 각생명주기에해당하는규제또는권리제한 의무부과규정을소개하고, 9

그규제를상호비교함으로써우리나라개인정보보호법과정보통신망법의개인정보규제를외 국입법에대응시켜상대적으로평가한다. 2. 수집 이용관련실체적규제의비교 가. 일반개인정보수집 이용의 허용사유 의비교 1) 각법의허용사유우리나라개인정보보호법은수집 이용이가능한사유로서아래와같이 6가지의허용사유를인정하고있다 ( 제15조제1항 ). 6가지의사유중 3호는공공기관에게적용되어정보처리자에게적용할수없으므로이를제외하면, 5가지의허용사유를보유하고있다. 이중에서특히제6호는일반조항으로서규정되어있다. 1. 정보주체의동의를받은경우 2. 법률에특별한규정이있거나법령상의무를준수하기위하여불가피한경우 3. 공공기관이법령등에서정하는소관업무의수행을위하여불가피한경우 4. 정보주체와의계약의체결및이행을위하여불가피하게필요한경우 5. 정보주체또는그법정대리인이의사표시를할수없는상태에있거나주소불명등으로사전동의를받을수없는경우로서명백히정보주체또는제3자의급박한생명, 신체, 재산의이익을위하여필요하다고인정되는경우 6. 개인정보처리자의정당한이익을달성하기위하여필요한경우로서명백하게정보주체의권리보다우선하는경우. 이경우개인정보처리자의정당한이익과상당한관련이있고합리적인범위를초과하지아니하는경우에한한다. 반면우리나라정보통신망법은수집 이용이허용되는사유로서아래와같이 4 가지의허용 사유를인정하고있다 ( 제 22 조참조 ). 1. 이용자의동의를받은경우 2. 정보통신서비스의제공에관한계약을이행하기위하여필요한개인정보로서경제적 기 술적인사유로통상적인동의를받는것이뚜렷하게곤란한경우 10

3. 정보통신서비스의제공에따른요금정산을위하여필요한경우 4. 이법또는다른법률에특별한규정이있는경우 EU GDPR 1) 은개인정보의수집 이용이허용되는사유로서아래와같이 6 가지를제시하고 있다 ( 제 6 조제 1 항 ). 1 ~ 6 호중에서 5 호는공공기관에만적용되어정보처리자에게는적용되지 않는사유이므로제외하였다. 1. 정보주체가하나이상의특정한목적을위해자신의개인정보처리에동의한경우 2. 정보주체가당사자인계약의이행을위하여또는계약체결전에정보주체의요청에따른조치를취하기위하여처리가필요한경우 3. 컨트롤러에게적용되는법적의무의준수를위하여처리가필요한경우 4. 정보주체또는다른자연인의중대한이익을보호하기위하여처리가필요한경우 5. 공익을위하여수행되는직무의실행을위하여또는컨트롤러에게부여된공적권한의행사에처리가필요한경우 6. 컨트롤러나제3자가추구하는정당한이익의목적을위하여처리가필요한경우로서, 다만, 특히정보주체가아동인경우와같이개인정보보호를요구하는정보주체의이익이나기본권과자유가해당이익에우선하는경우에는그러하지아니하다. 6호는공공당국이자신의직무수행을위하여실행하는처리에적용되지아니한다. 일본개인정보보호법의경우, 민감정보 ( 일본개인정보보호법은 배려필요정보 로표현하고있음 ) 가아닌일반적인개인정보에대하여는우리나라 EU와달리옵트아웃체제이기때문에수집 이용에있어허용사유는존재하지않는다 ( 제17조참조 ). 다만, 수집이후정보주체에게미리그이용목적을공표하고있는경우를제외하고는절차적으로신속하게그이용목적을통지또는공표하여야한다 ( 제18조제1항 ). 2) 각법의비교평가 일단각국의수집 이용의허용사유를비교하되유사한사유끼리대응하여표로정리하면 아래와같다. 1) 본논문에서 EU GDPR 의조문해석은박노형저 EU 개인정보보호법 을참조하였음 11

< 표 2> 일반개인정보수집 이용의허용사유유사항목비교 개인정보보호법정보통신망법 EU 일본 1. 정보주체의동의를받은경우 1. 이용자의동의를받은경우 1. 정보주체가하나이상의특정한목적을위해자신의개인정보처리에동의한경우 2. 법률에특별한규정이있거나법령상의무를준수하기위하여불가피한경우 4. 이법또는다른법률에특별한규정이있는경우 3. 컨트롤러에게적용되는법적의무의준수를위하여처리가필요한경우 4. 정보주체와의계약의체결및이행을위하여불가피하게필요한경우 5. 정보주체또는그법정대리인이의사표시를할수없는상태에있거나주소불명등으로사전동의를받을수없는경우로서명백히정보주체또는제 3 자의급박한생명, 신체, 재산의이익을위하여필요하다고인정되는경우 2. 정보통신서비스의제공에관한계약을이행하기위하여필요한개인정보로서경제적 기술적사유로통상적인동의를받는것이뚜렷하게곤란한경우 2. 정보주체가당사자인계약의이행을위하여또는계약체결전에정보주체의요청에따른조치를취하기위하여처리가필요한경우 4. 정보주체또는다른자연인의중대한이익을보호하기위하여처리가필요한경우 허용사유없음 6. 개인정보처리자의정당한이 익을달성하기위하여필요 한경우로서명백하게정보 주체의 권리보다 우선하는 경우 3. 정보통신서비스의제공에따른요금정산을위하여필요한경우 6. 컨트롤러나제 3 자가추구하는정당한이익의목적을위하여처리가필요한경우 정량적 정성적으로비교하면, 어느나라의법령에비교해도일단옵트아웃제도를취하고있는일본의허용사유가가장범위가넓다고볼수있다. 다음으로우리나라개인정보보호법과 EU GDPR의허용사유를비교하면, EU의경우그 동의 는묵시적동의까지포함하고있어우리나라개인정보보호법이명시적동의에한정하는것에비교하여그범위가넓다할것이고, 우리나라개인정보보호법은 5. 정보주체또는그법정대리인이의사표시를할수없는상태에있거나주소불명등으로사전동의를받을수없는경우로서명백히정보주체또는제3자의급박한생명, 신체, 재산의이익을위하여필요하다고인정되는경우 인데반하여 EU GDPR은긴급한경우에한정하지않고 4. 정보주체또는다른자연인의중대한이익을보호하기위하여처리가필요한경우 까지넓히고있기에, 12

결론적으로 EU GDPR의허용사유가우리나라개인정보보호법의허용사유보다더넓다고판단할수있다. 우리나라개인정보호보법과정보통신망법을비교하면, 개인정보보호법이 4. 정보주체와의계약의체결및이행을위하여불가피하게필요한경우 라고규정하고있는것과달리정보통신망법은 2. 정보통신서비스의제공에관한계약을이행하기위하여필요한개인정보로서경제적 기술적인사유로통상적인동의를받는것이뚜렷하게곤란한경우 로규정되어있어정보통신망법의허용사유의범위가좁다할것이며, 개인정보보호법의 5. 정보주체또는그법정대리인이의사표시를할수없는상태에있거나주소불명등으로사전동의를받을수없는경우로서명백히정보주체또는제3자의급박한생명, 신체, 재산의이익을위하여필요하다고인정되는경우 에해당하는정보통신망법의허용사유가존재하지않고, 가장중요한점은정보통신망법은개인정보보호법이가지는일반적인허용사유를보유하고있지않다는점에서, 정보통신망법의허용사유는개인정보보호법의허용사유보다그범위가좁다고단언할수있다. 결론적으로허용사유가가장넓은순서또는규제가낮은순서대로정리하면, 일본의개인정보보호법 EU GDPR 우리나라개인정보보호법 우리나라정보통신망법이된다. < 표 3> 일반개인정보수집 이용의허용사유규제완화순위 구분개인정보보호법정보통신망법 EU 일본 수집 이용의허용사유규제의완화순위 3 4 2 1 나. 민감정보수집 이용의 허용사유 의비교 1) 각법의허용사유 민감정보의경우, 우리나라개인정보보호법은제 23 조제 1 항에규정하고있다. 우리나라개 인정보보호법은민감정보의수집 이용의허용사유로서아래와같이 2 가지를규정하고있다. 1. 다른개인정보의처리에대한동의와별도로동의를받은경우 2. 법령에서민감정보의처리를요구하거나허용하는경우 13

위허용사유가적용되는민감정보에대하여는아래와같이정의하고있다 ( 제 23 조제 1 항, 같은법시행령제 18 조 ). 1. 사상 신념, 노동조합 정당의가입 탈퇴, 정치적견해, 건강, 성생활등에관한정보 2. 유전자검사등의결과로얻어진유전정보 3. 범죄경력자료에해당하는정보 한편우리나라정보통신망법은민감정보의수집 이용에있어, 그허용사유로서 2 가지를 규정하고있다 ( 제 23 조제 1 항 ). 1. 이용자의동의를받은경우 2. 다른법률에따라특별히수집대상개인정보로허용된경우 위허용사유가적용되는민감정보의범위는아래와같다 ( 제 23 조제 1 항 ). 사상, 신념, 가족및친인척관계, 학력 ( 學歷 ) 병력 ( 病歷 ), 기타사회활동경력등개인의권 리 이익이나사생활을뚜렷하게침해할우려가있는개인정보 EU GDPR 제 9 조제 2 항은아래와같이민감정보 (EU GDPR 은 특수한범주의개인정보 로 표현하고있음 ) 의 10 가지의허용사유를열거하고있다. 1. 정보주체가명시적동의를한경우 ( 다만, EU 또는회원국법이금지하지않아야함 ) 2. 고용과사회보장및사회보호법영역에서필요한경우 3. 정보주체또는다른자연인의중대한이익을보호하기위하여필요한경우 4. 비영리기관이그기관의구성원또는과거구성원또는그목적과관계되어정보주체의동의없이그기관밖으로공개되지않는조건으로처리가수행되는경우 5. 정보주체가명백하게공개한개인정보에대한처리 6. 법적청구권의설정, 행사또는방어를위하거나법원이사법적지위에서행동하는데필요한경우 7. EU 또는회원국법에근거하여중대한공익실현에필요한경우 14

8. 예방의학이나직업병의학의목적으로, 건강이나사회복지시스템과서비스의관리를위하여필요한경우 9. EU 또는회원국법에근거하여공중보건영역에서공익을이유로필요한경우 10. 적절한보호조치가있고공익을위한기록보존목적, 과학적또는역사적연구또는통계적목적으로필요한경우 위 10 가지의허용사유가적용되는민감정보의범위는아래와같다. 1. 인종이나민족기원, 정치적견해, 종교나철학적믿음, 노조가입을드러내는개인정보 2. 유전정보 3. 자연인을고유하게식별할수있는바이오정보 4. 건강관련정보 5. 자연인의성생활또는성적취향에관한데이터 일본개인정보보호법은일반개인정보에대하여옵트아웃체제가적용되는것과는달리, 민감정보에대하여는옵트인체제가적용된다. 따라서민감정보의수집 이용에있어서는허용사유가열거되어있는데, 일본개인정보보호법제17조제2항은아래와같이 7가지의허용사유를규정하고있다. 7가지의사유중 5호와 6호는공공기관에만적용되는조항이므로제외하였는바, 정보처리자에게는 5가지의사유가존재한다. 1. 본인 2) 의동의를얻은경우 2. 법령에근거한경우 3. 사람의생명, 신체또는재산의보호를위해서필요가있는경우로서본인의동의를얻는것이곤란한경우 4. 공중위생의향상또는아동의건전한육성의추진을위하여특히필요한경우로서본인의동의를얻는것이곤란한경우 5. 국가기관혹은지방공공단체또는그위탁을받은자가법령이정한사무를수행하는것에대해서협력할필요가있는경우로서본인의동의를얻은것이해당업무수행에지장을 2) 본인 은개인정보에의해식별되는특정의개인을말한다 ( 일본개인정보보호법제2조제8항 ). 따라서우리법의정보주체에해당한다. 15

줄우려가있는경우 6. 해당배려필요정보가본인, 국가기관, 지방공공단체, 제76조제1항각호에해당하는자, 그밖에개인정보보호위원회규칙으로정한사람에의해공개된경우 7. 그밖에전각호에준한것으로서정령으로정한경우 위허용사유가적용되는민감정보의범위는아래와같다 ( 일본개인정보보호법제 2 조제 3 항 ). 배려필요정보 란본인의인종, 신조, 사회적신분, 병력, 범죄경력, 범죄로인하여피해를입은사실그밖에본인에대한부당한차별, 편견, 그밖의불이익이생기지않도록그취급에특히배려를필요로하는것으로서정령으로정한기술 ( 記述 ) 등이포함된개인정보를말한다. 2) 각법의비교평가각국의민감정보에대한실체적규제를유사한항목끼리대응및비교하여정리한표는아래와같다. < 표 4> 민감정보에대한실체적규제유사항목비교개인정보보호법정보통신망법 EU 일본 1. 다른개인정보의처리에대한동의와별도로동의를받은경우 1. 이용자의동의를받은경우 1. 정보주체가명시적동의를한경우 1. 본인의동의를얻은경우 2. 법령에서민감정보의처리를요구하거나허용하는경우 2. 다른법률에따라특별히수집대상개인정보로허용된경우 7. EU 또는회원국법에근거하여중대한공익실현에필요한경우 9. EU 또는회원국법에근거하여공중보건영역에서공익을이유로필요한경우 3. 정보주체또는다른자연인의중대한이익을보호하기위하여필요한경우 8. 예방의학이나직업병의학의목적으로, 건강이나 2. 법령에근거한경우 3. 사람의생명, 신체또는재산의보호를위해서필요가있는경우로서본인의동의를얻는것이곤란한경우 4. 공중위생의향상또는아동의건전한육성의 16

개인정보보호법정보통신망법 EU 일본 사회복지시스템과서비스의관리를위하여필요한경우 2. 고용과사회보장및사회보호법영역에서필요한경우 4. 비영리기관이그기관의구성원또는과거구성원또는그목적과관계되어정보주체의동의없이그기관밖으로공개되지않는조건으로처리가수행되는경우 5. 정보주체가명백하게공개한개인정보에대한처리 6. 법적청구권의설정, 행사또는방어를위하거나법원이사법적지위에서행동하는데필요한경우 10. 적절한보호조치가있고공익을위한기록보존목적, 과학적또는역사적연구또는통계적목적으로필요한경우 추진을위하여특히필요한경우로서본인의동의를얻는것이곤란한경우 7. 그밖에전각호에준한것으로서정령으로정한경우 일단민감정보의범위에 바이오정보 가포함되어있는입법은 EU밖에는없다. 따라서민감정보의범위에있어가장엄격한규제는 EU GDPR이라할수있다. 하지만이러한점을감안하더라도, 실체적규제끼리비교하면단연허용사유가월등하게많은 EU GDPR의규제가가장약하다고볼수있다. 일본은우리나라의개인정보보호법이나정보통신망법에비하여, 그허용사유가광범위하다. 한편우리나라의개인정보보호법은 법령 에만근거하면민감정보의처리가허용되는반면, 정보통신망법은 법률 에근거하여야만민감정보의처리가허용된다. 결국각국의민감정보처리에대한실체적규제를비교하면, EU GDPR 일본개인정보보호법 우리나라개인정보보호법 우리나라정보통신망법순서로정리할수있다. 17

< 표 5> 민감정보처리의허용사유규제완화순위 구분개인정보보호법정보통신망법 EU 일본 민감정보처리의허용사유규제의완화순위 3 4 1 2 다. 목적외이용의 허용사유 의비교 1) 각법의허용사유우리나라개인정보보호법이나정보통신망법, EU의 GDPR, 일본개인정보보호법은공히개인정보이용에있어 목적제한성 원칙을적용하고있다. 따라서목적을벗어난개인정보의이용은원칙적으로허용되지않는다. 하지만모든법은일정한사유가있는경우에는목적외이용을허용하고있다. 우리나라개인정보보호법제18조제2항은목적외이용이가능한사유로서 9가지를규정하고있으며, 이 9가지의사유는모두 정보주체또는제3자의이익을부당하게침해할우려가없는경우 에한하여목적외이용이허용된다 ( 제18조제2항본문 ). 9가지사유중 4호는이용을제외하고제공의경우에만적용되고, 5호부터 9호까지는공공기관에만적용되므로제외하면, 정보처리자의목적외이용이허용되는경우는 3가지이다. 1. 정보주체로부터별도의동의를받은경우 2. 다른법률에특별한규정이있는경우 3. 정보주체또는그법정대리인이의사표시를할수없는상태에있거나주소불명등으로사전동의를받을수없는경우로서명백히정보주체또는제3자의급박한생명, 신체, 재산의이익을위하여필요하다고인정되는경우 4. 통계작성및학술연구등의목적을위하여필요한경우로서특정개인을알아볼수없는형태로개인정보를제공하는경우 5. 개인정보를목적외의용도로이용하거나이를제3자에게제공하지아니하면다른법률에서정하는소관업무를수행할수없는경우로서보호위원회의심의 의결을거친경우 6. 조약, 그밖의국제협정의이행을위하여외국정부또는국제기구에제공하기위하여필요한경우 18

7. 범죄의수사와공소의제기및유지를위하여필요한경우 8. 법원의재판업무수행을위하여필요한경우 9. 형 ( 刑 ) 및감호, 보호처분의집행을위하여필요한경우 우리나라정보통신망법은목적외이용을허용하는사유를규정하지않고있다. EU GDPR은제5조제1항 (b) 및제6조제4항에목적외이용이가능한사유를규정하고있는바, 이를정리하면아래와같다. 이중에서 4호는목적외이용이가능한일반규정으로규정되어있다. 1. 적절한보호조치가있고공익목적의기록보존 과학적또는역사적연구또는통계목적의추가처리를하는경우 2. 정보주체의동의를얻은경우 3. EU 또는회원국법에근거하고있는경우 4. 다음을고려하여초기목적과일치한다고판단한경우 (a) 초기목적과추가처리의목적사이의관련성 (b) 정보주체와컨트롤러의관계와관련하여개인정보가수집된맥락 (c) 개인정보의성격 (d) 추가처리가정보주체에대하여야기할수있는결과 (e) 암호화또는가명처리를포함하여적절한안전장치의존재 일본개인정보보호법은제15조제2항, 제16조제1항및제3항에규정되어있는바, 이를정리하면아래 6가지가된다. 이중에서 1호는정확하게는이용목적의변경사유이나목적외이용사유로도기능하므로여기에포함시켰고, 6호는공공기관에적용되는사유이므로제외하면, 정보처리자는 5가지의목적외이용사유를가진다. 1. 변경전의이용목적과관련성을가졌다고합리적으로인정되는경우 2. 본인의동의를얻은경우 3. 법령에근거하는경우 4. 사람의생명, 신체또는재산의보호를위해서필요가있는경우로서본인의동의를얻는것이곤란한경우 19

5. 공중위생의향상또는아동의건전한육성의추진을위하여특히필요한경우로서본인의동의를얻는것이곤란한경우 6. 국가기관혹은지방공공단체또는그위탁을받은자가법령이정한사무를수행하는것에대해서협력할필요가있는경우로서본인의동의를얻은것이해당업무수행에지장을줄우려가있는경우 2) 각법의비교평가각국의목적외이용의허용사유를유사한항목끼리대응시켜비교하면아래표와같다. < 표 6> 목적외이용의허용사유유사항목비교개인정보보호법정보통신망법 EU 일본 1. 정보주체로부터별도의동의를받은경우 2. 다른법률에특별한규정이있는경우 3. 정보주체또는그법정대리인이의사표시를할수없는상태에있거나주소불명등으로사전동의를받을수없는경우로서명백히정보주체또는제 3 자의급박한생명, 신체, 재산의이익을위하여필요하다고인정되는경우 2. 정보주체의동의를얻은경우 3. EU 또는회원국법에근거하고있는경우 1. 적절한보호조치가있고공익목적의기록보존 과학적또는역사적연구또는통계목적의추가처리를하는경우 4. 다음을고려하여초기목적과일치한다고판단한경우 (a) 초기목적과추가처리목적사이관련성 2. 본인의동의를얻은경우 3. 법령에근거하는경우 4. 사람의생명, 신체또는재산의보호를위해서필요가있는경우로서본인의동의를얻는것이곤란한경우 5. 공중위생의향상또는아동의건전한육성의추진을위하여특히필요한경우로서본인의동의를얻는것이곤란한경우 1. 변경전의이용목적과관련성을가졌다고합리적으로인정되는경우 20

(b) 정보주체와컨트롤러의관계와관련하여개인정보가수집된맥락 (c) 개인정보의성격 (d) 추가처리가정보주체에대하여야기할수있는결과 (e) 암호화또는가명처리를포함하여적절한안전장치의존재 EU GDPR과일본의개인정보보호법을비교하면, EU GDPR에있는일반적인목적외처리사유가일본의개인정보보호법에존재하지않지만, 일본에는유사한 1. 변경전의이용목적과관련성을가졌다고합리적으로인정되는경우 의사유를가지고있기때문에쉽게어느입법의규제가가볍다고단정할수는없어보인다. 다만, EU GDPR의 1. 적절한보호조치가있고공익목적의기록보존 과학적또는역사적연구또는통계목적의추가처리를하는경우 의사유는일본개인정보보호법의 4. 공중위생의향상또는아동의건전한육성의추진을위하여특히필요한경우로서본인의동의를얻는것이곤란한경우 의사유보다는확연히넓어보이기때문에전체적으로 EU GDPR의허용사유가가장넓다고볼수있다. 우리나라의개인정보보호법은정량적으로또는정성적으로보아도 EU GDPR과일본개인정보보호법보다는허용사유가넓지않아보인다. 다만, 우리나라의정보통신망법은허용사유가존재하지않기때문에우리나라개인정보보호법은우리나라정보통신망법보다는그허용사유가넓다고볼수있다. 결국각국의목적외처리에대한실체적규제를비교하면, EU GDPR 일본개인정보보호법 우리나라개인정보보호법 우리나라정보통신망법순서로정리할수있다. < 표 7> 목적외처리의허용사유규제의완화순위 구분개인정보보호법정보통신망법 EU 일본 목적외처리의허용사유규제의완화순위 3 4 1 2 21

3. 제공 위탁관련실체적규제의비교 가. 제공의 허용사유 의비교 1) 각법의허용사유우리나라개인정보보호법은개인정보의제공이허용되는경우로서 4가지를규정하고있다 ( 제17조제1항 ). 4가지중 3호는공공기관에만적용되는사유인바이를제외하면정보처리자에는 3가지의제공사유가적용된다. 1. 정보주체의동의를받은경우 2. 법률에특별한규정이있거나법령상의무를준수하기위하여불가피한경우 3. 공공기관이법령등에서정하는소관업무의수행을위하여불가피한경우 4. 정보주체또는그법정대리인이의사표시를할수없는상태에있거나주소불명등으로사전동의를받을수없는경우로서명백히정보주체또는제3자의급박한생명, 신체, 재산의이익을위하여필요하다고인정되는경우 우리나라정보통신망법은아래 3 가지의제공의허용사유를규정하고있다 ( 제 24 조의 2 제 1 항 ). 1. 이용자의동의를얻은경우 2. 정보통신서비스의제공에따른요금정산을위하여필요한경우 3. 이법또는다른법률에특별한규정이있는경우 EU GDPR은제공의허용사유를별도로규정하고있지않고모든형태의처리의허용사유를동일하게규정하고있는바, 앞서살펴본수집 이용의적법사유가그대로제공의적법사유에적용된다. 앞서살펴본바와같이 EU GDPR은개인정보의수집 이용이허용되는사유로서아래와같이 6가지를제시하고있고 ( 제6조제1항 ), 1~6호중에서 5호의후단은공공기관에만적용되고정보처리자에게적용되지않는사유이므로제외하였다. 1. 정보주체가하나이상의특정한목적을위해자신의개인정보처리에동의한경우 2. 정보주체가당사자인계약의이행을위하여또는계약체결전에정보주체의요청에따 른조치를취하기위하여처리가필요한경우 22

3. 컨트롤러에게적용되는법적의무의준수를위하여처리가필요한경우 4. 정보주체또는다른자연인의중대한이익을보호하기위하여처리가필요한경우 5. 공익을위하여수행되는직무의실행을위하여또는컨트롤러에게부여된공적권한의행사에처리가필요한경우 6. 컨트롤러나제3자가추구하는정당한이익의목적을위하여처리가필요한경우로서, 다만, 특히정보주체가아동인경우와같이개인정보보호를요구하는정보주체의이익이나기본권과자유가해당이익에우선하는경우에는그러하지아니하다. 6호는공공당국이자신의직무수행을위하여실행하는처리에적용되지아니한다. 일본개인정보보호법은제공의적법사유로 5가지를규정하고있다 ( 제23조 1항및제2항, 5호는제외함 ). 다만, 아래제공의적법사유는 개인정보 가아닌 개인데이터 에적용되는데, 여기서 개인데이터 란개인정보데이터베이스등을구성하는개인정보를의미한다 ( 제2조제 6항 ). 1. 미리본인의동의를얻은경우 2. 법령에근거한경우 3. 사람의생명, 신체또는재산의보호를위해서필요가있는경우로서본인의동의를얻는것이곤란한경우 4. 공중위생의향상또는아동의건전한육성의추진을위하여특히필요한경우로서본인의동의를얻는것이곤란한경우 5. 국가기관혹은지방공공단체또는그위탁을받은자가법령이정한사무를수행하는것에대해서협력할필요가있는경우로서본인의동의를얻은것이해당업무수행에지장을줄우려가있는경우 6. 일정한사항에대하여개인정보보호위원회규칙으로정한바에따라미리본인에게통지하거나또는본인이쉽게파악하는상태로두는동시에개인정보보호위원회에신고한경우 23

2) 각법의비교평가각국의제공의허용사유를유사한항목끼리대응시켜비교하면아래표와같다. < 표 8> 개인정보제공허용사유유사항목비교개인정보보호법정보통신망법 EU 일본 1. 정보주체의동의를받은경우 1. 이용자의동의를얻은경우 1. 정보주체가하나이상의특정한목적을위해자신의개인정보처리에동의한경우 1. 미리본인의동의를얻은경우 2. 법률에특별한규정이있거나법령상의무를준수하기위하여불가피한경우 3. 이법또는다른법률에특별한규정이있는경우 3. 컨트롤러에게적용되는법적의무의준수를위하여처리가필요한경우 2. 법령에근거한경우 4. 정보주체또는그법정대리인이의사표시를할수없는상태에있거나주소불명등으로사전동의를받을수없는경우로서명백히정보주체또는제 3 자의급박한생명, 신체, 재산의이익을위하여필요하다고인정되는경우 4. 정보주체또는다른자연인의중대한이익을보호하기위하여처리가필요한경우 3. 사람의생명, 신체또는재산의보호를위해서필요가있는경우로서본인의동의를얻는것이곤란한경우 2. 정보통신서비스의제공에따른요금정산을위하여필요한경우 6. 컨트롤러나제 3 자가추구하는정당한이익의목적을위하여처리가필요한경우 4. 공중위생의향상또는아동의건전한육성의추진을위하여특히필요한경우로서본인의동의를얻는것이곤란한경우 2. 정보주체가당사자인계약의이행을위하여또는계약체결전에정보주체의요청에따른조치를취하기위하여처리가필요한경우 6. 일정한사항에대하여개인정보보호위원회규칙으로정한바에따라미리본인에게통지하거나 24

개인정보보호법정보통신망법 EU 일본 또는본인이쉽게파악하는상태로두는동시에개인정보보호위원회에신고한경우 EU GDPR과일본개인정보보호법의규제는서로유사하여그우열을판단하기어렵다. 다만, EU GDPR의 4. 정보주체또는다른자연인의중대한이익을보호하기위하여처리가필요한경우 가일본개인정보보호법의 4. 공중위생의향상또는아동의건전한육성의추진을위하여특히필요한경우로서본인의동의를얻는것이곤란한경우 보다는넓어보이고, 일본개인정보보호법에는없는 2. 정보주체가당사자인계약의이행을위하여또는계약체결전에정보주체의요청에따른조치를취하기위하여처리가필요한경우 의사유가존재한다는점을고려하면, EU GDPR이일본개인정보보호법보다는그실체적규제가약하고허용사유가넓다고판단할수있다. 우리나라의개인정보보호법과정보통신망법의허용사유는일본개인정보보호법에비하여허용사유가많지않음이명백한것으로보인다. 우리나라의개인정보보호법과정보통신망법의허용사유에대한비교판정은쉽지않지만, 외견상개인정보보호법의허용사유가약간더넓어보인다. 결국각국의제공사유에대한실체적규제를비교하면, EU GDPR 일본개인정보보호법 우리나라개인정보보호법 우리나라정보통신망법의순서로정리할수있다. < 표 9> 개인정보제공의허용사유규제완화순위 구분개인정보보호법정보통신망법 EU 일본 제공의허용사유규제의완화순위 3 4 1 2 25

나. 위탁의 절차 의비교 1) 각법의절차개인정보의위탁을규율하는규정은위탁절차그자체에대하여규율하고있는규정과위탁으로인하여발생하는법률관계에대하여규율하는규정으로구별할수있다. 예컨대위탁시정보주체의동의를얻도록하는것이전자의규정이라면, 위탁이후위탁자가수탁자에대한감독의무를부담하는것, 위탁을문서로해야하는것, 적절한기술적및관리적조치를이행한다는충분한보증을제공하는수탁자를이용하는것등이후자의규정이라할수있다. 후자, 즉위탁으로인하여발생하는법률관계에대하여규율하는규정은위탁그자체를어렵게하는것은아니므로, 여기서는전자, 즉위탁절차그자체에대하여규율하고있는규정으로한정하여살펴보기로한다. 위탁절차그자체에대하여규율하고있는규정은실질적으로실체적규제의기능도하고있다. 우리나라개인정보보호법은위탁의절차에대하여 정보주체가언제든지쉽게확인할수있도록대통령령으로정하는방법에따라공개하여야한다. 라고규정하고있다 ( 제26조제2 항 ). 여기서정보주체에대한 공개 란불특정다수에게일방적으로정보를제공하는것을의미하는것으로서, 정보주체의승낙을전제로하는 동의 나특정다수에게일방적으로정보를제공하는 통지 고지 보다는간이한절차에해당한다. 우리나라정보통신망법은위탁의절차에대하여원칙적으로이용자의 동의 를전제로한다 ( 제25조제1항 ). 다만, 정보통신서비스의제공에관한계약을이행하고이용자편의증진등을위하여필요한경우로서일정한사항을공개하거나전자우편등으로이용자에게알린경우에는동의를얻지않아도된다 ( 같은조제2항 ). EU GDPR의경우컨트롤러와프로세서의관계가우리나라법의위탁의절차와가장유사한바, 컨트롤러의프로세서에대한위탁의절차에대하여별도로규정한것은없다. 일본개인정보보호법제23조제5항은개인정보취급사업자가이용목적에필요한범위내에서개인데이터취급의전부또는일부를위탁하는경우그에수반하여해당개인데이터가제공되는경우에해당개인데이터를제공받는사람은개인정보제공의제3자에해당하지않는다고규정되어있는바, 이규정에따르면위탁의절차에대하여별도의규제는존재하지않는다. 26

2) 각법의비교평가 각국의위탁의허용사유를유사한항목끼리대응시켜비교하면아래표와같다. < 표 10> 개인정보의위탁허용사유유사항목비교 개인정보보호법정보통신망법 EU 일본 정보주체에대한공개이용자의동의없음없음 위탁의경우실체적규제를비교하면아래와같은순서로정리할수있다. 아무런규제가없는 EU GDPR이나일본개인정보보호법에비하여우리개인정보보호법은 공개 라는절차를준수하여야하며, 정보통신망법은예외는있지만원칙적으로 이용자의동의 를전제로이루어져야하기때문이다. < 표 11> 개인정보의위탁허용사유규제의완화순위 구분개인정보보호법정보통신망법 EU 일본 위탁허용사유규제의완화순위 3 4 1 1 다. 국외이전의 허용사유 의비교 1) 각법의허용사유개인정보의국외이전은개인정보의국외제공을포함하여개인정보가국경을넘는일체의행위를지칭한다. 우리나라개인정보보호법은개인정보국외이전에대하여규정하지않고단지개인정보의국외제공에대하여만규정하고있으며, 개인정보의국외제공의허용사유는유일하게아래 1가지를정하고있다 ( 제17조제3항 ). 정보주체의동의를얻은경우 27

우리나라정보통신망법역시개인정보의국외이전 3) 의허용사유에대하여이용자의동의를원칙으로하고있다 ( 제63조제2항본문 ). 다만, 정보통신서비스의제공에관한계약을이행하고이용자편의증진등을위하여필요한경우로서일정한사항을공개하거나전자우편등으로이용자에게알린경우에는처리위탁 보관시이용자의동의를얻지않아도된다 ( 같은항단서 ). 정보주체의동의를얻은경우 ( 예외가있음 ) EU GDPR 은제 5 장에서여러가지의국외이전허용사유를규정하고있다. 이를정리하 면아래와같다. 1. EU집행위원회가적정한보호수준에대하여평가한후적정성결정을한경우 2. 적절한안전장치가있는경우 ( 적절한안전장치의예 : 공공당국또는기관사이의법적구속력있고집행가능한문서, 소관감독당국이승인한구속력있는기업규칙, EU집행위원회가채택한표준개인정보보호조항, 감독당국이채택하고 EU집행위원회가승인한표준개인정보보호조항, 승인된행동강령, 승인된인증메커니즘등 ) 3. 적정성결정과적절한안전장치가없음을고지받고, 정보주체가이전에명시적으로동의한경우 4. 계약의이행이나이행준비를위하여이전이필요한경우 5. 정보주체의이익을위해컨트롤러와다른법인등과체결된계약이행을위해필요한경우 6. 공익달성이중요한경우 (EU 또는회원국법에의하여인정된공익이어야함 ) 7. 법적청구권의설정, 행사, 방어를위해필요한경우 8. 정보주체의동의가불가능하고, 정보주체또는다른사람의중대한이익보호를위한경우 9. EU 또는회원국법에따라의도되고공개된등록부로부터일부가이전되는경우 10. 반복적인이전이아니고, 정보주체의수가제한적이며, 컨트롤러의정당한이익을위해필요하고, 이전을둘러싼모든환경에대한평가를고려한적절한보호조치에따른이전인경우 3) 정보통신망법은이전에대하여 제공 ( 조회되는경우를포함한다 ) 처리위탁 보관 으로정의하고있는바, 본연구에서규정한 개인정보가국경을넘는일체의행위 보다는범위가협소함을알수있다. 28

일본개인정보보호법제 24 조는개인데이터를국외에제공할수있는사유를규정하고있 는바, 그허용사유는정리하면 6 가지이지만, 공공기관에만적용되는 5 호를제외하면정보처 리자는 5 가지의개인데이터국외제공의허용사유를보유한다. 1. 미리본인의동의를얻은경우 2. 법령에근거한경우 3. 사람의생명, 신체또는재산의보호를위해서필요가있는경우로서본인의동의를얻는것이곤란한경우 4. 공중위생의향상또는아동의건전한육성의추진을위하여특히필요한경우로서본인의동의를얻는것이곤란한경우 5. 국가기관혹은지방공공단체또는그위탁을받은자가법령이정한사무를수행하는것에대해서협력할필요가있는경우로서본인의동의를얻는것이해당업무수행에지장을줄우려가있는경우 6. 개인데이터취급에대해서제4장제1절의규정에따라개인정보취급사업자가취해야하는조치에상당하는조치로서, 국외의개인데이터를제공받는자가계속적으로취하기위하여필요한것으로서개인정보보호위원회규칙으로정한기준에적합한체제를정비한경우 2) 각법의비교평가 각국의국외이전의허용사유를유사한항목끼리대응시켜비교하면아래표와같다. < 표 12> 개인정보국외이전허용사유유사항목비교 개인정보보호법정보통신망법 EU 일본 정보주체의동의를얻은경우 ( 제공 ) 정보주체의동의를얻은경우 3. 적정성결정과적절한안전장치가없음을고지받고, 정보주체가이전에명시적으로동의한경우 1. 미리본인의동의를얻은경우 1. EU 집행위원회가적정한보호수준에대하여평가한후적정성결정을한경우 2. 법령에근거한경우 3. 사람의생명, 신체또는재산의보호를위해서필요가있는경우로서 29

개인정보보호법정보통신망법 EU 일본 2. 적절한안전장치가있는경우 ( 적절한안전장치의예 : 공공당국또는기관사이의법적구속력있고집행가능한문서, 소관감독당국이승인한구속력있는 기업규칙, EU집행위원회가채택한표준개인정보보호조항, 감독당국이채택하고 EU집행위원회가승인한표준개인정보보호조항, 승인된행동강령, 승인된인증메커니즘등 ) 4. 계약의이행이나이행준비를위하여이전이필요한경우 5. 정보주체의이익을위해컨트롤러와다른법인등과체결된계약이행을위해필요한경우 6. 공익달성이중요한경우 (EU 또는회원국법에의하여인정된공익이어야함 ) 7. 법적청구권의설정, 행사, 방어를위해필요한경우 8. 정보주체의동의가불가능하고, 정보주체또는다른사람의중대한이익보호를위한경우 9.EU 또는회원국법에따라의도되고공개된등록부로부터일부가이전되는경우 10. 반복적인이전이아니고, 정보주체의수가제한적이며, 컨트롤러의정당한이익을위해필요할하고, 이전을둘러싼모든환경에대한평가를고려한적절한보호조치에따른이전인경우 본인의동의를얻는것이곤란한경우 4. 공중위생의향상또는아동의건전한육성의추진을위하여특히필요한경우로서본인의동의를얻는것이곤란한경우 6. 개인데이터취급에대해서제 4 장제 1 절의규정에따라개인정보취급사업자가취해야하는조치에상당하는조치로서, 국외의개인데이터를제공받는자가계속적으로취하기위하여필요한것으로서개인정보보호위원회규칙으로정한기준에적합한체제를정비한경우 30

정량적으로또는정성적으로판단하더라도, EU GDPR의허용사유가다른나라의입법보다월등이많다. 그다음으로일본개인정보보호법의허용사유가많다고판단할수있다. 한편우리나라의개인정보보호법이나정보통신망법은일본개인정보보호법보다는적은허용사유를보이고있다. 그리고우리나라의개인정보보호법이나정보통신망법을비교하면, 개인정보보호법은 제공 의사유만규정하고있다는점, 정보통신망법은 동의 를받지않고국외이전을할수있다는점을고려하여, 정보통신망법의허용사유가개인정보보호법의허용사유보다넓다고볼수있다. 그허용사유또는실체적규제의순서를정리하면아래와같다. < 표 13> 개인정보국외이전허용사유규제의완화순위 구분개인정보보호법정보통신망법 EU 일본 국외이전의허용사유규제의완화순위 4 3 1 2 4. 관리 파기관련실체적규제의비교 가. 파기사유 의비교 1) 각법의사유우리나라개인정보보호법은파기사유에대하여아래와같이보유기간의경과, 개인정보의처리목적달성등그개인정보가불필요하게되었을때로규정하고있다 ( 제21조참조 ). 파기를할때는복구또는재생되지아니하도록조치하여야하나, 다만법령에따라보존해야하는경우에는파기를하지않아도된다 ( 제21조참조 ). 보유기간의경과, 개인정보의처리목적달성등그개인정보가불필요하게되었을때 우리나라정보통신망법은파기사유에대하여아래 4 가지를들고있다 ( 제 29 조 ). 파기의방 법은동일하고, 다만법령에따라보존해야하는경우에는파기를하지않아도된다 ( 제 29 조 ). 31

1. 동의를받은개인정보의수집 이용목적이나해당목적을달성한경우 2. 동의를받은개인정보의보유및이용기간이끝난경우 3. 이용자의동의를받지아니하고수집 이용한경우에는개인정보처리방침에서정한개인정보의보유및이용기간이끝난경우 4. 사업을폐업하는경우 EU GDPR 은제5조제1항 (e) 에서 개인정보가처리되는목적에필요한기간 동안만개인정보를정보주체의식별을허용하는형태로저장할수있도록하고있다. 다만, 예외적으로개인정보는정보주체의권리와자유를보호하기위해본규칙에서요구하는적절한기술적및관리적조치의이행을조건으로공익적기록보존목적, 과학적및역사적연구목적이나통계적목적에한해개인정보가처리되는한, 해당개인정보는더오랜기간저장될수있다. 개인정보가처리되는목적에필요한기간이경과했을경우 일본개인정보보호법은제 19 조에서 이용할필요가없어졌을경우 개인정보를지체없이소 거하도록규정하고있다. 이용할필요가없어졌을경우 2) 각법의비교평가 파기사유는수집 이용 제공의허용사유와달리그사유가적을수록실체적규제가적 다고볼수있다. 각국의파기사유를정리또는비교하면아래표와같다. 개인정보보호법정보통신망법 EU 일본 보유기간의경과, 개인정보의처리목적달성등그개인정보가불필요하게되었을때 < 표 14> 각국의개인정보파기사유 1. 동의를받은개인정보의수집 이용목적이나해당목적을달성한경우 2. 동의를받은개인정보의보유및이용기간이끝난경우 개인정보가처리되는목적에필요한기간이경과했을경우 이용할필요가없어졌을경우 32

3. 이용자의동의를받지아니하고수집 이용한경우에는개인정보처리방침에서정한개인정보의보유및이용기간이끝난경우 4. 사업을폐업하는경우 각국의파기사유는대체로유사한범위를가지고있다. 다만, EU GDPR의경우파기대신에정보주체의식별을허용하는형태로보관할수있기때문에파기나소거를의무화하는국가에대하여비교적규제가낮다고볼수있다. 한국의개인정보보호법이나정보통신망법, 일본의개인정보보호법은대체로유사한파기사유를보유하고있으나, 파기사유의개수를비교하면일본의개인정보보호법이가장규제가약하고, 한국의개인정보보호법, 정보통신망법순서로규제의순서를정리할수있다. < 표 15> 개인정보파기사유규제의완화순위 구분개인정보보호법정보통신망법 EU 일본 파기사유규제의완화순위 3 4 1 2 나. 개인정보유효기간제도 의비교 1) 각법의제도개인정보유효기간제도란정보주체가 1년의기간이상서비스를이용하지않을경우보관중인개인정보에대하여파기등의조치를취해야하는의무를말한다. 우리나라개인정보보호법은파기제도외에개인정보유효기간제도를규정하고있지않고우리나라정보통신망법은제29조제2항에서개인정보유효기간제도를규정하고있다. 정보통신서비스제공자등은정보통신서비스를 1년의기간동안이용하지아니하는이용자의개인정보를보호하기위하여대통령령으로정하는바에따라개인정보의파기등필요한조치를취하여야한다. 다만, 그기간에대하여다른법령또는이용자의요청에따라달리정한경우에는그에따른다. 33

EU GDPR 이나일본개인정보보호법은개인정보유효기간제도를보유하고있지않다. 2) 각법의비교평가 개인정보유효기간제도는오직우리나라의정보통신망법에만존재하고다른입법에서는 존재하지않는다. 따라서실체적규제순서를표로정리하면아래와같다. < 표 16> 개인정보유효기간제도규제의완화순위 구분개인정보보호법정보통신망법 EU 일본 개인정보유효기간제도규제의완화순위 1 4 1 1 5. 종합적인평가 지금까지각국의실체적규제내용을살펴보았다. 이상의비교내용을정리하면아래표와같다. < 표 17> 개인정보에대한실체적규제내용비교규제완화순위평가대상개인정보보호법정보통신망법 EU 일본 일반개인정보수집 이용의허용사유민감정보의수집 이용의허용사유목적외이용의허용사유 3 4 2 1 3 4 1 2 3 4 1 2 제공의허용사유 3 4 1 2 위탁의절차 3 4 1 1 국외이전허용사유 4 3 1 2 파기사유 3 4 1 2 개인정보의유효기간제도 1 4 1 1 상대적규제총점 23 31 9 13 34

각입법의규제완화의순위를더한것을 상대적규제총점 이라정하고각사유에대한순위를더하면, 상대적규제총점은 EU GDPR의경우는 9, 일본개인정보보호법은 13, 우리나라의개인정보보호법은 23, 우리나라의정보통신망법은 31의수치가나온다. 따라서상대적규제총점에따르면, 우리나라정보통신망법이가장실체적규제가강한입법이며 EU GDPR이실체적규제가가장낮은입법에해당한다. 상대적규제총점에의하여단순비교하면, EU GDPR은우리나라개인정보보호법에비하여규제가 9/23 = 39% 밖에되지않고, 우리나라정보통신망법에비하면규제가 9/31 = 29% 밖에되지않는다. 일본개인정보보호법과비교하더라도, 일본개인정보보호법은우리나라개인정보보호법에비하여규제가 13/23 = 56%, 우리나라정보통신망법에비하여규제가 13/31 = 42% 밖에되지않는다. EU GDPR을기준으로하여상대적규제총점을비교하면, 일본개인정보보호법은 1.4배의규제가더있는셈이고, 우리나라개인정보보호법은 2.6배, 우리나라정보통신망법은 3.4 배의규제가더존재하는것이다. EU의정보처리자가개인정보처리를할때받는규제보다우리나라정보처리자가받는규제가 2.6배 ~ 3.4배정도더많다는의미이다. 그리고일본개인정보보호법을기준으로상대적규제총점을비교하면, 우리나라개인정보보호법은 1.8배, 우리나라정보통신망법은 2.4배의규제가더존재하는것으로나타났다. 일본의정보처리자가개인정보처리를할때받는규제보다우리나라정보처리자가받는규제가 1.8배 ~ 2.4배정도더많다는의미이다. < 표 18> 상대적규제총점비교 상대적규제총점기준 개인정보보호법 정보통신망법 EU 일본 EU 기준 2.6배 3.4배 1 1.4배 일본기준 1.8배 2.4배 0.7배 1 35

6. 결어 그간우리나라개인정보법령의규제가일본이나 EU보다더강하고엄격하다는평가가많았다. 하지만그구체적인통계자료는제시하지못하였다. 이번연구로그간의평가가틀리지않았음을알수있었고, 본연구에서제시한상대적규제총점을기준으로하면, EU GDPR을기준으로우리나라개인정보보호법은 2.6배, 우리나라정보통신망법은무려 3.4배의실체적규제가존재함을밝혔다. 그만큼정보처리자입장에서는개인정보의처리가쉽지않다는것을의미한다. 물론정당한사유가존재하면실체적규제가더강해질수있다. 하지만우리나라개인정보환경이 EU나일본의개인정보환경에비하여그규제가더강해야하는사유는특별하게발견되지않는다. 무거운실체적규제는기업의규제비용을증가시키고개인정보의활용이나산업에도부정적영향을줄수밖에없다. 정보주체의자기결정권을보호한다는원래적취지는감소할수밖에없다. 정당한사유가없음에도무거운개인정보규제를가지는점에대한진지한재검토와고민을해야할것이고, 적어도다른나라와유사한규제수준을유지함으로써우리기업의개인정보활용의길을만들어주고, 나아가개인정보의보호와활용이라는개인정보영역에서의영원한숙제를현명하게해결해갈수있는실마리를제공하는것이필요하다고본다. 36

참고문헌 개인정보보호법령및지침 고시해설, 행정안전부, 2016. 박노형외 8인, EU 개인정보보호법, 박영사, 2017. 정보통신서비스제공자를위한개인정보보호법령해설서, 방송통신위윈회, 2012. 한은영, 일본개인정보보호법의개정내용및평가, 정보통신정책동향 제27권 17호통권 608호, 2016. 37

저자소개 김경환 법무법인민후대표변호사과학기술정보통신부고문변호사방송통신위원회법령자문위원공공데이터제공분쟁조정위원회조정위원온라인광고분쟁조정위원회조정위원방송통신위원회자율주행차관련개인 위치정보보호제도개선연구반연구위원비금융분야블록체인기술적용확산을위한법제도연구전문가위원회위원공정거래위원회기업거래정책자문위원개인정보보호법학회국제학술이사개인정보분쟁조정위원회조정위원개인정보보호협의회자문위원산업기술분쟁조정위원회조정위원한국인터넷진흥원개인정보침해신고센터법률자문위원고려대학교법학전문대학원사이버법센터자문위원한국인터넷진흥원민원처리심사위원회위원한국포스트휴먼학회대외협력이사

2024 © docsplayer.org 개인정보보호 | 약관 | 지원