본문 바로가기

모든 정보 생활/개인정보 A to Z

[개인정보 A to Z] 강력한 개인정보보호법의 레퍼런스, 'EU GDPR'



개인정보는 말 그대로 개인의 정보입니다.
그런데 요즘은 데이터 산업의 발달로 인해,
국민 개개인의 개인정보들이 다양한 서비스에서 활용되고 있습니다.
그 활용 범위는 몹시 넓은 것이어서,
일반인이 자기 개인정보의 쓰임을 속속들이 파악하기란 쉽지 않죠.
4차 산업혁명 시대, 빅데이터 시대에
개인정보보호법 강화 논의가 지속되는 이유입니다.

 

 

독일, 프랑스, 이탈리아, 네덜란드 등 유럽연합(EU) 회원국들은 'GDPR'이라는 법을 적용하고 있습니다. GDPR은 'General Data Protection Regulations'의 약칭이에요. 우리말로는 '일반정보보호 규정'이라 불립니다. EU 회원국들이 2018년 시행한 개인정보보호법입니다. 유럽인들을 대상으로 데이터 관련 사업을 진행하려면, 누구든 GDPR을 준수해야 합니다. 어길 경우 상당히 강경한 제재가 가해지죠. 기존의 개인정보보호법을 오늘날(4차 산업혁명 시대, 빅데이터 시대)에 맞게 정비하려는 국가들 사이에서, GDPR은 일종의 레퍼런스로 통용된다고 하는데요. 이번 시간엔 바로 이 GDPR에 대해 알아보겠습니다.

 

 

출처: GDPR 공식 사이트 'GDPR.EU'(https://gdpr.eu), 이미지 클릭



ㅣ 누군가의 개인정보, 그 누구도 '쉽게' 활용하지 못한다


지난 6월, 프랑스에서 주목할 만한 뉴스가 나왔습니다. 프랑스의 개인정보 감독 기구인 'CNIL(Commission nationale de l'informatique et des libertes)'과 글로벌 IT 기업 구글 간의 분쟁에 관한 판결이었습니다. CNIL은 구글이 GDPR 규정을 위반했다며 벌금 5천만 유로(약 690억 원)를 부과한 바가 있는데요. 이에 대한 구글의 항소심을 프랑스 행정법 최고법원이 기각했다는 것이 이 뉴스의 골자예요.

 

프랑스의 개인정보 감독 기구 'CNIL' / 출처: Wikipedia, 이미지 클릭

 


CNIL이 구글에 어마어마한 벌금을 부과한 이유, 단순하고도 명쾌합니다. 맞춤형 타깃 광고 등을 위해 사용자들의 개인정보를 수집할 때, 즉 '개인정보 수집 동의' 과정에서 충분한 정보를 제공하지 않았다는 것. 그러니까, 사용자의 개인정보가 어떤 목적으로 어떻게 활용될지를 디테일하게 알려주지 않았다는 거죠. 사실, 사용자 입장에선 당연히 알아야 할 사항입니다. 이 당연한 절차를 어긴 결과, 구글은 690억 원이라는 천문학적 벌금을 내게 된 셈입니다.

이렇듯 GDPR은 개인정보 처리에 관하여 매우 엄정한 기준을 제시하고 있습니다. GDPR 위반 기업에는 연 매출액의 4%에 달하는 벌금이 부과되기도 하죠. 누군가의 개인정보는 그 누구도 쉽게 활용하지 못한다, 라는 명료하고 강력한 규제 원칙인 것입니다. GDPR이 규정하는 개인정보 처리의 기본 원칙은 7가지예요.


1. 적법성·공정성·투명성의 원칙(Lawfulness, fairness and transparency)

정보 주체의 개인정보는 적법하고 공정하며 투명한 방식으로 처리되어야 한다. 여기에서 투명성은 개인정보를 처리하는 일련의 행위에서 정보 주체에게 이해하기 용이하고, 접근하기 쉬운 공개된 방식으로 처리 행위를 입증하는 것을 뜻한다.

2. 목적 제한의 원칙(Purpose limitation)

구체적·명시적이며 적법한 목적을 위하여 개인정보를 수집하여야 하며, 해당 목적과 부합하지 않는 방식의 추가 처리는 허용되지 않는다. 다만 공익을 위한 기록 보존 목적, 과학적·역사적 연구 목적, 또는 통계 목적을 위한 추가 처리는 해당 목적과 양립하는 것으로 본다.

3. 개인정보 처리의 최소화(Data minimisation)

개인정보의 처리는 적절하며 관련성이 있고, 그 처리 목적을 위하여 필요한 범위로 한정되어야 한다.

4. 정확성의 원칙(Accuracy)

개인정보의 처리는 정확하여야 하며, 필요 시 처리되는 정보는 최신으로 유지되어야 한다. 따라서 처리 목적에 비추어 부정확한 정보의 즉각적인 삭제 또는 정정을 보장하기 위한 모든 합리적 조치가 취해져야 한다.

5. 보유 기간 제한의 원칙(Storage limitation)

개인정보는 처리 목적상 필요한 경우에 한하여 정보 주체를 식별할 수 있는 형태로 보유되어야 한다. 정보 주체를 식별할 수 있는 개인정보는 처리 목적상 필요한 때에만 보유되어야 한다.

6. 무결성과 기밀성의 원칙(Integrity and confidentiality)

개인정보는 적절한 기술적·관리적 조치를 통하여 권한 없는 처리, 불법적 처리 및 우발적 손·망실, 파괴 또는 손상에 대비한 보호 등 적절한 보안을 보장하는 방식으로 처리되어야 한다.

7. 책임성의 원칙(Accountability)

컨트롤러는 위의 원칙을 준수할 책임을 지며, 이를 입증할 수 있어야 한다.
※컨트롤러(Controller): 개인정보 활용자를 칭하는 GDPR의 용어

*출처: 『우리 기업을 위한 EU 일반개인정보보호법(GDPR) 가이드북』(한국인터넷진흥원, 2018년 5월 발행), 44~46쪽



위와 같은 개인정보 처리 원칙 7가지는 GDPR의 '제5조'에 해당하는 내용입니다. '기본' 원칙만 해도 상당히 엄격한데, GDPR은 이렇게 엄하고 철저한 조항들을 99개나 두고 있습니다. 특히 GDPR은 이른바 '잊힐 권리'라는 것을 규정함으로써 빅데이터 시대 사용자들의 '정보 주권'을 강조했습니다.


"GDPR 초안의 내용 중에서 국제적으로 큰 반향을 불러일으킨 사항이 제17조에 규정된 잊힐 권리이다. 이에 의하면, 정보 주체는 컨트롤러를 상대로 자신과 관련된 개인정보의 삭제권 및 확산 중지권(abstention from further dissemination)을 보유한다(제17조 제1항). 특히, 아동인 정보 주체의 개인정보에 대하여 그러한 권리가 보장되어야 한다. [중략] 이처럼 잊힐 권리가 인정되면 컨트롤러는 개인정보를 지체 없이(without delay) 삭제하여야 한다(제17조 제3항)."

*출처: 최경진(가천대학교 법과대학 교수), 「2016 Naver Privacy Whitepaper: 유럽 일반정보보호규정(EU GDPR)의 분석 및 시사점」, 네이버 프라이버시 센터 2016년 발행, 18쪽


 

2016년 제정 후 2년간 유예 기간을 거쳐 2018년 5월 25일 시행된 GDPR / 출처: 《Forbes》, 이미지 클릭

 


ㅣ '강력한 개인정보보호법'의 레퍼런스, GDPR


올해 1월 1일부터 미국 캘리포니아주에선 '캘리포니아주 소비자 프라이버시법(The California Consumer Privacy Act)'라는 개인정보보호법이 시행됐습니다. 줄여서 CCPA라 불리는데요. 제정 과정에서 유럽연합의 GDPR을 적극적으로 참고한 것으로 알려져 있습니다. 앞서 알아본 GDPR 제17조의 '잊힐 권리', 즉 '삭제권'이 CCPA에도 주요 조항으로 들어가 있어요.

▶ CCPA에 대해 더 알아보기
"내 정보 팔지 마!" 세젤 엄격한 캘리포니아주 개인정보보호법(바로 가기) 


이처럼 GDPR은 미국을 비롯한 세계 여러 나라에서 '강력한 개인정보보호법의 레퍼런스'로서 언급되거나 연구되고 있습니다. 국내에서도 GDPR과 관련한 각종 기사, 칼럼, 논문 등을 쉽게 찾아볼 수 있죠.

점점 더 많은 이들의 데이터가 다양한 영역에서 활용되는 만큼, 개인정보보호법은 이제 우리 일상의 이슈로 자리 잡아갈 듯합니다. 제4차 산업혁명 시대, 빅데이터 시대의 '정보 주체'로 거듭나기 위한 첫 단계로서, 국내외 개인정보보호법에 관심을 가져보는 건 어떨까요?