Ⅰ. 서론

오랜 논의 끝에 EU의 개인정보보호법(General Data Protection Regulation, 이하 “GDPR”)이 2016년 5월 24일 제정되었다. GDPR은 유럽연합(EU)법이지만 우리에게도 의미가 크다. 왜냐하면 EU를 상대로 영업을 하고자 하는 우리 회사들은 새롭게 제정된 GDPR을 준수하여야 하기 때문이다. 이하에서는 EU의 개인정보보호법제의 연혁을 개관해보고, GDPR 제정 경위를 살펴보고, 이어서 주요 내용을 알아보도록 하겠다.

Ⅱ. GDPR 제정 경위 및 경과

유럽집행위원회(European Commission)가 2012년 1월 기존의 개인정보보호지침을 대체하기 위한 규칙(안)을 입안하였다. 개인정보 처리에 묵시적인 동의를 금지하는 등 개인정보자기결정권을 기존 지침보다 강화하였다. 이후 2013년 1월 유럽의회(European Parliament)는 유럽집행부의 안을 개정안을 제출하였다. 개정안은 기존안 보다 정보주체의 권리를 더욱 더 강화하였다.

한편 비슷한 시기인 같은 해 5월 유럽이사회(European Council) 역시 개정안을 내놓았다. 이는 다소 정보처리자 입장을 고려하여 규제수준을 합리화한 것으로 평가된다. 유럽의회와 이사회는 2013년 10월 협의를 통하여 절충안을 마련하였다. 그리고 2015년까지 서로 세부적이거나 기술적인 사항들을 조율했다.

그러다가 최종안이 2016년 4월 8일 유럽이사회에 의해, 같은 달 14일 유럽의회에 의해 각 통과되어 확정되었다. 이는 2016년 5년 24월부터 시행되고, 2018년 5월 25일부터 적용된다.

Ⅲ. GDPR의 주요 내용과 개인정보보호법과의 비교(정보주체의 권리 관점에서)

1. 입법목적

GDPR의 입법목적은 "자연인들의 기본적 권리와 자유, 특히 개인정보보호권"의 보호와, "개인정보의 자유로운 이동"의 보장에 있음을 규정하고 있다(1조).

이러한 2가지 입법목적의 규정은 1995년 지침과 유사하지만 개인정보보호의 지위가 격상되었음을 알 수 있다. 1995년 지침의 경우에는 “자연인들의 기본적 권리와 자유, 특히 프라이버시권”의 보호에 있음을 규정하였으나, GDPR ‘개인정보보호권’으로 변경되었다. 이것은 EU기본권헌장이 "누구나 자기에 관한 개인정보의 보호에 대한 권리를 가진다."(8조 1항)고 하여, 개인정보보호권을 규정하고 있고, 동 헌장은 리스본조약에 의해 EU의 1차법으로 그 지위가 승격이 됨으로써 개인정보보호는 기본권으로 인정되었기 때문에 GDPR에 개인정보보호권을 반영한 것이라 볼 것이다.

한편, 개인정보의 자유로운 이동과 관련하여서는 "EU역내에서의 개인정보의 자유로운 이동은 개인정보의 처리와 관련하여 자연인들의 보호와 관련되었다는 이유로 제한되거나 금지되어서는 안된다."(1조 3항)고 규정하고 있다.

주의할 점은 개인정보의 자유로운 이동은 어디까지나 “EU역내”의 경우로 제한되어 있고 GDPR은 개인정보의 EU 역외로의 이전에 대해서는 1995년 지침에 비하여 오히려 엄격하게 정비되었다.
이와 달리 개인정보보호법은 개인정보의 처리 및 보호에 관한 사항을 정함으로써 개인의 자유와 권리를 보호하고, 나아가 개인의 존엄과 가치를 구현함을 목적으로 함으로써 개인정보의 자유로운 이동에 관하여는 언급하고 있지 않고 보호의 관점에서만 접근하고 있다고 하겠다.

2. 정보주체의 권리보호 문제

가. 정보주체의 열람권

GDPR 제15조에 따라 정보주체는 자신의 개인정보 처리의 유무를 확인하고 개인정보 사본을 획득할 수 있으며, 해당 개인정보 처리에 대한 관련 정보를 제공받을 수 있는 권리를 가진다. 이러한 열람권을 보장하기 위하여 개인정보처리자는 정보주체에게 무료로 사본을 제공해야한다.

열람권에 따라 정보 주체가 획득할 수 있는 개인정보 처리에 관한 관련 정보에는 ① 처리 목적, ② 개인정보의 유형, ③ 제공받는 자, ④ 저장 기간, ⑤ 정정·삭제·처리제한·처리반대권의 존재사실, ⑥ 감독당국에 이의를 제기할 수 있는 권리, ⑦ 정보주체 이외로부터 수집된 개인정보의 경우, 그에 대한 출처, ⑧ 프로파일링과 관련된 사항이 존재한다(제15조제1항). 또한 국외이전의 경우, 정보주체는 적합성 결정, 구속력 있는 기업규칙 등 적절한 안전장치의 여부에 대한 정보에 대한 열람권을 가진다(제15조제2항).

GDPR의 열람권과 유사한 규정으로 개인정보보호법 제35조는 정보주체의 열람권을 규정하고 있다. 이에 따라 정보주체는 개인정보처리자가 처리하는 자신의 개인정보에 대한 열람을 요구할 수 있으며, 개인정보처리자가 공공기관인 경우, 해당 공공기관뿐만 아니라 행정자치부 장관을 통하여 열람을 요구할 수도 있다.

동법 시행령 제41조에 따라 정보주체가 열람가능한 정보로는 ① 개인정보의 항목 및 내용, ② 수집 목적, ③ 보유 기간, ④ 제3자 제공 현황, ⑤ 동의 사실 및 내용이 존재한다. 또한 동 법률 제4항에 따라 개인정보처리자는 ① 법률에 따라 열람이 금지되거나 제한되는 경우, ② 다른 사람의 생명·신체를 해할 우려가 있거나 재산 등 이익을 부당하게 침해할 우려가 있는 경우, ③ 공공기관이 조세, 학교성적평가·입학자선발, 학력·기능·채용시험, 자격심사, 보상금·급부금산정, 법률에 따른 감사·조사 업무를 수행할 때 중대한 지장을 초래하는 경우에 정보주체의 개인정보 열람을 제한하거나 거절할 수 있다.


여기에서 주목할 점은 열람권의 예외사유에서 확인되는 바와 같이 개인정보보호법은 정보주체의 권리에 대한 예외사유를 관련 조항에서 개별적으로 규정하는 반면, GDPR제23조는 개인정보보호권의 제한논리로서 과잉금지원칙에 적합한 입법조치로서 열람권 등 정보주체의 권리를 제한할 수 있는 포괄적 근거를 제시하고 있다.

나. 정정권 및 삭제권

GDPR 제16조는 정보주체는 그에 대한 개인정보가 부정확(inaccurate)할 경우, 정보처리자에게 해당 정보를 정정해줄 것을 요청할 수 있는 권리(right to rectification)를 규정하고 있다.

아울러 GDPR 제17조에 따라 정보주체는 정보처리자에게 일정한 경우 자신과 관련된(concerning) 개인정보를 삭제해줄 것을 요청할 수 있다. 이른바 ‘잊힐 권리’(right to be forgotten)를 명문으로 인정한 것인데, GDPR 최종안은 ‘삭제 요청권’(right to erasure)이라고 이름 붙였다.

요청권을 행사할 수 있는 경우는, (1) 수집 목적상 더 이상 필요 없는 경우 (2) 정보주체가 동의를 철회한 경우 (3) 개인정보가 불법으로 처리 된 경우 등이다(동조 제1항). 다만 위와 같은 요건을 충족하더라도 (1) 표현의 자유를 행사하거나 (2) 공적 관심 사안에 해당하거나 (3) 법적 의무를 준수해야 하는 등에 해당 정보가 필요한 경우에는 잊힐 권리가 인정되지 아니한다(동조 제3항). 정보주체의 개인정보자기결정권과 게시자의 표현의 자유 사이의 균형을 맞추고자 한 것이다.

이와 유사하게, 개인정보보호법 제36조에 따라 정보주체는, 해당 개인정보가 법령상 수집대상인 경우를 제외하고, 자신의 개인정보에 대한 정정 또는 삭제를 요구할 수 있다. 동 조항에 따라 개인정보처리자는 정정 또는 삭제요구를 받은 때에는 10일 이내에 필요한 조치를 한 후 그 결과를 정보주체에게 알려야 하며, 삭제의 경우, 복구 또는 재생되지 않도록 조치하여야 하고, 법령상 수집대상으로 삭제할 수 없는 경우에는 지체 없이 그 내용을 정보주체에게 알려야 한다.

개인정보보호법 제36조는 GDPR 제16조 및 제17조와 비교하면 다음과 같은 차이점이 존재한다. 우선 GDPR과 달리, 개인정보보호법에 따른 개인정보의 정정 또는 삭제는 동법 제35조에 따른 정보주체의 열람권 행사를 우선적으로 요구한다.

둘째, GDPR은 정보주체가 삭제권을 행사할 수 있는 경우를 구체적으로 제시하고, 이러한 상황에서 개인정보의 삭제는 정보주체의 권리인 동시에 개인정보처리자의 의무가 된다는 점을 명시하고 있으나 개인정보보호법은 정보주체의 요구가 있는 경우에 개인정보처리자로 하여금 "정정·삭제 등 필요한 조치"를 취할 것을 규정하는 바, 반드시 삭제조치로 귀결되지 않는 상황이 존재할 수 있다는 점이다.

셋째, GDPR제17조제1항 (f)는 정보사회서비스(information society service) 제공과 관련되어 개인정보가 미성년자의 동의에 근거하여 수집된 경우에 정보주체로 하여금 잊힐 권리(right to be forgotten)를 부여하고 있다. 이는 SNS 등 정보통신서비스를 이용하는 과정에서, 미성년자인 정보주체가 당시 개인정보처리와 관련된 위험을 충분히 인지하지 못한 경우를 고려한 것이다. 그러나 개인정보보호법에는 이러한 경우를 규율하고 있지 않다.

다. 본인의 개인정보 이전권

정보이전권의 기본관념은 빅데이터와 클라우드서비스가 널리 이용되고 있는 현대정보사회에서, 어떤 정보서비스를 이용하는 정보주체가 그 정보를 방해받지 않고 다른 정보서비스로 이전할 수 있는 권리라는 것이다. 이러한 정보이동권은 1995년 지침에는 존재하지 않았던 것이 2016년 규칙에 의해 새롭게 도입되었다.

GDPR제20조는 정보주체는 정보처리자에게 개인정보를 정보주체 본인 또는 제3의 정보처리자에게 제공할 것을 요청할 수 있다(Right to data portability). 이때 정보처리자는 해당 정보를 구조화되고 기계가 읽을 수 있는 형태로 제공하여야 한다. 정보이전권은 정보 주체의 개인정보자기결정권을 매우 강화한 것이다.

예컨대 정보주체가 A사의 웹메일 서비스를 이용하다가 B사의 서비스를 이용하고자 하는 경우에는, A사에 이메일13) 등 자신의 개인정보를 호환이 가능한 형태로 B사로 이동시켜줄 것을 요청할수 있다. 특정 정보처리자(서비스 사업자)에게 개인정보가 상당히 축적된 경우 정보주체(이용자)는 사실상 IT 서비스를 변경하지 못하며 이에 수반되는 개인정보에 대한 자기결정권이 저해되는 점을 반영한 것으로 생각된다.

우리나라 개인정보보호법은 제27조에서 개인정보처리자가 영업의 양도 등에 따른 개인정보 이전을 정보주체에게 고지할 의무와 개인정보를 이전받은 처리자의 이용범위에 대하여 규정하고 있으며, 개인정보의 이전 또는 이동에 대한 정보주체의 권리는 규정되어 있지 않다.

그러나 클라우드서비스 최초의 법률인 클라우드컴퓨팅 발전 및 이용자 보호에 관한 법률은 이러한 GDPR의 고민을 해왔으며, 이와 유사한 규정을 하고 있는바, 클라우드컴퓨팅 발전 및 이용자 보호에 관한 법률은 제22조에서 상호 운용성의 확보라는 제명아래 상호운용성을 확보하기 위하여 필요한 경우에는 클라우드컴퓨팅서비스 제공자에게 협력 체계를 구축하도록 과기정통부가 권고할 수 있다는 규정을 두고 있다.

3. 개인정보의 국외이전 관점

GDPR은 제5장에서 개인정보의 국외이전을 방대하게 규율하고 있다. 이에 따라 개인정보가 이전될 것으로 예상되는 제3국 또는 국제기구의 개인정보보호 수준이 유럽연합의 수준보다 못 미치는 경우, 개인정보의 국외이전은 허용되지 않는다.

특히 GDPR에서 규율하고 있는 국외이전의 범위가 유럽연합에서 국외로 이전되는 최초의 이전뿐만 아니라 향후 발생할 수 있는 제3국(또는 국제기구)에서 또 다른 제3국(또는 국제기구)으로의 이전까지 포함하고 있다는 점은 주목할 만하다.

GDPR에 따라 국외이전이 허용되는 경우는 우선 적정성 결정(adquacy decision)에 따른 이전이다. GDPR 제45조에 따라 유럽위원회는 특정 제3국 또는 국제기구의 개인정보보호 수준이 개인정보 이전을 허용할 만큼 적정한 수준인지를 결정할 수 있다. 이러한 적정성 결정은 동조 제2항에 따라 제3국 또는 국제기구의 인권수준, 독립된 소관감독기관의 존재 등 여러 평가기준에 근거하여 결정된다.

이러한 평가기준에 근거하여 제3국 또는 국제기구가 개인정보의 적정한 보호수준을 구비하였다고 판단되는 경우, 개인정보의 국외이전은 허용될 수 있다. 적합성 결정은 정기적인 주기에 걸쳐 이루어지며, 이에 따라 기존에 허용되었던 개인정보의 국외이전에 대한 철회 역시 가능하다. 기존 지침하에 이뤄진 적정성 결정은 GDPR 규정아래서도 계속 적용되므로 기존에 적정성 결정은 받은 국가로의 국외이전은 가능하다.

그 다음으로는 적절한 안전장치(approprate safeguards)에 따른 이전이다. GDPR 제45조에서 규율하고 있는 적절한 안전장치란 ①공공기관 또는 단체 간 작성된 법적 문서 ② 구속력있는 기업규칙(binding corporate rules), ③ 제93조 2항에 따라 유럽위원회가 채택한 "표준개인정보보호조항(standard data protection clauses)", ④ 제93조 2항에 따라 감독당국이 채택하고 유럽연합위원회가 승인한 표준개인정보보호조항, ⑤ 제40조에 따라 승인된 행동강령, ⑥ 제42조에 따라 승인된 인증메커니즘을 포함한다.

이에 따라 적합성 결정이 이루어지지 않은 국가라 하더라도, ① 개인정보처리자 및 수탁처리자가 제시하는 적절한 안전장치가 존재하고, ② 정보주체의 권리가 이행가능(enforceable)하며, ③ 정보주체를 위한 실효적인 법적 구제책이 마련되는 경우에 한하여, 해당 국가로의 정보이전은 제한적으로 허용된다 하겠다.

우리나라 개인정보보호법은 제14조 2항에서 "정부는 개인정보 국외 이전으로 인하여 정보주체의 권리가 침해되지 아니하도록 관련 시책을 마련하여야 한다."라고 규정하고 있고 동 법 제17조 3항은 국외의 제3자에 대한 개인정보 제공의 경우, ① 개인정보를 제공받는 자, ② 개인정보를 제공받는 자의 개인정보 이용 목적, ③ 제공하는 개인정보의 항목, ④ 개인정보를 제공받는 자의 개인정보 보유 및 이용 기간, ⑤ 동의를 거부할 권리가 있다는 사실 및 동의 거부에 따른 불이익이 있는 경우에는 그 불이익의 내용을 정보주체에게 알리고 동의를 받을 것을 요구하고 있다.

그러나 제14조 2항은 정부의 책무를 규정한 선언적·원칙적 규정이라는 점, 제17조 3항에서 규정하는 개인정보처리자의 고지의무만을 규정하고 있어 개인정보보호법은 국외이전과 관련된 구체적인 절차는 전무한 것이나 마찬가지이다.



* GDPR 시행에 대한 SWOT분석

1. 장점(Strength)
국내의 강화된 개인정보보호법 체계에 이미 익숙한 국내 기업들에게는 EU GDPR의 강화된 보호체계를 준수하는데 다른 국가의 기업들에 비하여 오히려 더 경쟁력이 있을 것이라는 지적도 많다

2. 단점(Weakness)
개인정보가 수집될 때, 개인에게 이를 알리고 경우에 따라 동의요청, 정보삭제 및 일정 기간 내 삭제할 수 있는 권한을 부여하는 알림 시스템을 마련해야 합니다.

3. 기회(Opportunity)
우리나라 개인정보보호법에도 GDPR규정과 같은 정보주체의 잊힐 권리(right to be forgotten), 정보이전권(right to data portability), 프로파일링 등 자동화된 개별의사 결정(automated individual decision-making, including profiling)을 거절할 권리 등 새로운 개인정보에 관한 권리에 대한 규정을 마련하는 것은 미래법적 관점에서 매우 필요한 일이다.

4. 위협(Threat)
DPO(Data Protection Officer)선임, 개인정보의 제3국 이전에 따른 보호조치, 선임 감독기관 선정과 같이 준비해야 할 사항에 관한 규정들을 정비해대 할 것이다.