국외동향

세계 각국은 현재 개인정보보호기관을 설치하여 개인정보보호를 위한 노력을 다양 하게 기울이고 있다. 특히 영국, 프랑스, 독일, 호주, 캐나다 등과 같은 국가들은 개인 정보를 보호하기 위한 전담기구를 통해 효과적으로 개인정보보호를 수행하고 있다. 이 러한 전담기구의 설치는 정보주체의 법적인 이익을 보호하고 불법적 개인정보침해를 효과적으로 방지할 수 있기 때문에 세계적인 추세이다. 그러나 각국의 개인정보보호기 관은 기관의 성격이나 기능, 역할, 특성 등의 측면에서 그 나라의 법적 환경이나 사회 적, 경제적 특성 등의 측면에서 그 나라의 법적 환경이나 정보화의 진전 여부 등에 따 라 각기 다른 모습을 보이고 있는 것 또한 사실이며 각국의 개인정보보호법은 <표 10>과 같다(정보통신정책연구원, 2014).

과 관계있는 모든 타인에 관한 의견을 포함 데이터보호법

미국

- 개인에 관한 정보로 개인의 성명 또는 신분번호, 기호, 지문, 사진 등 개인에 게 배정된 신분의 식별을 위한 특기사항

- 미연방 프라이버시법 제 552 조의 2

캐나다

- 그 형태가 어떤가를 불문하고 식별 가능한 개인에 관한 정보 - 연방 프라이버시법 제 3 조

- 신원을 확인할 수 있는 개인에 대한 정보 - 개인정보보호와 전자문서에 관한 법 제 2 조

일본

- 생존하는 개인에 관한 정보로서, 당해 정보에 포함되는 성명, 생년월일, 기타 기술 등에 의해 특정한 개인을 식별하는 일이 가능한 것

- 다른 정보와 용이하게 조합되어 식별할 수 있는 정보 포함 - 개인정보보호에 관한 법률 제 2 조

중국

- 전자 또는 다른 방식으로 기록되는 단독 또는 기타 정보와 결합하여 자연인 의 개인 신분을 식별할 수 있는 각종 정보를 지칭하는데, 이름, 출생일, 신분증 번호, 개인생물식별정보, 주소, 전화번호 등을 포함

- 네트워크안전법 제 76 조

자료:해외 개인정보보호 집행체계 및 개인정보보호 주요 동향조사(개인정보처리위원회, 2012)

3.2.1 중국

중국은 우리나라 최고의 교역국이며, 모든 경제 분야에서 급속도로 발전하고 있고, 최근 들어서는 네트워크 안전법을 시행하여 국내 기업에서도 이에 대해 대책을 마련 중이다. 중국은 별도의 개인정보 관련법이 없었지만, 분산되어 있던 네트워크 보호 법 률과 개인정보 관련 법률을 통합적으로 관리하고자, 2016년 11월 네트워크 안전법을 제정하고, 2017년 6월부터 시행을 시작하였지만 아직은 체계가 부족하고 구체적이지 않아, 미시적인 법이 지속적으로 제정될 것으로 예상된다. 중국은 1980년대 이후 시장 경제 도입 후 경제적으로는 급성장하고 있지만, 공산국으로서 공산당에 의한 정보와 무역에 대한 모든 통제가 필요한 실정이다. 따라서 네트워크 안전법은 네트워크망과

핵심정보 기반시설을 통제하여 안전한 국가 관리를 하고자하는 목적 외에도 폭발적인 인터넷상의 정보교류로 인해 당의 방침에 부합하지 않는 정보를 통제하려는 다른 목적 도 가지고 있다. 중국에 사업 진출하고자 하는 기업이 염두에 두어야 할 네트워크 안 전법에서 규정하고 있는 중요 데이터의 중국 내 저장 원칙은 아래와 같다.

첫째, 핵심정보 기반시설 사업자는 중국내에서 사업운영 중 수집하고 생성한 개인정 보들과 주요 업무 데이터를 중국 국내에 저장해야 한다.

둘째. 업무의 필요에 의해 어쩔 수 없이 해외에서 저장하거나 해외의 주체에게 정 보를 제공해야 할 경우에는, 국가 네트워크 정보 부처와 국무원의 관련 부처가 제정한 방법에 따른 안전 평가를 진행해야 한다.

단, 개인정보와 중요 데이터 국외 반출 안전 평가 방법 적용은 세계 각 기업의 반 발로 18년 12월로 시행이 유예되었다(LG CNS, n.d.).

3.2.2 EU

유럽은 2차 세계대전 당시 나치의 개인정보 오남용을 통한 유태인 학살을 경험한 후 개인정보를 인권적 차원에서 엄격히 보호하며, 이행이 강제되지 않는 자율규제는 효과적이지 않다고 판단하여 법률규제를 선호하고 있다.

2018년 5월 25일 시행이 예정된 GDPR(general data protection)은 개인정보 보호와 EU내에서의 자유로운 개인정보 이동을 보장하려는 목적으로 제정된 규정으로 법적 구 속력을 가지며, 28개 회원국에 적용된다. 개인정보 처리에 있어 정보 주체의 동의와 법 적 근거를 명확하게 하고, 정보주체의 권리를 강화하며, 개인정보 취급자-위탁자 사이 와 개인정보 처리자-수탁자 사이의 의무사항을 파악하고, 기업의 책임을 강화하는 관 리활동의 추가·개선이 있다. EU 밖으로의 개인정보 이전은 원칙적으로 금지되며, 예외 로 제3국이 적정한 개인정보 보호체계를 갖추고 있다면 이전할 수 있다. 이를 심각하 게 위반하는 경우 전 세계 연매출액의 4% 또는 2천만 유로 중에 높은 금액을 과징금 으로 부과하고, 일반 위반의 경우에는 전 세계 연매출액의 2% 또는 1천만 유로 중에 높은 금액을 과징금으로 부과하는 강력한 제재가 예상된다(LG CNS, n.d.).

3.2.3 미국

<표 11> 미국의 개인정보 관련 주요 법률

유형 보호 대상 법 보호 대상

공정신용평가법 신용정보 근로자 거짓말 탐지기

보호법 근로자 정보

프라이버시법 정부보유정보 전화소비자보호법 텔레마케팅 거부 정보

정보공개법 정부보유정보 운전자프라이버시 보호

법 운전자, 차량정보

가족의 교육권 및

프라이버시법 교육정보 법집행을 위한 통신 지

원법 통신정보

금융 프라이버시법 금융정보 전기통신법 통화정보

프라이버시 보호법 출간정보 건강보험관리 및 책임

에 관한 법률 의료정보

케이블통신 정책법 케이블통신정보 아동온라인프라이버시

보호법 아동정보

전자통신

프라이버시법 전자기록정보 금융 현대화법 금융정보 컴퓨터사기 및

남용방지법 컴퓨터접근정보 대 테러 감시법 테러방지정보 컴퓨터 보안법 컴퓨터보안정보 전자정부법 전자정부 서비스 개인정보를 잘 활용함으로써 고객에게 더욱 큰 편익을 줄 수 있다고 보고, 개인정 보 관련 규제를 최소화하는 경향을 보이고 있다. 개인정보를 보호하기 위해 정부가 지 나치게 관여하면 정보기술의 발전이나 기업체들의 자유로운 활동을 저해할 수 있다고 판단하는 것으로써, 원치 않는 정보의 공개 등으로 프라이버시를 침해하지 않는다면 개인정보의 수집과 이용, 매매 및 마케팅 등은 용이한 편이다. 보호 법률이 없어도 소 송이라는 사법제도로 충분히 보호할 수 있다는 입장이다. 하지만 미국은 정보사회에서 개인의 프라이버시 침해를 일찍이 인식한 나라로 개인의 프라이버시를 헌법상의 권리 로 인정하고 있다. 지리적, 정치적 영향이 복잡하여 하나의 일반화된 법을 적용하기 어 렵기 때문에 개별 법률에 의해 특정한 영역의 개인정보를 보호하는, 개별적인 접근방 식을 취하고 있다. 대략 20개 부문에서 프라이버시 혹은 데이터 보안법 및 이와 관련 된 법률이 수 백개 가량 존재한다(LG CNS, n.d.).

정보 비디오프라이버시

보호법 비디오대여정보 비디오감시방지법 CCTV정보 등 컴퓨터정보결함 및

프라이버시보호법 연방수혜자정보 자료:LG CNS

자율 규제 원칙의 예시로 옵트아웃 방식을 떠올려 볼 수 있다.⁸⁾ 미국의 개인정보 이용 동의나 제3자 제공 동의에는 일반적으로 옵트아웃 방식으로 선택권을 제공하며, 건강관련정보, 학생이나 13살 미만의 개인정보, 신용 보고서, 비디오 시청 선택, 통신사 용 정보, 정확한 위치 정보 등의 민감정보는 옵트인 방식이다. 이처럼, 개인정보보호 규정을 상세히 규정한 우리나라나 엄격한 중앙으로부터의 통제를 시행하는 EU와 달리 미국의 자율규제는 각각의 장단점을 갖는다. 우리나라나 EU는 명확한 규정과 구체적 인 가이드, 이에 따르는 강제력의 제공으로 효과가 상승하는 반면에, 빠른 기술변화에 는 유연하지 못하다. 미국은 이익달성을 쫓는 기업의 자발적인 참여와 빠른 기술대응 의 장점이 존재하지만 강제력의 결여로 인한 기업의 탈선 우려와 개별 주체 간에 전문 기술이나 노하우 공유가 어려운 단점이 존재한다.

엄격하게 프라이버시를 관리하는 EU와 자유로운 관리의 미국 간의 규제 차이로 인 해 EU-미국 간에는 2000년 Safe-Harbor 협정이 체결되어 개인정보의 이전을 가능하 게 하였다. EU에서는 자국민 데이터의 EU외부로의 반출을 원칙적으로는 금지하고 있 지만, Safe-Harbor 협정으로 특별한 혜택을 미국에 부여했다.

그러나 2013년 들어 미 중앙정보국(CIA)에서 근무하던 에드워드 스노든이 미 국가 안보국(NSA)의 무분별한 개인정보 수집을 폭로하면서, 2015년 EU 최고법원 유럽사법 재판소는 Safe-Harbor 협정이 EU 시민의 프라이버시 권리를 보호하지 못한다며 무효 로 판결하여, 양측은 다시 새로운 협상을 벌였고 2016년부터 프라이버시 실드(shield) 가 적용 되고 있다(LG CNS, n.d.).

3.2.4 일본

8) 옵트인(Opt-In):Option-in, 체크박스에 체크가 안 되어 있는 상태로 개인정보 이용 동의를 위해 사용자가 별 도의 체크를 해야 하는 방식으로 정보 주체의 정보 보호를 우선(우리나라, EU) 한다.

옵트아웃(Opt-Out):Option-out, 체크박스에 체크가 되어 있는 상태로 개인정보 이용 동의를 위해 별도의 체 크가 필요 없으며, 이용 미동의 경우에 체크를 해제하는 방식(미국)이다.

일본의 초기 개인정보보호법은 2005년 4월부터 시행되었으며, 이후 2015년 9월 3일 개선 작업이 완료되어 2017년부터는 전면적인 시행을 하고 있다. 미국의 프라이버시 법은 공공정보에 대한 규율이며, 우리나라의 경우 민간과 공공분야 모두를 대상으로 하는 데 반해, 일본은 민간 분야만을 대상으로 규율하고 있다. 일본의 공공 분야는 행 정기관이 보유하는 개인정보보호법과 독립행정법인 등이 보유하는 개인정보보호법 등 으로 별도 관리되고 있다.

일본의 개정된 개인정보보호법은 IT 환경의 변화에 발맞추고 데이터 활용을 촉진 하기 위해 규제를 완화했다. 하지만 해외 국가들, 특히 EU와의 조화를 위하여 필요한 보호수준을 올리는 등 규제강화도 동시에 이루어졌다. 규제완화는 이용가치가 높은 개 인정보에 대한 활용의 벽을 제거함으로써 신사업 신서비스를 창출한다는 의미로써, 빅 데이터로 대표되는 데이터의 활용을 촉진하고자 개인정보를 익명으로 가공하는 개념의 도입 등을 통해 정부 차원에서 발 빠른 대응을 하는 것을 알 수 있다(LG CNS, n.d.).