유럽연합

5.1.2.1 유럽연합 준칙들

유럽연합(European Union)에는 두 가지 유형의 법률이 있다. 미국의 법률과 같은 규제(Regulation)와 각 회원국들이 자국에서 국내법으로 구현할 수 있는 일반적인 준칙(Directive)이 있다. 이 준칙은 회원국들에게 공통으로 구속력을 발휘하며, 국내법이나 국내규제가 도입되어 각국의 서로 다른 규제들이 서로 조화를 이루도록 한다.

1995년 2월 ‘개인정보의 처리에 관한 개인의 보호와 개인정보의 자유이동을 위한 준칙(Directive 95/46/EC on the protection of individuals with regard to the processing of personal data and on the free movement of such data; 이하 EU 지침)’을 제정하였다¹⁶⁹⁾. 이 지침의 기본 취지는 정보의 자유로운 유통을 저해하는 장애요인을 없애고 동시에 회원국의 국내입법을 개인정보보호를 위하여

168) APEC, 2004, 프라이버시 프레임워크 제3장 제4원칙: pp. 16-17, 프로그램 자격요건: pp.

8-10.

http://www.apec.org/Groups/Committee-on-Trade-and-Investment/~/media/Files/Groups/ECS G/CBPR/CBPR-PoliciesRulesGuidelines.ashx

169) On February 20, 1995: the Council of Ministers adopted a Common Position with a View to Adopting Directive of the European Parliament and of the Council on the Protection of Individuals with Regard to the Processing of Personal Data and on the Free Movement of Such Data.

통일하는 것이다. EU 지침은 유럽공동체의 회원국이 각국의 입법을 위한 초안

적법성과 관련된 것이며, 민감정보 처리 원칙이라고 할 수 있다.¹⁷⁰⁾

171) The Council of Europe’s Data Protection Convention opened for signature on 28th of January 1981; Under this convention, the parties are required to take the necessary steps in their domestic legislation to apply the principles it lays down in order to ensure respect in their territory for the fundamental human rights of all individuals with regard to the processing of personal data.

http://conventions.coe.int/Treaty/en/Treaties/Html/108.htm

172) Council of Europe, 1981, Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data. http://epic.org/privacy/intl/coeconvention/

173) Dudgeon v. United Kingdom, In a 1981 case 52: the European Court of Human Rights (ECHR) ruled that Northern Ireland’s sodomy law violated Article 8 of the European Convention on Human Rights; Nov. 4, 1950. Convention for the Protection of Human Rights and Fundamental Freedoms, Article 8, 213 U. N. T. S. 221, 230.

174) Council of Europe Committee of ministers, Recommendation No. R(97)5. on The protection of Medical data.

주체의 의료 조건 또는 질병과 관련한 연구 프로젝트의 프레임워크에 동의를 한 경우, (3) 중요한 공공 이익과 관련한 정해진 과학 연구 프로젝트의 목적을 위해 정보가 공개되는 것을 국내법이 정한 단체(들)이 승인한 경우.

5.1.2.2 BCR 제도

유럽연합의 프라이버시 감독조직인 제29조 실무 작업반(WP29)은 유럽집행 위원회의 조정을 통해 모든 다자간 또는 양자 간 합의를 포괄할 수 있도록 데이터보호수준을 요구된 보호 수준만큼 높일 수 있도록 하였다. 그리고 EU 지침 제27조를 근거로 이 지침의 시행을 원활하게 하기 위한 행동강령(code of conduct)을 마련하도록 하였다.¹⁷⁵⁾ 이 강령에는 EU의 개인정보보호원칙을 준수 하겠다는 서약과 함께 정보주체를 위한 각종 권리구제수단이 명시되어있어야 한다.¹⁷⁶⁾ 그리고 이를 실행하는 방법으로서¹⁷⁷⁾ 회원국 간의 안전한 개인정보 유통을 위해 사전에 승인을 요하는 계약의 형태를 규정하였다. 이 수행 절차가 ‘보충성 원칙(Principle of Subsidiarity)’에 근거한 ‘Binding Corporate Rules(이하 BCR)’

제도이다.¹⁷⁸⁾

보충성의 원칙은 유럽연합의 다층적 구조에서 회원국가의 권한 분배와 행사에

175) Christopher Kuner, February 2005, “Using Binding Corporate Rules for International Data Transfers: The ICC Report”, Electronic Banking Law and Commerce Report, Glasser Legal Works, Vol 9, No. 8: p. 3

176) Working Party document WP 108, “Working Document establishing a model checklist application for approval of Binding Corporate Rules”, adopted on 14 April 2005.

http://ec.europa.eu/justice_home/fsj/privacy/docs/wpdocs/2005/wp108_en.pdf 177) The Treaty on European Union §5.

178) Commission Decision (2002/16/EC) of 27 December 2001 on standard contractual clauses for the transfer of personal data to processors established in third countries, under Directive 95/46/EC (Text with EEA relevance)

http://europa.eu.int/comm/justice_home/fsj/privacy/modelcontracts/index_en.htm

관한 기본 원칙이다.¹⁷⁹⁾ 보충성의 원칙이 유럽연합에 공식적으로 도입된 것은 1992년 마스트리히트 조약이다.¹⁸⁰⁾ 유럽연합의 회원국들이 자신들의 권한을 각기 주장할 경우, 권한의 충돌이 발생할 수 있는 여지가 있으므로 ‘하위 단위의 공동체에 의해 만족할 만하게 추구될 수 있는 기능의 수행은 상위 단위체가 담당해서는 안 되며, 하위체가 충분히 만족시킬 수 없는 기능의 수행에 있어서만 상위체의 도움을 받는 것’을 의미한다.¹⁸¹⁾ 이때 보충성이란 유럽공동체 회원국들이 변동이 있을 때 그 법적 대상이 되는 영토와 경계를 지속적으로 법에 반영하는 것이다. 즉 공동체의 행위가 권한 영역과 상대적 효율성이라는 적용기준에 따라 효과적으로 제한 될 수 있다.

이러한 맥락에서 BCR은 제 3국에의 정보 이전을 위한 안전조치로서 구속력 있는 규칙이라고 할 수 있다. 수행 방식은 기업 활동을 관할하는 회원국의 개인 정보감독기관이 개인정보보호에 필요한 조치(safeguards)를 갖추었다고 승인 (authorization)하면 여타 회원국 감독기관들도 이를 따라서 인정한다. 시행 초기에는 정보 이전의 안전장치로서 BCR을 활용하는 것에 대해 적절한 보호 수단으로 인정할 수 없다는 회원국이 있었다.¹⁸²⁾ 그러나 오늘날에는 대부분 이를 인정하는 추세로 바뀌었다. 이제는 범 유럽 차원에서 BCR를 공통의 개인정보

179) EC Treaty 3B 참조: '공동체의 배타적 권한이 아닌 영역에서, 회원국들에 의해 충분한 성 관가 나타나지 않는 경우에, 적절한 범위 내에서 공동체는 행동한다.’

180) Akos G. Toth, 1992, “The principle of subsidiarity in the Maastricht Treaty”, Common Market Law Review no. 29: pp. 1079-1079.; The European Community law reflects this continued commitment to territorial and sectoral boundaries. Under ‘subsidiarity,’ the European Community may only act on matters that are not more properly within the boundaries of member-state competence.

181) Oreste Pollicino, 2008, :European Arrest Warrant and Constitutional Principles of the Member States: a Case Law-Based Outline in the Attempt to Strike the Right Balance between Interacting Legal Systems", German Law Journal Vol. 9 No. 10: pp. 1313-1355.

182) EU-US Workshop on Safe Harbor Framework Bridging Differences in Approaches to Data Protection, Washington, DC, December 7, 2005.

보호 절차로서 인정하도록 하고 있다.¹⁸³⁾

BCR은 표준계약서형태이다. 각 회원국의 개인정보처리 원칙을 존중하고 해당 국가의 관련법규를 준수할 것을 공동으로 서약하는 형태이다. 만약 유럽 공동체 이외의 제3국에 소재하는 기업그룹에 정보를 이전하는 경우에는 EU집행위원회가 채택한 BCR 조항을 따르면 된다.

계약당사자는 정보 전송자(data exporter)와 정보 수신자(data importer)이다.

계약 내용은 개인정보보호 규정을 준수하고, 정보주체가 계약서에 보장된 제3자의 수익권에 동의하는 것을 골자로 한다.¹⁸⁴⁾ 제 3의 수익자(third party beneficiary)의 권리의 보장은 법적 권한이 있는 유럽위원회가 결정한다. 바로 이점이 BCR이 구속력이 있는 이유가 된다. 다시 말하면, 정보주체의 개인정보 침해 사안을 유럽연합의 보편적 이익으로 대변하고 공동체의 공동의 목표와 정책을 균형 있게 실행하며, 이를 위한 강력한 집행권이 있는 위원회의 심의가 제3의 수익자의 권리를 보장할 수 있도록 하는 절차가 된다.

2005년 EU집행위원회는 BCR을 중간 평가하고 조항을 추가하여 계약당사자로서 정보관리자 대 정보관리자(controller to controller),¹⁸⁵⁾ 정보관리자 대 정보처리자 (controller to processor)¹⁸⁶⁾를 인정하였다. 정보처리자는 정보 이전을 위한 개인 정보 익명화를 담당한다. 정보관리자 외에 정보처리자가 계약의 당사자로 인정 된 것은 그 만큼 정보화 기술이 낳은 문제점을 법률안에서 해결하고자하는 의지로 해석할 수 있다.

BCR을 준비하기 위해서는 아래와 같은 문서가 갖추어져야 한다.

183) Working Party 29 paper N.74, 3 June 2003 ; Working Party 29 paper N.107, 14 April 2005; Working Party 29 paper N.108, 14 April 2005.

184) Explanatory Document on the Processor Binding Corporate Rules, Adopted on 19 April 2013, ARTICLE 29 DATA PROTECTION WORKING PARTY: EU BCRs에 대한 설명 참조.

185) Commission Decision 2001/497/EC; Commission Decision 2004/915/EC.

186) Commission Decision 2002/16/EC.

(1) 해당 기관의 개인정보보호 방침(국민용/ 개인정보처리자용) (2) 교육 프로그램 설명

(3) 내부 민원 처리 시스템에 대한 설명

(4) 정보처리를 위탁한 경우, 외부의 개인정보처리자와 맺은 표준 계약서

EU 지침은 BCR의 행동강령에 적시된 기준에 미치지 못할 경우 개인정보의 제3국으로의 이전을 금지하도록 하였다. 그리고 다음 경우에 해당할 때에만 민감정보의 처리가 가능하다고 되어 있다.¹⁸⁷⁾

(1) 법률이 허용하는 범위 내에서 정보주체가 자신의 민감정보 처리에 명시적으로 동의한 경우.

(2) 적절한 보호를 제공하는 회원국의 법률에 의해 승인 받은 범위 내에서 EU 근로 계약법이 적용되는 분야에 대하여 통제자의 의무와 특정 권리를 수행하기 위한 목적 달성에 필요로 하는 경우.

(3) 정보주체 또는 해당 정보주체가 물리적 또는 법률적으로 동의를 표명하기 어려울 때 정보주체의 중대한 이익을 보호하기 위한 경우.

(4) 정치적, 철학적, 종교적 혹은 노동조합의 목적을 수행하는 재단, 사단 혹은 기타 비영리단체에게 적절하게 보장된 정당한 활동의 과정에서 수행되는 처리인 경우. 단, 해 당 단체의 회원 또는 당해 단체의 목적과 관련한 정기적인 접촉을 가지는 사람에 관 련된 처리에만 한하며, 정보주체의 동의가 없다면 제3자에게 공개되지 않을 것을 조건으 로 함.

(5) 정보주체에 의해 명백히 공개되어진 민감정보와 관계되는 처리인 경우.

(6) 민감정보의 처리가 법적 권리행사(legal claim)의 개시, 이행, 방어를 위해 필요한 경우.

(7) 예방의학, 의학적 진단, 혹은 치료의 제공 또는 건강관리 서비스의 운영을 목적으 로 하는 경우.

187) EU: 개인정보보호지침 95/46, 8조; WP154, 6장 참조.

(8) 국내법 또는 직업적 비밀유지의 의무가 있는 정부기관에 의해 제정된 법률 또는 규칙 하에서의 비밀유지 의무가 부여된 사람에 의하여 처리되는 경우.

EU 지침의 내용 중에서 가장 중요한 내용은 회원국으로 하여금 개인정보보호와 관련된 감독기관의 설치를 의무화하고 그 법률의 준수를 모니터링 하도록 한다는 점이다. 따라서 감독기관은 정부나 다른 기관으로부터 완전히 독립될 것이 요구 되었고, 조사권, 개입권, 소송 수행권, 청문권 등의 권한과 책임을 부여하도록 하고 있다. 이러한 권한과 책임은 전통적으로 개인정보를 보호하는 정부기구들에게 요구 되고 있다.¹⁸⁸⁾

아래에서 프랑스의 정보보호 감독기구를 고찰을 통하여 이러한 원칙들이 어떤 방향으로 발전되고 있는지 살펴본다.