EU의 개인정보보호법(GDPR)

2018년 5월25일부터 시행되는 EU의 개인정보보호법인 GDPR(General Data Protection Regulation)은 단순히 개인정보 보호 강화 목적만이 아닌 빅데이터 활용기반을 확대하는 법제로 볼 수 있다.

“EU는 미국 중심으로 진행되고 있는 4차 산업혁명의 주도권을 회복하고 저성장 돌파 구를 모색하기 위해 전 경제, 산업의 디지털화를 통한 ‘디지털 단일시장 전략’을 추진하

54) 허진성, “데이터 국지화(Data Localization) 정책의 세계적 흐름과 그 법제적 함의”, 언론과 법 제13권 제2호 (2014.12.), 296면.

55) Amar Toor, Cutting the cord: Brazil’s bold plan to combat the NSA,

<http://www.theverge.com/2013/9/25/4769534/brazil-to-build-internet-cable-to-avoid-us-nsa-spying> (2018.10.31.

최종방문) ; 허진성, “데이터 국지화(Data Localization) 정책의 세계적 흐름과 그 법제적 함의”, 언론과 법 제13 권 제2호(2014.12.), 296면.

고 있으며 이를 위해 모든 회원국에 일괄 적용되는 ‘일반 개인정보보호법(GDPR)’을 마련 하여 EU 기업의 규제 비용을 줄이고 EU내 전자상거래 활성화를 촉진시키기 위해 제정 하였다. 단, EU외에 있는 기업도 EU의 법규를 준수해야 하는 부담이 발생한다.”⁵⁶⁾

2.

정보주체가 동의했거나, 정보주체와의 계약 이행이나 계약 체결을 위해 필요한 처리, 법적의무 이행을 위한 처리, 정보주체 또는 다른 사람의 중대한 이익을 위해 필요한 처리, 공익을 위한 임무의 수행 또는 기업에게 부여된 공적 권한의 행사를 위해 필요한 처리, 기업 또는 제3자의 적법한 이익 추구 목적을 위해 필요한 처리 일 경우 개인정보를 적법 하게 수집, 이용 제공을 할 수 있으며 정보주체의 명시적 동의가 있는 경우 또는 회원국 법률에 따른 경우 등을 제외하고는 민감 정보의 처리는 원칙금지⁵⁷⁾하고 있다.⁵⁸⁾

3.

EU에서 사업장을 운영하거나 EU 내에 사업장은 없으나 인터넷 홈페이지 등을 통하여 EU 거주민들에게 물품 또는 서비스를 제공하는 경우도 포함되며 EU 주민의 행동을 모니 터링 하는 기업 등이 GDPR의 적용을 받는다.⁵⁹⁾

56) 한국인터넷진흥원(KISA), <https://www.kisa.or.kr/business/gdpr/gdpr_tab2.jsp> (2018.10.31. 최종방문) 57) 민감정보의 범위 : 인종․민족, 정치적 견해, 종교․철학적 신념, 노동조합의 가입여부를 나타내는 개인정보의

처리와 유전자 정보, 자연인을 고유하게 식별 할 수 있는 생체정보, 건강정보, 성생활․성적 취향에 관한 정보 의 처리는 금지한다.

① 정보주체의 명시적 동의(explicit consent)의 경우 등 ② 고용, 사회안보나 사회보장법 또는 단체협약에 따른 의무의 이행을 위해 필요한 경우 ③ 정보주체가 일반에게 공개한 것이 명백한 경우 등 에 해당하면 민감 정보 처리가 가능하다.

58) 행정안전부․방송통신위원회․한국인터넷진흥원, 우리 기업을 위한 EU 일반 개인정보보호법 가이드북, 2018 59) GDPR 제3조.

4.

규제(EU) 2016/679⁶⁰⁾, EU(EU) 의 새로운 일반 정보 보호 규정(GDPR)은 EU 내 개인, 회사 또는 EU에 살고 있는 개인과 관련한 데이터를 처리하는 기관을 규제한다. 이 규정 은 전문 활동이나 상업적 활동과 관련이 없을 경우, 개인이 처리 한 데이터에는 적용되지 않는다. 개인이 사회 문화적 또는 금융활동을 위해 개인 데이터를 사용하는 경우 데이터 보호법을 준수해야한다. 예를 들면, EU에 설립 된 회사가 발트 해 국가를 기반을 둔 고객 에게 여행 서비스를 제공하며, 그 맥락에서 자연인의 개인 데이터를 처리하는 경우 이 규정이 적용된다.⁶¹⁾

5. GDPR에서의 데이터

개인데이터란 식별되거나 식별 가능한 개인과 관련된 모든 정보를 의미한다. 개인 식 별이 불가능하거나(익명데이터) 암호화되었지만(가명데이터) 개인 식별을 위해 사용될 수 있는 데이터는 개인 정보로 남아 있으며 법의 범위 내에 속한다. 개인을 더 이상 식별 할 수 없거나 더 이상 식별할 수 없는 방식으로 익명 처리된 개인 데이터는 더 이상 개인 데이터로 간주되지 않는다. 익명화 된 데이터의 경우 익명화는 되돌릴 수 없어야 한다.

이 법은 해당 데이터를 처리하는 데 사용되는 기술에 관계없이 개인 데이터를 보호한다.

사전 정의된 기준(예 : 사전 순)에 따라 데이터가 정리된 경우 자동 중립 및 수동 처리 모두에 적용된다. 또한 IT 시스템, 비디오 감시 또는 용지를 통해 데이터가 저장되는 방식 과는 상관없이, 모든 경우에 있어 개인 정보는 GDPR에 명시된 보호 요구 사항의 적용을 받는다.⁶²⁾

60) Regulation (EU) 2016/679 of the European Parliament and of the Councilof 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation) (OJ L 119, 4.5.2016, p. 1).

61) Articles 1 and 2 and Recitals (1), (2), (14), (18) and(27) of the GDPR.; 유럽위원회(European Commission), https://ec.europa.eu

62) Articles 2, 4(1) and(5) and Recitals (14), (15), (26), (27), (29) and (30) of the GDPR.

데이터 처리는 수동 또는 자동화 된 방법을 포함하여 개인 데이터에 대해 수행되는 광범위한 작업을 일컫는다. 여기에는 개인 데이터의 수집, 기록, 조직, 구조화, 저장, 적응 또는 변경, 검색, 상담, 사용, 공개 또는 전송, 배포, 조정 또는 결합, 제한, 삭제 또는 파기 등이 포함된다. GDPR(General Data Protection Regulations)은 구조화 파일링 시스템의 일 부인 경우 자동적인 수단과 비자동적인 처리에 의해 전적으로 또는 부분적으로 개인 데 이터 처리에 적용된다.⁶³⁾

이러한 GDPR은 ‘익명 데이터’와 ‘가명 데이터’를 사용할 수 있게 규제하고 있으며 이 는 기업에게 비식별 조치가 이루어진 개인정보에 대해 접근하고 활용할 수 있게 허용해 준 법안이라 할 수 있다.

Ⅱ. 미국 수사기관의 정보수집권에 관한 법률