EU 개인정보보호법제(GDPR) 분석 및 개인정보보호법제 개선 입법수요
1) GDPR과 개인정보보호법 비교 분석
GDPR은 아동에 대한 특별한 보호의 필요성을 강조하고 투명성, 잊혀질 권리등 관련 여러 조항에 명시적으로 언급하고 있다.
둘째, 정보주체의 권리는 개인정보보호법에서 규정된 정보주체의 권리를 모두 포함할 뿐만 아니라, 자기정보 이전에 관한 권리, 반대권 등 개인정보보호법에서 다루고 있지 않는 권리를 다루고 있다.
셋째, 국내법상 개인정보 영향평가는 공공기관을 대상이 대규모 개인정보파일의 처리하는 경우 그 위험성을 제3자인 평가기관으로 하여금 평가하도록 하는 반면, GDPR은 개인정보처리 이전에 개인정보처리자로 하여금 그러한 처리에 대한 위험성을 자체적으로 평가하도록 규정하고 있다.
평가 대상을 선정함에 있어서 산술적 기준에 근거하는 개인정보보호법과 달리, GDPR은 평가 대상이 되는 개인정보 처리의 유형을 규정하고 있으며, 평가의 결과에 따라 해당 개인정보의 처리가 위험하다고 판단되는 경우, GDPR은 사전협의 과정에서 감독당국으로 하여금 처리의 금지를 포함한 구속력있는 제재를 가할 수 있도록 규정하고 있다는 점에서 개인정보보호법의 영향평가와 차이를 보인다.
넷째, GDPR에 따른 행동강령의 제정은 특정 업종에 종사하는 개인정보처리자의 개인정보처리가 특정 상황에서 어떻게 규율될 수 있는지에 대한 자율적인 가이드라인 역할을 할 것으로 기대된다.
다섯째, GDPR은 국외이전에 대하여 구체적이고 세부적인 규정을 두어 유럽연합의 보호수준에 미치지 못하는 제3국 또는 국제기구로의 개인정보 이전을 금지하고 있다.
여섯째, GDPR에서 감독당국은 독립성이 보장된 국가기관으로 그 임무가 방대하고 권한이 막강하다.
향후 우리기업이 EU 역내 기업과 동등한 지위로 활동하기 위해서는 EU 개인정보보호 적합성 평가의 통과가 필요한바, 이를 위해서는 GDPR에서 요구하는 감독기관의 독립성과 임무와 권한을 개인정보보호위원회에 부여하여야 한다.
2) 빅데이터 분석 등 개인정보보호 활용방안
GDPR은 개인정보의 가치를 극대화하는 동시에, 정보주체의 권리를 보호하기 위해 익명처리와 가명처리를 구분하고, 재식별 가능성을 필연적으로 수반하는 가명처리정보를 개인정보로서 GDPR의 적용범위에 포섭시키는 한편 공익을 위한 기록보존, 과학 및 역사 연구, 통계 목적으로 개인정보를 처리하는 경우 예외를 인정하고 있다.
이와 달리, 미국과 일본의 개인정보보호법제는 재식별 가능성이 희박한 비식별정보 및 익명가공정보를 더 이상 개인정보로 취급하지 않는 동시에, 해당 정보가 재식별되는 것을 방지하기 위하여 재시별 금지 규정 등을 포함한 여러 관련 규정을 도입하고 있다.
빅 데이터 분석을 포함한 개인정보의 활용을 보다 폭 넓게 허용하기 위하여 GDPR을 반영하는 경우, 개인정보보호법은 가명처리정보의 목적 외 이용·제공을 허용하는 방식으로 해석·개정될 수 있다. 이와 달리, 개인정보보호법이 미국 및 일본의 법제를 반영하는 경우 – 즉, 비식별 처리된 개인정보를 더 이상 개인정보로 취급하지 않는 경우 – 학술연구 또는 통계목적 뿐만 아니라, 다른 목적에 근거한 비식별 정보의 활용 역시 허용될 수 있다.
3) 프로파일링과 동의 관련 규정 검토
개인정보보호법과 달리, GDPR은 빅 데이터 분석과 불가분의 관계에 있는 프로파일링을 포함한 대규모 자동처리 방식에 따른 개인정보의 처리를 별도로 규율하고 있다.
이에 따라 프로파일링을 시행하는 개인정보처리자는 반드시 해당 처리의 위험성을 사전에 예측하기 위하여 개인정보 영향평가를 시행하여야만 하며, 정보주체는 인간의 개입이 전혀 존재하지 않는 자동화된 방식의 개인정보처리 결과에 종속되지 않을 권리를 가진다.
또한 동의와 관련하여, 일반적으로 정보주체의 동의는 개인정보 수집을 포함한 처리를 적법하게 만드는 기본적인 법적 근거이다.
그러나 정보주체의 동의는 개인정보 처리를 위한 다양한 법적 근거 중의 하나에 불과하며, 이러한 동의는 언제든지 철회될 수 있다는 점에서 가장 안전한 또는 안정된 법적 근거가 될 수 없다.
그럼에도 불구하고, 정보주체의 동의가 자신의 개인정보 처리를 통제하는데 가장 좋은 수단이라는 사실에는 이견이 있을 수 없다.
정보주체의 동의에 근거하여 그의 개인정보를 처리하는 개인정보처리자는 동의가 주어지는 방식과 관련 문서가 GDPR의 관련 규정에 비추어 적절한지 유의하여야 하며, 특히 동의가 주어진 사실에 대한 입증책임이 개인정보처리자가 있음을 유의하여야 할 것이다.
동의에 근거한 개인정보의 처리가 어려운 경우, 특히 사업자인 개인정보처리자는 GDPR 제6(1)(f)에 규정된 개인정보처리자 또는 제3자의 정당한 이익에 근거한 개인정보 처리에 보다 더 큰 관심을 가질 것으로 보인다.
■ 기대효과
본 연구 결과는 EU GDPR와 국내 법제를 비교 분석하고 우리 법제의 개선방향을 제시함으로써 빅데이터 등 기술 발전 대응 및 국제적 상호운용성을 갖추기 위한 자료로 활용할 수 있다.
■ 첨부파일
GDPR(번역문) 포함
개인정보 실태점검 및 교육 수행
뉴딜코리아 컨설팅 사업부 / 070-7867-3721, ismsbok@gmail.com
댓글 없음:
댓글 쓰기