한국저작권위원회

[유럽연합] EU 시민의 데이터 보호 및 개인 정보 보호에 관한 새로운 데이터 보호 규칙이 시행되다

최푸름*

기존 데이터 보호 지침을 대체하는 새로운 일반 데이터 보호 규칙이 시행될 예정임. 기존 지침이 발표된 95년과 달리, 인터넷과 기술의 발달에 따라 데이터 침해 사건이 늘어났으며, 이에 따른 데이터 주체의 피해도 급증하였음. 따라서 새로이 시행되는 GDPR은 개인이 자신의 데이터를 능동적으로 관리, 제어하는 것을 목적으로 하며 이러한 현대화 및 통합 규칙을 통해 유럽 연합이 목표해왔던 디지털 단일 시장의 기회를 극대화하고자 함.

□ 배경

○ 1995년에 도입된 유럽 연합 기존 데이터 보호 지침은 도입 당시에는 효과적으로 데이터 관련 이슈를 해결하였으나, 시간에 따른 인터넷과 기술의 발달에 따라 급격하게 늘어난 데이터 침해 사건에 적절히 대응하지 못한다는 비판을 받기 시작함. 또한, 데이터 주체의 권리에 대한 통일성이 결여되어 있었을 뿐 아니라, EU 외부로부터의 데이터 침해에 대응하는 적극적인 법적 보호를 제공하지 않았음.

○ 시간이 지날수록 기술과 인터넷의 발전에 부합하는 적극적인 데이터 보호를 요구하는 목소리가 커졌고, 이에 약 4년간의 준비과정을 통해 기존 데이터 지침을 대체하기 위한 일반 데이터 보호 규칙 (The General Data Pretection Regulation, GDPR)이 2016년 유럽 의회에서 비준됨. GDPR은 2018년 5월 25일부터 유럽 연합의 전 회원국에 적용될 예정임.

□ 목적

○ 정보 주체(EU 시민 혹은 EU에 거주하는 자)의 권리 강화에 관한 규정을 유럽 연합 차원에서 통일하여 적극적으로 보호하고자 함.

○ 단체(영리적 단체, 기업)이 개인의 데이터에 접근하여 이를 비즈니스적으로 활용하는 방식을 효율적으로 설계하고,‘개인 데이터의 자유로운 이동’에 대한 규칙을 세부적으로 정하여 유럽 연합 내에서의 데이터를 기반으로 한 기업의 비즈니스 기회를 극대화하는 디지털 단일 시장의 구현을 앞당기고자 함.

□ 기존 데이터 지침과의 차이점

○ 확장된 지리적 적용 범위 : GDPR은 확장된 지리적 관할권을 가짐. 95년 지침은 기업 법인이 유럽 연합 내 설립되어 있는 경우에만 적용되었지만 GDPR은 물리적 위치와는 별개로 유럽 연합에 거주하는 개인의 정보를 처리하는 모든 경우에 적용되도록 강화됨: EU 외부에 존재하는 다른 국가의 기업이라도 EU 시민/거주자를 대상으로 재화나 서비스를 제공하거나 이들의 행위를 모니터링할 경우 GDPR이 적용됨.

○ 확대된 ‘개인 데이터’의 범위 : 기존 95년 데이터 지침은 직간접적으로 식별되거나 식별이 가능한 자연인의 정보 – 이름, 이메일 주소, 환자 의료 정보 등 – 만을 제한된 정보만 개인 데이터로 정의하였음. 하지만 GDPR은 이 범위를 확대하여 사진, 오디오/비디오 포맷, 금융 거래 기록, SNS 포스팅 기록, 장치 식별자 (컴퓨터의 MAC/IP 주소, 핸드폰의 IMEI 등), 위치 정보, 로그인 정보 (user login credentials), 인터넷 검색 기록, 유전 정보까지 개인 데이터 범위에 포함시킴.

○ 처벌 규정의 강화 : 95년 지침은 해당 지침 위반 시 각 회원국이 자유롭게 적절한 제재조치를 취할 것을 권고함. 하지만 GDPR을 위반하는 단체는 총 매출액의 2%~ 4% 혹은 1~2천만 유로 (약 250억원)중 금액이 큰 것을 행정 과태료로 내야 함. 또한‘클라우드 서비스’는 GDPR의 면책 대상이 아님.

○ 개인 데이터 이용을 위한‘동의’조건의 강화 : 기업들은 사적 데이터 이용의 동의를 구하는 약관의 내용을 이해하기 쉽게 쉬운 언어로 명확하게 표현해야 하며, 개인 정보가 새로이 이용될 때 마다 사용 동의를 다시 얻어야 함. 이에 대한 동의를 철회하는 것 또한 간편해야 함.

□ 주요 내용

○ 침해 통지 (Breach Notification) : 모든 회원국은 데이터 침해가 ‘개인의 권리와 자유 위험을 초래할 가능성이 높은 경우’이를 인지한 이후부터 72시간 이내에 침해 통지를 하여야 함.

○ 데이터(개인정보)에 접근할 권리 (Right to Access) : 데이터 제공자는 기업이 자신의 사적 데이터를 어떻게 처리하고 이용하는지 알 권리가 있음. 기업은 데이터 제공자가 요구할 시 개인정보 처리내역을 제공할 의무가 있음.

○ 잊혀질 권리 (Right to be Forgetton)의 강화 : 데이터 제공자는 언제든지 기업에게 자신의 사적 데이터 삭제 및 이용중지 요청을 할 수 있음. 그러나 기업에게 법적인 보관 의무가 있을 경우 잊혀질 권리는 제한될 수 있음.

○ 데이터 이동성 (Data Portability) : 데이터 제공자는 기업으로부터 자신의 개인 정보 복사본을 요청하여 비슷한 서비스를 제공하는 다른 기업에게로 자신의 데이터를 이동할 수 있는 권리를 가짐

○ 사생활 보호 디자인 (Privacy by Design) : 기업은 제품이나 서비스를 개발할 시점부터 정보보호 기능/장치를 최우선해야 함. 제품이나 서비스를 개발 한 뒤 정보보호 기능/장치를 차선적으로 추가하는 방식을 이용할 수 없음.

○ 데이터 보안 책임자 (Data Protection Officers): 개인 정보를 다루는 모든 사업체는 정보보안책임자(Data Protection Officer, DPO)를 선임해야 함.

□ 평가 및 전망

○ GDPR은 기업이 개인 정보에 접근하고 이를 가공하는 방식을 완전히 변화시킬 것임. 개인 정보를 다루는 모든 단계에서 법적 정당성과 투명성이 요구되는데, 이러한 급진적인 변화에 기업의 반발과 혼란도 거센 편임. 그러나 GDPR에 따라 개인정보를 활용하는 기업이 늘어날수록 유럽 내에서의 비즈니스 기회가 활성화되고 결과적으로는 유럽 단일 디지털 시장의 구현에 기여를 할 것으로 보임.

□ 참고 자료

- https://gdpr-info.eu/

- https://www.eugdpr.org/eugdpr.org.html

* University of Debrecen, LL.M