EU, 개인정보보호 규정 강화

 - 역외기업도 규정 적용대상에 포함되므로 주의 요구 -

 - 2018년부터 5월 25일부터 발효될 예정 -

     

     

 

□ 개요

     

 ○ 2016년 5월 4일, 집행위는 EU 개인정보보호 관련 법령을 관보(L119)에 공표함. 이 법령은 1995년에 마련된 집행위 지침 95/46/EC의 개정안으로, EU는 2012년부터 개정에 대한 논의 시작 후 4년 만에 합의 도출에 이른 것임.

     

 ○ 이번 발표된 법령은 개인정보에 대한 유럽 차원의 단일한 개인정보보호 체제로, 지침이 아닌 규정 형태로 마련됨(관련 EU 이사회 및 유럽의회 규정: General Data Protection Regulation(GDPR) No. 2016/679). 이 밖에도 EU는 범죄, 민감정보 예방을 위한 관할당국에 대한 지침(Directive 2016/680)을 별도로 둠.

  - 이전 EU의 개인정보보호법이 강제성을 지니지 않은 지침(Directive) 형태로 지속돼 왔던 반면, 이번 마련된 개정안은 법적 구속력을 지닌 규정(Regulation) 형태로 공표됨. 이는 회원국 간 상이한 제도를 단일 형태로 통합하고, 보다 강력한 규제를 시행하려는 EU의 움직임으로 보임.

     

 ○ EU의 개인정보보호법 개정 주요 추진 일정

  - 2012년 1월 25일, 집행위는 개인정보보호 규정 개정안 EU 의회와 회원국에 상정

  - 2015년 12월 22일, EU 이사회, 유럽의회, 집행위 3자 간 개정안 합의 도출

  - 2016년 4월 8일, 개정안 EU 이사회 통과

  - 2016년 4월 14일, 개정안 유럽의회 통과

  - 2016년 5월 4일, 개인정보보호규정(No.2016/679) 및 관련 지침(No. 2016/680) 관보 공표

     

 ○ 집행위에 따르면, 현행 지침이 1995년에 발효된 만큼 그간 발전돼 온 인터넷 기술 및 환경변화를 반영하고, 회원국별 상이하게 입법화된 내용을 통일하기 위해 규정을 개정할 필요성이 있었다고 밝힘.

  - 이번 발표된 규정에 따라, EU-28 회원국은 2018년 5월 6일까지 개정 규정을 자국법에 적용시켜야 하며, 규정은 2018년 5월 25일부터 발효됨.

     

□ 주요 규정 내용

     

 ○ 개인의 정보 통제권 강화

  - (잊혀질 권리 도입) 정보제공자는 언제든지 본인의 정보 제공에 대한 동의를 철회할 수 있음. 이 밖에도, EU는 잊혀질 수 있는 권리(Right to be forgotten)를 도입해 개인 당사자가 원하지 않을 시 인터넷에 올라온 본인의 개인정보를 삭제할 수 있는 권리를 부여함.

   · 다만, 공공보건 분야 혹은 통계·역사적·과학적 연구 목적으로 관련 정보가 필요한 경우는 제외

     

참고: 잊혀질 권리 인터넷에 올라온 개인정보가 더 이상 필요하지 않게 되는 경우, 관련 정보에 대한 삭제를 요청할 수 있는 개인적 권리. 과거 커뮤니티 활동기록, 채무기록 등 과거에 일어났던 특정 사실에 대해 삭제를 원하지만 해당 글을 게재한 당사자가 본인이 아닌 경우, 삭제할 수 있는 권리는 개인 주체가 아닌 온라인 서비스 제공업체에게 있었음. 현재 유럽에서는 이번 EU에서 도입한 잊혀질 권리가 향후 표현의 자유를 침해할 것이라는 의견과 함께 많은 논란이 일고 있음.

     

  - (접근성 용이) 개인은 기업으로 본인의 정보 열람 혹은 정보처리현황에 대해 요구할 수 있으며, 원하는 경우에는 정보사본 역시 요청할 수 있음. 또한, 본인정보에 대해서 정정할 수 있는 권리를 지님.

   · 정보제공자가 기업으로 본인의 개인정보 취급 현황을 요청하는 경우, 기업은 요청받은 일로부터 1개월 내에 관련 정보를 제공해야 함(다만, 요청자가 많은 경우 회신기한은 최대 2개월로 연장 가능하며, 연장하는 경우 합법적인 이유를 제시해야 함).

  - (프로파일링 거부권) 자동화된 개인정보처리를 통해 개인별 특정행동이나 수행능력, 선호도 등을 유출해 내는 프로파일링과 같은 마케팅 목적으로 활용될 수 있는 본인의 개인정보처리에 대해서 거부할 권리가 부여됨.

  - (정보이동권리) 자신의 정보 전체를 제 3자로의 이전을 요구할 권리(right to data portability)를 지님.

   · 예시: 이용 중이던 메일계정을 다른 서비스 제공업체의 계정으로 옮기는 경우, 소비자는 정보이동권리를 통해 기존 메일계정 내 보유 중이던 모든 접촉처 및 관련 정보를 통째로 이동시킬 수 있음. EU는 이를 통해 서비스 제공업체 간 경쟁을 유도하려 함.

     

 ○ 개인정보의 수집 및 처리 절차 강화

  - (고지 의무) 개인정보 수집 및 이용하려는 기업은 해당 개인, 즉 정보제공자에게 아래와 같은 사항들에 대해 고지해야 할 의무를 지님.

   · 개인정보 관리 주체의 정보(기업명 및 연락처 등)

   · 정보수집의 목적 및 관련 근거법령

   · 정보의 보존기간(불가능한 경우, 기간을 규정지을 수 있는 기준 제시)

   · 당사자 개인정보에 대한 접근, 정정 및 삭제할 수 있는 권리 정보

   · 개인정보 침해 시, 관련 대응방안 및 피해보상 등의 구제수단

   · 프로파일링 등 마케팅 목적으로 사용될 가능성 여부 등

  - (미성년자 보호) EU는 16세 미만의 미성년자가 온라인 서비스를 이용하는 경우, 반드시 부모 또는 보호자의 동의를 받아야 한다고 규정함.

   · 다만, 원하는 경우 회원국은 이 제한연령을 13세까지 낮출 수 있음.

  - (정보관리자 임명) 공공기관, 정부기관 및 민감한 정보를 주기적으로 수집하는 기업의 경우, 데이터보호 관리자(Data protection Officers; DPO)를 임명해야 함.

  - (가명화) EU는 가명화(pseudonymization)를 개인정보로 인정해, 이 가명화에 대해서도 정보보호조치가 필요하다고 규정함. 다만, 특정 개인정보에서 벗어나 식별이 불가능한 정보에 대해서는 수집 및 처리할 수 있도록 함.

     

 ○ 명확한 정보 제공의 의무

  - (식별용이) 정보제공자가 개인정보보호 정책에 대해 빠르고 쉽게 이해할 수 있도록 아이콘을 제시하는 등 보다 알기 쉽고 명확한 용어를 사용해야 한다고 규정

   · 식별이 용이한 아이콘들은 현재 EU에서 개발 진행 중이며, 향후 발표될 전망

  - (명확한 동의) 기업은 정보제공자의 명확한 동의(Explicit consent) 또는 합법적 이유*를 제외하고는 수집된 정보를 이용할 수 없게 됨. 즉, ‘암묵적 동의’는 동의로 간주되지 않으며, 이용자가 해당란에 마우스로 클릭 하는 등 이용자 스스로 동의하는 행동이 반드시 뒷받침돼야 함.

   * 합법적 이유의 예시: 공공이익, 법적소송 제기, 정보제공자와 정보처리자(기업) 간 이루어졌던 계약 이행 또는 정보제공자의 이익을 위해 체결된 계약 이행 등

     

 ○ 제 3자로의 위탁

  - 기업이 개인정보를 제 3자로 위탁하는 경우, 정보제공자에게 위탁대상, 제공목적 및 범위 등에 대해 충분한 설명을 하고 동의를 받은 경우에만 가능함

   · 다만, 공공이익, 법적소송 제기, 정보제공자와 정보처리자(기업) 간 이루어졌던 계약 이행 또는 정보제공자의 이익을 위해 체결된 계약 이행 등의 경우, 예외적으로 이전이 허용됨.

     

 ○ EU 개인정보 역외이전

  - EU 시민들의 개인정보 역외이전은 제 3국이 EU와 상응하는 수준의 정보보호체계를 갖추고 안전한 보호수준을 보장하는 경우에만 이전될 수 있음.

  - 이에 따라, 집행위는 제 3국에 대해 개인정보보호 적정성 평가를 실시하며 보호체계가 높다고 인정된 국가에 한해서만 정보이동을 승인하게 됨.

     

참고: EU의 개인정보보호체계 인정 국가(2016년 5월 기준)  - 안도라, 아르헨티나, 캐나다, 스위스, 페로제도, 건지섬(Guernsey), 이스라엘, 맨섬(Isle of Man), 저지섬(Jersey), 뉴질랜드, 우루과이 등(미국과는 2015년 10월 세이버하버 협정 전면 무효화 이후 현재 협상 중)  - 우리나라의 경우, 현재 행정자치부에서 협의 추진 중

자료원: EU 집행위(http://ec.europa.eu/justice/data-protection/international-transfers/adequacy/index_en.htm)

     

  - EU는 승인된 제 3국의 정보보호시스템이 EU와 일정한 수준을 유지하는지에 대해 최소 4년에 한 번 재평가를 시행할 예정임. 이후, 정보보호 수준이 EU 기준에 미치지 않는 국가 리스트는 관보를 통해 공개하고, 해당 국가로의 개인정보 이동을 중단시킬 수도 있음.

  - 한편, EU로부터 승인을 받지 못한 제 3국 내 기업들의 경우, 정보가 안전하게 보호되고 있다는 사실을 증명하는 경우에 개인정보의 역외이전이 가능함.

   · 기업에서 증명할 수 있는 요건으로는 EU의 행동강령(code of conduct) 또는 기업규칙(binding corporate rules; BCR) 준수, 관련 증서획득(certification mechanism), 집행위 또는 관련 당국으로부터 승인된 정보보호 표준계약(standard data protection clauses) 등이 있으며, 요건별 자세한 세부내용은 첨부의 집행위 규정 5장(Chapter)을 참고 바람.

     

 ○ 개인정보처리의 엄격화

  - 기업은 정보제공자의 명확한 동의 없이 관련 개인정보를 이용하거나 제 3자에게 제공할 수 없음. 다만, 범죄수사, 공소 제기 및 유지 관련 재판업무 수행, 국제협약 이행 등의 경우에는 예외적으로 허용됨.

  - 개인정보를 처리하는 과정에서 개인의 자유가 침해되지 않도록 보다 안전하게 관리 및 보호해야 하며, 만약 리스크가 발생할 가능성이 있다고 판단되는 경우 개인정보보호에 미치는 영향을 평가 및 분석해야 함.

  - 또한, 기업은 개인정보보호 처리에 대한 기록을 문서화(전자문서 형태도 가능)한 후, 보관해두었다가 관할당국의 요청 시 제출할 수 있어야 함

   · 문서화된 기록에는 정보처리의 주체, 목적, 범위, 제 3국으로 이동 시 해당 국명, 정보 말소기한 등이 명시돼야 함.

  - 이 밖에도, EU 시민들의 정보수집 및 처리를 하는 모든 기업(역외기업 포함)은 반드시 EU 내 대리인을 지정(designate a representative)해야 함.

  - 한편, 개인정보가 유출되는 경우 기업은 해당국 감독기관으로 72시간 내에 보고해야 하며, 정보 유출이 해당 개인에게 영향을 미치는 경우 당사자에게도 이 같은 사실을 통지해야 함.

     

 ○ 높은 과징금 부과

  - 규정을 위반하는 기업에 대해서는 최대 2000만 유로 또는 전 세계 매출액의 4% 중에서 더 높은 금액으로 과징금이 부과됨.

     

 ○ 통합된 개인정보보호 시스템 구축

  - EU 내 여러 국가에서 활동 중인 기업들의 경우, 현재까지는 각 소재국별 개인정보보호기관과 일일이 접촉했다면 이제는 주된 영업장의 소재국(유럽 본사 등) 내 기관 1곳만 상대하면 됨(One-stop-shop). 이에, 기업들의 비즈니스 활동이 보다 용이해질 것으로 예상되고 있음.

  - EU-28개 회원국을 모두 아우르는 단일 감독기구 유럽정보보호위원회(European Data Protection Board)를 신설해 국별 불요불급한 행정절차 간소화하기로 함. 집행위는 이를 통해 연간 약 23억 유로를 절감할 수 있을 것으로 전망

     

□ 시사점

     

 ○ 개정된 EU의 개인정보보호 규정은 기업들로 정보이전에 대한 기준을 강화해 정보보호수준을 일정 수준 이상으로 보장하는 데에 목적이 있음. 이번 규정에는 ‘잊혀질 권리’, ‘명시적’ 개인정보 동의, 기업규칙, 대리인 지정 등 기업이 준수해야 할 많은 절차들이 담겨있어 우리 기업들에 상당한 부담으로 작용할 것으로 예상되며, 또 다른 비관세장벽으로도 작용할 가능성이 있다고 여겨짐.

  - 집행위는 현재 EU 기업들은 유럽에서 활동 중인 역외기업들에 비해 매우 엄격한 기준을 준수하고 있다고 밝히며, 이번 규정으로 역외기업들 역시 EU 기업과 동일한 법이 적용돼 역내기업들이 동등하게 경쟁할 수 있는 계기가 될 것이라 밝힌 바 있음.

     

 ○ 한편, ‘잊혀질 권리’의 경우 최초의 정보제공자가 인지하지 못하는 상황에서 확산되기가 쉬운 만큼 이 권리의 실현이 현실적으로 힘들다는 업계 전문가들의 의견도 있으므로, 규정 발효 후 어떻게 이행되는지 그 귀추를 주목할 필요가 있음.

     

 ○ 우리나라의 경우, 현재 EU로부터 개인정보체계를 인정받기 위해 행정자치부를 중심으로 정부 차원의 협의가 이루어지고 있는 상태임. 행자부 보도자료에 따르면 2017년 하반기까지 EU 승인을 받는 것을 목표로 하고 있음.

  - 이에 EU의 적합성 평가를 통과해 인정되는 경우, 별도의 추가절차 없이 개인정보의 역외이동이 가능해지지만, 양측 간 협의가 지연되거나 결렬될 가능성 역시 배제할 수는 없으므로 진행 상황을 관심 있게 지켜볼 필요가 있음.

     

 ○ 이번 규정이 2018년 5월 25일부터 발효되고 역내기업뿐 아니라 유럽에서 상업활동을 하는 모든 역외기업들도 규정대상에 포함되므로, 우리 관련 기업들은 이번 발표된 EU의 개정 규정안을 숙지해 기업 차원의 대응방안을 마련해둘 필요가 있다고 사료됨.

  - 규정 위반 시 과징금이 최대 전 세계 매출액의 4%까지도 부과될 수 있는 바, 우리 관련 기업들은 이번 마련된 규정을 잘 숙지해 피해가 없도록 철저히 대비해야 할 것임.

     

 

자료원: EU 집행위, 유럽의회, EU 이사회, 행정자치부 보도자료 및 KOTRA 브뤼셀 무역관 자료 종합