유럽연합의 개인정보보호법GDPR

인터넷 탄생 이후 가장 획기적인 프라이버시 법

2년의 유예기간을 거쳐, 2018년 5월 25일 발효된 유럽연합의 개인정보보호법 GDPR는 ‘인터넷 탄생 이후 가장 광범위하고 획기적인 온라인 프라이버시 법’으로 평가된다. GDPR는 개인(정보 주체)에게, 자신의 개인 정보가 언제, 어떻게, 그리고 어떤 목적과 용도로 수집·이용·공유·저장되는지(‘처리’로 통칭)에 대해 명확한 권리와 통제력을 제공하는 한편, 이미 수집되어 이용되는 개인 정보라도 본인이 원하면 언제든 다른 서비스 제공사로 옮기거나, 심지어 완전히 삭제할 수 있는 권리[잊힐 권리(Right to be forgotten)]까지 보장한다.

GDPR의 핵심 취지는 디지털 환경에서 개인의 프라이버시 권리를 대폭 강화하는 한편, 적절한 수준의 프라이버시 보호 대책이 입증되는 한 개인 정보의 자유로운 국외 이전을 보장하겠다는 것이다. 따라서 기업이나 기관이 유럽연합 주민의 개인 정보를 수집하고 처리하는 한 그 지리적 위치와는 상관없이 GDPR의 적용을 받는다. 따라서 다양한 비즈니스 목적으로 개인 정보를 수집하고 관리해야 하는 기업이나 기관의 입장에서는 GDPR가 자못 난제이고 골칫거리일 수 있다. 그러나 개인 이용자의 처지는 다르다. 속수무책으로 정부 기관이나 대기업 쪽으로 기운 온라인 권력의 불균형을 상당 부분 개인 이용자 쪽으로 되돌려 줄 것이라는 기대를 안겨 주기 때문이다.
이 책에서는 개인 정보 보호의 주요 원칙, 개인 정보 처리의 법적 근거, 개인 정보 침해에 따른 의무와 책임 등을 살펴보고 우리나라 개인정보보호법의 약점과 개선, 강화해야 할 내용에 대해서도 짚어본다.

2018년 5월 25일 발효된 GDPR는 가장 광범위하고 획기적인 온라인 프라이버시 법으로 평가된다. 유럽연합 주민의 개인 정보를 수집하고 처리하는 기업이나 기관은 그 지리적 위치와 상관없이 GDPR의 적용을 받게 된다. 핵심 취지는 디지털 환경의 개인 프라이버시 권리 강화와 적절한 프라이버시 보호 대책을 전제로 한 개인 정보의 자유로운 국외 이전 보장이다. 개인 정보 보호의 주요 원칙, 개인 정보 처리의 법적 근거, 개인 정보 침해에 따른 의무와 책임 등을 살펴보고 우리나라 ｢개인정보보호법｣의 현주소도 짚어 본다.

김상현
캐나다 브리티시콜럼비아주의 공공 의료 서비스 기관 중 하나인 퍼스트네이션보건국(First Nations Health Authority)의 정보 공개 담당관 겸 프라이버시 책임자다. 캐나다 온타리오 주정부와 알버타 주정부의 여러 부처에서 정보 공개 담당관, 개인 정보 보호 책임자, 프라이버시 관리자 등으로 일했다. 개인 정보 보호와 프라이버시 분야의 자격증인 CIPP/C(캐나다), CIPT(IT 분야), CIPM(관리), FIP(정보 프라이버시 펠로) 등을 취득했다. 서울대학교와 캐나다 토론토대학교, 앨버타대학교에서 공부했다. 2001년 캐나다로 이주하기 전까지 10여 년 동안 ≪시사저널≫, ≪주간동아≫, 동아닷컴, 한경닷컴 등에서 기자로 일했다. 저서로 『인터넷의 거품을 걷어라』(2000)가 있고, 번역서로 『보이지 않게, 아무도 몰래, 흔적도 없이』(2017), 『공개 사과의 기술』(2016), 『보안의 미학』(2015), 『디지털 파괴』(2013), 『똑똑한 정보 밥상』(2012), 『불편한 인터넷』(2012), 『통제하거나 통제되거나』(2011), 『디지털 휴머니즘』(2011) 등이 있다.

GDPR, 인터넷 탄생 이후 가장 획기적인 프라이버시 법
01 GDPR, 적용 대상과 범위
02 GDPR, 주요 개념과 정의
03 개인 정보 보호의 주요 원칙
04 정보 주체의 권리
05 개인 정보 처리의 법적 근거
06 기업과 기관의 책임
07 보안
08 개인 정보 침해
09 개인 정보의 국외 또는 국제기구 이전
10 감독과 규제

미국에 본사를 둔 A사는 어린이용 게임을 온라인으로 서비스하는 기업으로 유럽 지역에는 아무런 연고도 없다. 하지만 유럽연합의 학부모나 어린이도 자유롭게 A사의 온라인 게임을 이용할 수 있다. 이 회사는 GDPR의 적용을 받을까? 대답은 ‘그렇다’이다. 한국의 대표적인 포털 사이트인 네이버나 다음카카오 같은 사이트도 마찬가지다.
_“01 GDPR, 적용 대상과 범위” 중에서

‘정보 주체의 권리’라는 별도의 장이 신설된 데서 잘 드러나듯, GDPR는 정보 주체(개인)에게 사상 유례를 찾아보기 어려울 만큼 폭넓은 권리를 보장한다. 이전의 개인정보보호지침과 비교해 어떤 권리가 추가되거나 확장되었는지 검토한다. GDPR가 명시한 주요 권리는 정보를 제공받을 권리, 정보 열람의 권리, 정보 정정의 권리, 개인 정보의 삭제를 요구할 권리, 개인 정보의 이전과 처리 제한을 요구할 권리, 개인 정보 처리에 반대할 권리, 자동화된 의사 결정에 이의를 제기할 권리 등이다.
_“04 정보 주체의 권리” 중에서

개인 정보 보호 분야에서 ‘책임성’이 새로운 개념은 아니다. 이전의 개인 정보 법규들도 그와 관련된 여러 요구 사항들을 명문화했다. 그러나 GDPR는 기관을 개인 정보 처리자와 수탁 처리자로 구분해 명확한 책임을 부여하는 한편, 개인 정보 처리의 6대 원칙을 제시하고, 그러한 원칙을 준수해야 한다는 입증 책임도 묻고 있다.
_“06 기업과 기관의 책임” 중에서

이전의 개인정보보호지침과 비교해 GDPR에서 가장 두드러진 변화 중 하나는 법 집행과 규제, 그리고 법적 책임(liability)과 관련된 내용이다. 무엇보다 유럽연합 개별 회원국의 개인 정보 감독 기관이 중요한 권한을 행사할 수 있게 되었다. 고소인은 자신이 속한 나라의 법원에 제소할 수 있고, 물적 피해를 증명하지 않고도 보상을 받을 수 있다.
_“10 감독과 규제” 중에서