유럽 개인정보보호규정(GDPR) 승인의 의미와 전망

1. 유럽 개인정보보호규정(GDPR)의 승인

1) 2016년 5월 4일

2016년 4월 14일 전 세계적인 관심을 받고 있는 개인정보보호규정(GDPR, General Data Protection Regulation)이 유럽의회를 통과되었다. 빅데이터 산업과 개인정보 보호라는 입법목적을 유럽연합이 달성할 수 있을 것인지에 대한 중요한 기로에 서있는 유럽의 이번 개인정보 보호 규정 통과는 우리에게도 많은 시사점을 준다. 한편 유럽연합은 개인정보보호규정과 함께 수사기관 개인정보 전달을 규율하는 Directive도 함께 통과시켰다. 20일이 지나면 발효되기 때문에 지난 5월 4일이 발효되었다. 2년 이후에는 개인정보보호규정은 회원국에 직접 적용된다.

본격적인 논의를 하기 전에 유럽연합의 법은 각 회원국에 직접적인 법적 효력을 미치는 Regulation과 회원국에서 입법지침을 주는 Directive로 나뉜다. 유럽시민들에게 자신의 개인정보에 대한 통제권을 되돌려 주고, 유럽연합 내에서 디지털 시대에 부합하는 균일하고 높은 수준의 개인정보 보호를 창출하는 것을 목표로 하는 개인정보보호규정은 Regulation으로 직접적인 효력을 가진다. 이번 개인정보보호규정의 통과로 1995년 이래 개인정보를 보호해왔던 ‘Directive 1995(95/46/EC, 이하 1995년 지침)’가, 스마트폰의 등장과 이를 통한 모바일 환경으로의 변화, 국경을 넘어 이루어지는 다양한 거래 과정에서 사용되는 유럽연합 시민의 개인정보에 대해서 시민 개개인이 종래보다 더 정보에 대한 통제권을 확보할 수 있을 것이라는 것이 유럽연합의 기대인 것으로 보인다. 이하에서는 그 주요내용을 살펴본다.

2) 주요내용

(1) 일반적 금지

1995년 지침은 개인정보를 제3국으로 이전하는 것은 금지하였다. 다만, 제3국이 적정한 수준의 개인정보보호 체계(an adequate level of protection)를 갖춘 경우는 예외로 하였다(제25조). 2016년 개인정보보호규정 제44조와 제45조는 1995년 지침의 원칙적 금지라는 태도는 그대로 유지하고 있다.

이 때 적절한 보호수준이라는 기준은 개인정보의 성격, 개인정보의 처리 목적과 기간, 개인정보의 최초 이전국과 최종 도착국, 제3국에서 시행되고 있는 법률 규범, 직무 규정 및 보안조치 등 개인정보 이전을 둘러싼 모든 환경이 고려하여야 한다. 유럽연합의 개인정보보호작업반의 적절성 평가 관련 보고서에 따르면 실체적 판단 기준과 절차적 판단 기준에 의하여 보호의 적절성을 평가할 수 있다고 하고 있다. 이 때 적절성 평가는 ‘법률로 동일한 수준의 개인정보보호를 하는 국가로 이전하는 경우’에 적용된다. 이에 반해 표준계약서 또는 구속력 있는 기업 규칙(Binding Corporate Rules)은 계약으로 동일한 수준의 개인정보보호를 하는 기업으로 개인정보를 이전하는 경우에 적용된다.

(2) 적절한 관할

95년 지침 제25조는 EU 사법관할 외의 국가가 적정한 수준의 개인정보보호체계를 갖추고 있는지 여부는 집행위원회(EC)가 판단한다. 해당 국가가 적절한 보호체계를 갖추고 있을 경우 정보 이전을 위한 별도의 장치(표준계약 등)는 필요하지 않다고 규정하고 있었다.

이에 대해서 2016년 개인정보보호규정 제44조와 제45조는 기존 지침 하에서 이뤄진 적정성 판단은 본 규정 하에도 계속해서 적용된다고 하면서, 적절성 판단(Adequacy Assessment)이란 집행위원회(EC)가 국가별로 판단한 구체적 결과로서 적정성 여부를 의미한다고 본다. 여기서 말하는 적정성 판단이란, 제3국의 개인정보 보호 수준에 대한 적정성(Adequacy)을 평가하여 이전을 허용하는 방식이다(White list Model). 이를 위해서 절차를 보면, 우선 유럽연합 집행위원회가 제안을 하면 회원국 감독당국 등으로부터 의견수렴절차를 거친다. 그리고 제31조 위원회의 승인을 받은 이후 집행위원협의회의 결정으로 채택된다. 이와 같은 절차를 거침으로써 부가적인 안전조치 없이 28개 유럽연합회원국과 노르웨이 등 3개의 EEA(European Economic Area) 회원국으로부터 제3국으로 개인정보 이전이 가능해 진다. 2016년 현재 적정성 평가를 받은 국가는 12개 국가 외에 New Zealand(2013), 미국(EU-US Privacy Shield, 2016)이 있다.

(3) 표준 데이터 보호 조항(Standard Data Protection Clauses)

95년 지침 제25조는 집행위원회가 승인한 표준계약 조항(Standard Contractual Clauses)을 사용할 경우, EU 사법관할 외의 국가로 개인정보를 합법적으로 이전 할 수 있도록 하고 있었다. 이를 표준 데이터 보호 조항이라고 한다.

이에 대해서 2016년 개인정보보호규정 제45조는 표준데이터 보호조항(Standard Data Protection Clauses)으로 용어가 변경되었지만, 기존 지침에 따라 집행위원회가 승인한 표준계약 조항은 본 규정 시행 후에도 유효한 개인정보 이전 장치로 인정하고 있다. 또 제46조는 표준계약조항을 사용하여 개인정보를 이전하고자 하는 경우 감독당국의 별도 허가가 필요 없다. 다만, 유효한 표준계약이 되려면 집행위원회가 채택한 것이거나, 감독당국이 채택하고 집행위원회가 승인한 것이어야 한다. EU는 동의 기반의 국외 이전 정책을 운용하는 한국과는 달리 계약 형태의 국외 이전을 허용하고 있다. 표준 계약 제도는 개인정보 보호체계가 서로 달라 개인정보 이전에 따라 야기되는 복잡한 문제를 해결할 방법으로 계약적인 해법을 제시함으로써 한편으로 프라이버시를 고려한 개인정보의 자유로운 흐름 촉진하면서도, 국제상거래를 위한 정보의 이전 허용함으로써 개인정보이전에 관한 국제적 거래에서의 보안성과 확실성을 증진하는 것을 목적으로 한다. 결국 사적자치의 원칙을 존중하면서도, 집행 안전장치(Enforcement Safeguards)를 둠으로써 개인정보 보호를 위한 감독기구의 간접적 개입을 허용하고 있다.

(4) 구속력 있는 기업 규칙(Binding Corporate Rules)

다국적 기업의 개인정보 보호 수준에 대한 적합성을 EU회원국 감독기구가 평가하여 다국적 기업 내 국외 이전 허용여부를 결정한다. 개인정보 국외이전을 허용받기 위한 구속력 있는 기업 규칙이 되려면 다음의 각 사항이 규칙에 반영되어 있어야 한다. ① 정보의 흐름을 처리하는 것이 EU 개인정보보호지침에 부합하여야 한다. 또 ② 내부적인 시행 절차는 자가진단 및 감사, 규칙의 준수를 입증할 수 있는 정보주체에 대한 규칙 및 수단의 투명성, 불만 및 고충처리, 제재수단에 대한 사항이 포함되어 있어야 한다. 마지막으로 ③ 구속력 있는 기업 규칙을 대내외적으로 준수하기로 하는 책임이 계약서 등에 반영되어 있어야 한다. 2015년 2월 현재 규칙이 승인된 기업은 모두 65개이다.

(5) 예외

95년 지침 제26조는 적절한 보호체계를 갖추지 않은 국가로의 개인정보의 이전이 허용되는 예외적인 경우로 정보주체가 개인정보 이전에 명확하게 동의한 경우, 정보주체와의 계약을 이행 또는 계약을 체결하기 위해 필요한 경우, 정보주체의 이익과 관련된 제3자와의 계약체결을 위해 필요한 경우, 공공의 이익을 위해 필요한 경우, 법적 청구권을 확립하고 행사하거나 방어하기 위해 필요한 경우, 정보주체의 중대한 이익을 보호하기 위해 필요한 경우, 또는 이전된 정보가 공적 장부로부터 나온 경우를 열거하고 있었다.

이에 대해서 2016년 개인정보보호규정 제46조는 95년 지침의 예외사항이 계속해서 적용된다고 하면서, 빈번하거나 대량의 개인정보이전이 아닌 경우로서, ① 개인정보의 이전이 개인정보처리자의 정당한 이익을 위해 필요한 경우, ② 개인정보의 이전과 관련된 상황들을 고려하여, 필요하다고 판단될 경우로서 개인정보처리자가 적절한 보호조치를 취하였을 경우도 예외사항에 해당하는 것으로 규정하였다.

2. 유럽 개인정보보호규정(GDPR) 승인의 의미와 전망

EU 집행위는 디지털 단일시장(Digital Single Market)을 10대 선결과제 중 하나로 선정하여 유럽 인터넷 기업들의 활성화를 위한 EU 차원의 환경 조성에 노력하고 있다. 유럽 개인정보보호규정(GDPR)에 의한 국외이전 조항은 정보주체의 개인정보자기결정권이나 프라이버시를 보호하면서도, 동시에 개인정보의 국외이전 및 정보의 유통을 보장하기 위한 다양한 방안을 제시하고 있다. 한편 국외이전 조항을 위반하는 경우 최대 2,000만 유로 또는 개인정보처리자의 직전 년도 전 세계 연 매출액의 4%에 해당하는 금액의 벌금을 부과할 수 있도록 강한 제재를 규정하고 있다. 유럽의 이번 규정개정은 향후 국경을 넘나드는 개인정보의 흐름에 큰 영향을 줄 것이고 우리나라도 그 영향권에서 자유로울 수 없다. 그런 점에서 이를 분석하고 우리나라가 받아들일 수 있는 사항과 그렇지 않은 사항을 분석하는 작업이 필요할 것이다.

———————————————————————————————-

<참고문헌>

the Data Protection Directive (officially Directive 95/46/EC)

the Proposal for the EU General Data Protection Regulation. European Commission. 25 January 2012.