EU GDPR 주요 내용의 검토

1. 개요

오는 5월 25일 본격 적용을 앞두고 있는 유럽연합 개인정보보호법인 GDPR(General Data Protection Regulation, 이하 GDPR)은 기존에 유럽연합에서 개인정보 보호의 기준이 되어왔던 Data Protection Directive(Directive 95/46/EC)와는 여러 면에서 차이가 있다. 우선, 전자는 ‘Regulation’이다. 회원국이 이의 실행을 위한 별도의 법률을 제정하지 않아도 그 자체로 유럽연합 회원국 전체에 동일하게 적용되는 구속력 있는 법규범(a binding legislative act)이라는 의미이다. 그에 반해 후자는 유럽연합 회원국이 달성해야 하는 목표를 제시하는 법규범이지만, 이러한 목표를 달성하기 위해서는 개별 회원국이 각국의 사정에 맞는 법률을 제정하여야 한다. 구성 측면에서, 전자는 173개의 전문(Recital)을 제외하고도 11장 99조나 되는 방대한 체계를 갖고 있으나, 후자는 7장 34조의 간략한 구성에 그친다. 내용 측면에서 전자에 비해 후자는 개인정보 보호 관점에서의 개략적인 가이던스를 제공하는데 그친다. 이에 반해, GDPR은 개인정보 처리 전반에 걸쳐 ‘성근 그물’을 쳤으나, 개인정보를 처리하려면 GDPR 규정을 피하기는 어렵다.

우리나라에는 주로 전 세계 매출액의 4%까지 부과될 수 있는 벌금(Administrative Fine)이나, 개인정보보호 책임자(DPO, Data Protection Officer)의 지정, 또는 넓은 지리적 적용범위(소위 ‘역외적용’)에 대한 내용이 많이 알려져 있다. 그러나, 실제로 GDPR은 개인정보 보호를 어떻게 해야 잘 할 수 있는지에 대한 해답을 원칙에 기반한 위험관리 관점에서 제시하고 있다. 주목해야 할 GDPR의 주요 내용은 다음과 같다.

2. GDPR의 주요 내용

1) 책임성 원칙(Accountability Principle)

세계적인 컨설팅 기업 Deloitte에 의하면 책임성 원칙은 개인정보보호 원칙을 준수하는 것을 담보하는 것을 목적으로 한다고 한다. 이 원칙은 투명한 개인정보보호, 프라이버시 정책과 이용자 통제, 외부의 관계자 및 정보보호 당국에 증명 가능한 높은 수준의 책임을 운영하기 위한 내부적 명료성과 절차 등을 보장하는 “문화적 변화”를 의미한다고 한다.¹

GDPR에 의하면 개인정보 처리의 목적과 수단을 정하는 주체인 ‘컨트롤러(controller)’는 6대 개인정보 처리 원칙 – (1) 처리 적법성, 공정성, 투명성 원칙, (2) (수집) 목적 제한의 원칙, (3) 개인정보 최소화 원칙, (4) 정확성 원칙, (5) 저장 제한의 원칙, (6) 무결성 및 기밀성 원칙 – 을 모두 준수하는 방식으로 개인정보를 처리해야 하며, 특히 이를 준수하는 것을 증명(demonstration)할 수 있어야 한다. 이와 같이 6대 개인정보 처리 원칙의 준수를 증명해야 하는 것을 책임성의 원칙이라고 한다. 우리나라 개인정보보호법 제3조(개인정보 보호 원칙)에서도 GDPR의 6대 개인정보 처리 원칙과 대동소이한 여러 원칙들을 제시하고 있으나, GDPR의 경우 해당 원칙들을 준수하지 않으면 직접적으로 제재를 부과할 수 있다는 점에서 우리나라의 ‘선언적’ 조항들과는 결이 다르다 할 수 있다.

이와 같은 책임성 원칙의 입증을 위해 GDPR은 산업계의 행동강령(industry code of conduct)이나 승인된 정보보호 인증(approved certification) 등을 실행가능한 수단으로 제시하고 있다. GDPR의 수범자는 Privacy by Design and Default 원칙에 따라 개인정보 처리 전체 과정에서 개인정보가 적절히 보호되고 있음을 스스로 ‘문서화(documentation)’하여 입증할 수도 있으나 이는 비용이나 노력 측면에서 매우 어려운 일이다. GDPR은 산업계의 행동강령이나 인증 메커니즘을 통해 GDPR을 준수하고 있음을 증명할 수 있는 방법을, 즉 책임성 원칙의 준수를 보장할 수 있는 길을 열어준 것으로 평가될 수 있다.

2) 개인정보처리의 적법성 확보

상술한 6대 개인정보 처리 원칙의 준수 외, 개인정보 처리를 위해서는 GDPR이 정한 6가지 적법성 요건 가운데 최소 1개 이상을 충족해야 해당 개인정보 처리가 적법한 것으로 인정받을 수 있다.(GDPR Article 6(1), Recital 39-41) 개인정보 처리의 적법성 요건은 (1) 정보주체의 동의, (2) 계약의 이행, (3) 법률 의무의 준수, (4) 중대한 이익의 보호, (5) 공익 내지 공공기관 해당, (6) 정당한 이익 등이 있다. 일반 개인정보가 아닌 ‘민감 개인정보(special categories of personal data)’의 경우 총 9가지 적법성 요건이 존재한다.

특히, GDPR에서 주목해야 할 점은 우리나라에 만연한 ‘정보주체의 동의’는 가능한 경우 적법성 요건으로 선택하는 것으로 부터 ‘지양되어야 한다’는 점이다. 영국 개인정보보호위원회(ICO, Information Commissioner’s Office)는 GDPR 동의 가이던스에 대한 대중 의견 청취 문서에서 GDPR에 의한 동의 절차를 구현할 때, Unbundled(다른 동의와 연계하지 않을 것), Active Opt-in(정보주체의 행위에 의한 동의를 받을 것), Granular(상이한 개인정보 처리건 마다 동의를 구분할 것), Named(동의를 요구하는 주체를 밝힐 것), Documented(동의를 입증할 기록을 남길 것), Easy to Withdraw(동의 철회를 쉽게 할 것), No imbalance in the relationship(강제되지 않은 자유로운 의사에 의한 동의를 구할 것) 등 7가지 주요 동의 변화를 제시하면서, 이와 같은 요건을 모두 충족하는 동의를 획득하는 것이 현실적으로 매우 어렵기 때문에 동의에 의한 개인정보 처리 적법성 확보는 다른 메커니즘을 고려한 후에 차 순위로 선택할 것을 권고하고 있다.²

이와 같이 개인정보 처리의 적법성을 확보하는 방식이 우리나라의 그것과는 매우 큰 차이를 보이고 있어 GDPR을 적용 받는 개인정보처리자 등의 행태에 근본적인 변화가 요구된다. 개인정보 처리에 있어 특정 적법성 메커니즘을 선택한 이유를 ‘개인정보영향평가(DPIA, Data Protection Impact Assessment)’를 통해 상세히 문서화해야 하는 이유가 여기에 있다.

3) 높은 수준의 처벌

핵심 개인정보 처리 원칙의 미준수, 정보주체의 권리 침해, 개인정보의 국외 전송 메커니즘 위반 등 GDPR 규정의 중대한 위반으로 판단되는 경우 감독기관은 2천만 유로 또는 직전 회계연도 전 세계 매출액의 4%까지를 벌금으로 부과할 수 있으며, GDPR 규정의 일반적 위반으로 판단되는 경우 1천만 유로 또는 매출액의 2%까지를 벌금으로 부과할 수 있다는 내용은 GDPR의 주된 ‘인식 제고(Awareness)’를 위한 다양한 캠페인이나 뉴스 기사 등을 통해 널리 알려져 있다.

이와 같이 높은 수준의 벌금 부과가 가능하다는 내용으로 인해 GDPR의 준수가 필요하다는 ‘공포 마케팅’이 일부에서 성행하고 있는 것도 사실이다. 그러나, GDPR은 이와 같은 벌금의 부과가 강제사항이 아니라 감독기관의 판단에 의해 부과될 수 있는 재량(discretionary)에 해당한다는 점을 분명히 하고 있다. 또한, 벌금은 “효과적이고, 위반행위에 비례해야 하며, 추가적인 위반 행위를 중단시키는데 효과적(effective, proportionate and dissuasive)”이여야 한다. (Article 83(1)) 만약 사소한 위반이거나 벌금을 부과하는 것이 자연인에게 비례를 상실한 부담으로 작용하는 경우 벌금 대신 징계(reprimand)가 부과될 수도 있다. 또는, 사안에 따라 감독기관은 개인정보의 처리 정지(suspension)도 명할 수 있기 때문에, GDPR의 위반이 항시 벌금 부과로 이어지는 것은 아니라 할 수 있다.

4) 강화된 정보주체의 권리

GDPR은 크게 정보주체의 8대 권리를 제시하고 있는데, 여기에는 (1) 적절한 정보를 제공받을 권리, (2) 열람권, (3) 정정권, (4) 삭제권(소위 ‘잊힐 권리’), (5) 처리제한권, (6) 개인정보 이동권, (7) 반대할 권리, (8) 자동화된 결정 및 프로파일링 관련 권리 등이 있다.

다양한 정보주체의 권리 가운데 ‘잊힐 권리’로 잘 알려진 개인정보에 대한 삭제권이 행사되는 경우 컨트롤러는 정보주체의 개인정보를 삭제하는 것에 그치지 않고, 이를 제3자에게 제공한 경우 그에게도 삭제요청이 접수되었다는 사실을 알리고 적절한 조치를 취하도록 안내해야 한다. 개인정보 이동권은 정보주체가 자신의 개인정보를 직접 제공받거나, 그가 지정하는 제3자에게 ‘기계판독 가능한 형태(machine-readable)’로 제공해야 하는 내용을 담고 있다. 자동화된 결정 및 프로파일링 관련 권리는 전적으로 자동화된 의사결정 로직에 의한 결정에 의해 정보주체의 권리가 침해되지 않도록 하기 한 조치를 담고 있다. 최근 들어 논의가 되고 있는 소위 ‘설명 받을 권리(right to explanation)’에 대한 논의도 바로 이 자동화된 결정 및 프로파일링 관련 권리의 내용에서 도출된 것이라 주장하는 목소리도 있으나, 실제 이는 ‘의사결정에 도달한 로직에 대한 설명을 획득할 권리’에 한정되며 구체적인 설명을 요구할 수 있을 것인지에 대해서는 회의적인 시각이 많은 것으로 확인된다.

3. 나아가며

상기에 서술한 내용 외에도 GDPR은 확대된 개인정보의 정의(특히, 개인정보의 가명처리의 명문화), 다수 규정의 프로세서(processor) 직접 적용, 개인정보 국외전송 메커니즘의 확립, 개인정보 유출통지제도의 도입, DPO의 지정, One-Stop-Shop의 도입 등 개인정보 보호 체계에서 크게 주목할만한 제도들을 도입하였다. Forrester가 공개한 2016년도 Privacy Heat Map에서 밝힌 전 세계 Privacy 이슈를 드라이브 하고 있는 3대 경향 가운데 2가지가 GDPR의 실행과 그것이 미치는 글로벌 레벨에서의 영향과 관련된 내용이었다. GDPR의 주요 내용의 이해는 단순히 유럽에 진출한 기업의 숙제로 남는 것은 아니다. 우리 법제도 이를 따라가지 않을 수 없는 상황에서 미리 그 내용을 확인하고, 법제 개선 방향성을 논의할 필요가 여기에 있다. 끝.

1. Deloitte(2017. 4. 19.), GDPR Top Ten: #2 Accountability principle, Available: https://www2.deloitte.com/nl/nl/pages/risk/articles/gdpr-top-ten-2-accountability-principle.html [본문으로]
2. Information Commissioner’s Office(2017. 3. 2), Consultation: GDPR consent guidance, Available: https://ico.org.uk/media/about-the-ico/consultations/2013551/draft-gdpr-consent-guidance-for-consultation-201703.pdf [본문으로]