델코지식정보

[지식정보] EU 개인정보보호법(GDPR) 이후 글로벌 규제 동향

관리자
[회원가입 하시면 원문 PDF파일 다운로드가 가능합니다.]

GDPR은 기존의 EU 개인정보보호 지침인 “1995년 개인정보보호 지침(Data Protection Directive)”을 대체하였다. 정보 주체의 권리와 기업의 책임성이 대폭 강화되었고 규정 위반 시 기존보다 강력한 제재가 부과된다. GDPR은 이전 가이드라인 역할로 제한된 지침과 달리 유럽연합 전 회원국에 의무적으로 적용된다. 실제 법률 시행 이후 주요 규정에 대한 위반에 따라 막대한 과징금이 부과되는 처벌사례가 잇따르고 있다. 인도와 브라질 등을 비롯한 세계 각국도 이와 유사한 법률을 제정하거나 자국 법률을 개정하고 있다. 정보통신기획평가원 자료를 중심으로 정리하였다.

 

자료: 정보통신기획평가원, 주간기술동향, 1031, 2020.01.29.

델코지식정보

https://www.delco.co.kr/

http://www.retailon.kr/on/

 

abf2854f28fb6244a276c910e5c51da5_1585801

 

 

1. 유럽 개인정보보호법 주요 내용

 

20165EU가 제정한 일반 개인정보보호법(General Data Protection Regulation: GDPR)2년간 유예기간을 거쳐 지난 2018525일부터 시행되고 있다.

 

GDPR은 기존의 EU 개인정보보호 지침인 “1995년 개인정보보호 지침(Data Protection Directive)”을 대체하였다. 정보 주체의 권리와 기업의 책임성이 대폭 강화되었고 규정 위반 시 기존보다 강력한 제재가 부과된다. GDPR은 이전 가이드라인 역할로 제한된 지침과 달리 유럽연합 전 회원국에 의무적으로 적용된다.

 

실제 법률 시행 이후 주요 규정에 대한 위반에 따라 막대한 과징금이 부과되는 처벌사례가 잇따르고 있다. 인도와 브라질 등을 비롯한 세계 각국도 이와 유사한 법률을 제정하거나 자국 법률을 개정하고 있다.

 

* 프랑스 개인정보감독기구(CNIL)는 구글을 대상으로 데이터 처리 목적 및 저장 기간에 대한 정보를 한곳에서 제공하지 않고 5~6회 클릭하도록 한 점, 일반적이고 모호한 설명으로 명확하고 포괄적인 정보를 제공하지 않은 점 등 투명성 위반과 유효한 동의를 획득하지 못했다는 위반사항을 이유로 201915,000만 유로(653억 원)의 과징금을 부과했다.

 

* 영국 감독기구(ICO)20197월 개인정보 유출사고로 British AirwayMarriott international에 각각 2,700억 원, 1,460억 원의 과징금을 부과했다.

 

GDPR은 막대한 과징금은 물론, 전 세계적으로 개인 정보 보호와 안전한 활용이라는 흐름에 부합하는 교과서 역할을 하고 있다. 4차 산업혁명과 인공지능, 빅데이터 등 다양한 정보기술의 개발이 주요 화두로 대두되면서 개인정보 활용이 중요해지고 있다. 그러나 유출과 오남용으로 실제 피해도 증가하고 있다.

 

GDPR은 가명 정보 개념을 도입해, 안전한 개인 정보 활용을 가능하게 하고, 정정권, 삭제권, 개인 정보 보호책임관 임명, 개인 정보 침해통지 및 구제 등 책임을 강화하는 장치를 갖추고 있다. 아울러 개인정보감독기구의 역할과 권한도 강화하고 있다. GDPR 시행 이후 주요 국가의 규제 동향에 대해 살펴보고, 시사점을 정리해 본다.

 

2. GDPR 시행 이후 각국 동향

 

GDPR의 파급 효과는 EU 지역적 범위를 넘어서고 있다. EU 거주자의 정보처리 기업은 그 위치에 관련 없이 GDPR의 적용을 받기 때문이다. 유럽 시민의 정보를 처리하는 기업들은 GDPR 규정 준수에 신중할 수밖에 없다. GDPR은 여러 국가에 영향을 미치고 있다.

 

* GDPR 규정을 심각하게 위반하는 경우, 최대 과징금은 최고 2,000만 유로 혹은 전 세계 연간 매출액의 4% 중 높은 금액이 부과된다. 과징금은 자동으로 적용되지 않고, 개별 사례에 따라 차등 부과된다. 감독기구는 과징금 부과 여부 및 과징금 가액 결정할 때 개별 사안별로 평가한다. 동일하거나 관련된 처리가 GDPR 여러 규정 위반을 수반할 경우, 과징금은 가장 중한 침해에 지정되는 액수를 초과할 수 없다.

 

중국

 

중국 국가표준 위원회(TC260)와 일부 연구기관들은 EU 지역의 정보 주체를 포함하여 전 세계적으로 서비스를 제공하거나 EU 지역에서 사업을 영위하는 자국 기업들을 대상으로 GDPR에 대한 가이드를 발간했다.

 

그러나 한국과 다른 국가들이 자국 개인정보보호 정책에 GDPR이 미치는 효과를 검토하고 있는 것과 달리, 중국 당국은 자국 개인정보보호 체계를 다지는 기회로 삼고 있다. 개인정보처리 투명성을 높이기 위해 법 집행 이니셔티브를 추진하고 있다. 강요 혹은 묶음으로 제공된 동의 방식과 같은 잘못된 프라이버시 관행 억제 노력을 기울이고 있다.

 

중국 사이버보안법(Cyber Security Act)은 규제준수 내용을 증거로 제출토록 하고 있다. 중국에서는 개인정보보호 및 사이버보안 분야 국가표준이 일부 운영되고 있다. 예를 들어 디자인을 고려한 개인정보보호, 개인정보 영향평가, 사업자의 성실 의무등 다양한 원칙이 있다.

 

중국은 아직 개인정보 분야의 국제협약인 유럽평의회에 가입하지 않았다. APEC CBPR(Cross Border Privacy Rules)과 같은 국가 간 개인정보 전송 시스템 등 지역적 규약에도 참여하고 있지 않다.

 

그러나 지난 2년 동안 중국은 자국의 개인정보 이전 체계 구축에 노력하고, GDPR에서 그 해법을 찾고 있다.

 

아직 EU의 개인정보 감독기구들이 중국 기업을 규제한 사례는 없다. 그러나 페이스북을 비롯한 인터넷 대기업들이 어떻게 개인 정보를 활용하는지 밝혀지고 각국 감독기구들이 GAFA(구글, 아마존, 페이스북, 애플) 등에 대한 모니터링과 규제를 강화하면서, 중국 기업들과 당국은 점차 개인정보보호에 관심을 갖고 대응책 마련에 부심하고 있다.

 

미국

 

GDPR이 시행된 이후 글로벌시장에 진출한 미국 기업 상당수가 법령에 직접적인 영향을 받고 있다. EU에 종업원이 있는 미국 기업, EU 거주자를 대상으로 비즈니스를 하는 기업들은 복잡한 사항에 공부하고 있다. 자신들이 적용 범위에 포함되는지 확인하기 위해 분주하다.

 

실제로 GDPR 적용을 받는 미국 기업은 그 영향을 평가하고, 세부 조항 이행방법을 분석 중이다. GDPR과 유사한 법령 제정 움직임도 있다. 캘리포니아주는 20186월 소비자의 개인정보보호 권리와 사업자의 개인정보보호 관련 의무사항 등을 규정한 California Consumer Privacy Act. 2018)를 채택하여 20201월부터 시행하고 있다.

 

이 법은 소비자에게 개인정보를 효과적으로 관리하는 방법을 제공함으로써, 주민의 개인정보보호 권리를 증진하고 있다. 법령에 제시된 구체적인 권리는 다음과 같다.

- 어떠한 개인정보가 수집되고 있는지 알 수 있는 권리

- 개인정보가 판매/공개되는지 여부 및 누구에게 판매 또는 공개되는지를 알 수 있는 권리

- 개인정보 판매에 대해 거부할 수 있는 권리

- 자신의 개인정보에 접근할 수 있는 권리

- 개인정보보호 권리를 행사하는 경우에도 동일한 서비스와 가격을 누릴 수 있는 권리

 

이 법은 개인정보에 대한 정의 개념 확대, 비식별 정보 개념 정의, 정보 공개를 요구할 소비자의 권리, 소비자의 옵트인(Opt-in)과 옵트아웃(Opt-out) 권리, 정보 삭제를 요구할 소비자의 권리, 사업자의 소비자 권리 보장 의무사항, 사업자의 개인정보 유출 책임 등의 내용을 포함하고 있다.

 

사업자의 비즈니스 행위가 캘리포니아주 밖에서만 이루어지는 경우, 소비자의 개인정보에 대한 수집·판매에 대해서는 동 법이 적용되지 않는다. , 소비자가 캘리포니아주 밖에 있는 동안 사업자가 해당 소비자의 개인정보를 수집하는 경우, 소비자의 개인정보 판매가 캘리포니아주에서 발생 되지 않은 경우, 소비자가 캘리포니아주에 있는 동안 수집된 개인정보가 판매되지 않는 경우에는 법이 적용되지 않는다.

 

다른 법률 간에 충돌이 있는 경우에는, 소비자의 개인정보보호 권리를 더 많이 보호하는 법률의 조항이 우선한다. 이 법은 사업자가 소비자의 개인정보를 수집하고 판매하는 것과 관련된 시 또는 지역 정부 기관이 채택한 모든 규칙, 규정, 규범, 명령 및 기타 법률보다 우선한다.

 

이 법을 고의적으로 위반한 사업자 또는 서비스 제공자는 각 위반사항에 대해 최대 7,500 달러의 민사처벌 대상이 된다.

 

한편, 미연방 차원의 강력한 법체계 부재로 페이스북과 구글 등 기술기업들의 폭주를 막기 어렵다는 비판이 제기됨에 따라, 미 의회와 행정부가 연방 개인정보보호법 제정을 추진하고 있다. 이와 관련한 의원들의 법안 발의가 이어지고, 행정부에서도 국민경제위원회와 상무부를 통해 의회에 제출할 개인 정보보호법안 관련 준비가 진행 중이다.

 

미연방 개인정보보호법 제정에 대한 높은 관심은 미국의 산업계가 데이터 수집과 이용에 관해 새로운 방향성을 모색하는 변곡점이 될 것으로 보인다. 이를 계기로 미국 내에서 개인정보보호 규제환경이 달라질 것으로 보인다.

 

영국

영국은 EU 회원국에서 탈퇴하였지만, GDPR 적용과 집행력은 크게 변화하지 않을 전망이다. 이미 GDPR 내용 전반을 2018년 개정한 자국의 개인정보보호법에 반영하였다. 아울러 개인정보 감독기구인 ICO와 영국 법원은 유럽 사법재판소에서 판결하는 관련 규제 내용을 따를 것으로 보인다.

 

영국에서의 정보처리는 EU와 마찬가지로 법적 근거, 비례성, 보안, 책임성 및 기타 원칙들을 준수하게 된다.

 

우리나라

 

우리나라 또한 GDPR에 명시된 가명정보의 개념을 도입하고 개인정보 감독기구의 독 립성과 규제권한 강화를 골자로 하는 개인정보보호법 개정안이 최근 국회를 통과함으로써 한층 수준 높은 개인정보 컴플라이언스 환경을 마련할 수 있게 되었다.

 

3. 결론 및 시사점

 

GDPR은 현실의 기술 발전을 반영하는 정보 주체의 권리를 강화하고 개인정보 처리자가 준수해야 할 사항을 명시함으로써 디지털 시대의 개인정보 보호법제 방향을 선도적으로 제시했다.

 

IT 기업인 CISCO사는 GDPR이 기업에 어떠한 영향을 미쳤는지, 그리고 관련 규정 준수를 위해 기업들은 어떻게 준비를 했는지 관련 조사를 하였다. 준수사항 준비수준이 높으면 개인정보 침해 사고 예방 등에 따라 예상되는 GDPR 준수 혜택은 물론, 혁신과 투자자 유치에 보다 우월한 위치를 선점하는 것으로 나타났다. 아울러 프라이버시에 대한 투자가 기업에 준수의무 이상의 기업 가치를 창출하고, 중요한 경쟁우위 전략으로 부상한다는 결과가 나왔다.

 

따라서 기업은 개인정보보호를 위한 투자가 가져다줄 의미를 정리할 필요가 있다. 즉 판매 주기 지체 감소, 위험 감소, 데이터 유출 비용을 절약은 물론, 혁신과 경쟁우위 확보, 운영 효율성 증진 등의 혜택을 이해하는 것이 중요하다. 유럽시장 진출을 위해서도 GDPR에 부합한 기업 대응체계를 완비해야 한다.

 

GDPR 영향력이 늘어나면서, 개인정보 수집과 이용에 투명성과 일관성 원칙은 기업과 소비자간 신뢰를 구축하고 유지하는 데 큰 도움이 된다. 지속 가능한 기업 성장의 발판으로 삼을 필요가 있다. 기업은 규제대응력을 높여 브랜드 가치를 높이고, 정보주체의 권리 보호로 선도적인 역할을 한다는 평판을 쌓을 수 있다.



 

New

새글 [지식정보] 전국 대도시 28개 도시재생사업 절반에서 민간투자 全無

댓글 0 | 조회 2
한국건설산업연구원은 2014, 2016, 2017년에 선정되었던 경제기반형, 중심시가지 대상 사업 중 민간투자 수요가 높거나 어느 정도 있을 것으로 예상하는 전국의 인구 50만 이… 더보기

[칼럼] 포스트 코로나 시대 도시부동산의 뉴노멀, 회복력과 지속가능성

댓글 0 | 조회 14
코로나19 사태로 인해 회복력과 지속가능성이 뉴노멀이 되고 있다. 세계적 도시부동산 연구단체인 ULI도 최근 발표자료에서 도시부동산에 건강, 복지, 그린을 더 많이 반영할 것을 강… 더보기

[지식정보] 미국 도시재생 사업인 기회 특구 제도에서 얻는 교훈

댓글 0 | 조회 24
미국은 저소득층 8700개 지역을 기회 특구(Opportunity Zone)로 선정하여 도시재생을 하고 있다. 2018년부터 시행을 하고 있다. 민간이 이곳에 투자하여 이익을 내면… 더보기

[지식정보] 클라우드 기반 인공지능 머신러닝 서비스 개발

댓글 0 | 조회 37
AWS 구글 MS 등 클라우드 선도 업계는 복잡한 절차가 필요한 인공지능(AI) 머신러닝(ML)을 효율적으로 도입 활용하기 위해 기존 플랫폼을 개선하거나 새로운 기능을 추가하며 최… 더보기

[지식정보] 클라우드 컴퓨팅 동향 및 금융산업

댓글 0 | 조회 61
우리나라 도시부동산은 인구감소와 지방도시 디플레이션 현상으로 계속적 성장률은 낮아질 것으로 보인다. 그러면서 기존 부동산과 신규 부동산의 업그레이드 방향으로 나아갈 것으로 보인다.… 더보기

[지식정보] 국내 클라우드 시장에서 글로벌 및 국내 IT 기업 경쟁 가열

댓글 0 | 조회 67
클라우드 시장 잠재력이 높은 한국 시장 선점을 위해 구글, AWS(아마존웹서비스), MS 등 글로벌 IT기업이 데이터센터 건설과 서비스 제공을 확대하고 있다. 네이버·삼성SDS 등… 더보기

[지식정보] 저궤도 위성은 이동통신 차세대 통신망이다

댓글 0 | 조회 89
위성 궤도는 고도에 따라 저궤도, 중궤도, 정지궤도로 구분하며 이 중 저궤도 위성은 저지연성을 강점으로 언제 어디서나 이동통신 서비스 제공이 가능해 차세대 통신망으로 주목받고 있다… 더보기

[칼럼] 공유경제가 디지털로 확대되고 있다

댓글 0 | 조회 74
공유경제는 분산된 자산이나 서비스를 공동 사용하는 것을 의미한다. 활용수단으로 앱, 웹사이트, 기술 플랫폼을 사용한다. 한 개인의 소유물도 대여와 교환을 통해 공동 소비가 되고 보… 더보기

[지식정보] AI 기업 경쟁력과 전용 반도체 개발

댓글 0 | 조회 67
중국과학원(中国科学院)이 발표한 ‘2019 인공지능 발전 백서(2019年人工智能发展白皮书)’에서 미국은 MS(1위), 구글(2위), 페이스북(3위), 오토메이션 애니웨어(9위), … 더보기

[지식정보] 호주의 공중권 (Air Rights)개발 사례

댓글 0 | 조회 141
도시인구 집중으로 인한 도시 내 개발부지가 부족해지는 문제가 나타나고 있다. 그로 인해 토지나 건물 위의 공중을 개발할 수 있는 권리인 공중권(Air Rights)에 관심이 높아지… 더보기

[지식정보] 코로나19 쇼크가 국내 유통업에 미친 영향

댓글 0 | 조회 325
코로나19(코로나바이러스감염증-19)가 전 세계에 확산되며 해외를 비롯한 국내의 유통업계까지 모두 패닉 상태에 빠졌다. 소비자들의 소비패턴도 바뀌었다. 감염을 예방하기 위해 외부활… 더보기

[지식정보] 유럽 디지털 미래와 인공지능 투자

댓글 0 | 조회 110
EU 집행위원회가 밝힌 ’유럽 디지털 미래의 모습‘을 살펴보자. 모든 사람이 자신의 인생에서 디지털 변화를 경험하고 있다. EU 디지털 전략은 사람, 기업, 지구를 위한 것이며, … 더보기

[칼럼] 부동산 '유동화'…블록체인 기술이 앞당긴다

댓글 0 | 조회 101
Let"s Study 도시 부동산과 신기술 (6)·끝네트워크 내 모든 참여자각자 블록에 거래정보 보관제3의 공인기관 없어도거래 기록의 신뢰성 보장에스토니아는 국가 자체가 하나의 블… 더보기

[지식정보] 유럽의 미래 빅데이터 및 AI 전략

댓글 0 | 조회 104
유럽의 미래 빅데이터 및 AI 전략은 EU 집행위원회 발표자료를 바탕으로 한국정보통신기술협회와 정보통신기획평가원의 자료를 종합하여 정리하였다. EU 집행위원회는 2020년 2월 1… 더보기

[칼럼] 미국의 기회 특구 제도에서 얻는 교훈

댓글 0 | 조회 130
미국은 2018년부터 저소득층 8700개 지역을 기회 특구(Opportunity Zone)로 선정하여 도시재생을 하고 있다. 미국 전체 저소득층 지역의 약 1/4 정도다. 민간이 … 더보기