CPPG4. 개인정보의 이해 - 해외 개인정보 보호 제도

1. 글로벌 주요 국가에서의 개인정보 정의

• 글로벌 주요국가에서 시행되는 개인정보보호법은 대부분 개인정보를 '개인을 식별할 수 있거나 식별가능한 개인에 대한 정보'라고 규정하고 있다. 대부분의 국가에서는 개인정보의 범위를 전산화한 정보(디지털 정보, 데이터베이스) 뿐 아니라 수기에 의한 개인정보도 포함
• 미국
  • 미연방프라이버스법
  • 개인에 대한 정보로 개인의 성명 또는 신분번호, 기호, 지문, 사진 등 개인에게 배정된 신분의 식별에 대한 특정사항
• 캐나다
  • 개인정보보호와 전자문서에 관한 법
  • 신원을 확인할 수 있는 개인에 관한 정보
• 유럽연합
  • EU-GDPR
  • 자연인의 신원이 확인되었거나, 확인할 수 있는 것과 관련한 정보
• OECD
  • 각국 개인정보보호법
  • 식별되거나 식별될 수 있는 개인에 대한 모든 정보
• 독일
  • 독일연방 데이터보호법
  • 신원이 확인되었거나 확인 가능한 개인의 인적, 물적 환경에 대한 일체의 정보
• 영국
  • 데이터보호법
  • 데이터 관리자가 보유하고 있거나 향후 관리할 가능성이 많은 해당 데이터와 기타 정보로부터 신원을 확인할 수 있는 생존하는 개인에 대한 데이터
• 일본
  • 개인정보보호에 관한 법률
  • 생존하는 개인에 관한 정보로서, 당해 정보에 포함되는 성명, 생년월일, 기타 진술 등에 의해 특정한 개인을 식별하는 일이 가능한 것
  • 다른 정보와 용이하게 조합되어 식별할 수 있는 정보포함

2. 미국과 유럽의 개인정보보호 비교

• 미국은 자율규제 중심의 개인정보보호 모델이고, EU는 정부규제 중심의 개인정보보호 모델임
• 미국
  • 규제 방식: 자율 규제
  • 입법 과정: 단일, 통합법이 아닌 특정 영역의 문제 해결을 위한 개별법으로 제정되었으나 최근 개인정보보호법을 제정하려는 움직임이 있음
  • 감독기구: 독립 감독기구 없이 개별부처가 담당, 사업자의 조사, 제재보다는 고충처리, 기술지원, 교육홍보 중심
  • 국제협력: 자유로운 개인정보 이전 촉구, 규제는 전자상거래 발전 위축 우려
  • 규제 내용
    • 프라이버시를 침해하지 않는 범위 내에서 개인정보의 수집, 이용, 매매, 타깃마케팅 등이 비교적 용이
    • 기업스스로 개인정보보호방침 마련
    • 공표사항 미이행 시 공정거래법 위반으로 제재
  • 장점
    • 자발적 참여로 개인정보 윤리의식 고양
    • 이익달성에 공동체적 시너지 효과
    • 통일된 기준으로 비용과 부담 절감
    • 급변하는 현실 대응에 민첩
  • 단점
    • 경쟁우위 기업에 카르텔 형성 및 이에 따른 진입장벽 형성
    • 전문기술 및 노하우 공유 어려움
    • 강제력 결여로 참여 준수율 불확실
    • 전적인 자율참여로 탈선유혹 상존
• 유럽(EU)
  • 정부 규제
  • 입법 과정: EU 회원국 공동 지침에 의거하여 각국마다 공공, 민간 통합법 제정
  • 감독기구: 독립 감독기구 설치, 운영, 법률 위반 사업자 조사, 제재 및 고충 처리
  • 국제협력: 역외국에게 일정수준 이상의 보호체계 갖추도록 요구
  • 규제 내용
    • 개인정보 수집전 감독기구에 이용목적 등 사전 신고
    • 개인정보 수집, 매매 시 본인에게 통지
    • 개인정보관리책임자 채용 의무화
    • 개인정보보호 체계가 미흡한 국가에 EU시민 개인정보 이전 금지
  • 장점
    • 성문화된 법률로 명확히 규정
    • 법적소송으로 적극적 피해 보상
    • 무거운 징계로 정보 오남용 방지
    • 각종 설루션 지원으로 규제효과
  • 단점
    • 과다한 관리 및 준수비용 소요
    • 행정관리자들의 수행 부담 증가
    • 강제참여로 개인정보의 자발적 윤리의식 저하
    • 관할범위 제한으로 외국기업 준수 미흡

3. Safe-Harbor 협정

• 유럽연합 집행위원회와 미국 상무부가 2000년 체결한 개인신상정보 전송에 관한 협정으로, 이를 준수하는 기업들은 EU, 국가 간 개인정보를 공유하는 대신 적합한 보호조치를 반드시 취해야 한다.
• EU의 개인정보보호법 시행으로 적절한 개인정보보호 체계를 가지고 있지 않은 국가로의 개인정보 이전이 제한된다.
• 이에 미국과 EU는 전자상거래 등 원활한 산업발전을 위해 개인정보 전송에 관한 Safe-Harbor 협정을 체결했다.
• 유럽과의 무역을 원하는 기업이 미국 상무성의 세이프 하버에 등록하고, 이 협정을 준수한다면 EU에서 미국으로 전송되는 개인정보를 보호하기 위한 적절한 보호 조치를 취한 것으로 간주한다.

4. Safe-Harbor 협정 주요 내용

• 고지(Notice)
  • 개인정보의 수집, 이용, 목적, 용도, 정보를 제공하는 제삼자의 유형, 문제제기, 권리행사 시 접근방법 등에 대하여 고지
• 선택(Choice)
  • 개인정보가 제삼자에게 제공되는지 여부 및 최초의 수집목적과 양립할 수 없는 다른 목적으로 정보가 사용될 것인지 여부에 대해 옵트 아웃(Opt-out) 방식의 선택권을 제공 [ 민감한 정보에 대해서는 옵트 인(Opt-in) 방식의 선택권 제공
• 제공(Onward Transfer)
  • 개인정보의 위탁처리 등과 같이 제3자에게 개인정보를 제공할 경우, 당사자에게 고지함은 물론 선택권을 부여해야 함
• 접근 (Access) : 정보주체의 접근권과 정정요구권을 보장
• 안전성 (Security)
  • 개인정보 손실, 오용, 권한 없는 접근, 변경, 파기로부터 보호하기 위한 합리적 예방조치를 취해야 함
• 데이터 무결성 (Data Integration)
  • 당초의 수집 및 이용목적에 부합한 개인정보의 이용, 정확성, 완전성, 최신성의 확보
• 이행 (Enforcement)
  • 원칙의 준수를 담보할 수 있는 구제수단, 분쟁해결절차, 제재수단이 확보돼야 함