초록 ▼

4.연구 내용 및 결과

「EU 개인정보보호규칙」은 기존 「EU 개인정보보호지침」에 비해 보다 원활한 법적용을 가능케 하는 단일한 규칙의 제정, 유럽 디지털산업의 경쟁력을 위한 비유럽권 기업의 EU 개인정보보호법 준수규정, 개인정보 및 사생활을 정보주체 스스로 제어하고 결정해야한다는 취지의 삭제할 권리/잊혀질 권리, 감독기관의 단일화 및 분쟁해결절차의 간소화와 개인의 소송편의를 위해 고안된 ‘원스톱샵’(One-stop-shop)의 설립 등의 주요변화를 담고 있다. 물론 이러한 주요변화 중 비유럽권 기업의 정보관리와 관련한

4.연구 내용 및 결과

「EU 개인정보보호규칙」은 기존 「EU 개인정보보호지침」에 비해 보다 원활한 법적용을 가능케 하는 단일한 규칙의 제정, 유럽 디지털산업의 경쟁력을 위한 비유럽권 기업의 EU 개인정보보호법 준수규정, 개인정보 및 사생활을 정보주체 스스로 제어하고 결정해야한다는 취지의 삭제할 권리/잊혀질 권리, 감독기관의 단일화 및 분쟁해결절차의 간소화와 개인의 소송편의를 위해 고안된 ‘원스톱샵’(One-stop-shop)의 설립 등의 주요변화를 담고 있다. 물론 이러한 주요변화 중 비유럽권 기업의 정보관리와 관련한 영토적 범위와 잊혀질 권리의 범위에 대한 명확한 해석이 추가적으로 필요하다는 견해도 있지만, 전반적으로 「1995년 개인정보보호지침」과 비교하였을 때 개인정보보호의 의무 준수에 대한 감시와 보장을 위한 엄격한 권한 부여, 개인정보보호의 초국경적 집행의 개선을 위한 개인정보보호 감독기관 간의 협력 증대 등 진일보한 측면은 매우 긍정적으로 평가할 수 있다.
「EU 개인정보보호규칙」과 우리나라의 「정보통신망법」과 비교해 볼 때, 「개인정보보호법」이 따로 존재하고 있고 ‘정보통신망의 이용을 촉진하고 정보통신서비스를 이용하는 자의 개인정보의 보호’를 목적으로 그 범위가 한정적인 「정보통신망법」의 직접적인 비교는 어렵다고 할 수 있으나 제한적 범위 내에서의 관련 규정을 전반적으로 비교해보면 목적대상, ‘개인정보의 자유로운 이동’의 보장 여부, 잊혀질 권리의 반영 등 여러 차이점을 발견할 수 있다.
개인정보보호에 있어서 일반법 지위에 있는 「개인정보보호법」과 비교하여 제한적인 개인정보보호 관련규정을 담고 있는 「정보통신망법」이지만 동법 또한 해당 영역에서의 개인정보보호를 위한 역할을 해야 하고 본질적으로 개인정보보호 관련 법체계의 정비가 시급한 현 시점에서 새로 개정된 「개인정보보호규칙」에 대한 분석은 큰 의미를 가질 것으로 보인다.
「EU 개인정보보호지침」의 감독체계는 감독기관과 제29조 작업반을 통해 구성되며, 「2001년 EU기관 개인정보보호규칙」에 따라 설립된 유럽개인정보보호감독관(European Data Protection Supervisor)을 통해 EU 기관 및 기구에 의한 개인정보의 처리와 관련한 자연인의 기본적인 권리와 자유의 보호와 관련된 감독체계가 마련되었다.
「EU 개인정보보호지침」의 감독체계는 2014년 3월 유럽의회가 채택한「EU 개인정보 보호규칙 절충개정안」과 비교하였을 때, 상당히 간략하다. 특히, EU의 여러 회원국에 걸쳐 개인정보가 처리될 경우, 단일한 감독체계를 구축하고 있지 않다. 따라서 이러한 감독체계 하에서는, 둘 이상의 EU회원국에서 사업이 운영될 경우, 사업자는 여러 각기 다른 권한을 가진 여러 감독기관들과 마주쳐야 한다. 이는 동일한 개인정보의 처리에 대하여 각 회원국 내의 다른 규칙이 적용되게 되어 정보관리자(또는 처리자)인 사업자가 「EU 개인정보보호지침」을 이행하는데 있어 상당한 불확실성을 야기해 왔다. 이러한 감독체계의 성격은 「EU 개인정보보호지침」이 ‘지침(directive)’으로서의 법적지위를 지니고 있어 EU회원국이 성취해야 하는 결과에 대하여만 구속력이 있으며, 형태와 방법의 선택은 회원국의 국내당국에게 남겨지는 특성을 가진 점과도 관련된다. 이러한 점을 해결하기 위해 유럽위원회는 감독기관의 임무와 권한에 관한 규정을 보다 상세히 마련하여 「EU 개인정보보호규칙안」을 제안했으며, 일관성 확보장치를 통해, EU 내의 감독기관들 사이의 더욱 긴밀한 협력이 가능하도록 제안했다. 현재 개정이 진행 중인 「EU 개인정보보호규칙」은 ‘지침’이 아닌‘규칙’(regulation)의 형태로, 규칙은 지침과는 달리 전체로서 구속력이 있으며 모든 회원국에게 직접적으로 적용된다는 특징을 갖고 있다. 개인정보보호에 관한 사항이 ‘지침’이 아닌 ‘규칙’으로 제정 된다는 점은 EU 전체 회원국에 구속력 있는 형태로 개인정보의 보호에 관한 사항이 규율된다는 것을 의미한다. 이렇게 규칙의 차원으로 개편 중인 「EU 개인정보보호규칙」이 채택되면, 동 규칙하의 감독체계는 각 회원국 내에 설립된 감독기관과 EDPB의 두 축으로 구성된다. EDPB는 「EU 개인정보보호지침」제29조에 규정된 제29조 작업반의 역할을 대신할 것이며. 감독기관들과 EDPB 그리고 유럽위원회가 참여하는 일관성 확보장치(consistency mechanism)를 통해 EU 전역에 걸쳐 「EU 개인정보보호규칙」의 일관된 적용을 보장하기 위한 감독체계가 마련될 것이다.
일본은 「일본 개인정보보호법」 제정 이후 10년이 경과하면서 개인정보보호제도에 관하여 기업과 소비자들의 다각적인 이해관계를 반영한 제도 개정 및 개선이 요구되어 왔다. 특히 이용가치가 높은 것으로 판단되고 있는 퍼스널데이터에 대해서는 개인정보보호법 제정 당시에는 고려되지 않았던 이활용이 행하여지게 되었고, 그 중에서 개인정보 및 프라이버시의 개념이 널리 인식되고 소비자의 프라이버시 인식이 높아진 반면, 사업자가 개인정보보호법상의 의무를 준수하고 있는 경우에도 프라이버시에 관하여 사회적인 비판을 받는 사례가 발생하게 되었다. 그리고 자유로운 이활용이 허용되는지 여부가 불명확한 ‘회색지대’(grey zone)가 확대되고, 보호되는 정보의 범위와 사업자가 준수해야 하는 퍼스널데이터의 이활용 규범의 모호성 때문에 사업자가 법을 준수하기 어렵다는 의견도 있어 왔다. 또한 기업 활동이 글로벌화 되고 있어, 정보통신기술의 보급에 따라 클라우드 서비스 등 국경을 넘는 정보의 유통이 매우 용이하게 되면서 국내에 전 세계의 데이터가 집적될 수 있는 사업 환경을 정비하기 위해서도, 해외의 정보 이용 및 유통과 프라이버시 보호를 동시에 확보하기 위한 체제를 마련하고, EU, 미국, OECD 등의 관련 규범의 개정 진행과의 국제적인 조화를 도모할 필요가 있었다. 이에 따라 개인정보 및 프라이버시 보호를 전제로 하여 퍼스널데이터의 이활용으로 신산업·서비스를 창출하고 기존 산업의 활성화를 촉진함과 동시에 공익적 이용에도 적절한 환경을 정비하며, 나아가 사업자의 부담을 고려하여 국제적 관점에도 부합하는 퍼스널데이터의 이활용 규범을 명확하게 하고, 제도의 개선을 조속히 추진하여야 할 필요에 따라 개인정보보호법을 개정하게 되었다.
일본의 개인정보보호제도의 개정 방향은 다음과 같다. 첫째, 퍼스널데이터의 이활용을 촉진하기 위하여 현행법의 규율에 추가하여 일정한 규율 하에 원칙적으로 본인의 동의가 요구되는 제3자 제공 등을 본인의 동의가 없더라도 행할 수 있는 제도를 도입하려 한다. 구체적으로는 개인데이터 등으로부터 ‘개인의 특정성을 저감하는 정보’ 로의 가공과, 본인의 동의를 대신하는 취급에 관한 규정을 두려한다. 둘째, 신기술의 발전상황과 시대의 변화에 신속하게 대응할 수 있도록 하기 위하여, 법률에서는 큰 규칙을 정하고 구체적인 내용은 시행령, 규칙 및 가이드라인으로 대응하도록 한다. 이와 관련하여 사업자가 퍼스널데이터의 이활용에 저촉되지 않도록 ‘개인정보’의 범위를 명확하게 하고, 개인의 권리⦁이익의 침해가 발생하지 않도록 취급에 관한 규정을 두고자 한다. 또한 이와 함께 민간 자율규제룰을 활용하고 Multistakeholder process를 활성화하려 한다. 셋째, 퍼스널데이터의 이활용 촉진을 위하여 법령과 민간의 자율규제룰을 실효성 있게 운용하기 위하여, 독립된 제3자 기관의 체제를 도입하기로 한다. 이때, 법정 사항과 민간의 자율규제룰에 대한 실효성 있는 집행을 위하여, 국제적인 정합성을 확보하고 제3자 기관의 체제를 정비하도록 한다.
이처럼 EU와 일본은 기존 개인정보보호법을 대대적으로 개편하고 있다. 우리나라도 개인정보보호를 위하여 다양한 법제도를 가지고 개인정보 침해 등의 대형 사고가 발생할 때는 물론 빅데이터나 클라우드서비스의 활성화에 필요한 지원을 위하여 개인정보보호법 내지 규범을 개선하려고 노력하고 있다. 그러나 기본적으로 우리나라의 개인정보보호 규범은 대체로 정보주체에 이익이 되도록 경사되어 있다고 볼 수 있기 때문에, 이러한 기조의 법제도에서는 빅데이터 등을 위한 개선의 여지가 제한적이다. 따라서 과감하고 대대적으로 해당 개인정보보호법의 형식을 제고하거나 그 자신의 내용을 개정하는 EU와 일본의 태도는 우리나라 개인정보보호법의 발전에 시사하는 바가 크다.

Abstract ▼

4. Research Results

There are clear objectives of the recent reforms of the data protection laws and supervisory mechanism of the EU and Japan. They aim to protect rights and interests of data subjects with regard to the processing of personal data, on the one hand, and promote the developmen

4. Research Results

There are clear objectives of the recent reforms of the data protection laws and supervisory mechanism of the EU and Japan. They aim to protect rights and interests of data subjects with regard to the processing of personal data, on the one hand, and promote the development of industries whose main activities are carried out by making use of personal data, on the other. In order to balance these two objectives, the EU and Japan have tried to strengthen supervisory mechanisms which ensure compliance of their data protection laws. The EU and Japan also supplemented the relevant provisions regarding cross-border data transfer.
The recent efforts of the EU and Japan to improve their data protection laws imply that the Korean personal data protection laws should also be reformed comprehensively. Efforts are made to improve personal data protection laws in order to facilitate big data or cloud computing services. Still, Korean personal data protection laws tend to focus on protecting rights and interests of data subjects. This characteristic of the Korean system can be a restriction for facilitating businesses which make use of personal data, such as big data and cloud computing services. Accordingly, special regard should be given to the comprehensive efforts of the EU and Japan in seeking to find the way to improve our data protection laws

목차 Contents

• 표지 ... 1
• 제 출 문 ... 5
• 목차 ... 7
• 표목차 ... 9
• 그림목차 ... 9
• 요 약 문 ... 11
• SUMMARY ... 19
• CONTENTS ... 23
• 제1장 서 론 ... 25
• 제1절 연구의 배경 및 목표 ... 25
• 1. 연구배경 ... 25
• 2. 연구목표 ... 27
• 제2절 연구의 범위 및 방법 ... 28
• 1. 연구범위 ... 28
• 2. 연구방법 ... 29
• 제2장 EU와 일본의 개인정보보호 법제 ... 30
• 제1절 EU ... 30
• 1. EU 개인정보보호지침 ... 30
• 2. 개정 배경 ... 49
• 3. EU 개인정보보호규칙 ... 53
• 제2절 일본 ... 72
• 1. 일본 개인정보보호법 ... 72
• 2. 개정 배경 ... 78
• 3. 일본 개인정보보호법 개정안 ... 84
• 제3장 EU와 일본의 개인정보보호 감독체계 ... 92
• 제1절 EU ... 92
• 1. EU 개인정보보호지침의 감독체계 ... 92
• 2. 개정 배경 ... 102
• 3. EU 개인정보보호규칙의 감독체계 ... 104
• 제2절 일본 ... 122
• 1. 일본 개인정보보호법의 감독체계 ... 122
• 2. 개정 배경 ... 124
• 3. 일본 개인정보보호법 개정안의 감독체계 ... 126
• 제4장 우리나라 개인정보보호 법제 및 감독체계와의 비교 및 시사점 ... 130
• 제1절 법제 비교 ... 130
• 1. EU 개인정보보호규칙과 정보통신망법의 비교 ... 130
• 2. 일본 개인정보보호법 개정안과 정보통신망법의 비교 ... 134
• 제2절 감독체계 비교 ... 140
• 1. EU 개인정보보호규칙과 정보통신망법의 비교 ... 140
• 2. 일본 개인정보보호법 개정안과 정보통신망법의 비교 ... 143
• 제3절 시사점 ... 147
• 제5장 결론 ... 149
• 참 고 문 헌 ... 153
• 끝페이지 ... 159