초록 ▼

4. 연구 내용 및 결과
o 온라인 상의 개인정보보호를 위한 국내외 입법현황
- 온라인 상의 개인정보보호에 관한 외국의 입법례로서 미국의 경우에는 분야별 규제체계를 갖추고, 공공 부문에서는 프라이버시법이 있지만 민간부문에서는 분야별로 법제가 존재
- 일본은 개인정보보호법을 제정하여 시행 중이고, 특히 2015년 개정을 통하여 빅데이터 산업 발전을 위한 규정을 마련
- 국내의 경우에는 개인정보보호법이 일반법으로 존재하지만, 온라인 부문에서는 정보통신망법이 적용되며, 신용정보의 경우에도 별도의 법률이

4. 연구 내용 및 결과
o 온라인 상의 개인정보보호를 위한 국내외 입법현황
- 온라인 상의 개인정보보호에 관한 외국의 입법례로서 미국의 경우에는 분야별 규제체계를 갖추고, 공공 부문에서는 프라이버시법이 있지만 민간부문에서는 분야별로 법제가 존재
- 일본은 개인정보보호법을 제정하여 시행 중이고, 특히 2015년 개정을 통하여 빅데이터 산업 발전을 위한 규정을 마련
- 국내의 경우에는 개인정보보호법이 일반법으로 존재하지만, 온라인 부문에서는 정보통신망법이 적용되며, 신용정보의 경우에도 별도의 법률이 적용

o EU가 GDPR을 제정하기까지의 그 이전의 개인정보보호 법제도의 발전과정
- CoE Convention 108의 경우에는 프라이버시와 정보 보호에 관한 기준을 마련하였으며, 이후 1995년의 EU 정보보호지침의 제정에도 많은 영향을 줌
- EU 정보보호지침이 1995년 제정되었는데, 이 지침은 개인정보의 정의, 적용범위, 개인정보의 수집 및 처리에 관한 원칙과 민감정보의 처리 기준, 개인정보의 국외이전 기준 등 매우 다양한 법적 기준을 마련
- EU 집행위원회가 개인정보의 국외이전의 규율체계로서 집행위원회 결정을 통하여 국외이전을 허용하는 경우가 존재
- 2002년 전자프라이버시지침(E-Privacy Directive)을 통하여 온라인 상에서의 개인정보보호를 위한 특별규정들을 규정

o GDPR 분석
- GDPR은 개인정보의 처리와 관련된 자인연의 보호 및 개인정보의 자유로운 이동을 함께 규율목적으로 함
- EU 역내 회원국에게 직접 적용되는 규범력을 가질 뿐만 아니라 역외적용 규정을 통하여 EU 회원국 정보주체의 활동을 모니터링하거나 EU 회원국 정보주체와 경제활동을 하는 외국의 개인정보처리자들에게도 적용
- GDPR의 가장 큰 특징 및 의미 중의 하나는 EU 전역에 적용되는 단일 법규정을 마련하였다는 점이고, 또한 주 감독기관을 통하는 경우 EU 전역에서의 개인정보의 처리에 대한 감독이 일원화되도록 하였다는 점(One-stop shop)
- 개인정보보호를 위하여 책임성을 강화하기 위한 조문을 규정
- 개인정보를 위탁받아 처리하거나 실제 취급하는 자들에 대한 기준도 마련
- 개인정보의 처리를 위하여 동의를 요하는 경우에도 동의요건을 강화
- 우리법과 마찬가지로 개인정보침해통지의무를 신설
- 각종 개인정보보호의무를 위반한 경우에 제재를 규정하면서, 특히 강력한 과징금 규정을 통하여 개인정보보호에 대한 EU의 의지를 투영
- 개인정보보호를 위한 의무나 기준 설정과 함께 정보주체가 개인정보와 관련한 권리들을 행사할 수 있도록 규정하였는데, 대표적인 권리가 잊힐 권리로 명명된 삭제권
- 개인정보에 대한 강력한 규범 체계 마련과 함께 개인정보의 국가간 이동의 불가피성을 고려하면서도 EU 회원국의 정보주체에 대한 실질적인 보호를 꾀하기 위하여 기존부터 다양하게 인정되어 온 개인정보 역외이전을 위한 각종 요건이나 기준들도 명시적으로 입법화. 예를 들면, 적절성 결정에 의한 이전 허용, 구속력 있는 기업규칙에 의한 이전 허용 등이다. 이외에도 새롭게 도입된 유럽정보보호 인장에 의하여도 이전이 허용됨

o 유럽사법재판소의 주요 판결 분석
- 1995년 정보보호지침에 따라 정보주체의 삭제권을 판결한 구글 스페인 사건 판결
- 미국과 EU 사이의 개인정보의 국가간 이전을 허용했던 EU-US Safe Harbor를 무효화 한 Schrems 사건 판결

o GDPR과 국내법 비교 분석 및 시사점 도출
- 온라인 상의 개인정보보호에 관한 우리나라 법과 EU GDPR 사이의 비교법적 분석을 심층적으로 수행하여, 적용범위, 가명화 및 익명화, 동의원칙, 고지 및 통지의무, 정보주체의 권리, 개인정보 관리자 및 처리자에 관한 기준, 개인정보 역외 이전, 개인정보 영향평가, 각종 개인정보 보호 장치, 처벌규정에 대한 검토를 수행
- 가명화 또는 익명화를 통한 개인정보 활용 범위의 확대나 개인정보의 수집·이용에 대한 동의 대상 범위와 관련하여 기존 서비스와 합리적인 관련성이 있는 서비스 개선 등의 경우에는 개인정보의 수집·이용이 가능하도록 허용, 국외이전을 허용하는 다양한 기준과 요건을 설정하여 합리적인 보호와 이전이 조화되도록 규정 마련 등은 우리 법제에도 참조할만한 사항으로 확인
- 모범사례 발굴에 기초하여 특히 글로벌 개인정보 유통 시대의 효과적인 정보주체의 권리보호와 함께 합리적인 유통 허용을 동시에 충족시키기 위하여 개인정보 국외이전에 관한 정보통신망법 개정안을 [부록]에서 제시

(출처 : 요약문 11p)

Abstract ▼

4. Research Results
o Previous legislative efforts in EU
- Some previous legislative efforts like the followings are also analyzed to understand GDPR better: (1) CoE Convention(1981), (2) Data Protection Directive(95/36/EC, 1995), (3) Commission Decision (2001), (4) ePrivacy Directive (200

4. Research Results
o Previous legislative efforts in EU
- Some previous legislative efforts like the followings are also analyzed to understand GDPR better: (1) CoE Convention(1981), (2) Data Protection Directive(95/36/EC, 1995), (3) Commission Decision (2001), (4) ePrivacy Directive (2002), (5) 2012 GDPR First Draft, (6) GDPR amendment by European Parliament, (7) Final GDPR, (8) EU-US Privacy Shield(2016), (8) Google Spain judgment(2014) and Facebook judgment(2015) in Court of Justice)

o Comparative analysis between EU and Korea
- Perform comparative analysis between EU GDPR/Data Protection Directive and Korean Information Telecommunications Network Law
- GDPR’s purpose is protection of natural persons with regard to the processing of personal data and rules relating t o the free movement of personal data
- Basically, GDPR applies to domestic processing of data. However, GDPR also applies to international processing of data on some conditions. For example, it applies to the processing of personal data in the context of the activities of an establishment of a controller or a processor in the Union, regardless of whether the processing takes place in the Union or not

o GDPR sets basic rules and standards on processing of personal data like lawfulness of processing, conditions for consent, Conditions applicable to child's consent in relation to information society services, processing of sensitive data.

o GDPR provides various rights of data subject including right of access by the data subject, right to rectification, right to be forgotten, right to restriction of processing, etc.

o Also GDPR sets some obligations of data controller or processor like notification obligation, data protection by design and by default, etc. And one-stop shop rule is also set for simplification of regulation of personal data in EU

o This report analyzes two monumental judgments of European Court of Justice relating to the right to be forgotten and nullification of EU-US Safe Harbor

(출처 : SUMMARY 16p)

목차 Contents

• 표지 ... 1
• 제출문 ... 3
• 목차 ... 5
• 요약문 ... 9
• SUMMARY ... 15
• CONTENTS ... 18
• 제1장 연구의 목적과 범위 ... 19
• 1. 연구의 목적 및 필요성 ... 19
• 2. 연구의 내용과 범위 ... 20
• 제2장 국내외 환경 및 동향과 연구의 필요성 ... 22
• 제1절 온라인 개인정보보호를 위한 국내외 환경 및 동향 ... 22
• 제2절 온라인 개인정보보호를 위한 국내외의 입법 현황 ... 23
• Ⅰ. 외국의 입법 ... 23
• Ⅱ. 국내의 입법 ... 24
• 제3장 GDPR 이전의 온라인 상의 개인정보보호를 위한 EU의 입법노력 ... 26
• 제1절 CoE(Council of Europe) Convention (1981) ... 26
• Ⅰ. 의의 및 현황 ... 26
• Ⅱ. 2001년 추가부속서(2001 Additional Protocol) ... 27
• 제2절 Data Protection Directive(개인정보보호지침) (95/36/EC, 1995) ... 28
• Ⅰ. 의의 ... 28
• Ⅱ. 적용 범위 및 주요 내용 ... 29
• Ⅲ. 한계 및 GDPR의 도입 ... 31
• 제3절 Commission Decision (2001) ... 31
• Ⅰ. 의의 및 배경 ... 31
• Ⅱ. 구체적 내용 ... 32
• 제4절 E-Privacy Directive (전자프라이버시 지침, 2002) ... 33
• Ⅰ. 의의 및 주요 내용 ... 33
• Ⅱ. 개정 논의 ... 33
• 제4장 GDPR 입법과정에 대한 고찰 ... 35
• 제1절 2012 GDPR(안) ... 35
• Ⅰ. 입법 배경 및 경과 ... 35
• Ⅱ. 주요 내용 ... 36
• 제2절 2013 GDPR(안) ... 56
• Ⅰ. 입법 경과 ... 56
• Ⅱ. 주요 내용 ... 56
• 제3절 GDPR ... 61
• Ⅰ. 입법 성과 ... 61
• Ⅱ. 주요 내용 ... 62
• 제5장 GDPR 입법에 영향을 준 ECJ(유럽사법재판소) 판결 및 EU-US 프라이버시 실드 ... 69
• 제1절 구글 스페인 사건에 대한 EU재판소(CJEU)의 판결 ... 69
• I. 배경 및 사실 관계 ... 69
• II. 주요 내용 ... 71
• 제2절 Schrems 사건에 대한 CJEU의 판결 (2015) ... 74
• I. 배경 및 개괄 ... 74
• II. 주요 내용 ... 77
• 제3절 EU-US 프라이버시 실드(Privacy Shield) (2016) ... 78
• I. 배경 및 논의과정 ... 78
• II. 주요 내용 ... 79
• 제6장 온라인 상의 개인정보보호에 관한 국내법과 EU법제의 비교 ... 84
• 제1절 국내 개인정보보호법체계와 GDPR의 비교 ... 84
• I. 전체 구조 개괄 ... 84
• II. 사항별 조문 비교 및 해석 ... 84
• 제2절 GDPR과 EU개인정보보호지침의 비교 ... 100
• I. 적용 범위 ... 100
• II. 개인정보의 처리 ... 100
• III. (사전적)고지 의무 ... 102
• IV. 정보주체의 권리 ... 103
• V. 개인정보의 역외이전 ... 104
• 제3절 국내개인정보보호법체계와 EU전자프라이버시지침의 비교 ... 105
• I. 전체 구조 개괄 ... 105
• II. 사항별 조문 비교 및 해석 ... 106
• 제4절 시사점 ... 110
• 제7장 GDPR과 국내법제도 비교 및 모범사례를 통한 국내 법제도 개선방안의 도출 ... 112
• 제1절 목적 제한 원칙 ... 112
• Ⅰ. GDPR 상의 목적 제한 원칙 ... 112
• Ⅱ. 우리법과의 비교 ... 113
• Ⅲ. 모범사례 및 시사점 ... 121
• Ⅳ. 정보통신망법 개정안 ... 124
• 제2절 정보의 질 ... 126
• Ⅰ. GDPR 상의 정보의 질 원칙 ... 126
• Ⅱ. 우리법과의 비교 ... 127
• Ⅲ. 모범사례 및 시사점 ... 134
• 제3절 투명성 원칙 ... 135
• Ⅰ. GDPR 상의 투명성 원칙 ... 135
• Ⅱ. 우리법과의 비교 ... 136
• Ⅲ. 모범사례 및 시사점 ... 155
• 제4절 안전성 원칙 ... 158
• Ⅰ. GDPR 상의 안전성 원칙 ... 158
• Ⅱ. 우리법과의 비교 ... 159
• Ⅲ. 모범사례 및 시사점 ... 172
• 제5절 국외이전 ... 174
• Ⅰ. GDPR의 국외이전 규율 ... 174
• Ⅱ. 우리법과의 비교 ... 175
• Ⅲ. 모범사례 및 시사점 ... 176
• Ⅳ. 정보통신망법 개정안 ... 177
• 제6절 재이전 ... 182
• Ⅰ. GDPR의 재이전 규율 ... 182
• Ⅱ. 우리법과의 비교 ... 183
• Ⅲ. 모범사례 및 시사점 ... 184
• Ⅳ. 정보통신망법 개정안 ... 184
• 제7절 프로파일링 ... 187
• Ⅰ. GDPR 상의 프로파일링의 규율 ... 187
• II. 우리법과의 비교 ... 190
• Ⅲ. 모범사례 및 시사점 ... 191
• 제8절 비식별화 ... 193
• Ⅰ. GDPR 상의 비식별화에 대한 규율 ... 193
• II. 우리법과의 비교 ... 196
• Ⅲ. 모범사례 및 시사점 ... 200
• 제8장 결론 ... 202
• 부록. 정보통신망 이용촉진 및 정보보호 등에 관한 법률 개정안 신구대조표 ... 207
• 끝페이지 ... 212