EU GDPR의 분석 및 시사점

가천대학교 법과대학 최경진 교수

NAVER Privacy White Paper

2

목차

요약문 145

1. 머리말 149

2. GDPR 제정 이전의 개인정보보호를 위한 EU의 노력 150

가. CoE Convention 108 150

나. 정보보호지침(95/46/EC) 150

다. US-EU Safe Harbor Framework 151

라. EU-US Privacy Shield Framework 152

마. 개인정보보호를 둘러싼 주요 판결 153

3. General Data Protection Regulation 155

가. GDPR 입법과정 155

나. GDPR 초안 156

다. GDPR 유럽의회 수정안 167

라. GDPR 170

4. 우리 법제에의 시사점 174

가. GDPR과 우리 법제의 비교 174

나. 우리 법제에의 시사점 179

5. 맺음말 182

참고문헌 184

3

요약문

1. 연구 개요

- 개인정보보호 영역에서 세계 경제에 많은 영향을 미치는 미국과의 대척점에 서 있다고 평가받는

EU의 법제화 과정과 그 결과물인 GDPR을 살펴보는 것은 향후 우리 법제가 나아가야 할 방향을

가늠하는 때에 많은 시사점을 줄 수 있음

- 이러한 인식 하에 이 보고서에서는 GDPR이 제정되기 이전의 EU에서의 개인정보보호 규율을 위

한 법제도적인 노력을 살펴보고, GDPR의 입법과정에서의 논의와 최종적인 GDPR의 주요 규정에

대한 소개 및 분석, 이를 바탕으로 한 우리 개인정보보호법제와의 비교와 바람직한 법제 개선을

위한 시사점을 제시하였음

2. GDPR 제정 이전의 개인정보보호를 위한 EU의 노력

● CoE Convention 108

- Convention 108은 협약 당사국에게 이 협약에 따른 기본원칙을 국내법에서 반영하도록 의무를

부여하면서, 그러한 기본원칙으로서 정보의 질에 관한 원칙, 특수 유형의 정보보호(민감정보)에

관한 원칙, 정보보안, 정보주체를 위한 부가적인 세이프가드, 예외 및 제한 설정시 법률유보의 원

칙, 제재 및 구제 등을 규정

- 국가간 정보이전을 보장하기 위한 규정도 두고 있음

- 유럽평의회는 Convention 108의 현대화를 위하여 2013년에 특별위원회를 설치하여 개정작업

을 추진 중

● EU 정보보호지침(95/46/EC)

- 개인정보 수집 및 처리를 위한 원칙으로서 (a) 공정하고 적법한 처리, (b) 수집 목적의 특정성과

정당성, (c) 수집 및 처리의 목적 관련성, (d) 최신 정보의 유지를 위한 합리적인 조치, (e) 개인정

보 보관의 방식과 시간의 적절성 등의 기준을 설정하고 있다(제6조). 이러한 원칙은 최근 입법된

GDPR의 개인정보처리기준에서도 그대로 따르고 있음

- EU 정보보호지침이 콘트롤러(controller)의 개인정보 처리를 적법하게 하는 인정하는 경우로서

는 (a) 정보주체의 명백한(unambiguous) 동의가 있는 경우, (b) 정보주체가 당사자인 계약의 이

행에 필요한 경우, (c) 콘트롤러의 법적 의무 준수에 필요한 경우, (d) 정보주체의 중대한 이익의

보호에 필요한 경우, (e) 공공의 이익을 위해 필요한 경우 등을 규정하고 있다(제7조). 또한 특별한

보호대상으로서 민족 또는 인종적 기원, 정치적 의견, 종교 또는 철학적 신념, 노동조합 회원 자격

4

을 드러내는 개인정보, 건강 또는 성생활에 대한 개인정보와 같은 민감정보에 대한 처리는 원칙적

으로 금지. 예외적으로 정보주체가 명시적(explicit) 동의를 하는 등의 경우에는 개인정보의 처리

가 가능

- 개인정보의 국가간 이전의 경우에 EU 회원국에서 비회원국으로 개인정보를 이전하려고 하는 경

우, 원칙적으로 그 비회원국이 적절한(adequate) 수준의 개인정보 보호를 보장할 경우에만 그 국

외이전이 가능하도록 규정. 이처럼 적절성 평가 기준을 충족해야 하는 것이 기본원칙이지만, 적절

성 평가 기준에 미달하더라도 ‘구속력 있는 기업규칙(Binding Corporate Rules, BCRs)' 등에 따

라 EU 회원국들의 국민의 개인정보를 자유롭게 EU회원국 외로 이전할 수 있는 예외가 인정

● US-EU Safe Harbor Framework

- 미국은 EU 정보보호지침이 정하는 제3국으로의 정보이전에 관한 적절성 기준을 만족시키기 위해

EU와의 사이에서 Safe Harbor 원칙을 설정하여, 이 원칙을 준수하는 미국기업은 EU 정보보호지

침에 따른 적절성을 충족하는 것으로 보아 EU와의 사이에서 개인정보의 국가간 이전을 허용하고

자 US-EU Safe Harbor Framework을 추진

● EU-US Privacy Shield Framework

- Privacy Shield의 세부적인 원칙들은 기존의 Safe Harbor 제도와 비교해서 정보주체의 권리를

확대하고 정보보호를 강화하는 방향으로 제정

- 정보를 관리하는 기업들에게 더 강한 의무를 부과하면서, Privacy Shield 체제에 가입한 기업들이

Privacy Shield 원칙을 준수하지 않을 경우에는 제재 조치를 받게 되고 동시에 Privacy Shield 명

단에서 삭제됨

- 특히 제3자로의 개인정보의 재이전(onward transfer) 요건들을 엄격하게 함

- EU와 미국 사이에 논란이 되었던 EU 회원국 국민의 개인정보에 대한 미국 정보기관의 접근을 규

율하기 위하여 미국정부가 정보에 접근할 경우에 명확한 안전장치를 제공하고 투명성 의무를 이

행할 것을 제시

- 더 나아가 EU 회원국 국민들이 개인정보 침해로 인한 구제를 받을 수 있도록 하였으며, 특히 미

국 상무부 내에 옴부즈맨(ombudsman) 제도를 도입해서 EU 회원국 국민에 대한 정보활동

(national intelligence) 영역에서의 보상 또는 구제 제도를 설치

● 개인정보보호를 둘러싼 주요 판결

- 유럽사법재판소는 잊힐 권리(right to be forgotten)와 관련하여 삭제권을 명확히 하는 판결과

미국과 EU 사이의 Safe Harbor 협정을 무효화 하는 판결을 내림

5

3. EU 일반정보보호규정(General Data Protection Regulation)

● GDPR은 지침(Directive)이 아니라 규정(Regulation)이기 때문에 각국 정부에 의한 별도의 이행

입법이 필요하지 않으며, 2년간의 유예기간을 거쳐 2018년 5월 25일 발효됨

● GDPR은 173개항의 전문과 본문 99개의 조문으로 구성되어 있다. 본문은 총 11개 장으로 구성

● GDPR은 개인정보의 처리와 관련한 자연인의 보호 및 개인정보의 자유로운 이동에 관하여 규정

하는 것을 목적으로 함

● GDPR은 EU 회원국의 정보주체에게 유상이든 무상이든 재화나 용역을 제공하는 활동을 처리하

거나 EU 내에서의 EU 회원국 정보주체의 활동의 모니터링과 관련한 활동을 처리하는 EU 밖의 정

보 콘트롤러나 프로세서에게도 적용됨

● GDPR이 발효되면 EU 회원국의 별도 이행입법 없이도 EU 전역에서 단일 법규정이 적용된다.

GDPR에 따라 회원국은 개인정보 관련 민원을 접수 및 처리하고 행정 제재를 과하기 위한 독립된

감독기구(Supervisory Authority)를 설치하게 되며, 각 회원국의 감독기구는 다른 감독기구와

상호 지원 및 공동 활동을 수행하면서 협력

● 기존의 제29조 작업반(Article 29 Working Party)을 대체하는 유럽정보보호위원회(European

Data Protection Board (EDPB), GDPR 제68조)가 각 감독기구를 조정하는 역할을 수행

● GDPR의 개인정보 보호수준의 강화의 주요 수단 중의 하나는 동의 요건을 강화한 것이다. GDPR

에 따른 유효한 동의는 수집되는 개인정보가 이용되는 목적에 대한 명시적인 동의이어야 함

● GDPR은 정보주체의 권리를 강화하면서 특히 삭제권(잊힐 권리, right to be forgotten)을 규정.

잊힐 권리란 정보주체가 개인정보 처리에 대한 동의를 철회하고 더 이상 합법적인 처리근거가 없

는 경우와 같은 일정 상황 하에서 정보주체가 콘트롤러에서 부당한 지체 없이 해당 정보를 삭제할

것을 요구할 수 있도록 권리로서 인정한 것임

● GDPR은 개인정보를 다른 콘트롤러에게 쉽게 이전할 수 있는 형태로 개인정보를 반환받을 수 있

는 권리를 인정함으로써 소위 ‘정보 이동성(data portability)’을 보장

● GDPR은 국경간 개인정보의 이전을 규율하면서, 국외 이전 허용 근거로서 적절성 결정

(adequacy decision), 적절성 결정이 없는 경우 적절한 안전조치(appropriate safeguards)에

의한 이전, 구속력 있는 기업규칙(binding corporate rules)에 따른 이전을 규정. 제46조 하에서

인정되는 적절한 안전조치의 예로서는 (1) 공공기관 간의 법적으로 구속력 있고 집행가능한 법률

문서, (2) 제47조에 따른 구속력 있는 기업규칙, (3) 집행위원회가 채택한 표준 정보보호 조항, (4)

감독기구가 채택하고 집행위원회가 승인한 표준 정보보호 조항, (5) 제3국에서 적절한 세이프가

드를 적용하는 콘트롤러나 프로세서의 구속력 있고 집행가능한 약정과 함께 제40조에 따른 승인

된 행동강령, (6) 제3국에서 적절한 세이프가드를 적용하는 콘트롤러나 프로세서의 구속력 있고

집행가능한 약정과 함께 제42조에 따른 승인된 인증 체계(approved certification mechanism)

가 있음. 인증의 예로서 유럽정보보호인장(European Data Protection Seal)이 인정됨

6

4. 우리 법제와 비교와 시사점

● 개인정보의 개념

- GDPR이 개인정보의 개념정의를 하고 그 해석의 기준을 제시한 것처럼 개인정보인지 아닌지의

판단은 규범적으로 이루어져야 하고 일반적·객관적인 다양한 요소를 고려하여 사회평균인의 시

각에서 합리적으로 판단하여 개인정보의 범위를 확정할 필요가 있음

- 이러한 판단기준을 법률에 보다 명확히 명시하여 개인정보의 판단표지 내지 요건으로서 ‘식별가

능성’ 외에 ‘합리성’이라는 요건을 추가하는 입법노력도 바람직

● 익명화된 정보 처리의 합리적 허용

- 관련 법률의 개정을 통하여 중간영역에 존재하는 정보, 특히 가명화를 통하여 생성된 정보에 대한

안전조치 등을 통하여 합법적인 처리를 가능하게 하는 형태의 개선이 필요

● 합법적·비침해적 이용의 보장 및 처리기준의 원칙적인 일원화

- GDPR에서 규정하는 것처럼 공익적 목적의 처리 사유를 명문으로 규정하거나 ‘개인정보처리자의

정당한 이익을 달성하기 위하여 필요한 경우로서 명백하게 정보주체의 권리보다 우선하는 경우(

이 경우 개인정보처리자의 정당한 이익과 상당한 관련이 있고 합리적인 범위를 초과하지 아니하

는 경우에 한한다)’를 적극 활용하여 합법적·비침해적 이용을 최대한 보장할 필요가 있음

- 우리 개인정보보호법이나 정보통신망법은 개인정보의 수집·이용과 제공을 구분하여 일부 다른

기준을 설정하고 수집·제공 목적 이외의 처리를 위한 기준도 별도로 설정하고 있지만, 불가피한

경우가 아닌 한 모든 처리에 대하여 원칙적으로 동일한 기준을 설정할 필요가 있음

- 개인정보보호법령을 통하여 정보주체의 권리를 보장하려는 것은 결국 안전한 처리를 통하여 실

현될 수 있고, 반대로 안전한 처리를 하는 이상 개인정보처리자가 개인정보를 합리적으로 활용할

수 있도록 보장하는 것이 바람직

● 우리 국민의 실질적인 개인정보보호를 위한 국외이전 규정 합리화

- GDPR은 개인정보의 역외이전 상황에서도 EU 회원국 국민의 개인정보를 실질적으로 보호하기

위하여 실질적으로 동일한 수준의 법적 보호가 이루어지는 상황 하에서는 개인정보가 국외로 이

전되어 처리될 수 있도록 다양한 법적 근거를 마련하고 있음

- 우리나라는 개인정보의 국외이전에 제한된 기준을 설정하거나 국내와 형식적·실질적으로 완전히

동일한 법준수를 요구함으로써 실제에 있어서는 법을 형해화 할 가능성이 존재

- 해외 개인정보처리자들의 우리 법 준수에 대한 유인도 강화하면서, 실질적으로 국외이전을 통한

개인정보의 처리로부터 우리 국민들을 보호하고, 나아가 우리 국민의 개인정보가 외국에서 오남

용되지 않도록 실질적으로 집행가능한 개인정보 국외이전 체계를 마련할 필요가 있음

7

1. 머리말

최근 몇 년간 개인정보를 이야기하는 사람들은 누구나 빼놓지 않고 언급하는 것이 바로 EU의 GDPR이

다. GDPR의 정식 명칭은 “개인정보의 처리와 관련한 자연인의 보호 및 그 정보의 자유로운 이전과 지

침 95/46/EC를 폐지하는 2016.4.27. 유럽의회 및 유럽이사회의 2016/679 규정”1 이다. 이를 줄여

서 일반정보보호규정(General Data Protection Regulation)이라 한다. GDPR이 주목을 받은 이유는

세계 최대 강대국인 미국의 프라이버시 혹은 개인정보보호 흐름과 대비하여 EU는 다소 상이한 방향으

로 법제도적 규제를 설정해나가고 있다는 점과 함께 EU 회원국 전체에 직접적인 강제력 혹은 규범력

을 가지는 규정(regulation)의 형태로 제정을 추진했다는 점이다. GDPR이 가지는 또 다른 의미는 제

4차 산업혁명으로 대변되는 미래 정보사회가 개인을 둘러싼 다양한 정보의 처리에 기반을 두고 형성·

발전될 수밖에 없기 때문에 개인정보에 대한 법제도적인 접근은 어떤 식으로든 미래 사회의 형성·발전

에 영향을 주게 되고, 미래 사회의 주도권을 가지려는 국가, 사회, 기업 등은 개인정보에 대한 법제도적

인 접근방식의 여하에 따라서 큰 영향을 받을 수 있다는 점이다. 특히나 모든 것이 연결되는 사물인터넷

(Internet of Things) 세상에서는 빅데이터는 일상화되면서 개인과 관련된 정보의 유통이나 처리가 방

대해지게 되고 이러한 개인정보에 대한 규제의 정도에 따라서 관련 산업의 발전은 많은 영향을 받게 된

다. 이런 점에서 EU의 GDPR은 전세계 인터넷 경제에 막강한 영향을 미치고 있는 미국의 글로벌 기업들

에게는 커다란 장애물로 인식될 수도 있는 반면, EU 회원국 내의 개인이나 기업들에게는 GDPR의 보호

하에 개인정보와 관련된 기본적 권리를 보장받거나 EU 역내 시장을 보호할 수 있는 방패막이로 느껴질

수도 있다. 그런데 모든 법규제는 양날의 칼과 같아서 개인정보보호를 통하여 정보주권을 지키고 개인

의 기본적 권리를 보장할 수도 있겠지만 한편으로는 사회·경제의 자유로운 발전을 가로막고 정보 유통

의 자유가 제한될 수도 있다. 개인정보에 대한 규제는 이러한 대립되는 이익의 충돌이 끊임없이 이루어

지고 있는 영역이기 때문에 우리 사회의 발전 과정에서 어떻게 효과적인 규율을 할 것인지는 해결하기

쉽지 않은 문제이다. 이미 개인정보보호에 관한 일반법과 다양한 특별법을 두고 있는 우리나라에서도

충돌하는 이익의 조화를 위한 많은 논의와 함께 끊임 없는 법개선 노력이 이루어지고 있다. 이런 과정에

서 개인정보보호 영역에서 세계 경제에 많은 영향을 미치는 미국과의 대척점에 서 있다고 평가받는 EU

의 법제화 과정과 그 결과물인 GDPR을 살펴보는 것은 향후 우리 법제가 나아가야 할 방향을 가늠하는

때에 많은 시사점을 줄 수 있을 것이다. 이러한 인식 하에 이 하에서는 GDPR이 제정되기 이전의 EU에

서의 개인정보보호 규율을 위한 법제도적인 노력을 살펴보고, GDPR의 입법과정에서의 논의와 최종적

인 GDPR의 주요 규정에 대한 소개 및 분석, 이를 바탕으로 한 우리 개인정보보호법제와의 비교와 바람

직한 법제 개선을 위한 시사점을 제시하겠다.

1 REGULATION (EU) 2016/679 OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL of 27 April 2016 on the

protection of natural persons with regard to the processing of personal data and on the free movement of such

data, and repealing Directive 95/46/EC (General Data Protection Regulation).

8

2. GDPR 제정 이전의 개인정보보호를 위한 EU의 노력2

가. CoE Convention 108

유럽평의회(Council of Europe)는 1981년에 “개인정보의 자동처리와 관련한 개인의 보호에 관한

협약(Convention for the Protection of Individuals with regards to Automatic Processing of

Personal Data)”을 체결하였는데, 이 협약은 통상 ‘Convention 108(CETS No. 108)’이라고 불린다.

Convention 108은 1985년 발효되었는데, 협약의 가입국에게 법적인 구속력을 가진다는 측면에서

주목할 만하다. 이 협약은 이후 EU의 개인정보보호의 이정표가 되었던 1995년 ‘EU 정보보호지침(EU

Data Protection Directive)’의 형성에 중요한 영향을 미치기도 하였다. Convention 108은 47개의

유럽평의회 회원국들 중 터키를 제외한 46개국 국가가 비준을 완료하였다. 한편으로는 유럽평의회 비

회원국들도 가입이 가능하도록 규정하고 있는데 비회원국들 중에서는 우루과이만이 이 조약에 가입하

고 비준을 완료하였다.

Convention 108은 협약 당사국에게 이 협약에 따른 기본원칙을 국내법에서 반영하도록 의무를 부

여하면서, 그러한 기본원칙으로서 정보의 질에 관한 원칙, 특수 유형의 정보보호(민감정보)에 관한 원

칙, 정보보안, 정보주체를 위한 부가적인 세이프가드(safeguard, 안전조치), 예외 및 제한 설정시 법률

유보의 원칙, 제재 및 구제 등을 규정하였다. 아울러 국가간 정보이전을 보장하기 위한 규정도 두고 있

다. 그러나 이러한 규정들은 현재와 같은 고도의 정보처리환경을 고려하지 못한 과거의 상황에 기반

을 둔 것들이었고, 규정들의 주요 내용들은 구체적인 기준을 제시하기 보다는 추상적으로 선언적 내용

을 규정한 측면이 강하였다. 이러한 반성에 기하여 유럽평의회는 Convention 108의 현대화를 위하여

2013년에 특별위원회를 설치하여 개정작업을 추진하고 있다.

나. EU 정보보호지침(95/46/EC)

EU는 회원국 국민의 기본권과 자유를 보호하고 개인정보 처리와 관련한 프라이버시권을 보호하며 EU

회원국 사이에서 개인정보의 자유로운 유통을 촉진하기 위하여, 1995년 10월 24일 “개인 정보의 처리

와 자유로운 유통에 관한 개인정보보호지침(Directive of the European Parliament of individuals

with regard to the processing of personal data and on the free movement of such data,

2 EU의 개인정보보호 규율을 포함하여 국제적인 개인정보보호노력에 대하여는 “[부록] 개인정보보호를 위한 국제적인 법제 발전

과정” 참조. 최경진, “정보법-과거와 현재 – 개인정보 분야를 중심으로”, 한국정보법학회 20주년 기념 세미나 및 총회 자료집,

2016에서 발췌.

9

95/46/EC)”을 채택하였다.3 이 지침은 회원국에 대한 법률의 제·개정을 촉구하면서, 독립된 감독기구

의 의무적 설치 및 자국민의 개인정보 보호와 관련하여 EU 수준으로 적절하게 개인정보를 보호하지 않

는 국가에 대하여 개인정보의 이전을 금지하는 내용 등을 담고 있다.

주요내용을 보면, EU 정보보호지침은 개인정보 수집 및 처리를 위한 원칙으로서 (a) 공정하고 적법

한 처리, (b) 수집 목적의 특정성과 정당성, (c) 수집 및 처리의 목적 관련성, (d) 최신 정보의 유지를 위

한 합리적인 조치, (e) 개인정보 보관의 방식과 시간의 적절성 등의 기준을 설정하고 있다(제6조). 이

러한 원칙은 최근 입법된 GDPR의 개인정보처리기준에서도 그대로 따르고 있다. EU 정보보호지침이

콘트롤러(controller)의 개인정보 처리를 적법하게 하는 인정하는 경우로서는 (a) 정보주체의 명백한

(unambiguous) 동의가 있는 경우, (b) 정보주체가 당사자인 계약의 이행에 필요한 경우, (c) 콘트롤러

의 법적 의무 준수에 필요한 경우, (d) 정보주체의 중대한 이익의 보호에 필요한 경우, (e) 공공의 이익

을 위해 필요한 경우 등을 규정하고 있다(제7조). 또한 특별한 보호대상으로서 민족 또는 인종적 기원,

정치적 의견, 종교 또는 철학적 신념, 노동조합 회원 자격을 드러내는 개인정보, 건강 또는 성생활에 대

한 개인정보와 같은 민감정보에 대한 처리는 원칙적으로 금지한다. 다만, 예외적으로 정보주체가 명시

적(explicit) 동의를 하는 등의 경우에는 개인정보의 처리가 가능하도록 하였다. 한편, 개인정보의 국가

간 이전의 경우에 EU 회원국에서 비회원국으로 개인정보를 이전하려고 하는 경우, 원칙적으로 그 비회

원국이 적절한(adequate) 수준의 개인정보 보호를 보장할 경우에만 그 국외이전이 가능하도록 규정하

였다. 이처럼 적절성 평가 기준을 충족해야 하는 것이 기본원칙이지만, 적절성 평가 기준에 미달하더라

도 ‘구속력 있는 기업규칙(Binding Corporate Rules, BCRs)' 등에 따라 EU 회원국들의 국민의 개인정

보를 자유롭게 EU회원국 외로 이전할 수 있는 예외가 인정된다. 그러나 이러한 EU 정보보호지침은 지

침에 불과하고 각 회원국의 입법을 통하여 비로소 구속력을 가진다는 한계를 가지고 있어서 EU 회원국

전체에 공통적으로 적용되는 규범의 필요성이 논의되었다.

다. US-EU Safe Harbor Framework

미국은 EU 정보보호지침이 정하는 제3국으로의 정보이전에 관한 적절성 기준을 만족시키기 위해 EU

와의 사이에서 Safe Harbor 원칙을 설정하여, 이 원칙을 준수하는 미국기업은 EU 정보보호지침에 따

3 EU 정보보호지침 이후에 온라인 영역에 대한 개인정보보호에 대한 보충적인 규범으로서 “전자프라이버시지침(Directive

2002/58/EC of the European Parliament and of the Council of 12 July 2002 concerning the processing of personal

data and the protection of privacy in the electronic communications sector (Directive on privacy and electronic

communications))”이 2002년 제정되었고, 동 지침은 2009년 개정되었다. 주요내용으로서 전송정보의 파기 및 익명처리 의무

부과, 발신자번호·접속자번호의 표시 및 표시제한, 부가서비스 제공 목적의 위치정보 이용의 제한, 원치 않는 광고성 정보 전송의 제한

등 다양한 개인정보 규율을 담고 있다. 2009년 개정 지침에서는 스팸(spam) 형태의 전송이나 쿠키와 같은 추적(tracking) 기술을

적용하는 경우까지 포함하여, 온라인 영역에서 개인정보를 자동으로 수집하는 경우에 원칙적으로 정보주체의 사전동의(opt-in)를

요구하도록 규정하였다.

10

른 적절성을 충족하는 것으로 보아 EU와의 사이에서 개인정보의 국가간 이전을 허용하고자 US-EU

Safe Harbor Framework을 추진하였다. 미국과 EU간의 Safe Harbor 원칙에 따르면, 미국의 기업

이나 단체가 자발적으로 세이프 하버원칙을 준수하겠다고 미국 상무부에 신고할 경우 적절한 개인정

보 보호조치를 강구하고 있는 것으로 간주하여 EU로부터 정보이전을 계속해서 받을 수 있다. Safe

Harbor 원칙은 고지(Notice: 수집되는 정보가 어떻게 쓰일 것인지에 대해 정보주체에게 알릴 의무), 선

택(Choice: 이전에 대해 opt-out할 기회 부여), 이전(Onward Transfer: 적절한 정보보호원칙을 따르

는 기관에만 이전가능), 접근(Access: 정보에 대한 접근권, 정정권, 삭제권), 안전성(Security: 분실을

막기 위한 합리적인 노력의무), 정보의 무결성(Data Integrity: 수집한 정보는 수집목적에 관련되고 신

뢰할만한 것이어야 함), 집행(Enforcement: 원칙을 집행할 효과적인 수단이 있어야 함)에 관한 총 7

개의 원칙으로 구성되어 있다. 그러나 2015.10. 유럽사법재판소 판결에 의하여 US-EU Safe Harbor

Framework가 무효화되면서 새롭게 EU-US Privacy Shield가 추진되었다.

라. EU-US Privacy Shield Framework

2015. 10. 6. 유럽사법재판소의 무효판결 이후 2016. 2. EU집행위원회와 미국정부 사이에 기존의

Safe Harbor를 대체하는 새로운 개인정보의 국가간 이전 체제에 대하여 정치적 합의가 도출되었다.4

이 합의에 근거해서 EU집행위원회는 Privacy Shield의 초안을 작성한 후 다양한 의견 수렴을 위하여

초안을 공개했다.5 이 공개 후 2016. 4. EU Working Party 29는 Privacy Shield에 대한 의견서를 제

출했고, EU정보보호감독기구(European Data Protection Supervisor)도 관련 의견을 공개했다. 이외

에도 유럽의회(European Parliament)가 2016. 5. Privacy Shield (안)에 대한 결의 (resolution) 절차

를 거치게 되었다. 이와 같은 기관들에서의 의견들을 반영하여 Privacy Shield의 초안에 대한 수정 작

업을 거친 후 이 수정안에 대해서 미국정부와의 합의 과정도 완료되었다. 그 후 EU집행위원회는 2016.

7. 12. Privacy Shield의 최종안을 확정했다.

Privacy Shield의 기본적인 체계는 기존의 Safe Harbor와 유사하다. 즉, Privacy Shield도 자율인증

(self-certify) 체제로 운영된다. 미국에 기반을 둔 조직들이 Privacy Shield 체제에 가입하기 위해서

는 미국 상무부(Department of Commerce)에 신청을 해서 자율인증 절차를 거쳐야 한다.6 Privacy

Shield에의 가입 자체는 기업들의 자율적 판단에 기반을 두고 있지만, 일단 해당 기업이 자율인증을 해

서 Privacy Shield 체제의 원칙들을 준수할 것을 공표를 한 이후에는 미국의 국내법에 의해서 이런 준

수에 대해 집행을 강제할 수 있다. 그러나 Privacy Shield의 세부적인 원칙들은 기존의 Safe Harbor 제

4 EU-U.S. Privacy Shield(IP/16/216).

5 European Commission, <http://europa.eu/rapid/press-release_IP-16-2461_en.htm> (last visited November 30,

2016)

6 Department of Commerce, https://www.privacyshield.gov/Program-Overview (last visited November 30, 2016)

11

도와 비교해서 정보주체의 권리를 확대하고 정보보호를 강화하는 방향으로 제정되었다. 정보를 관리하

는 기업들에게 더 강한 의무를 부과하면서, Privacy Shield 체제에 가입한 기업들이 Privacy Shield 원

칙을 준수하지 않을 경우에는 제재 조치를 받게 되고 동시에 Privacy Shield 명단에서 삭제가 된다. 특

히 제3자로의 개인정보의 재이전(onward transfer) 요건들을 엄격하게 하였다.

또한 EU와 미국 사이에 논란이 되었던 EU 회원국 국민의 개인정보에 대한 미국 정보기관의 접근을 규

율하기 위하여 미국정부가 정보에 접근할 경우에 명확한 안전장치를 제공하고 투명성 의무를 이행할

것을 제시하였다. 더 나아가 EU 회원국 국민들이 개인정보 침해로 인한 구제를 받을 수 있도록 하였으

며, 특히 미국 상무부 내에 옴부즈맨(ombudsman) 제도를 도입해서 EU 회원국 국민에 대한 정보활동

(national intelligence) 영역에서의 보상 또는 구제 제도를 설치했다.7

마. 개인정보보호를 둘러싼 주요 판결

유럽사법재판소는 개인정보보호를 위한 많은 판결을 내렸지만, 특히 그 중에서도 개인정보보호에 있어

서 큰 영향을 미친 전환점이 된 2개의 판결이 있다. 하나는 잊힐 권리(right to be forgotten)와 관련된

것이고 다른 하나는 미국과 EU 사이의 Safe Harbor 협정에 관한 것이었다.

1) 구글 사건 판결

스페인 변호사인 곤잘레스와 구글 사이에서 소위 ‘잊힐 권리(right to be forgotten)’8 를 둘러싸고

벌어진 소송에서 유럽사법재판소는 EU 정보보호지침에 따라서 정보주체와 개인적으로 관련된 해

당 정보가 정보주체의 이름과 연계한 검색결과에서 더 이상 그 이름과 연결되지 말아야 한다는 권리

를 정보주체가 보유하는가를 검토하여야 한다고 판시하였다. 반면, 검색결과에 해당 정보가 포함됨

으로써 정보주체에게 해가 되는지를 판단할 필요는 없다고 하였다. 유럽연합 기본권헌장 제7조 및

제8조에 따른 기본권적 측면에서 정보주체는 해당 정보가 검색결과에 포함되어 더 이상 일반에 공개

되지 않도록 요청할 수 있기 때문에 원칙적으로 정보주체의 그러한 권리는 검색엔진 운영자의 경제

적 이익만 존재하는 경우에는 그보다 우월하며, 정보주체의 이름과 관련한 검색에 나타나는 정보에

접근할 일반 공중의 이익보다도 앞선다는 것이다. 다만, 특별한 경우로서 예를 들면, 정보주체의 공

인으로서의 역할과 같이 검색 결과에 포함되어 일반에 공개되는 정보에 접근하는 공중의 우월한 이

익에 의해서 정보주체의 기본권에 대한 간섭이 정당화되는 경우에는 예외가 인정된다고 한다. 결과

적으로 유럽사법재판소는, 정보주체의 이름과 사회보장채무 집행을 위한 압류소송과 관련된 부동산

7 European Commission, 'Guide to the Privacy Shield'(pdf) (2016).

8 Case C-131/12, Google Spain SL, Google Inc. v Agencia Espanola de Proteccion de Datos (AEPD), Mario Costeja

Gonzalez (May 13, 2014).

12

경매가 언급된 일간신문의 온라인 기사 페이지로의 링크가 검색결과에 나타난 본 사건에서, 해당 정

보가 최초로 공개된 것이 16년 전이었고 그에 포함된 정보의 사생활에 대한 민감성을 고려할 때에

정보주체는 검색결과에 의하여 해당 정보가 자신의 이름과 더 이상 연결되지 않도록 할 권리를 가진

다고 판단하였다. 이 판결은 이후 GDPR에서의 삭제권 혹은 잊힐 권리를 규정하는데에도 큰 영향을

미쳤다.

2) 페이스북 사건 판결

2008년부터 페이스북(Facebook) 이용자였던 Maximillian Schrems이라는 오스트리아 시민이 페

이스북에 제공했던 개인정보가 페이스북 아일랜드 자회사로부터 미국에 있는 서버로 이전되어 처리

되었는데, 미국 정보기관(NSA)가 미국 스노든 사건에서 드러난 사실관계를 바탕으로 미국의 법과

실무가 미국으로 이전된 정보의 공적 기관에 의한 감시에 대한 충분한 보호를 제공하지 못한다고 주

장하면서 아일랜드 정보보호청에 청원을 제기하였다. 아일랜드 감독기구는 2000년 7월 26일 EU

위원회가 미국 상부부와 적절한 보호 수준을 제공하기 위한 자발적인 체계를 구축하기 위하여 세이

프 하버 협정9 을 체결하여 시행되고 있다는 점을 근거로 그 청원을 거부하였다. 이 세이프 하버 협정

에 의하여 소송 당시까지 4,000개 이상의 미국 기업들이 EU로부터 미국으로 개인정보를 이전할 수

있었다. 그런데 2015.10.6. 유럽사법재판소가 지난 15년 가까이 유지해 온 세이프 하버 협정을 무

효화하는 판결을 선고한 것이다.10 판결의 핵심 내용은 EU 정보보호지침 하에서 요구되는 적절한 개

인정보보호 수준이 세이프 하버 체계 하에서 충족되지 못한다는 것이다. 그 이유는 미국 정보기관에

의하여 미국으로 전송되는 EU 회원국 국민의 개인정보에 대한 접근이 특히 세이프 하버 협정에 대한

문언적 검토에 비추어 세이프 하버 협정이 엄격하게 필수적이고 필요한 범위를 초과하여 미국 집행

당국의 개인정보에 대한 접근을 허용한다는 점에서 유럽 기본권 헌장에 의하여 보장되는 사생활의

자유와 권리 및 개인정보보호에 대한 권리를 침해한다는 것이고, 미국의 감청이나 감시와 관련하여

유럽시민이 질의하는 경우에 적절한 회신을 받을 수 없는 상황은 유럽 기본권 헌장에 의하여 보호되

는 효과적인 침해 제거 및 구제에 대한 유럽 시민의 권리가 침해되는 것에 상응한다는 것이다. 이 판

결은 GDPR과 함께 미국과 EU 사이에 새로운 Privacy Shield 타결의 전기가 되었다.

9 2000/520/EC: Commission Decision of 26 July 2000 pursuant to Directive 95/46/EC of the European Parliament

and of the Council.

10 C-362/14, Maximillian Schrems v Data Protection Commissioner.

13

3. EU 일반정보보호규정(General Data Protection Regulation)

가. GDPR 입법 과정

EU는 회원국 국민의 기본권과 자유를 보호하고 개인정보 처리와 관련한 프라이버시권을 보호하며

EU 회원국 간의 개인정보의 자유로운 유통을 촉진하기 위하여 1995년 10월 24일 EU 정보보호지침

을 제정하였다. 이러한 EU 정보보호지침이 현재까지 EU 역내에서 개인정보의 처리에 관한 중요한 지

침으로 작용하고 있지만, EU 회원국에 대하여 직접적인 강제력을 가지거나 직접 적용될 수 없는 지

침(directive)의 형태로 되어 있어서 각국은 국내법에 따라 서로 상이한 보호수준을 채택하여 회원국

간 불균형이 발생하였다. 또한 인터넷을 통한 개인정보의 유통으로부터 개인을 보호할 필요성도 더

욱 강조되었다. 결국, 인터넷 상에서의 개인정보 처리의 중요성 및 EU 회원국 내의 단일한 규율체계 정

비의 필요성 등을 바탕으로 하여 2011년 7월 6일 유럽의회(European Parliament)가 “유럽연합에

서의 개인정보보호에 관한 종합적 접근”을 의결하면서 입법이 가시화되기 시작하였다.11 이후 EU 역

내의 강화된 단일 개인정보보호 입법을 목표로 2012년 1월 25일에 GDPR 초안 및 “형사범죄의 예

방, 수사, 기소 또는 형 집행 및 그 정보의 자유로운 이동을 위한 관할 관청에 의한 개인정보의 처리

와 관련한 개인의 보호에 관한 유럽 의회 및 유럽 이사회 지침안(Proposal for a DIRECTIVE OF THE

EUROPEAN PARLIAMENT AND OF THE COUNCIL on the protection of individuals with regard

to the processing of personal data by competent authorities for the purposes of prevention,

investigation, detection or prosecution of criminal offences or the execution of criminal

penalties, and the free movement of such data)”이 발표되면서 입법이 구체화 되었다. EU 차원의

개인정보보호를 위한 입법 노력은 1995년 EU가 EU 정보보호지침을 제정한 이후 16년여 만이다. 더

욱이 이번 발표에서 주목할 만 한 점은 지침의 전면개정에 머무르지 않고 EU 회원국의 국내에 직접 법

적 효과가 발생하는 ‘Regulation’의 형태로 추진된다는 점이다. EU 법체계 하에서 ‘Regulation’은 EU

전체에 직접 적용되는 매우 강력한 규범이고, ‘Regulation’이 발효되면 회원국의 국내법에 우선하여 적

용된다. 따라서 회원국은 국내법을 EU 규정에 일치시키는 입법을 하거나 기존 법을 개정하여야 한다.

규정안이 발효되려면 27개 회원국 정부 대표로 구성된 유럽 이사회와 유럽 의회의 승인을 받아야 한다.

최초 GDPR 초안이 제안되었을 때에는 2014년 발효를 목표로 하였지만, 2013년에 유럽의회를 통과

할 때까지 4,000개 이상의 수정안 및 수정의견이 제시되었을 정도로 많은 논란과 논의가 진행되어 실

제 입법이 완료될 때까지 많은 어려움이 있을 것으로 예상되었다. 그런데 스노든(Edward Snowden)

사건을 전기로 하여 EU 역외, 특히 외국 국가기관에 의하여 처리되는 EU 회원국 국민의 개인정보보

11 European Parliament resolution of 6 July 2011 on a comprehensive approach on personal data protection in the

European Union(2011/2025(INI)) 16.

14

호의 강화 논의가 촉발되었고 결국 2013년 10월 22일에 유럽의회를 통과하였다. 그리고 2014년 유

럽 선거 이전에 최종 통과를 목표로 하였지만, 2013년 10월 25일에 유럽 이사회는 최종 기한을 2014

년이 아닌 2015년으로 수정하여 향후 일정을 최종 확정하였다.12 이후 2016년 4월 27일에 당초 제

안되었던 규정안과 지침안이 GDPR 및 “형사범죄의 예방, 수사, 기소 또는 형 집행을 위한 관할 관청

에 의한 개인정보의 처리와 관련한 자연인의 보호 및 그 정보의 자유로운 이동에 관한 유럽 의회 및 유

럽 이사회 지침(Directive (EU) 2016/680 of the European Parliament and of the Council of 27

April 2016 on the protection of natural persons with regard to the processing of personal

data by competent authorities for the purposes of the prevention, investigation, detection

or prosecution of criminal offences or the execution of criminal penalties, and on the free

movement of such data, and repealing Council Framework Decision 2008/977/JHA)”으로 각

각 입법되었다. GDPR은 지침(Directive)이 아니라 규정(Regulation)이기 때문에 각국 정부에 의한 별

도의 이행 입법이 필요하지 않으며, 2년간의 유예기간을 거쳐 2018년 5월 25일 발효된다.

나. GDPR 초안

1) GDPR 초안의 목적

GDPR 초안은 개인정보의 처리와 관련된 개인의 보호 및 개인정보의 자유로운 이동에 관하여 규율

함을 목표로 하였다(제1조 제1항). GDPR 초안은 자연인의 기본적 권리와 자유, 특히 개인정보보호

에 대한 권리를 보호한다(제1조 제2항). 또한 개인정보의 처리와 관련하여 개인의 보호를 이유로 유

럽연합 내에서의 개인정보의 자유로운 이동이 제한되거나 금지되어서는 안 된다고 선언하고 있다(

제1조 제3항).

2) 적용범위

① 물적 범위

GDPR 초안은 개인정보 파일링 시스템(filling system)의 개념을 활용하여 파일링 시스템의 일부

이거나 일부를 이룰 의도가 있는 개인정보에 대하여 적용되며, 자동화 여부는 불문한다(제2조 제1

항). 다만, (a) 유럽연합 법률의 범위를 벗어나는, 특히 국가 안보와 관련된 활동 과정에서 이루어진

개인정보 처리의 경우, (b) 유럽연합 기관, 기구, 관청 등에 의한 처리, (c) 유럽연합조약(Treaty on

European Union) 제2장의 범위를 벗어나는 활동을 하는 회원국에 의한 처리, (d) 개인적 활동 또는

가정 활동 과정에서 영리 목적이 아닌 자연인에 의한 처리, (e) 범죄 행위의 예방, 조사, 수사, 기소 또

는 형사 처벌의 집행을 위한 주무기관에 의한 처리에 대하여는 적용되지 않는다(제2조 제2항). 아울

12 EUCO 169/13.

15

러 “역내 시장에서 정보사회서비스, 특히 전자상거래의 법적 측면에 관한 유럽 의회 및 이사회 지침(

전자상거래 지침)(Directive 2000/31/EC of the European Parliament and of the Council of 8

June 2000 on certain legal aspects of information society services, in particular electronic

commerce, in the Internal Market ('Directive on electronic commerce'))” 제12조부터 15조까

지에서 규정된 매개적 서비스 제공자(intermediary service provider)의 책임에 관한 규정의 적용

을 배제하지 않아야 한다(제2조 제3항).

② 장소적 범위

기본적으로 GDPR 초안은 유럽연합 내의 콘트롤러(controller)나 프로세서(processor)의 활동에 따

른 개인정보의 처리에 적용된다(제3조 제1항). 그러나 유럽연합 내에 설립되지 않은 콘트롤러라고

하더라도 유럽연합 내에 거주하는 정보주체의 개인정보를 처리하는 경우에는 GDPR 초안이 적용된

다(제3조 제2항). 즉, (a) 유럽연합 내에서 이들 정보주체에게 재화나 용역을 제공하는 경우나 (b) 정

보주체의 행동을 감시(monitoring)하는 경우에는 GDPR 초안이 적용된다. 나아가 유럽연합 내에 설

립되지 않았더라도 국제사법에 의해 회원국의 국내법이 적용되는 곳에 설립된 콘트롤러의 개인정보

처리에도 적용된다(제3조 제3항).

3) 개인정보처리의 기준

① 기본원칙

GDPR 초안은 6가지 개인정보처리의 기준을 선언하였다(제5조). 즉, (a) 정보주체와 관련하여 합법

적으로, 공정하게 그리고 투명한 방식으로 처리되어야 한다. (b) 구체적, 명시적, 합법적 목적을 위

해 수집되어야 하고, 이러한 목적에 배치되게 처리되어서는 안 된다. (c) 처리되는 목적에 맞게 적절

하고, 타당하고, 최소한의 필요에 맞게 제한되어야 하며, 개인정보를 포함하고 있지 않은 정보를 처

리함으로써 목적이 충족될 수 없는 경우에만 처리되어야 한다. (d) 정확하고 최신 정보여야 하며, 처

리되는 목적과 관련하여 부정확한 개인정보를 즉시 삭제하거나 수정한다는 것을 보증하기 위해 적

절한 조치가 취해져야 한다. (e) 개인정보가 처리되는 목적을 위하여 필요한 범위 내에서 정보주체가

확인할 수 있는 형태로 보관되어야 한다. 한편, 개인정보는 제83조의 규정에 따라 역사, 통계, 과학

연구 목적으로만 처리되어야 할 때에는 개인정보의 계속 보관의 필요성을 정기적으로 평가하는 한

더 오랜 기간 동안 보관될 수 있다. (f) GDPR 초안의 준수를 보증하고 증명하여야 하는 콘트롤러의

책임 하에 개인정보는 처리되어야 한다.

② 처리의 적법성

개인정보의 처리는 (a) 정보주체가 하나 이상의 구체적인 목적을 위해 자신의 개인정보 처리에 동의

를 하는 경우, (b) 정보주체가 계약 당사자인 계약의 이행을 위해 또는 계약 체결 전 정보주체의 요청

16

에 따라 조치를 취하기 위해 개인정보 처리가 필요한 경우, (c) 콘트롤러가 법적 의무를 준수하기 위

하여 필요한 경우, (d) 정보주체의 주요 이익을 보호하기 위해 필요한 경우, (e) 공공의 이익을 위해

필요하거나 또는 콘트롤러에게 부여된 공적 권한의 행사를 위해 필요한 경우, (f) 개인정보의 보호가

필요한 정보주체, 특히 정보주체가 어린이인 경우로서 그 정보주체의 이익 또는 기본적 권리와 자유

가 우선되는 때를 제외하고, 콘트롤러가 추구하는 적법한 이익의 목적에 부합하는 경우(공공기관이

그 업무의 수행 과정에서 개인정보를 처리하는 경우에는 적용되지 않음)에는 적법하다(제6조 제2

항). (c)와 (e)에 따라 처리하는 경우에 근거가 되는 법은 유럽연합이나 각 회원국의 법을 의미한다(제

6조 제3항).

한편, 역사, 통계, 과학 연구 목적으로 개인정보의 처리가 필요한 경우 제83조에서 규정한 조건 및 세

이프가드(safeguards)에 따라 개인정보를 처리하는 경우에는 적법하다(제6조 제2항).

③ 동의 요건

콘트롤러는 정보주체의 동의에 대한 입증책임을 부담한다(제7조 제1항). 다른 사항과 함께 동의가

요구될 때에는 동의 요건은 다른 사항으로부터 외관상 구분될 수 있도록 제시되어야 한다(제7조 제2

항). 정보주체는 자신의 동의를 언제든지 철회할 수 있으며, 동의의 철회로 인해서 철회 전 동의에 기

초하여 처리한 사항의 적법성이 영향을 받지 않는다(제7조 제3항). 정보주체와 콘트롤러 사이에서

심각한 불일치가 존재하는 경우에는 동의를 처리에 대한 법적 기초로 삼을 수 없다(제7조 제4항).

④ 아동의 개인정보의 처리

GDPR 초안에 의하면, 13세 미만 아동의 개인정보 처리는 아동의 부모나 보호자가 동의하거나 승인

하는 경우에만 적법하다(제8조 제1항). 콘트롤러는 적용 가능한 기술을 고려하여, 입증할 수 있는 동

의를 얻기 위한 합리적인 노력을 해야 한다(제8조 제1항). 다만, 이러한 규정이 아동과 관련된 계약

의 유효성, 성립, 효과 등에 대하여 규정하는 회원국의 일반 계약법에는 영향을 미치지 않는다(제8조

제2항).

⑤ 특별한 범주의 개인정보 처리

소위 ‘민감정보(sensitive data)’라고 불리는 특별한 범주의 개인정보의 범위를 유전정보나 형사 판

결 또는 보안처분 관련 정보까지 확대하여 원칙적으로 그러한 정보의 처리를 금지하고 있다. 즉, 인

종, 출신 민족, 정치적 견해, 종교 및 신념, 노동조합 가입 여부, 유전정보, 건강이나 성생활 정보, 형사

판결 또는 보안 처분과 관련된 개인정보의 처리는 금지된다(제9조 제1항). 다만, 정보주체가 동의한

경우, 법률에 따른 권리의 행사와 의무의 이행을 위하여 필요한 경우, 정보주체가 물리적 또는 법률

적으로 동의를 할 수 없는 경우로서 정보주체나 제3자의 중요한 이익을 보호하기 위해 필요한 경우,

정보주체가 명백히 공개한 개인정보를 처리하는 경우 등 일정한 예외가 인정된다(제9조 제2항).

17

4) 정보주체의 권리

기존의 EU 정보보호지침은 정보주체의 권리에 관하여 접근권(제12조), 거부권(제14조), 자동화된

결정에 대한 거부권(제15조)만을 규정하였지만, GDPR 초안은 정보주체의 권리를 하나의 장으로 편

성하여 일반적 측면에서 투명성(제11조)을 선언하고, 정보주체의 권리를 실행할 절차와 체계(제12

조) 및 콘트롤러로부터 개인정보를 제공받은 자와 관련한 권리(제13조)를 규정한 후, 개별적 권리로

서 콘트롤러의 정보제공 의무(제14조), 접근권(제15조), 정정권(제16조), 잊힐 권리 및 삭제권(제17

조), 정보이동성에 관한 권리(제18조), 거부권(제19조), 프로파일링(profiling)과 관련된 권리(제20

조)를 규정하여 정보주체의 권리를 대폭 강화하였다. 이하에서는 주요 사항을 간략하게 소개한다.

① 투명성

콘트롤러는 개인정보의 처리와 관련하여 그리고 정보주체의 권리 행사를 위해, 투명하고 쉽게 접근

할 수 있는 정책을 갖추어야 한다(제11조 제1항). 콘트롤러는 개인정보의 처리와 관련된 정보, 특히

아동에게 전달되는 정보의 경우에 해당 정보주체에게 적합하게 명확한 보통어를 사용하여 알기 쉬

운 형태로 정보를 제공하거나 의사소통하여야 한다(제11조 제2항).

② 정보주체의 권리 행사를 위한 절차 및 체계

콘트롤러는 정보주체의 권리행사를 위한 절차를 정하여야 하며, 개인정보가 자동화된 수단에 의해

처리되는 경우에는 콘트롤러는 요청이 전자적으로 처리될 수 있는 수단을 제공해야 한다(제12조 제

1항). 콘트롤러는 요청을 받은 날로부터 1개월 이내에 지체 없이 정보주체에게 조치 여부를 알려야

한다(제12조 제2항). 콘트롤러가 정보주체가 요청한 조치를 거절하는 경우, 이와 관련하여 콘트롤러

는 거절 사유와 함께 감독기관에 민원을 제출하는 방법이나 법률적으로 구제받을 수 있는 방법을 정

보주체에게 알려야 한다(제12조 제3항). 정보주체의 요청에 따른 정보제공 및 조치는 무료로 제공되

어야 하지만, 요청이 명백하게 과도한 경우, 특히 계속 반복되는 경우에 콘트롤러는 요청 받은 정보

제공이나 조치에 대해 수수료를 부과하거나 요청 받은 조치를 취하지 않을 수 있다(제12조 제4항).

다만, 콘트롤러는 요청이 명백히 과도하다는 것을 입증할 책임을 부담해야 한다.

③ 정보제공의무

콘트롤러가 개인정보 수집 시 정보주체에게 제공하여야 하는 정보는 콘트롤러 및 콘트롤러의 대리

인 및 정보보호책임자(data protection officer)의 신원 및 상세 연락처, 개인정보의 처리 목적, 개인

정보의 보관 기간, 정보주체와 관련된 개인정보의 접근 및 수정 또는 삭제를 요청하거나 이러한 개인

정보의 처리를 반대할 수 있는 권리의 존재 여부, 감독기관에게 불만 사항을 제기할 수 있는 권리와

감독기관의 상세 연락처 정보, 개인정보를 제공받는 제3자 또는 범주, 개인정보의 국외이전, 개인정

보가 수집되는 특수한 상황과 관련하여 정보주체와 관련된 개인정보의 공정한 처리를 보증하기 위

18

해 필요한 추가 정보이다(제14조 제1항).

한편, 개인정보가 정보주체로부터 수집되지 않는 경우 콘트롤러는 기본적인 제공 정보 외에 개인정

보를 어디에서 수집하였는지를 정보주체에게 알려야 한다(제14조 제3항).

그러나 이와 같은 정보제공의무는 (a) 정보주체가 이미 해당 정보를 가지고 있는 경우, (b) 개인정보

가 정보주체로부터 수집되지 않은 경우로서 그러한 정보의 제공이 불가능하거나 불필요한 경우, (c)

개인정보가 정보주체로부터 수집되지 않은 경우로서 법률에서 기록이나 공개를 규정하는 경우, (d)

개인정보가 정보주체로부터 수집되지 않은 경우로서 그러한 정보의 제공이 제21조에 따른 유럽연

합 또는 회원국 법률에서 규정한 제3자의 권리나 자유를 해치는 경우에는 적용되지 않는다(제14조

제5항).

④ 잊힐 권리 및 삭제권

GDPR 초안의 내용 중에서 국제적으로 큰 반향을 불러 일으킨 사항이 제17조에 규정된 잊힐 권리이

다.13 이에 의하면, 정보주체는 콘트롤러를 상대로 자신과 관련된 개인정보의 삭제권 및 확산 중지권

(abstention from further dissemination)을 보유한다(제17조 제1항). 특히, 아동인 정보주체의

개인정보에 대하여 그러한 권리가 보장되어야 한다. 다만, 이러한 권리가 인정되기 위해서는 (a) 해

당 개인정보가 수집되거나 처리되는 목적에 더 이상 부합하지 않는 경우, (b) 해당 개인정보를 처리

할 수 있는 법적 근거가 없는 경우로서 제6조 제1항 (a)에 따라 이루어지는 처리에 대한 동의를 철회

하거나 동의한 보관 기간이 만료된 경우, (c) 정보주체가 제19조에 따라 해당 개인정보의 처리에 반

대하는 경우, (d) 다른 이유로 인하여 해당 개인정보의 처리가 GDPR(안)을 준수하지 못하는 경우이

어야 한다(제17조 제1항). 이처럼 잊힐 권리가 인정되면 콘트롤러는 개인정보를 지체 없이(without

delay) 삭제하여야 한다(제17조 제3항).

나아가 GDPR 초안은 콘트롤러가 개인정보를 공개한 경우에 콘트롤러는 공개에 대하여 책임있는 개

인정보와 관련하여 기술적 조치를 포함하여 그 개인정보를 처리하는 제3자에게 정보주체가 그들에

게 그 개인정보의 링크, 사본을 삭제할 것을 요청한다는 점을 알리기 위한 모든 합리적인 조치를 취

하여야 한다(제17조 제2항). 콘트롤러가 제3자에게 개인정보의 공개를 허용하였다면, 그 콘트롤러

는 그 공개에 대하여 책임 있는 것으로 보아야 한다(제17조 제2항).

그러나 잊힐 권리에 대한 예외도 인정된다. 즉, (a) 제80조에 따라 표현의 자유에 대한 권리를 행사하

는 경우, (b) 제81조에 따라 공공 보건 부문에서 공익을 위한 경우, (c) 제83조에 따라 역사, 통계, 과

학 연구 목적으로 필요한 경우, (d) 유럽연합 또는 콘트롤러가 속한 회원국의 법률에 의해 개인정보

를 보관해야 하는 법적 의무를 준수해야 하는 경우(이 경우에 회원국 법률은 공공의 이익을 위한 목

13 잊힐 권리는 GDPR 초안에서 상세히 규정하고 있고, 우리나라를 비롯한 각국에서 많은 논란을 불러일으킨 사항이지만, 이 글에서는

지면의 한계로 인하여 간략하게 주요 내용만을 소개한다. 잊힐 권리의 상세한 내용과 우리법과의 비교에 대하여는 최경진, “잊혀질

권리 - 개인정보 관점에서”, 「정보법학 제16권 제2호」, 2012, 97-120면.

19

적을 충족하고, 개인정보의 보호를 위한 권리를 존중하고, 추구하는 합법적 목적에 적합해야 한다),

(e) 제17조 제4항에 따라 콘트롤러가 개인정보의 처리를 제한해야 하는 경우에는 예외적으로 개인

정보를 보유할 수 있다(제17조 제3항).

⑤ 정보 이동성에 관한 권리

개인정보가 전자적 수단 및 구조화되고 일반적으로 이용되는 형식으로 처리되는 경우에 정보주체는

일반적으로 이용되고 추후에 정보주체가 이용할 수 있는 전자적이고 구조화된 형식으로 처리되고

있는 정보의 사본을 얻을 권리를 가진다(제18조 제1항).

⑥ 거부권

콘트롤러가 정보주체의 이익이나 기본적 권리와 자유에 우선하는 적법한 처리 근거를 제시하지 않

는 한, 정보주체는 자신의 특정한 상황과 관련된 기준에 따라 언제든지 제6조 (1)항의 (d), (e) 및 (f)

에서 규정한 개인정보의 처리에를 거부할 수 있는 권리를 갖는다(제19조 제1항). 개인정보가 다이렉

트 마케팅(direct marketing)을 위해 처리되는 경우에 정보주체는 무료로 자신의 개인정보가 이러

한 마케팅을 위해 처리되는 것에 반대할 권리를 가지며, 이러한 권리는 이해하기 쉬운 방식으로 정보

주체에게 분명하게 제공되어야 하고 다른 정보와 뚜렷이 구별되어야 한다(제19조 제2항). 이처럼 거

부 또는 반대가 인정되는 경우에 콘트롤러는 해당 개인정보를 더 이상 이용 또는 처리할 수 없다(제

19조 제3항).

⑦ 프로파일링과 관련된 권리

GDPR 초안은 최근의 새로운 트렌드인 빅데이터(Big Data)를 고려하여 프로파일링과 관련된 규정

을 두고 있다. 즉, 자연인과 관련된 개인적 측면을 평가하거나 특히 업무, 경제적 상황, 지역, 건강, 개

인적 취향, 신뢰성 또는 태도에서 자연인의 행동을 분석하거나 예측할 의도를 가진 자동화된 처리에

만 기초하고 자연인과 관련된 법적 효과를 야기하거나 자연인에게 중대한 영향을 미치는 조치에 따

르지 않을 권리를 가진다(제20조 제1항). 다만, 정보주체의 적법한 이익을 보호해주는 적합한 기준

이 제공되거나 정보주체에 의한 계약 체결 또는 이행의 요청이 충족되는 경우에 계약 체결 또는 이행

과정에서 처리되는 경우, 정보주체의 합법적 이익을 보장하기에 적합한 기준을 규정한 EU 또는 회원

국의 법률에 의하여 명시적으로 승인되어 처리되는 경우, 제7조의 동의 요건과 적합한 세이프가드

하에서 정보주체의 동의에 기초하여 처리되는 경우에는 프로파일링이 예외적으로 허용된다(제20조

제2항). 이러한 프로파일링 거부권 선언과 함께 GDPR 초안은 자연인과 관련된 일정한 인적 특성을

평가하기 위한 자동화된 처리는 제9조에 규정된 특정 범주의 개인정보에만 의존하지 말아야 한다고

하여 민감정보에만 기초한 자동화된 처리의 제한을 규정하였다(제20조 제3항). 동시에 콘트롤러는

정보제공의무의 일부로서 프로파일링 조치에 의한 개인정보처리의 사실 및 그러한 처리로 인하여

20

정보주체에게 예상되는 영향에 관하여 정보를 제공하여야 한다(제20조 제4항).

5) 제한

GDPR 초안은 개인정보에 관한 권리와 의무의 범위를 입법적 조치에 의하여 제한할 수 있도록 규정

하였다(제21조 제1항). 다만, 그러한 제한은 (a) 공공의 안녕, (b) 범죄의 예방, 조사, 수사, 기소, (c)

유럽연합 또는 회원국의 공익, 특히 금융, 예산, 조세 문제 및 시장의 안정을 포함한 유럽연합 또는 회

원국의 주요 금융 또는 재정적 이익, (d) 규제직종(regulated professions)의 윤리 위반의 예방, 조

사, 수사, 기소, (e) (a)~(d)에 관한 공식적인 권한 행사와 관련된 감독, 조사 또는 규제 작용, (f) 정보

주체나 제3자의 권리 및 자유의 보호를 확보하기 위하여 민주 사회에서 필요하고 적절한 수단인 경

우이어야 한다(제21조 제1항).

6) 콘트롤러와 프로세서

① Data protection by design and by default

기술 수준 및 실행 비용을 고려하여, 콘트롤러는 개인정보의 처리 수단을 결정할 때 및 개인정보를

처리할 때에 해당 처리가 GDPR 초안의 요건을 충족하고 정보주체의 권리보호를 확보하는 방식으로

적절한 기술적 및 관리적 조치와 절차(appropriate technical and organisational measures and

procedures)를 이행하여야 한다(제23조 제1항). 또한 콘트롤러는 기본적으로(by default) 정보의

양 및 보관 시간의 양 측면에서 목적에 필요한 최소한의 범위를 넘어 개인정보가 수집되거나 보유되

지 않도록 하고, 개인정보가 각각의 특정한 처리목적을 위하여 필요하도록 처리되도록 하기 위한 메

커니즘을 이행하여야 한다(제23조 제2항).

② 공동 콘트롤러

콘트롤러가 제3자와 함께 개인정보 처리 목적, 조건, 수단을 결정하는 경우, 공동 콘트롤러는 각각

GDPR 초안에 따른 의무, 특히 이들 사이의 협정에 따라 정보주체의 권리를 행사하는데 필요한 절차

및 조치에 대한 의무를 준수해야 하는 책임을 가진다(제24조).

③ 유럽연합 내에 설립되지 않은 콘트롤러의 대리인

유럽연합 내에 설립되지 않은 콘트롤러가 제3조 제2항을 적용받는 경우에 해당 콘트롤러는 유럽연

합 내에 대리인을 지정해야 한다(제25조 제1항). 다만, (a) 제41조에 따라 적절한 보호 수준을 보증

한다고 집행위원회가 결정한 제3국에 설립된 콘트롤러, (b) 250명 미만의 직원을 고용한 기업, (c)

공공 기관 또는 단체, (d) 유럽연합에 거주하는 정보주체에게 간헐적으로만 재화 또는 용역을 제공하

는 콘트롤러의 경우에는 예외이다(제25조 제2항).

21

④ 콘트롤러 및 프로세서의 감독 하에서의 처리

콘트롤러나 개인정보에 접근할 수 있는 프로세서의 감독에 따르는 프로세서나 사람은 유럽연합 또

는 회원국 법률에서 요구하지 않는 한 콘트롤러의 지시 없이 처리할 수 없다(제27조).

⑤ 문서보관의무

모든 콘트롤러와 프로세서 그리고 해당되는 경우 콘트롤러의 대리인은 자신이 책임을 지고 있는 모

든 처리 과정을 문서화하여 보관해야 한다. 이 문서에는 최소한 다음의 정보가 포함되어야 한다. 즉,

(a) 콘트롤러, 또는 공동 콘트롤러, 또는 프로세서, 그리고 해당되는 경우 대리인의 이름과 상세 연락

처, (b) 해당되는 경우, 정보보호 책임자의 이름과 상세 연락처, (c) 제6조 제1항 (f)에 의해 처리되는

경우, 콘트롤러가 추구하는 적법한 이익을 포함한 처리의 목적, (d) 정보주체의 범주 및 이들과 관련

된 개인정보의 범주에 대한 설명, (e) 적법한 이익을 위해 개인정보가 공개되는 콘트롤러를 포함하여

개인정보를 제공받는 자 또는 범주, (f) 해당되는 경우, 제3국 또는 국제 기관에 대한 정보를 포함한

제3국 또는 국제 기관으로의 정보의 이전, 제44조 제1항 (h)에서 규정한 이전인 경우 적절한 세이프

가드의 문서화, (g) 다양한 범주의 정보 삭제에 대한 시간 제한의 표시, (h) 제22조 (3)항에서 규정한

메커니즘에 대한 설명이 포함되어야 한다(제28조 제1항).

이상과 같은 문서보관의무는 (a) 상업적 이익을 추구하지 않고 개인정보를 처리하는 자연인, (b) 주

된 업무의 부수적인 활동으로만 개인정보를 처리하고 직원 수가 250명 미만인 기업이나 단체의 경

우에는 해당되지 않는다(제28조 제4항).

7) 신고 및 통지

① 감독기관에 대한 개인정보침해의 신고

개인정보가 침해된 경우에는 콘트롤러는 지체 없이 그리고 가능한 경우에는 이를 알게 된 후 24시간

이내에 개인정보 침해 사실을 감독기관에게 신고하여야 한다. 감독기관에 24시간 이내에 신고되지

않은 경우에는 신고시에 합당한 이유를 포함하여야 한다(제31조 제1항). 또한 프로세서는 개인정보

의 침해가 이루어진 후 즉시 콘트롤러에게 이를 경고하고 알려야 한다(제31조 제2항).

신고해야 할 사항은 (a) 관련된 정보주체의 범주 및 수, 관련된 정보 기록의 범주 및 수를 포함한 개인

정보 침해의 특성에 대한 설명, (b) 정보보호 책임자의 신원 및 상세 연락처 그리고 더 많은 정보를 얻

을 수 있는 기타 연락처, (c) 개인정보 침해의 부정적인 효과를 완화하기 위해 권고되는 조치, (d) 개

인정보 침해로 인해 발생하는 결과에 대한 설명, (e) 개인정보 침해 문제를 다루기 위해 콘트롤러가

제안한 또는 취한 조치에 대한 설명이다(제31조 제3항).

② 정보주체에 대한 개인정보침해의 통지

개인정보 침해가 정보주체의 개인정보나 프라이버시의 보호에 부정적인 영향을 미칠 경우에 콘트롤

22

러는 감독기관에 대한 신고를 한 후 부당한 지체 없이 개인정보 침해 사실을 정보주체에게 알려야 한

다(제32조 제1항).

8) 정보 보호 영향 평가

처리 행위가 그 성질, 범위, 목적으로 인해 정보주체의 권리 및 자유에 특정 위험을 나타내는 경우에

콘트롤러 또는 콘트롤러를 대신하여 행하는 프로세서는 예상되는 처리 행위가 개인정보의 보호에

미치는 영향에 대한 평가를 하여야 한다(제33조 제1항).

9) 정보보호 책임자

콘트롤러와 프로세서는 (a) 공공 기관이나 단체가 처리하는 경우, (b) 250명 이상의 직원을 고용한 기

업이 처리하는 경우, (c) 콘트롤러나 프로세서의 핵심 활동이 성질, 범위, 목적에 의해 정보주체에 대한

정기적이고 체계적인 모니터링을 필요로 하는 처리 행위로 구성되는 경우에는 정보보호 책임자를 지

정해야 한다(제35조 제1항). 하나의 사업체 집단(group of undertakings)은 단일한 정보보호 책임

자를 지정할 수 있다(제35조 제2항). 콘트롤러나 프로세서가 공공 기관이나 단체인 경우, 공공 기관이

나 단체의 조직 구조를 고려하여 여러 명의 정보보호 책임자를 지정할 수 있다(제35조 제3항).

10) 행동강령 및 인증

GDPR 초안은 그 적용이 적절하게 이루어지도록 하기 위하여 회원국, 감독기관 및 집행위원회가 행

동강령(code of conduct)의 제정을 장려하도록 규정하고 있다(제38조).

한편, 회원국과 집행위원회는 특히 유럽 차원에서 콘트롤러와 프로세서가 제공한 정보 보호 수준을

신속하게 평가할 수 있도록 정보 보호 인증 체계와 정보 보호 인장(seal) 및 마크(mark)를 사용하도

록 장려해야 한다(제39조 제1항). 집행위원회는 인증 체계와 정보 보호 인장 및 마크를 장려하고 인

정하기 위해, 인증 체계와 정보 보호 인장 및 마크에 대한 기술적 표준을 정할 수 있다(제39조).

11) 개인정보의 역외이전

기존에 EU 정보보호지침에서 2개의 조문으로 규율하던 개인정보 역외이전에 대하여 GDPR 초안에

서는 보다 구체적으로 규정하여 제40조부터 제45조까지 상세한 규정을 두고 있다.

① 역외이전의 일반원칙

GDPR 초안 제40조는 역외이전을 위한 일반 원칙을 규정하고 있다. 즉, 제3국이나 국제 기관에서 다

른 제3국이나 다른 국제 기관으로의 향후 이전을 포함하여, 제3국이나 국제 기관으로 이전된 후 처

리되고 있거나 처리될 예정인 개인정보의 이전은 GDPR 초안에서의 다른 조항과 함께 본 장에서 규

정된 요건을 콘트롤러가 충족하는 경우에 가능하다(제40조). 이러한 원칙에 따라 역외이전은 집행

23

위원회의 적절성 결정에 따라 이루어질 수 있고, 적절성 결정이 없는 경우에는 적절한 세이프가드가

있는 경우에 이전이 가능하다(제42조).

② 적절성 결정에 의한 이전

GDPR 초안 집행위원회의 적절성 결정에 따른 이전을 규정한다. 즉, EU 집행위원회가 제3국, 제3국

의 영토 또는 처리 부문, 국제 기관 등이 적절한 수준의 보호를 보증하고 있다고 판단하는 경우 이전

이 가능하다(제41조 제1항). 이러한 이전에 추가적인 승인은 필요하지는 않다. 이처럼 EU집행위원

회가 보호 수준의 적절성을 평가할 때에는 다음 요소에 대해 고려해야 한다. 즉, (a) 법률 규정, 일반

적으로 또는 부문별로 시행 중인 공공의 안녕, 국방, 국가 안보, 형법 등과 관련된 것을 포함한 관련

법률, 해당 국가 또는 해당 국제 기관에서 준수해야 하는 관련 법률 및 보안 조치, 정보주체, 특히 개

인정보가 이전되는 유럽연합에 거주하는 정보주체에 대한 효과적인 행정 및 사법적 시정을 포함한

효과적이고도 실행 가능한 권리, (b) 정보 보호 규정의 준수, 권리 행사하는 정보주체에 대한 지원 및

통지, 유럽연합 및 회원국 감독기관과의 협력 등에 책임이 있는 하나 이상의 제3국의 독립적인 감독

기관이나 해당되는 국제 기관의 존재 및 효율적 역할, (c) 해당되는 제3국이나 국제 기관이 체결한 국

제 협약을 고려하여야 한다(제41조 제2항). EU 정보보호지침 제25조 제1항 또는 제26조 제4항에

기초하여 집행위원회가 채택한 결정은 집행위원회가 수정, 교체, 폐기할 때까지 계속 유효하다(제41

조 제8항).

③ 적절한 세이프가드에 의한 이전

적절성 결정이 없는 경우에는 적절한 세이프가드를 통하여 역외이전을 할 수 있다. 적절한 세이프가

드로는 (a) 제43조에 따른 구속력 있는 기업규칙(Binding Corporate Rules), (b) 집행위원회가 채

택한 표준 정보 보호 조항, (c) 제62조 제1항 (b)에 따라 집행위원회가 유효하다고 인정하는 경우, 제

57조에서 규정한 일관성 메커니즘(consistency mechanism)에 따라 감독기관이 채택한 표준 정

보 보호 조항, (d) 제4항에 따라 감독기관이 승인한 콘트롤러와 정보 수령인 사이의 계약 조항을 말

한다. 이 중 (a), (b), (c)의 표준 정보 보호 조항이나 구속력 있는 기업규칙에 기초한 이전의 경우 추가

승인이 필요하지 않다. 반면, 역외이전이 (d)의 계약 조항에 기초하는 경우, 콘트롤러는 제34조 제1

항 (a)에 따라 감독기관으로부터 계약 조항에 대해 사전 승인을 받아야 한다. 역외이전이 상대방 회

원국이나 다른 회원국에 거주하는 정보주체와 연관된 처리 활동과 관련되거나 유럽연합 내에서 개

인정보의 자유로운 이전에 큰 영향을 미치는 경우, 감독기관은 제57조에서 규정된 일관성 메커니즘

(consistency mechanism)을 적용해야 한다.

④ 예외

이상과 같은 적절성 결정이나 적절한 세이프가드가 없는 경우에도 일정한 요건하에서 역외이전이

24

허용된다(제44조). 즉, (a) 정보주체가 정당한 결정이나 적절한 안전 조치의 부재로 인해 발생할 수

있는 이전의 위험에 대해 통지를 받은 후 제안된 이전에 동의하는 경우, (b) 정보주체와 콘트롤러 사

이에서의 계약 이행을 위해 또는 정보주체의 요청에 의해 취해진 계약 전 사전 조치의 이행을 위해

이전을 해야 하는 경우, (c) 정보주체의 이익을 위해 콘트롤러와 다른 자연인 또는 법인 사이에서 체

결된 계약의 이행을 위해 이전을 해야 하는 경우, (d) 공공의 이익을 위해 이전이 필요한 경우, (e) 법

적 소송의 제기, 행사, 방어를 위해 이전이 필요한 경우, (f) 정보주체가 물리적으로 또는 법률적으로

동의를 할 수 없는 경우에 정보주체 또는 제3자의 중요한 이익을 보호하기 위해 이전이 필요한 경우,

(g) 유럽연합이나 회원국 법률에 따라 일반 대중에 정보를 제공하기 위해 그리고 일반 대중 또는 정

당한 이익을 입증할 수 있는 사람에 의한 협의를 위해 유럽연합이나 회원국 법률에서 규정한 조건이

충족되는 한도 내에서 공개되는 등록부(register)로부터 이전되는 경우, (h) 콘트롤러가 정보 또는

일련의 정보 이전 행위와 관련된 모든 상황을 평가하고 이러한 평가에 기초하여 개인정보의 보호를

위해 적절한 세아프가드를 제시하는 경우로서 콘트롤러가 추구하는 정당한 이익의 목적을 위해 이

전되는 경우에는 예외적으로 역외이전이 허용된다(제44조 제1항).

12) 배상받을 권리 및 책임

GDPR 초안은 개인정보침해로 인한 손해배상책임을 원칙적으로 인정하면서, 공동불법행위 책임과

함께 입증책임의 전환을 규정하고 있다. 즉, 정보 처리 행위나 GDPR 초안의 불이행으로 인해 손해를

입은 사람은 그 손해에 대해 콘트롤러나 프로세서로부터 배상을 받을 권리를 갖고 있다(제77조 제1

항). 하나 이상의 콘트롤러나 프로세서가 개인정보처리에 관련된 경우, 각 콘트롤러나 프로세서는 연

대하여 전체 손해액에 대한 책임을 부담해야 한다(제77조 제2항). 콘트롤러나 프로세서가 손해를 발

생시킨 행위에 대해 책임이 없다는 것을 입증하는 경우, 콘트롤러나 프로세서는 이러한 책임으로부

터 전체 또는 부분적으로 면제될 수 있다(제77조 제3항).

13) 처벌

GDPR 초안은 회원국에 형사처벌을 입법하도록 규정하면서, 행정제재에 대하여는 구체적으로 규정

하고 있다. 즉 GDPR 초안을 위반한 경우 최대 1,000,000유로 또는 기업의 경우에는 연간 전세계 매

출액의 2%까지 과징금을 부과하도록 규정하고 있다. 다만, GDPR 초안을 처음 또는 고의 없이 위반

한 경우로서 다음의 경우에는 서면 경고가 주어지고, 제재는 부과되지 않는다. 즉, (a) 자연인이 상업

적 이익의 추구 없이 개인정보를 처리하는 경우, (b) 고용된 직원의 수가 250명 미만인 기업이나 단

체가 주된 활동에 대한 부수적인 활동으로써 개인정보를 처리하는 경우에는 서면경고가 내려진다.

25

다. GDPR 유럽의회 수정안

유럽의회를 통과한 수정안의 기본 내용은 GDPR 초안과 동일하기 때문에 유럽의회를 통과한 GDPR 유

럽의회 수정안의 주요 내용 및 수정사항을 중심으로 살펴보겠다.

1) 삭제권

GDPR 초안의 가장 큰 이슈 중의 하나였던 잊혀지 권리에 대해서는 많은 논란이 있었다. 그 중에서

도 유럽연합 기관이나 회원국을 위하여 사이버 보안 이슈에 대한 업무를 수행하는 EU 산하 기관인

ENISA(European Union Agency for Network and Information Security)가 GDPR 초안에 대하

여 검토한 보고서에는 잊힐 권리에 대한 다양한 시각과 개선방향이 잘 나타나 있다. 여기에서 제시

된 시사점들은 우리가 EU의 규정안에 대하여 어떠한 시각으로 접근해야 하는가를 보여주는 좋은 자

료로서 의미가 있기 때문에 그 주요 사항을 소개하고자 한다. GDPR 초안이 공개된 이후 잊힐 권리

가 과연 어느 정도로까지 보장될 수 있고 또한 현실적으로 보장가능한가에 대하여 다양한 의문이 제

기되어 ENISA에서는 이에 대한 검토를 진행하였고, 그 결과 잊힐 권리에 관한 보고서를 공표하면

서, 다음과 같은 권고를 제시하였다.14 즉, (1) 잊힐 권리를 실행하기 위한 기술적 수단들은 개인정보

의 범위의 정의를 요구하며, 누가 어떤 환경 하에서 개인정보의 삭제를 요구할 권리를 가지는가를 명

확히 할 것을 요구하며, 정보를 삭제에 영향을 미치는 방법으로서 수용가능한 것들이 무엇인가를 명

확히 할 것을 요구한다는 점을 인식하면서, 규제 당국들이 이에 대한 명확화 작업을 공동으로 수행할

것을 요구하였다. (2) 개념정의를 규정함에 있어서도 잊힐 권리를 집행하는데 있어서의 기술적 도전

들을 신중히 고려하여야 한다. 또한 (3) 개방 인터넷 상에서의 잊힐 권리를 강제하기 위한 순수한 기

술적이고 포괄적인 해결책은 일반적으로 불가능하다는 점도 인식하였다. (4) 잊힐 권리를 실행할 수

있는 실현 가능한 접근은 EU 내의 검색엔진 운영자와 공유서비스들이 EU 영역 내외에 저장된 잊힌

정보에 대한 참조를 필터링하는 것이라는 점도 인식하였다. (5) 폐기된 오프라인 저장장치에 저장된

개인정보의 삭제와 관련한 특별한 주의가 취해져야 한다. (6) 정보처리자는 그 보유하고 있는 개인정

보에 대하여 이용자가 쉽게 접근할 수 있도록 하여야 하고, 이용자의 비용 부담 없이 그리고 부당한

지체 없이 정보를 최신화, 수정 및 삭제할 수 있는 방법을 제공하도록 규정되어야 한다. 다만, 이는 다

른 현행법과 충돌하지 않는 범위 내에서 허용된다. (7) 정보의 원치 않는 수집 및 확산을 막기 위한 기

술을 개발하여야 한다. 또한 보다 더 넓은 맥락에서 (8) 정책 결정자들이 온라인에서 수집되고 저장

된 개인정보의 양을 최소화하기 위하여 최소 공개 원칙을 지원하는 기술의 이용을 확보할 것을 권고

하였다. (9) 모든 당사자들에게 개인정보의 보관 및 이전을 위한 암호의 활용을 권고하였다. (10) 온

14 ENISA, The right to be forgotten - between expectations and practice, http://www.enisa.europa.eu/activities/

identity-and-trust/library/deliverables/the-right-to-be-forgotten, 2012.11.20.자.

26

라인 상의 추적과 프로파일링에 대하여 특별한 주의가 기울여져야 하며, 정책결정자들은 명확한 제

재를 규정하고 위법행위자들을 차단하기 위하여 집행하기 위한 수단과 개인정보보호와 관련한 규칙

을 준수하도록 강제할 수단을 규정하여야 한다고 권고하였다. (11) 개인정보보호기관 및 관련 이해

관계 당사자들은 정보보호입법으로부터 유래한 권리에 대한 이용자들의 인식을 증진하기 위하여 노

력하여야 하며, 개인정보의 과도한 수집과 보관의 경우에 민원을 제기하는 것을 포함하여 그 권리를

실행하기 위한 법체계에 의하여 이용자에게 제공된 가능성에 관하여도 이용자들의 인식을 증진하기

위하여 노력하여야 한다. 동시에 (12) 회원국은 충돌하는 규제를 제거하여야 하며, 한편 개인정보보

호기관, 제29조 정보보호 작업반, 유럽 정보보호감독관 등은 실무적인 이행 측면을 고려하여 현안인

개념정의 이슈를 명확히 하기 위한 공동의 작업을 하여야 한다.

이러한 논의의 과정을 토대로, 유럽의회는 논란이 되는 “잊힐 권리”라는 용어를 더 이상 사용하지

않고, 단순히 “삭제권”이라는 용어를 사용하였다. 또한 삭제권이 인정되는 경우로서 유럽 연합 내

의 법원이나 규제 기관이 관련 개인정보가 삭제되어야 한다고 최종적이고 절대적인 결정을 한 경우

를 추가하고, 기존에 GDPR(안)을 준수하지 않는 경우로 되어 있던 것을 “해당 정보가 불법적으로 처

리된 경우”로 수정하였다(제17조 제1항 (ca) 및 (d)). 한편, 개인정보가 웹사이트 등에 공개된 경우

에 GDPR 초안에 의하면 해당 개인정보를 처리하고 있는 제3자에게 통지할 의무를 규정하였지만,

GDPR 유럽의회 수정안은 그러한 일반적 의무를 삭제하였다(제17조 제2항).

2) 표준정보정책(Standardised information policies)

정보주체와 관련된 개인정보가 수집되는 경우에 콘트롤러는 GDPR(안)에 의해서 요구되는 정보를

제공하기 전에 문자로 열거된 일정한 상세를 정보주체에게 제공하여야 한다(제13a조). 일정한 상세

는 개인정보가 각각의 특정 처리 목적을 위하여 최소한의 필요를 넘어 수집되는지의 여부, 개인정보

가 상업적인 제3자에게 제공되는지의 여부를 포함한다.

3) 프로파일링

GDPR 유럽의회 수정안은 프로파일링 거부권을 강화하여, 정보주체는 매우 알아보기 쉬운 방식

(highly visible manner)으로 프로파일링 거부권에 대하여 고지 받도록 규정하였다(제20조 제1항).

또한 프로파일링으로 인한 차별을 명백히 금지하였다. 즉, 인종, 출신 민족, 정치적 견해, 종교, 신념,

노동조합 가입, 성적 성향이나 성정체성에 기초하여 개인에 대하여 차별의 효과를 가지거나 결과적

으로 그러한 효과를 가지는 조치가 되는 프로파일링은 금지되어야 한다(제20조 제3항). 또한 콘트롤

러는 프로파일링으로부터 야기될 수 있는 차별에 대하여 효과적인 보호를 실행하여야 한다(제20조

제3항).

27

4) 위험분석

GDPR 유럽의회 수정안은 예방활동의 중요성을 인식하여, 콘트롤러 또는 프로세서는 정보 처리 행

위의 성질, 범위 또는 목적이 중대하게 변화하게 되면, 매년 또는 즉시 위험분석의 수행을 요구받게

된다(제32a조).

5) 정보보호책임자

GDPR 유럽의회 수정안은 정보보호책임자 지정 기준을 확대하여, 콘트롤러 또는 프로세서가 법인으

로서 연속 12개월 동안 5,000명 이상의 정보주체와 관련된 정보를 처리하는 경우에 정보보호책임

자를 지정하도록 규정하였다(제35조 제1항 (b)).

6) 유럽정보보호인장

유럽정보보호인장(European Data Protection Seal)을 제정하여 자발적인 인증제도를 시행하고자

규정하였다(제39조). 유럽정보보호인장은 콘트롤러 또는 프로세서가 GDPR 유럽의회 수정안을 완

전히 준수하는 한 유효하며, 최종 5년 동안 유효하다(제39조 제1f항 및 제1g항).

7) 개인정보의 역외이전

역외이전이 가능한 경우로서 GDPR 초안은 집행위원회의 적절성 결정 또는 적절한 세이프가드

에 의하여 이전 가능했다. 적절한 세이프가드는 (a) 제43조에 따른 구속력 있는 기업규칙(Binding

Corporate Rules), (b) 집행위원회가 채택한 표준 정보 보호 조항, (c) 제62조 제1항 (b)에 따

라 집행위원회가 유효하다고 인정하는 경우, 제57조에서 규정한 일관성 메커니즘(consistency

mechanism)에 따라 감독기관이 채택한 표준 정보 보호 조항, (d) 제4항에 따라 감독기관이 승인한

콘트롤러와 정보 수령인 사이의 계약 조항이 인정되었다. 그러나 GDPR 유럽의회 수정안은 집행위

원회의 적절성 결정이나 적절한 세이프가드에 의하여 역외이전이 가능한데, 허용되는 세이프가드의

유형으로서 ‘집행위원회가 채택한 표준 정보 보호 조항’을 삭제하고, 새롭게 “콘트롤러 및 개인정보

를 제공받는 자의 유럽정보보호인장”을 추가하여 새롭게 역외이전이 가능한 사유를 추가하였다(제

42조 제2항 (aa)). 한편, 집행위원회의 적절성 결정이나 적절한 세이프가드가 없는 경우에도 역외이

전이 허용되는 예외 중에서 콘트롤러나 프로세서의 합법적 이익을 위한 경우는 삭제되었다.

8) 행정제재

GDPR 유럽의회 수정안은 행정제재의 유형을 추가 및 강화하여, GDPR 유럽의회 수정안을 위반한

자에게는 (a) 최초의 비고의적인 위반의 경우에 서면 경고, (b) 정규의 정기적인 정보보호감사, (c) 1

억 유로 또는 전세계 연간 매출액의 5%에 해당하는 과징금 중 더 큰 액수 중 최소한 하나의 제재를

과하여야 한다(제79조 제2a항).

28

라. GDPR

1) 구성

GDPR은 173개항의 전문과 본문 99개의 조문으로 구성되어 있다. 본문은 총 11개 장으로 구성되어

있으며. 각 장의 내용은 다음과 같다.

GDPR 체계 (괄호 안 숫자는 조문번호)

일반규정

(제1장)목적(1), 물적 범위(2), 장소적 범위(3), 정의(4)

원칙

(제2장)

개인정보 처리 관련 원칙(5), 처리의 적법성(6), 동의조건(7), 정보사회서비스에

관한 아동의 동의에 적용되는 조건(8), 특정범주의 개인정보 처리(9),

범죄경력 및 범죄행위에 관한 개인정보의 처리(10), 식별을 요하지 않는 처리(11)

정보주체 권리

(제3장)

제1절 투명성 및 형식 정보주체의 권리를 행사하기 위한 투명한 정보, 통신 및 형식(12)

제2절 정보 및 개인정보 접근

정보주체로부터 개인정보를 수집하는 경우 제공되는 정보(13),

정보주체로부터 개인정보가 수집되지 않는 경우 제공되는 정보(14),

정보주체의 접근권(15)

제3절 정정 및 삭제정정권(16), 삭제권(잊힐 권리)(17), 처리에 대한 제한권(18), 개인정보의

정정이나 삭제 또는 처리제한에 관한 고지의무(19), 정보이동권(20)

제4절 반대할 권리 및

자동적인 개별의사결정반대할 권리(21), 프로파일링을 포함하는 자동적인 개인의사결정(22)

제5절 제한 제한(23)

콘트롤러와 프로세서

(제4장)

제1절 일반적인 의무

콘트롤러의 책임(24), 설계에 의한 그리고 기본으로서의 정보보호(25),

공동 콘트롤러(26), 유럽연합 내에 설립되지 않은 콘트롤러 또는

프로세서의 대리인(27), 프로세서(28), 콘트롤러 또는 프로세서의

권한에 따른 처리(29), 처리 활동의 기록(30), 감독기관과의 협력(31)

제2절 개인정보의 보안처리의 보안(32), 감독기관에 대한 개인정보 침해 통지(33),

정보주체에 대한 개인정보 침해 통지(34)

제3절 정보보호 영향평가 및

사전자문정보보호 영향평가(35), 사전자문(36)

제4절 정보보호 담당관정보보호 담당관의 지정(37), 개인정보보호 담당관의 지위(38),

개인정보보호 담당관의 임무(39)

제5절 행동강령 및 인증 행동강령(40), 승인된 행동강령의 모니터링(41), 인증(42), 인증기구(43)

제3국 또는

국제기구로의 개인정보

이전 (제5장)

이전을 위한 일반원칙(44), 적절성 결정에 기초한 이전(45), 적절한 안전조치에 의한 이전(46),

구속력 있는 기업규칙(47), 유럽연합 법률로 허가되지 않은 이전 또는 공개(48),

특정 상황을 고려한 적용제외(49), 개인정보 보호를 위한 국제협력(50)

독립 감독 기구

(제6장)

제1절 독립적인 지위감독기구(51), 독립성(52), 감독기구 위원의 일반 요건(53),

감독기구 설치에 관한 규칙(54조)

제2절 기능, 임무 및 권한 기능(55), 주 감독기구의 기능(56), 임무(57), 권한(58), 활동 보고서(59)

29

협력 및 일관성

(제7장)

제1절 협력주 감독기구와 관련된 다른 감독기구 간 협력(60), 상호지원(61),

감독기구의 공동활동(62)

제2절 일관성일관성 메커니즘(63), 유럽정보보호이사회 의견(64),

유럽정보보호이사회에 의한 분쟁해결(65), 긴급 절차(66), 정보의 교환(67)

제3절 유럽정보보호이사회유럽정보보호이사회(68), 독립성(69), 유럽정보보호이사회의 임무(70),

보고서(71), 절차(72), 의장(73), 의장의 임무(74), 사무국(75), 비밀(76)

구제, 책임 및 처벌

(제8장)

감독기관에 민원을 제기할 권리(77), 감독기구를 상대로 한 효과적인 사법구제권(78),

콘트롤러나 프로세서를 상대로 한 효과적인 사법구제권(79), 정보주체의 대리(80), 법적 절차의 중지(81),

보상에 대한 권리 및 책임(82), 행정 과태료 부과에 관한 일반조건(83), 처벌(84)

특정 처리 상황에

관한 규정

(제9장)

처리 및 표현과 정보의 자유(85), 처리 및 공식 문서에 대한 일반인의 접근(86), 국가 식별번호의 처리(87),

고용 맥락에서의 처리(88), 공익을 위한 기록보존 목적, 과학이나 역사연구 목적 또는 통계 목적을 위한

처리와 관련한 안전조치 및 적용 제외(89), 비밀유지 의무(90), 교회 및 종교단체의 현행 정보보호 규정(91)

위임법률 및 시행법률

(제10장)위임의 행사(92), 위원회의 절차(93)

최종규정

(제11장)

지침95/46/EC의 폐지(94), 지침2002/58/EC와의 관계(95), 이전에 체결된 협정과의 관계(96),

집행위원회 보고서(97), 기타 유럽연합의 정보보호 법률에 대한 검토(98), 발효 및 적용(99)

2) 목적

GDPR은 개인정보의 처리와 관련한 자연인의 보호 및 개인정보의 자유로운 이동에 관하여 규정하는

것을 목적으로 하며, 자연인의 기본적 권리와 자유, 특히 개인정보의 보호를 위한 권리의 보호를 목

적으로 한다. 아울러 EU 역내에서의 개인정보의 자유로운 이동이 제한되거나 금지되지 않도록 보장

하는 것도 주요 목적으로 한다. GDPR의 목적은 GDPR 초안에서부터 최종적인 GDPR에 이르기까지

동일하게 규정되었다.

3) 장소적 적용범위의 확장

GDPR은 EU 회원국의 정보주체에게 유상이든 무상이든 재화나 용역을 제공하는 활동을 처리하거나

EU 내에서의 EU 회원국 정보주체의 활동의 모니터링과 관련한 활동을 처리하는 EU 밖의 정보 콘트

롤러나 프로세서에게도 적용된다. 이 때문에 EU 역외의 콘트롤러나 프로세서는 GDPR을 준수하여

야 한다. 이러한 장소적 적용범위의 확장은 GDPR 초안과 마찬가지로 인터넷으로 연결되는 정보화

사회에서 EU 회원국 정보주체를 실질적으로 보호하기 위함이다.

4) EU 단일 법규정 및 One-Stop Shop

GDPR이 발효되면 EU 회원국의 별도 이행입법 없이도 EU 전역에서 단일 법규정이 적용된다. GDPR

에 따라 회원국은 개인정보 관련 민원을 접수 및 처리하고 행정 제재를 과하기 위한 독립된 감독기

구(Supervisory Authority)를 설치하게 되며, 각 회원국의 감독기구는 다른 감독기구와 상호 지원

및 공동 활동을 수행하면서 협력하게 된다. 사업자가 EU에 여러 사무소를 두는 경우에 주된 사업장

이 소재하는 지역의 주 감독기관(lead supervisory authority, GDPR 제56조)의 단일한 감독을 받

30

게 되어 규제기관 측면에서의 중복을 피하고자 하였다. 주 감독기관은 해당 사업자의 EU 전역에서

의 개인정보의 처리를 감독하는 소위 원스톱숍(one-stop shop)의 기능을 수행한다. 기존의 제29조

작업반(Article 29 Working Party)을 대체하는 유럽정보보호위원회(European Data Protection

Board (EDPB), GDPR 제68조)가 각 감독기구를 조정하는 역할을 수행한다.

5) 책임성 강화

일정기준(예를 들면, 공공 기관이나 12개월 동안 5,000명 이상의 정보주체의 정보를 처리하는 기

업)에 해당하는 콘트롤러나 프로세서는 정보보호책임자(Data Protection Officer)를 지정해야 하고

(GDPR 제37조부터 제39조), 콘트롤러에게 GDPR의 각 규정의 준수를 위하여 일정한 의무가 부과

된다. 예를 들면, 문서보관의무나 정보보호영향평가(GDPR 제35조)를 받을 의무가 있으며, 정보보

호를 위하여 기획 단계에서부터 기본적으로 정보보호가 높은 수준으로 설정될 수 있도록 정보보호

활동을 수행하여야 한다(privacy by design and by default, GDPR 제25조). 정보보호책임자는 충

분한 전문적 지식을 갖춰야 하며, 그 구체적인 내용은 정보보호책임자가 책임지게 되는 개인정보 처

리 활동에 따라 달라진다. 정보보호책임자는 콘트롤러에 고용되어 활동을 할 수 있지만 서비스 계약

하에서 관련 활동을 수행할 수도 있다. 또한 하나의 기업 그룹은 단일 정보보호책임자를 임명할 수도

있다.

6) 프로세서에 대한 규율

GDPR을 통한 가장 큰 변화의 하나는 프로세서에게도 직접적인 의무가 부과된다는 점이다. 예를 들

면, 콘트롤러를 위하여 실행되는 정보처리활동의 서면 기록 유지 의무, 일정한 경우에 정보보호책임

자를 지정할 의무, 일정한 경우에 EU에 법인을 설립하지 않은 자가 대표자를 임명할 의무, 개인정보

침해가 발행한 경우에 부당한 지연 없이 해당 사실을 콘트롤러에게 통지할 의무 등이다. 개인정보 역

외이전 규정은 프로세서에게도 적용되며, 프로세서를 위한 BCRs도 공식적으로 인정된다.

7) 동의요건의 강화

GDPR의 개인정보 보호수준의 강화의 주요 수단 중의 하나는 동의 요건을 강화한 것이다. GDPR에

따른 유효한 동의는 수집되는 개인정보가 이용되는 목적에 대한 명시적인 동의이어야 한다(GDPR

제7조 및 제4조). 콘트롤러는 동의를 받았다는 사실을 증명할 수 있어야 하고, 해당 동의는 철회될 수

있다. 16세 미만의 아동의 경우에는 아동의 부모나 보호자의 동의를 받아야 하며, 입증할 수 있어야

한다(GDPR 제8조). 다만, GDPR은 회원국이 이러한 부모나 보호자의 동의를 요하는 아동의 연령을

16세로부터 13세로 낮출 수 있도록 허용함으로써 EU 전역의 법규범의 조화를 깰 가능성을 내포하

고 있다.

31

8) 개인정보 침해 통지 의무

콘트롤러는 개인정보침해 사실을 정보보호감독기구에게 통지하여야 한다. 이러한 통지는 부당한 지

체 없이 이루어져야 하며, 가능한 한 해당 사실을 인지한 때로부터 72 시간 이내에 이루어져야 한다

(GDPR 제33조). GDPR 초안에서 24시간 이내로 규정하였던 것에 비하여는 보다 늘어났다. 또한 개인

정보침해가 자연인의 권리와 자유에 높은 위험을 야기할 수 있는 경우에 콘트롤러는 부당한 지체 없

이 개인정보침해로부터 영향을 받는 정보주체에게도 해당 침해 사실을 알려야 한다(GDPR 제34조).

9) 제재

GDPR은 감독기구가 전세계 연간 매출액의 4% 또는 2천만 유로 이하의 범위 내에서 더 높은 금액을

위반에 대한 과징금으로 부과할 수 있도록 규정하고 있다. 예를 들면, 국제적인 개인정보 이전에 관

한 요건을 위반한 경우나 동의 요건과 같은 개인정보 처리의 기본 원칙의 위반의 경우가 그에 해당한

다(GDPR 제83조제5항). 한편, GDPR 제8조, 제11조, 제25조부터 제39조, 제42조와 제43조에 따

른 콘트롤러나 프로세서의 의무 위반과 같은 경우에는 전세계 연간 매출액의 2% 또는 1천만 유로

이하의 범위 내에서 더 높은 금액을 과징금으로 부과할 수 있다(제83조제4항).

10) 정보주체의 권리

정보주체의 권리 중에서 가장 주목받았던 것은 GDPR 초안으로부터 촉발된 소위 잊힐 권리(right

to be forgotten)이다. 잊힐 권리는 구글 스페인 사건에 관한 유럽사법재판소(European Court

of Justice) 판결(Google Spain SL, Google Inc. v Agencia Española de Protección de Datos,

Mario Costeja González)을 통해서 다시 한 번 주목받은 이후 최종 GDPR에서는 삭제권(잊힐 권리,

right to be forgotten)으로 규정되었다(GDPR 제17조). 이에 따르면 잊힐 권리란 정보주체가 개인

정보 처리에 대한 동의를 철회하고 더 이상 합법적인 처리근거가 없는 경우와 같은 일정 상황 하에서

정보주체가 콘트롤러에서 부당한 지체 없이 해당 정보를 삭제할 것을 요구할 수 있도록 권리로서 인

정한 것이다.

이외에 GDPR은 개인정보를 다른 콘트롤러에게 쉽게 이전할 수 있는 형태로 개인정보를 반환받을

수 있는 권리를 인정함으로써 소위 ‘정보 이동성(data portability)’을 보장하고 있다(GDPR 제20조).

11) 개인정보의 역외이전

GDPR 제5장(제44조부터 제49조)는 국경간 개인정보의 이전을 규율하고 있다. 제45조는 국외 이

전 허용 근거로서 적절성 결정(adequacy decision)을 규정한다.15 제46조는 적절성 결정이 없는 경

15 U.S.-EU Safe Harbor를 무효화 시킨 ECJ의 Schrems 판결(C-362/14)은 적절성 결정에 요구되는 수준을

“essential equivalence” (본질적인 등가성)으로 높였다.

32

우 적절한 세이프가드(appropriate safeguards)에 의한 이전의 요건을 규정한다. 제47조는 구속력

있는 기업규칙(binding corporate rules)을 규정하고, 제48조는 외국 법원이나 행정청이 GDPR에

의하여 허용되지 않는 이전을 명령하는 상황을 규율한다. 제49조는 적절성 결정이나 적절한 세이프

가드가 없는 경우의 특정 상황에서의 수정 조건을 규정한다.

제46조 하에서 인정되는 적절한 세이프가드의 예로서는 (1) 공공기관 간의 법적으로 구속력 있고

집행가능한 법률문서, (2) 제47조에 따른 구속력 있는 기업규칙, (3) 집행위원회가 채택한 표준 정

보보호 조항, (4) 감독기구가 채택하고 집행위원회가 승인한 표준 정보보호 조항, (5) 제3국에서 적

절한 세이프가드를 적용하는 콘트롤러나 프로세서의 구속력 있고 집행가능한 약정과 함께 제40

조에 따른 승인된 행동강령, (6) 제3국에서 적절한 세이프가드를 적용하는 콘트롤러나 프로세서

의 구속력 있고 집행가능한 약정과 함께 제42조에 따른 승인된 인증 체계(approved certification

mechanism)가 있다. 이러한 인증의 예로서 유럽정보보호인장(European Data Protection Seal)

이 인정된다.

4. 우리 법제에의 시사점

가. GDPR과 우리 법제의 비교

GDPR은 EU 회원국 전체에 직접 적용되는 규정으로서 회원국의 다양한 상황을 고려하면서도 대외적인

관계에서 EU 회원국 전체의 이익을 고려하여 제정된만큼 제재규정이나 개별 규정의 구체성 측면에서

직접적으로 우리의 「개인정보 보호법」(이 글에서 “개인정보보호법”이라 함)이나 「정보통신망 이용촉진

및 정보보호 등에 관한 법률」(이 글에서 “정보통신망법”이라 함)과 비교하는 것은 적절하지 않을 수도

있다. 그러나 EU 내외적으로 많은 논의와 검토를 통하여 개인정보의 보호와 활용이라는 두 관점이 함께

고려되어 만들어진 GDPR은 우리 법제의 나아가야할 방향을 설정하는데에 많은 참조가 될 수 있다. 이

러한 시각에서 이하에서는 GDPR의 많은 내용 중에서 특별히 우리 법제와의 관계에서 차별적인 사항이

나 우리 법제에서 꾸준히 문제되는 쟁점에 대하여 GDPR이 어떻게 다루고 있는지를 살펴보겠다.

1) 개인정보의 개념

GDPR은 개인정보의 개념에 대하여 ‘식별되었거나 식별가능한 정보주체인 자연인과 관련한 정보’16

라고 정의하면서, 식별가능한 자연인이란 그 자연인의 구체적으로 신체적, 생리적, 유전적, 정신적,

경제적, 문화적 또는 사회적 동일성에 특유한 하나 또는 2 이상의 요인이나 이름, 식별번호, 위치정

보, 온라인 식별자와 같은 식별자를 특별히 참조하여 직접 또는 간접적으로 식별될 수 있는 자를 말

16 GDPR §4(1).

33

한다고 정의한다. 우리 법의 경우에는 개인정보 보호법은 “살아 있는 개인에 관한 정보로서 성명, 주

민등록번호 및 영상 등을 통하여 개인을 알아볼 수 있는 정보(해당 정보만으로는 특정 개인을 알아

볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 것을 포함한다)”(제2조제1호)로 정의하

고, 정보통신망법도 제2조제6호에서 “생존하는 개인에 관한 정보로서 성명·주민등록번호 등에 의하

여 특정한 개인을 알아볼 수 있는 부호·문자·음성·음향 및 영상 등의 정보(해당 정보만으로는 특정

개인을 알아볼 수 없어도 다른 정보와 쉽게 결합하여 알아볼 수 있는 경우에는 그 정보를 포함한다)”

고 정의한다. 이상의 정의 규정을 문언 그대로 살펴보면, EU도 우리나라와 마찬가지로 식별성을 중

요한 판단 표지로 두고 자연인이 식별되었거나 자연인을 식별할 수 있는 정보라는 공통된 요건을 요

구한다. 그러나 실제 판단에 있어서 EU GDPR은 전문을 비롯한 다양한 부분에서 개인정보의 해석에

관한 기준을 제시하고 있다.17 즉, 직접 또는 간접적으로 자연인을 식별하기 위하여 자연인을 선별해

내기 위한 모든 합리적인 수단에 관한 고려가 이루어져야 한다고 하여 식별성을 판단하는 데에는 ‘합

리성’과 ‘종합적인 판단’이 필요함을 나타내고 있다. 예를 들면, 합리적인 종합판단을 위하여 식별을

위하여 요구되는 비용과 시간, 처리 시의 가용한 기술과 기술 발전 등이 고려되어야 한다는 것이다.18

한편, 최근 우리 대법원에서 개인정보의 개념을 판시한 판례가 있다. 즉, 개인정보자기결정권의 보호

대상이 되는 개인정보의 개념 혹은 범위에 대하여 개인의 신체, 신념, 사회적 지위, 신분 등과 같이 개

인의 인격주체성을 특징짓는 사항으로서 그 ‘개인의 동일성을 식별할 수 있게 하는 일체의 정보’라고

할 수 있고, 반드시 개인의 내밀한 영역에 속하는 정보에 국한되지 아니하며 공적 생활에서 형성되

었거나 이미 공개된 개인정보까지 포함한다고 판시하여 비교적 개인정보의 범위를 폭넓게 파악하고

있다.19

2) 가명화를 통한 개인정보처리 범위의 확대

GDPR은 익명화된 정보(anonymous data)가 더 이상 개인정보로서 보호되지 않는다는 점을 명시

하고 있다.20 이와 함께 개인정보에 해당되지 않는 익명화 수준을 판단하는 기준으로서 ‘합리성(likely

reasonably to be used)’을 채택하고 있다.21 예를 들면, 식별화 처리를 위해 필요한 시간과 비용, 가

17 비교법적인 검토의 참고를 위하여 우리의 법제와 서로 영향을 주고받고 있는 일본의 개인정보 관련법을 살펴보면, 일본 개인정보의

보호에 관한 법률(個人情報の保護に關する法律) 제2조제1항은 개인정보에 관하여 “생존하는 개인에 관한 정보로서, 해당 정보에

포함되는 성명, 생년월일 기타 기술(記述) 등에 의하여 특정 개인을 식별할 수 있는 것(다른 정보를 용이하게 조합(照合)할 수 있으며,

그 정보에 의하여 특정 개인을 식별할 수 있는 것을 포함한다)”으로 정의하고 있다.

18 GDPR, Recital 26.

19 대법원 2016.08.17. 선고 2014다235080 판결. 또한 이 판결에서 개인정보자기결정권은 인간의 존엄과 가치, 행복추구권을

규정한 헌법 제10조 제1문에서 도출되는 일반적 인격권 및 헌법 제17조의 사생활의 비밀과 자유에 의하여 보장되는 권리로서

자신에 관한 정보가 언제 누구에게 어느 범위까지 알려지고 또 이용되도록 할 것인지를 그 정보주체가 스스로 결정할 수 있는 권리를

말한다고 판시하였다.

20 GDPR, Recital 26.

21 GDPR, Recital 26.

34

용한 기술 수준 등을 고려하여 식별가능하지 않게 된 정보들은 개인정보가 아니다. 앞에서 살펴본 것

처럼 개인정보에 대한 규범적 해석을 유지하는 이상 우리나라의 개인정보보호법이나 정보통신망법

에 의하는 경우에도 동일한 결론을 도출할 수 있다. 다만, GDPR은 가명화(pseudonymization)에 대

하여 규정을 두어 개인정보처리의 허용범위를 확장하고 있다. 즉, 가명화란 추가정보가 없는 상태에

서는 특정 정보주체에게 귀속될 수 없는 방식으로 개인정보를 처리하는 것을 의미한다.22 다만, 가명

화를 위해서는 두 가지 전제적 요소로 (1) 추가정보의 분리 보관과 (2) 해당 개인정보가 식별되었거

나 식별가능한 자연인에게 귀속되지 않도록 하기 위한 기술적 및 관리적 조치를 취할 것을 규정하고

있다.23 그러나 주의할 것은 가명화가 개인정보성을 완전히 제거하거나 GDPR의 적용을 완전히 배제

하는 것은 아니라는 점이다.24 가명화 처리된 개인정보는 정보가 (재)식별될 위험성을 낮추는 역할을

한다는 관점에서 (재)식별의 위험성을 관리하는 기술적 방식들 중의 하나로서 제시된 것이다.25 이러

한 접근방식에 기초하여 GDPR은 가명화와 관련하여 몇가지 규정을 두고 있다. 즉, 개인정보의 수집

목적 외의 처리와 관련해서 가명화에 대한 내용이 포함되어 있다. 예를 들어, 개인정보를 수집한 목

적 이외로 처리하기 위해서는 암호처리 및 가명처리가 포함될 수 있는 적절한 안전조치을 비롯하여

일정한 요건을 갖추어야 한다고 규정하고 있다.26 또한 콘트롤러는 프라이버시 중심 디자인(Privacy

by Design)을 구현하기 위해 처리수단을 결정한 시점과 처리 당시 시점에서 가명처리 등 적절한 기

술적·관리적 보호조치를 이행하여야 한다.27 뿐만 아니라 개인정보 처리시 보안에 철저를 기하기 위

하여 콘트롤러와 프로세서는 위험에 적합한 보안수준을 보장하는데 적절한 기술적·관리적 보호조

치를 실행해야 하는데, 그 중 하나가 개인정보의 가명처리 및 암호처리이다.28 공익을 위한 기록보존

목적, 과학이나 역사적 연구의 목적 또는 통계 목적에서 개인정보를 처리할 때 정보주체의 자유와 권

리를 보호하기 위해 적절한 안전조치를 확보해야 하는데, 그 방법 중에 하나가 가명처리이다.29 이처

럼 정보처리자가 합법적인 처리를 할 수 있는 합리적인 범위를 열어두는 수단으로써 가명화가 활용

되고 있다.

이에 반하여, 우리 개인정보보호법이나 정보통신망법에는 가명화에 대한 규정을 두고 있지 않다. 더욱

이 우리 개인정보보호법제는 엄격성과 세밀한 규제를 통하여 개인정보보호를 꾀하고 있기 때문에 관

련 규정의 해석에 유연성이 떨어지고 있다. 특히, 개인정보의 범위를 결정함에 있어서 정보처리자의

개인정보처리로 인한 책임을 합리적으로 충족시켜줄 수 있는 방안을 명확히 제시하고 있지 못하다.

22 GDPR §4(5).

23 GDPR §4(5).

24 GDPR, Recital 26.

25 GDPR, Recital 28 and 29.

26 GDPR §6.

27 GDPR §25.

28 GDPR §32.

29 GDPR §89.

35

3) 개인정보처리기준

GDPR은 개인정보의 수집, 이용, 제공 등 처리에 대하여 기본적으로 동일한 원칙을 설정하고 있으며,

개인정보의 합법적 처리기준으로서 (a) 정보주체가 하나 이상의 특정 목적을 위해 본인의 개인정보

처리에 동의를 제공한 경우, (b) 정보주체가 계약 당사자로 있는 계약의 이행을 위해 또는 계약 체결

전 정보주체의 요청에 따라 조치를 취하기 위해 처리가 필요한 경우, (c) 콘트롤러에 적용되는 법적

의무를 준수하는데 처리가 필요한 경우, (d) 정보주체 또는 제3자의 중대한 이익을 보호하기 위해 처

리가 필요한 경우, (e) 공익 상 또는 콘트롤러에게 부여된 공적 권한의 행사를 위한 업무 수행에 처리

가 필요한 경우, (f) 개인정보보호를 요구하는 정보주체의 이익이나 기본권 및 자유가 해당 이익에 우

선하지 않는 한, 특히 정보주체가 아동일 경우, 콘트롤러나 제3자가 추구하는 적법한 이익의 목적으

로 개인정보처리가 필요한 경우30 를 규정하고 있다.31 이러한 개인정보처리의 적법성 기준을 살펴보

면, 우리나라의 개인정보보호법 상의 처리 기준과 매우 유사하다. 그러나 GDPR은 각 영역에 원칙적

으로 공통되는 기준으로 작용하고 있고, 개인정보가 처리되는 행위 태양에 일원적인 원칙이 적용되

는 반면, 우리의 경우에는 개인정보보호법과 정보통신망법, 「신용정보의 이용 및 보호에 관한 법률」

등 각 법률마다 합법적 처리 기준이 동일하지 않고, 처리기준도 개인정보의 수집·이용, 제공, 위탁 등

에 대하여 다르게 설정되어 있어서 개인정보처리에 실질적으로 많은 제한이 가해지고 있다. 나아가

GDPR은 ‘공익 상 또는 콘트롤러에게 부여된 공적 권한의 행사를 위한 업무 수행에 처리가 필요한 경

우’와 같이 상당히 포괄적인 적법 처리 사유를 규정함으로써 개별적인 개인정보의 처리에 대하여 각

각의 맥락에 따라 적법한지의 여부를 판단할 수 있는 여지를 열어두고 있다는 점에서 우리의 개인정

보보호법이나 정보통신망법이 더욱 엄격하다.

4) 개인정보의 역외이전

GDPR은 EU 역내에서 준수하여야 할 개인정보처리에 관한 기준을 설정하면서도, EU를 벗어난 국

가간 개인정보 이전에 관하여는 별도의 기준을 설정하고 있다. 기본적으로는 EU 회원국 내와 동일

한 수준의 개인정보보호를 목적으로 하지만, EU 회원국 내의 수범자들과 형식적으로도 완전히 동

일한 기준을 설정하는 것이 아니라 ‘실질적으로 동일한 기준’을 설정하여 EU 회원국 밖으로 벗어나

는 EU 회원국 국민의 개인정보에 대한 권리를 실질적으로 보장하고자 꾀하고 있다. 즉, GDPR은 제

5장에서 예외적인 개인정보의 국가간 이전 근거로서 적절성 결정에 기초한 역외이전(제45조), 적절

성 결정이 없는 경우 적절한 안전조치(appropriate safeguards)에 의한 이전(제46조), 구속력 있는

기업규칙(binding corporate rules)에 의한 이전(제47조)을 규정한다. 또한 외국 법원이나 행정청

이 GDPR에 의하여 허용되지 않는 이전을 명령하는 상황을 규율하기 위한 규정도 두고 있으며, 나아

30 다만, 공공기관이 해당 기관 업무의 수행을 위해 진행하는 처리에는 적용되지 않는다.

31 GDPR §6.

36

가 적절성 결정이나 적절한 안전조치가 없는 경우의 특정 상황에서의 수정 조건도 규정하고 있다(제

48조). 이에 반하여 우리 개인정보보호법은 정부가 개인정보 국외 이전으로 인하여 정보주체의 권리

가 침해되지 아니하도록 관련 시책을 마련하도록 책무를 부여하는 것(제14조) 외에 개인정보처리자

가 개인정보를 국외의 제3자에게 제공할 때에는 고지사항을 정보주체에게 알리고 동의를 받아야 하

며, 개인정보보호법을 위반하는 내용으로 개인정보의 국외 이전에 관한 계약을 체결하지 못하도록

금지하고 있다(제17조제3항). 이에 따르면 국외이전에 대해서는 별도의 예외나 특별한 규율 없이 국

내외 동일한 규정을 준수해야 한다. 한편, 정보통신망법도 개인정보보호법과 마찬가지로 정보통신

서비스 제공자등이 이용자의 개인정보에 관하여 정보통신망법을 위반하는 사항을 내용으로 하는 국

제계약을 체결하지 못하도록 규정을 두고 있다. 이외에도 정보통신망법은 정보통신서비스 제공자등

이 이용자의 개인정보를 국외에 제공(조회되는 경우를 포함)·처리위탁·보관(이하 "이전"이라 함)하

려면 이용자의 동의를 받도록 규정하였다(제63조제2항). 다만, 정보통신서비스의 제공에 관한 계약

을 이행하고 이용자 편의 증진 등을 위하여 필요한 경우로서 고지사항을 공개하거나 전자우편 등 대

통령령으로 정하는 방법에 따라 이용자에게 알린 경우에는 개인정보 처리위탁·보관에 따른 동의절

차를 거치지 않을 수 있도록 예외를 인정한다. 또한 정보통신서비스 제공자등은 동의를 받아 개인정

보를 국외로 이전하는 경우 대통령령으로 정하는 바에 따라 보호조치를 하여야 한다(제63조제4항).

정보통신망법의 경우에는 처리위탁·보관의 경우에 동의예외를 인정하지만, 기본적으로 국외이전에

대하여는 별도의 동의를 받도록 하고 있다. 이처럼 우리의 법제는 국외이전에 대하여 매우 경직된 규

율을 하고 있고, 해외 사업자가 국내의 모든 형식적 기준까지 준수하도록 함으로써 글로벌 ICT 시대

에 적합하지 않다는 비판을 받을 수 있다. 반면, 국외이전 문제는 글로벌 경제의 관점에서만 바라볼

것이 아니라 우리나라 국민들의 개인정보 보호 및 정보주권 등 다양한 국내 법익의 보호라는 관점도

고려하여야 한다. 따라서 합리적인 범위 내에서 안전하게 개인정보가 국외이전되고, 국외이전된 개

인정보가 안전하게 처리되도록 환경을 보장하는 것이 무엇보다 중요하다. 이런 점에서 현재의 규정

들은 동의를 받지 않는 한 국외이전이 용이하지 않은 구조로 되어 있어서 합리적인 국외이전에 대한

수요까지도 막을 수 있는 문제가 있다.

37

GDPR 개인정보보호법 정보통신망법

제44조(이전을 위한 일반원칙)

제45조(적절성 결정에 기초한 이전)

제46조(적절한 안전조치에 의한 이전)

제47조(구속력 있는 기업규칙)

제48조(유럽연합 법률로 허가되지 않은

이전 또는 공개)

제49조(특정 상황을 고려한 적용제외)

제50조(개인정보 보호를 위한 국제협력)

제14조 (국제협력)

① 생략

② 정부는 개인정보 국외 이전으로 인하여

정보주체의 권리가 침해되지 아니하도록

관련 시책을 마련하여야 한다.

제17조(개인정보의 제공)

① 생략

② 생략

③ 개인정보처리자가 개인정보를 국외의

제3자에게 제공할 때에는 제2항 각 호에

따른 사항을 정보주체에게 알리고 동의를

받아야 하며, 이 법을 위반하는 내용으로

개인정보의 국외 이전에 관한 계약을

체결하여서는 아니 된다.

제63조(국외 이전 개인정보의 보호)

① 정보통신서비스 제공자등은 이용자의

개인정보에 관하여 이 법을 위반하는

사항을 내용으로 하는 국제계약을

체결하여서는 아니 된다.

② 정보통신서비스 제공자등은 이용자의

개인정보를 국외에 제공(조회되는

경우를 포함한다)·처리위탁·보관(이하

이 조에서 “이전”이라 한다)하려면

이용자의 동의를 받아야 한다.

다만, 정보통신서비스의 제공에

관한 계약을 이행하고 이용자 편의

증진 등을 위하여 필요한 경우로서

제3항 각 호의 사항 모두를 제27조의

2제1항에 따라 공개하거나 전자우편 등

대통령령으로 정하는 방법에 따라

이용자에게 알린 경우에는 개인정보

처리위탁·보관에 따른 동의절차를

거치지 아니할 수 있다.

③ 정보통신서비스 제공자등은 제2항에

따른 동의를 받으려면 미리 다음

각 호의 사항 모두를 이용자에게

고지하여야 한다.

1. 이전되는 개인정보 항목

2. 개인정보가 이전되는 국가,

이전일시 및 이전방법

3. 개인정보를 이전받는 자의 성명

(법인인 경우에는 그 명칭 및 정보

관리책임자의 연락처를 말한다)

4. 개인정보를 이전받는 자의

개인정보 이용목적 및 보유·이용 기간

④ 정보통신서비스 제공자등은 제2항에

따른 동의를 받아 개인정보를

국외로 이전하는 경우 대통령령으로

정하는 바에 따라 보호조치를

하여야 한다.

나. 우리 법제에의 시사점

1) 개인정보에 대한 합리적 판단기준의 설정

개인정보보호법이 제정된 이후에 가장 뜨거운 논란의 중심에 있었던 것이 개인정보의 개념을 어떻

게 파악하는가 하는 점이었다. 특히, 개인 식별성의 판단과 관련하여 기술적인 측면에서 볼 때에는

식별에 소요되는 시간이나 비용, 사용되는 기술의 가용성 및 기술의 진보 등에 대한 종합적 고려 없

이 기술적 측면에서의 식별의 가능성을 주된 판단자로 삼아서 거의 모든 개인에 관한 정보가 법의 보

호대상이 되는 개인정보에 포함된다는 식의 판단을 하는 경우가 드물지 않았다. 그러나 GDPR이 개

인정보의 개념정의를 하고 그 해석의 기준을 제시한 것처럼 개인정보인지 아닌지의 판단은 규범적

38

으로 이루어져야 하고 일반적·객관적인 다양한 요소를 고려하여 사회평균인의 시각에서 합리적으

로 판단하여 개인정보의 범위를 확정할 필요가 있다. 이러한 판단기준을 법률에 보다 명확히 명시하

여 개인정보의 판단표지 내지 요건으로서 ‘식별가능성’ 외에 ‘합리성’이라는 요건을 추가하는 입법노

력도 바람직하다. 그러나 이러한 판단기준은 법의 개정이 없더라도 현재의 법률과 일반적 해석방법

론에 의하더라도 설정이 가능하다. 즉, 법원과 행정청이 법위반을 판단함에 있어서 일반적 법의 해석

기준으로서 활용되는 규범적 해석 또는 합리적 해석기준을 채택함으로써 개인정보 관련 법률의 무

한한 확장 내지 남용을 방지할 수 있다.

2) 가명화된 정보 처리의 합리적 허용 방안 마련 필요

우리 개인정보보호법이나 정보통신망법 등 개인정보 관련 법률에서는 식별성을 기준으로 하여 개인

정보와 비개인정보로 구분하여 개인정보에 대하여는 관련 규정을 모두 적용하고 있기 때문에 실제

개인정보를 처리함에 있어서는 개인정보침해의 가능성은 낮은 반면 그 정보처리의 효용성이 높은

경우에도 개인정보처리와 관련한 엄격한 규제에 가로막히는 경우가 많다. 이런 점에서 EU가 가명화

에 대한 몇몇 규정을 둔 사례나 일본 개인정보의 보호에 관한 법률에서 규정된 익명가공정보에 관한

규정은 우리 개인정보보호 관련 법률의 개선에도 참고할 필요가 있다. EU GDPR이나 일본법 모두 보

호의 대상이 되는 개인정보의 구분 표지를 주로 식별성에 두는 이상 식별과 비식별의 중간 영역에 분

포되어 있는 다양한 수준의 개인정보에 대하여 합리적인 조치를 통한 처리를 허용할 필요가 있다. 최

근 관계부처 합동으로 공표된 비식별조치 가이드라인32 은 그러한 노력의 시작으로 볼 수 있지만, 법

률에서 정한 식별성 기반의 개인정보 개념과 이에 대한 각종 규정들을 유지하는 이상 비식별조치 가

이드라인은 개인정보처리자나 정보통신서비스제공자등에게 합리적인 책임 면제 혹은 감경의 근거

를 제시하기에는 미약할 수밖에 없다. 따라서 관련 법률의 개정을 통하여 중간영역에 존재하는 정보,

특히 가명화를 통하여 생성된 정보에 대한 안전조치 등을 통하여 합법적인 처리를 가능하게 하는 형

태의 개선이 필요하다.

3) 합법적·비침해적 이용의 보장 및 처리기준의 원칙적인 일원화 필요

GDPR은 공익 목적 개인정보처리나 양당사자의 이익을 비교 형량하여 개인정보처리의 적법성을 인

정해주는 규정을 둠으로써 개인정보의 보호와 활용 사이의 적절한 균형상태를 꾀하려는 노력을 엿

볼 수 있다. 그에 반하여, 우리 법제는 상대적으로 엄격한 기준을 설정함으로써 개인정보보호에 보다

더 주안점을 두고 있는 것으로 보인다. 그러나 실무상 개인정보의 활용으로 인하여 국민에게 가져다

주는 편익 혹은 공익이 큰 반면, 개인정보보호의 필요성이나 침해의 위험성은 상대적으로 낮은 경우

에는 제한적으로 안전하고 합법적으로 개인정보를 처리할 수 있도록 가능성을 열어두는 규정을 신

32 관계부처 합동, 개인정보 비식별 조치 가이드라인 - 비식별 조치 기준 및 지원 관리체계 안내 -, 2016.6.30.

39

설하는 것도 고려할 필요가 있다.33 최근 대법원 판결은 공개된 개인정보의 처리와 관련한 사건에서

“정보주체가 공적인 존재인지, 개인정보의 공공성과 공익성, 원래 공개한 대상 범위, 개인정보 처리

의 목적·절차·이용형태의 상당성과 필요성, 개인정보 처리로 침해될 수 있는 이익의 성질과 내용 등

여러 사정을 종합적으로 고려하여, 개인정보에 관한 인격권 보호에 의하여 얻을 수 있는 이익과 정

보처리 행위로 얻을 수 있는 이익 즉 정보처리자의 ‘알 권리’와 이를 기반으로 한 정보수용자의 ‘알 권

리’ 및 표현의 자유, 정보처리자의 영업의 자유, 사회 전체의 경제적 효율성 등의 가치를 구체적으로

비교 형량하여 어느 쪽 이익이 더 우월한 것으로 평가할 수 있는지에 따라 정보처리 행위의 최종적인

위법성 여부를 판단하여야”34 한다고 판시하여 종합판단에 기초한 비교형량을 시도한 사례가 있다.

이러한 이익형량에 의한 개인정보보호법령의 해석을 통하여 실질적으로 합리적인 개인정보보호법

제가 완성될 것이지만, GDPR에서 규정하는 것처럼 공익적 목적의 처리 사유를 명문으로 규정하거

나 ‘개인정보처리자의 정당한 이익을 달성하기 위하여 필요한 경우로서 명백하게 정보주체의 권리

보다 우선하는 경우(이 경우 개인정보처리자의 정당한 이익과 상당한 관련이 있고 합리적인 범위를

초과하지 아니하는 경우에 한한다)’를 적극 활용하여 합법적·비침해적 이용을 최대한 보장할 필요

가 있다. 아울러 우리 개인정보보호법이나 정보통신망법은 개인정보의 수집·이용과 제공을 구분하

여 일부 다른 기준을 설정하고 있으며, 수집·제공 목적 이외의 처리를 위한 기준도 별도로 설정하고

있다. 그러나 불가피한 경우가 아닌 한 모든 처리에 대하여 원칙적으로 동일한 기준을 설정할 필요가

있다. 개인정보보호법령을 통하여 정보주체의 권리를 보장하려는 것은 결국 안전한 처리를 통하여

실현될 수 있고, 반대로 안전한 처리를 하는 이상 개인정보처리자가 개인정보를 합리적으로 활용할

수 있도록 보장하는 것이 바람직할 것이다.

4) 우리 국민의 실질적인 개인정보보호를 위한 국외이전 규정 합리화

GDPR은 개인정보의 역외이전 상황에서도 EU 회원국 국민의 개인정보를 실질적으로 보호하기 위하

여 실질적으로 동일한 수준의 법적 보호가 이루어지는 상황 하에서는 개인정보가 국외로 이전되어

처리될 수 있도록 다양한 법적 근거를 마련하고 있다. 이를 통하여 국외 개인정보처리자들의 법 준수

에 대한 실행 가능성과 유인을 높이고 있다. 반면, 우리나라는 개인정보의 국외이전에 제한된 기준을

설정하거나 국내와 형식적·실질적으로 완전히 동일한 법준수를 요구함으로써 실제에 있어서는 법

을 형해화 할 가능성이 존재한다. 따라서 해외 개인정보처리자들의 우리 법 준수에 대한 유인도 강화

하면서, 실질적으로 국외이전을 통한 개인정보의 처리로부터 우리 국민들을 보호하고, 나아가 우리

국민의 개인정보가 외국에서 오남용되지 않도록 실질적으로 집행가능한 개인정보 국외이전 체계를

마련할 필요가 있다. 예를 들면, GDPR과 같은 적절성 결정에 의한 이전을 허용하거나 구속력 있는

33 최경진, “빅데이터·사물인터넷 시대 개인정보보호법제의 발전적 전환을 위한 연구”, 「중앙법학」, 제17집 제4호(2015.12), 38-44면.

34 대법원 2016.08.17. 선고 2014다235080 판결.

40

기업 규칙이나 적절한 보호수준을 제공하는 인증 등을 통한 이전을 허용하는 법적인 개선이 검토되

어야 한다.

5. 맺음말

우리나라가 개인정보보호법을 제정하는데 많은 참고를 하였던 EU 정보보호지침이 GDPR로 업그레이

드되면서 세계 각 국의 개인정보보호 또는 개인정보를 기반으로 하는 국가간 정보서비스나 정보 기반

경제(Data-driven economy)에 많은 영향을 미치고 있다. 특히, 각 국의 개인정보보호 및 정보주권과

글로벌 정보 자유화 또는 자유로운 정보의 공유나 유통이라는 두 가지 상반되는 가치가 부딪히면서 어

느 방향으로 가야할지에 대하여 많은 논의가 이루어지고 있다. 엄격한 개인정보보호법을 제정한 우리

나라는 특히 세계 초강대국인 미국과 또 다른 초대형 국가공동체인 EU 사이에서 우리나라의 국익을 보

호하면서도 세계경제의 주도권을 가지기 위한 합리적인 개인정보보호법제를 지속적으로 정비하는 것

은 불가피하다. 처음 개인정보보호법이 제정된 이후 현재까지 수차례의 개정이 있었지만, 대부분 개인

정보 유출과 같은 침해 사고에 대한 비판을 근거로 개인정보보호를 강화하는 방향으로 입법이 이루어

졌다. 그러나 개인정보의 처리가 없이는 국가나 사회가 영위될 수 없고, 나아가 정보 기반 경제가 주를

이루게 될 미래에는 더더욱 개인정보의 처리는 불가피하다. 때문에 실질적으로 개인정보를 보호하면

서도 안전한 처리를 허용하는 솔로몬의 지혜가 절실히 필요하다. 이런 관점에서 전세계적으로 많은 논

란이 있었고 가장 최근에 입법이 이루어진 GDPR을 살펴보는 것은 우리 법제가 나아가야 할 방향을 정

립하는데 많은 참고가 될 수 있다. 이 보고서에서는 우리 법제가 나아가야 할 바람직한 방향에 대한 시

사점을 GDPR이 입법되어 온 과정에서의 논의와 최종적으로 입법된 GDPR에서 찾고자 시도하였다. 결

과적으로 GDPR의 모든 규정을 세세히 살펴보지는 못했지만, 법의 가장 근간이 되는 개인정보의 개념

에 대한 합리적인 판단기준의 설정이 무엇보다 필요하다는 점을 지적하였다. 즉, 판단기준을 법률에 보

다 명확히 명시하여 개인정보의 판단표지 내지 요건으로서 ‘식별가능성’ 외에 ‘합리성’이라는 요건을 추

가하는 입법노력도 바람직하다. 그러나 이러한 판단기준은 법의 개정이 없더라도 현재의 법률과 일반

적 해석방법론에 의하더라도 설정이 가능하다. 즉, 법원과 행정청이 법위반을 판단함에 있어서 일반적

법의 해석기준으로서 활용되는 규범적 해석 또는 합리적 해석기준을 채택함으로써 개인정보 관련 법률

의 무한한 확장 내지 남용을 방지할 수 있다. 또한 빅데이터와 사물인터넷 시대에 적합하도록 관련 법률

의 개정을 통하여 중간영역에 존재하는 정보, 특히 가명화를 통하여 생성된 정보에 대한 안전조치 등을

통하여 합법적인 처리를 가능하게 하는 형태의 개선이 필요하다. 아울러 우리 개인정보보호법이나 정

보통신망법은 개인정보의 수집·이용과 제공을 구분하여 일부 다른 기준을 설정하고 있으며, 수집·제공

목적 이외의 처리를 위한 기준도 별도로 설정하고 있다. 그러나 불가피한 경우가 아닌 한 모든 처리에

대하여 원칙적으로 동일한 기준을 설정할 필요가 있다. 개인정보보호법령을 통하여 정보주체의 권리를

보장하려는 것은 결국 안전한 처리를 통하여 실현될 수 있고, 반대로 안전한 처리를 하는 이상 개인정보

41

처리자가 개인정보를 합리적으로 활용할 수 있도록 보장하는 것이 바람직할 것이다. 이와 함께 GDPR

에서 규정하는 것처럼 공익적 목적의 처리 사유를 명문으로 규정하거나 ‘개인정보처리자의 정당한 이

익을 달성하기 위하여 필요한 경우로서 명백하게 정보주체의 권리보다 우선하는 경우(이 경우 개인정

보처리자의 정당한 이익과 상당한 관련이 있고 합리적인 범위를 초과하지 아니하는 경우에 한한다)’를

적극 활용하여 합법적·비침해적 이용을 최대한 보장할 필요가 있다. 마지막으로 글로벌 ICT 환경에 맞

춰서 해외 개인정보처리자들의 우리 법 준수에 대한 유인도 강화하면서, 실질적으로 국외이전을 통한

개인정보의 처리로부터 우리 국민들을 보호하고, 나아가 우리 국민의 개인정보가 외국에서 오남용되지

않도록 실질적으로 집행가능한 개인정보 국외이전 체계를 마련할 필요가 있다. 예를 들면, GDPR과 같

은 적절성 결정에 의한 이전을 허용하거나 구속력 있는 기업 규칙이나 적절한 보호수준을 제공하는 인

증 등을 통한 이전을 허용하는 법적인 개선이 검토되어야 한다. 해외의 입법례가 언제나 우리에게 모범

답안을 제공해주는 것은 아니지만, 우리의 환경과 법제를 고려하여 해외 입법례에서 우리에게도 적용

할만한 모범사례가 있다면 적극적으로 검토하고 수용하는 자세가 필요하다. 앞의 몇몇 시사점들은 우

리의 개인정보보호법제 개선에 의미있는 참고가 될 수 있을 것이다. 그러나 사회 환경은 계속 변하고 가

치도 변하기 때문에 빠르게 변화하는 정보화 시대에서 매순간 가장 적합한 개인정보보호법제가 무엇인

지 끊임없이 논의하고 그것을 법령에 반영하는 노력을 게을리 하지 말아야 할 것이다.

42

참고문헌

ENISA, The right to be forgotten - between expectations and practice, 2012

European Commission, 'Guide to the Privacy Shield', 2016

고학수 편, 개인정보의 법과 정책(제2판), 박영사, 2016

관계부처 합동, 개인정보 비식별 조치 가이드라인 - 비식별 조치 기준 및 지원 관리체계 안내 -,

2016.6.30.

최경진, “빅데이터·사물인터넷 시대 개인정보보호법제의 발전적 전환을 위한 연구”, 「중앙법학」,

제17집 제4호, 2015.12

최경진, “잊혀질 권리 - 개인정보 관점에서”, 「정보법학 제16권 제2호」, 2012

최경진, “유럽사법재판소 세이프 하버 협정 무효 판결과 개인정보보호 정책의 변호”, 「언론중재」,

2016년 봄호(통권 138호), 2016

최경진, “정보법-과거와 현재 – 개인정보 분야를 중심으로”, 한국정보법학회 20주년 기념 세미나 및

총회 자료집, 2016

한국정보법학회, 정보법판례백선II, 박영사, 2016

43

[부록] 개인정보보호를 위한 국제적인 법제 발전 과정

44

저자소개

최경진 교수

가천대학교 법과대학 법학과 교수

성균관대학교 법학박사

Duke University School of Law, LL.M.

미국 뉴욕주 변호사

개인정보보호위원회 법령평가 전문위원회 위원

방송통신위원회 인터넷문화정책자문위원회 위원

행정자치부 개인정보보호법령해석자문위원회 위원

방송통신위원회 산하 시청자미디어재단 이사

법원 전문심리위원(IT·지적재산권)

유엔 국제상거래법위원회(UNCITRAL) 정부대표 위원

APEC ECBA Expert Committee 위원

수원지법성남지원 민사·가사 조정위원