• 미디어 >
  • 엔코아 리포트
Weekly Brief
[조회수 : 1805]  다운로드
유럽연합 GDPR(개인정보보호법)의 이해와 대응방안

유럽연합 GDPR(개인정보보호법)의

이해와 대응방안


오는 5월 25일. 유럽연합 GDPR(개인정보보호법)이 시행된다. 오는 5월25일. 유럽 일반개인정보보호법(GDPR)이 시행에 들어간다. 개인정보 보호의 패러다임을 바꿀 것으로 예상되고 있는 GDPR.


GDPR은 유럽연합(EU) 회원국 간에 개인정보의 자유로운 이동을 보장하며 동시에 정보주체의 개인정보 보호권을 강화한 것이 특징이다. GDPR은 EU 소재 기업은 물론 EU 내에서 사업을 하는 역외 기업에도 적용된다. 또 심각한 위반 시엔 해당 기업의 유럽 시장 내 사업을 제재하며 과징금 폭탄을 부과하므로 관련 국내 기업들도 촉각을 곤두 세우고 있는 부분이다.


또한 정보 주체의 잊힐 권리, 정보이전권, 프로파일링 등 자동화된 개별의사 결정을 거절할 권리 등 새로운 개인정보에 관한 권리에 대한 규정은 앞으로의 우리나라 개인정보보호법에도 큰 영향을 미칠 것으로 예상되는 부분이다.


데이터 활용과 큰 연관이 있는 개인정보보호법. 이번 엔코아 리포트 에서는 시행을 앞둔 GDPR을 이해하고 더 나아가 국내 데이터 시장에 미칠 영향도 살펴본다.


* 3월의 엔코아 리포트는 엔코아 공감토크 이공20 20번째 공감토크 황경태 변호사의 발표내용을 요약한 것 입니다.



01. 왜 EU GDPR에 대비해야 하는가?


1. Directive/Regulation
유럽연합의 법 제정 방식은 Directive(권고사항,지시사항),Regulation(회원국에 바로 적용)의 두 가지로 방식으로 나뉜다.


Data Protection Directive 95/46/EC → General Data Protection Regulation


GDPR은 위와 같이 유럽 전체에 Regulation으로 적용된다. 


2. 폭넓은 적용범위
GDPR은 넓은 적용 범위를 가진다. 적용범위에 해당되는 지 상세하게 살펴볼 필요가 있다.


가. 물적적용범위
- 개인정보가 자동화된 수단에 의해 처리될 것(단, 자동화된 수단에 의하지 않더라도 파일링 시스템의 일부를 구성하거나 파일링 시스템의 구성을 목적으로 하는 개인정보처리에는 적용됨) 즉 자동화된 처리에 한정되지 않으나 다른 사람이 처리하는 개인정보를 단순 전달하는 것은 해당하지 않음
- 수기처리와 같은 개인정보처리도 파일링 시스템(구조화된 개인정보 집합)에 포함되면 해당
- 익명정보에는 적용되지 않으나 가명정보에는 적용된다.


나. 지역적 적용범위
- 유럽연합 내에 컨트롤러나 프로세서의 사무소나 거점이 위치할 경우
 단, 사무소와 거점은 법률적 형태에 구속되지 않으며, 실질적이고 효과적인 활동을 수행하는 조직은 이에 해당된다.
- 유럽연합 밖에서 유럽연합 정보주체에게 재화나 용역을 제공하는 경우
- 유럽연합 밖에서 유럽연합 정보주체가 유럽연합에서 수행하는 활동을 모니터링 하는 경우
단, 여기서의 모니터링이란 감시(Surveillance)가 아니라 정보주체의 온라인에서의 활동을 지속적으로 추적(Tracking)하는 것을 말한다. 예를 들어 맞춤형 광고의 제공을 위해서 이용자의 온라인 활동정보를 수집, 축적, 분석하는 것이 이에 해당한다.


3. 과징금
GDPR과 관련 기업들이 가장 걱정하는 부분은 '과징금'이다. 개인정보를 철저히관리하지 않을 경우 사업을 접어야 할 수도 있을 정도의 막대한 과징금을 부과한다. 기업이 해당 법을 심각하게 위반했을 경우, 해당 기업의 전체 연간 매출 4% 또는 2천만유로(한화 약 257억원) 중 높은 금액을 과징금으로 부과한다. 과징금 규정을 상세히 알아보고 이를 철저한 개인정보 관리체계로 대비해야할 것이다.


가. 전 세계 연간 매출액 4% 또는 2천만 유로 중 높은 쪽 부과
- 동의의 조건 위반
- 개인정보 처리 기본원칙(적법성/공정성/투명성원칙, 목적제한의 원칙, 수집최소화원칙, 정확성원칙, 저장제한원칙, 무결성 및 기밀성 원칙) 위반
- 정보주체의 권리 보장 의무 위반
- 제3국이나 수령인에게 개인정보이전시 준수의무위반
- 제9장에 따라 채택된 EU 회원국 법률 의무 위반
- 감독기구가 내린 명령 불복
- 개인정보 이동 중지 미준수 및 열람 기회 제공의무 위반


나. 전 세계 연간 매출액 2% 또는 1천만 유로 중 높은 쪽 부과
- 컨트롤러 및 프로세서 의무 위반
- 인증기구 의무위반
- 모니터링 기구 의무위반
다. 과징금이 부과되지 않는 위반에 대한 벌칙규정 신설의무(회원국)


4. 문화의 차이
GDPR의 대비에 있어 큰 장애물 중 하나는 유럽 문화 자체에 대한 이해가 어려운 점이다. 법 밑바탕에 깔린 문화가 다른 상황에서 이를 잘 이해하기란 쉽지 않다.


특히 GDPR은 아직 세계 어디에도 표준이 없는 도래한지 얼마되지 않은 빅데이터 시대를 위한 법이며, 그러면서도 유럽의 20여개국에 적용되는 법이다. 그 이해가 쉽지 않은 법이므로 철저한 대비가 필요한 것이다.



02. Who am I? 컨트롤러(DPO,역내대리인)/ 프로세서
유럽에 고객을 갖고 있지만, 사업장이 EU 역내에 있지 않은 경우도 GDPR의 적용대상이다. EU는 개인정보 처리자에 대한 더욱 분명한 정의를 위해 '컨트롤러'와 '프로세서'라는 개념을 도입했다.  데이터 보호 책임자(DPO) 역시 의무 지정 규정이 있어 주목해야 한다.  
 


그림1.jpg


그림과 같이 각각의 주체들이 다른 위치에 있을 수도 있는 것이다. 이번 장에서는 각 주체들이 어떤 역할을 하고 어떻게 규정화 되어 있는지를 살펴본다.


1. 컨트롤러
- 개인정보 처리의 성격, 목적, 범위, 수단을 결정하는 자연인, 법인 등
- 개인정보처리원칙을 준수한다는 것을 증명해야한다.(accountability principle)
- Data Protection by Design and Default(IT 시스템의 개발과정에서 개인정보처리원칙을 준수하도록 해야한다)
- 프로세서에 대한 의무부과
- 개인정보영향평가시행
- 개인정보처리활동기록(250명 이상)
- DPO/역내 대리인 지정
- 개인정보 침해 인지시 통지의무


예1.jpg


2. 프로세서
- 컨트롤러의 문서화된 지시시항 이행 및 GDPR 준수여부를 입증하기 위한 모든 정보를 컨트롤러에게 제공할 것
- 이전 Data Protection Directive 95/46/EC와는 달리 GDPR은 프로세서를 직접 규제하는 내용을 다수 포함하고 있다.
- 문서화의무(제30조), 적절한 보안기준 적용(제32조), 정기 개인정보영향평가수행(제32조), 개인정보 국외전송 기준준수(제5장)
국가 감독기구 협조의무(제31조), 개인정보 침해인지시 컨트롤러에게 통지
- 제재의 직접 적용대상(제83조)
- 정보주체에게 배상의무(제79조)
- DPO/역내 대리인 지정의무


3. DPO
- 개인정보의 처리가 공공기관이나 단체에 의해 수행되는 경우
- 컨트롤러나 프로세서의 핵심활동(core activity)이 정보주체에 대한 대규모의(on a large scale) 정기적이고 체계적인 모니터링을 요구하는 경우
- 컨트롤러나 프로세서의 핵심활동이 대규모의 민감정보 또는 범죄경력관련정보의 처리로 구성된 경우
- DPO를 지정하거나 지정하지 않는 결정을 내린 경우에 그 사유를 문서화해야함(처벌규정존재)


* 핵심활동이란? : 병원이 환자의 의료기록을 보관, 처리하는 것(병원이 의료서비스를 제공하는 데 있어서 핵심적이므로) / 보안회사가 쇼핑몰등 공간을 감시하는 경우
* 대규모처리란?
도시의 교통시스템을 이용하는 고객의 개인정보처리(교통카드정보수집)
패스트푸드 체인이 고객의 위치정보를 처리하는 것
보험회사나 은행의 고객정보처리
광고회사의 검색엔지에서의 개인정보처리
인터넷 서비스제공업체의 개인정보처리
* 정기적이고 체계적인 처리란? : 지속적 혹은 특정기간동안 발생, 고정된 주기로 처리, 시스템에 의하여 조직화된 경우, 모바일앱을 통한 위치주적, 착용형 기기를 통한 건강정보의 모니터링


4. 역내 대리인(Representative) 지정의무와 예외
예외 경우(간헐적처리, 대규모가 아닐 것, 개인의 권리에 대한 위험도가 낮을 것)가 아닐경우 역내 대리인을 지정해야 한다.



03. GDPR 동의의 요건
어떻게 하면 개인정보가 컨트롤러와 프로세서의 시스템 안으로 들어 올 수 있을까? 가장 크게는 동의가 있어야한다. GDPR의 동의의 요건을 살펴보자.


① 진술 또는 적극적 행동으로 본인의 의사를 제시하는 뚜렷하고 모호하지 않은 표시일 것
② 명시적 동의(정의×)는 민감정보의 처리, 프로파일링을 포함한 자동화된 결정, 개인정보 역외이전의 근거
③ 이용약관과 분리할 것
④ 자유로울 것_서비스이용계약이 동의와 상관없이 진행될수 있음에도 동의를 요한다면 자유롭지 않은 것
⑤ 정확할 것_ 컨트롤러의 신원, 개인정보처리목적, 철회할 권리 등에 대한 구체적 정보를 줄 것
⑥ 사전동의로서 침묵, 부작위, 디폴트세팅이나 미리체크된 박스는 해당하지 않음
⑦ 동의가 있었음을 문서화할 것(누가, 언제, 어떻게, 무엇에 대해서)
⑧ 만 16세미만의 경우 친권자동의를 얻을 것
⑨ 복수목적의 경우 개별적인 동의를 얻을 것
⑩ 동의에 대한 변경 및 수정, 갱신사항이 있을 시 문서화할 것



04. GDPR 개인정보란?
어떤 정보가 GDPR개인정보에 해당될까. 일반 개인정보와 민감개인정보로 나뉘는 GDPR 개인정보는 다음과 같다.


1. 일반 개인정보
- 살아있는 자연인의 정보(법인이나 사망자는 해당없음)
- 반드시 유럽연합 국적소유자이거나 거주지가 유럽연합 회원국일 필요 없음(국내 거주하는 유럽연합회원국 국민)
- 이름, 주소, 전화번호, 신용카드번호, IP주소, 위치정보, 온라인식별자(MAC, ID 등)


2. 민감 개인정보- 보건/의료산업의 문제 
- 인종, 민족, 정치적 견해, 종교/철학적 신념, 노동조합가입여부, 유전자정보, 바이오인식정보, 건강관련정보
- 민감정보의 처리는 일반적으로 금지되나, 정보주체의 명시적 동의(explicit consent) 등이 있는 경우 허용
- 유전정보, 바이오인식정보, 건강관련 정보는 회원국별 추가적인 조건 도입이 가능하므로 회원국별 별도규정을 검토해야 함



05. GDPR. Data Protection by Design and Default
이렇게 시스템 안으로 들어온 정보들은 어떻게 처리 되어야 할까. 설계와 기본설정을 통해 개인정보를 보호 해야할 필요가 있다.


1. GDPR 규정에 따른 개인정보보호 친화적인 IT 시스템 구축
- 개인정보처리의 최소화
- 개인정보의 가명화(pseudonymisation)
- 개인정보 처리에 대한 투명성확보
- 정보주체의 권리확보
- 보안개발 및 적용
- 개인정보처리에 대한 문서화
- 구조화 작업(정보처리활용 및 정보주체의 요청처리의 효율성을 위한 데이터시스템 구축)
- 개인정보가 처리되는 어플리케이션, 시스템, 제품의 기본설정을 프라이버시친화적으로 구축(소셜 미디어 기반 서비스를 제공하면서 위치기반이 추가된 경우, 자동업데이트적용금지, 대중교통시스템, 위치기반서비스, 센서기술, 원격의료, 데이터분석분야 중점 검토)


2. 개인정보처리활동의 문서화
- 종업원 수 250명 이상 의무화
- 예외적으로 ① 정보주체의 권리와 자유에 위험을 초래할 가능성이 있는 경우
                     ② 민감정보 및 범죄관련정보 처리
- 컨트롤러의 정보, 정보처리의 목적, 정보주체의 휴영 및 개인정보범주에 대한 설명, 개인정보수령인의 범주, 국외이전시 방식 및 보호조치 등- 종업원 수 250명 이상 의무화
- 예외적으로 ① 정보주체의 권리와 자유에 위험을 초래할 가능성이 있는 경우
                     ② 민감정보 및 범죄관련정보 처리
- 컨트롤러의 정보, 정보처리의 목적, 정보주체의 휴영 및 개인정보범주에 대한 설명, 개인정보수령인의 범주, 국외이전시 방식 및 보호조치 등


3. 개인정보보호를 위한 기업 거버넌스 구축
외부: 감독기관 및 정보주체, 그리고 프로세서같은 외주업체 대응
내부: DPO, 역내대리인 선정 및 절차, 운영, 직원교육, 사후추적, 변화관리대응


4. 가명화(Pseudonymisation)와 익명화(Anonymisation)
가. 기준으로서의 식별가능성
자연인에 대한 식별가능성 여부를 판단하기 위해서는 정보처리자 또는 제3자에 의하여 합리적으로 사용될 것으로 예상되는 모든 수단이 고려되어야 한다. 합리적으로 사용가능한 모든 수단은 식별하기 위해서 소요되는 비용, 시간 등 객관적인 요소와 함께 처리 당시 가용한 기술 그리고 기술의 발전상황까지 고려되어야 한다. (GDPR Recital 26.) 예를 들어 생일, 성별, 우편번호 정보를 조합하면 미국인의 87.1%가 식별된다고 한다.


나. 익명화
ISO(International Organization for Standardization, 국제표준화기구)는 비식별처리(de-identification)를 ‘정보주체와 식별하는 개인정보들 사이의 연결을 제거하는 과정의 일반용어(general term for any process of removing the association between a set of identifying data and the data subject)’라 정의하고 있으며, 익명처리는 이러한 비식별처리의 하부범주이다.
GDPR에 따르면 1) 식별된 또는 식별가능한 자연인과 관련되지 않거나   2) 정보주체(data subject)를 더 이상 식별할 수 없도록 개인정보에 익명처리가 가해진 익명처리정보에는 적용되지 않는다.


다. 가명화
ISO는 이를 ‘정보주체와의 연결을 제거하고 또한 정보주체에 관련되는 특별한 특징들과 하나 이상의 가명 사이의 연결을 추가하는 특별한 유형의 익명처리’(a particular type of anonymization that both removes the association with a data subject and adds an association between a particular set of characteristics relating to the data subject and one or more pseudonyms)’라 정의하고 있다.


정보주체와 개인정보들 사이에서의 연결을 제거한다는 부분에서는 익명화와 같으나 가명화처리는 여기에 정보주체의 특징들과 가명사이에 연결고리를 추가한다. 정보주체를 식별할 수 있는 직접 식별자(direct identifier)와 간접 식별자(indirect identifier)는 가명과 같은 키를 사용하여 비식별화된 데이터베이스에 연계될 수 있는 별개의 데이터베이스에 보관된다.
익명처리와는 달리, 가명처리는 추가적인 정보와의 결합을 통하여 개인을 재식별할 수 있는 위험성이 있으므로 그러한 위험성을 감소시키기 위하여 개인정보처리자는 재식별조치(unauthorized reversal of pseudonymization)를 방지하는 적절한 안전조치를 이행해야 한다. 이러한 안전조치에는 암호화/해싱(hashing)/토큰화와 같은 기술적조치와 협약/정책/프라이버시 중심설계(privacy by design)와 같은 관리적 조치가 포함된다.



06. 정보주체 권리_1
정보 주체들의 권리는, 반대에 있는 컨트롤러 입장에서는 대응해야 하는 부분들이다.  그러면 이러한 프로세싱 과정에서 정보 주체들은 어떤 권리를 가지고 있을까.


1. 정보를 제공받을 권리(제13조, 제14조)
① 개인정보처리자의 기관명과 연락처
② DPO의 세부연락처
③ 개인정보처리의 목적,근거
④ 개인정보처리자의 정당한 이익
⑤ 수령인
⑥ 국외이전이 발생하는 경우, 적합성평가 및 이전근거를 통보받을 권리
⑦ 개인정보의 저장기간
⑧ 정보주체의 권리(접근/정정/삭제/처리제한/거부/이동권/동의철회권)
⑨ 개인정보제공이 강제되는지 여부 및 제공하지 않을 경우 예상결과
⑩ 프로파일링을 포함한 자동의사결정의 존재여부 등
⑪ 개인정보의 목적외 처리시 처리 목적과 추가정보
나아가 정보주체 이외로부터 개인정보가 수집되는 경우에 정보주체의 요구와 무관하게 고지의무를 부과(개인정보보호법과 다른점)


2. 접근권(제15조)
위 해당사항에 대해 무료로 사본을 제공해야 한다.


3. 정정권(제16조)
부정확한 정보를 정정할 수 있는 권리이며 개인정보처리자는 정정된 사실을 통보해야 한다. 


4. 처리제한권 (제18조)
자신의 개인정보에 대한 제3자 또는 대중의 접근을 금지할 권리
① 정보주체가 자신의 개인정보에 대한 정확성에 의문을 제기한 경우
② 정보주체가 해당정보의 이용금지를 요청한 경우
③ 개인정보가 더 이상 처리목적에 근거하여 필요하지 않으나 법적쟁송을 위해 필요한 경우
이러한 경우 개인정보처리자는 해당 정보를 보유할 수 있으나 그러한 정보를 제3자가 접근할 수 없도록 기술적 조치를 취하고 이를 통보해야 한다. 
단, 법적쟁송이나 다른 사람의 권리보호, 혹은 공익을 위한 경우는 처리가능하며 정보주체에게 이 사실을 통보해야 한다. 이러한 일련의 통보의무가 국내 개인정보보호법과 다르다.


5. 반대권 (제21조)
① 개인정보처리자의 정당한 이익을 위해 개인정보를 처리하는 경우(설득력 있는 정당한 근거로서 대응가능)
② 프로파일링을 포함하여 직접광고의 경우에 예외없는 반대권
③ 공익적 목적이 아닌 학술, 통계목적 처리에 대한 반대권


6. 권리제한 (제23조)
국가안보, 국방, 공공안전, 범죄수사, 중요공익, 정보주체또는 제3자의 권리보호



07. 정보주체 권리_2

1. 동의 철회권
언제라도 자유롭게 인정


2. 삭제권 (제17조)
① 개인정보가 불필요하게 된 경우
② 정보주체가 동의를 철회한 경우
③ 정보주체가 정보처리에 반대한 경우
④ 개인정보가 부적법하게 처리된 경우
⑤ 잊혀질 권리의 보장


정보주체가 자신의 개인정보에 대한 삭제를 요청한 상황에서 해당 정보가 인터넷 등을 통하여 공개된 경우, 개인정보처리자는 활용가능한 기술과 비용을 고려하여 해당정보를 처리하는 다른 개인정보처리자에게 정보주체의 삭제요청이 있었다는 사실을 통지하기 위한 합리적 절차를 취해야 한다. 


예2.jpg


 
3. 자기정보이전권 (제20조)
취지: GDPR이 빅데이터 활성화 동향에 맞추어 정보주체에게 온라인 서비스에 대한 선택권을 확대하기 위해 신설한 조항
내용: 정보주체는 자신이 개인정보처리자에게 제공한 개인정보를 체계화되고 일반적으로 사용되며, 기계로 판독가능한 형태로 수령할 권리 및 이들 개인정보를 종래의 개인정보처리자에게서 다른 개인정보처리자에게로 전송할 권리를 가진다.



08. GDPR 클라우드와 개인정보의 국외이전
기업의 보유한 개인정보데이터를 클라우드 업체에게 소싱하는 경우, 책임은 누가 지는가?

단순하게 클라우드 업체에 맡겼으니 그 업체의 책임이라고 생각해서는 안된다. 앞서 살펴봤듯 컨트롤러와 프로세서가 누구인지 구별하여 생각해볼 필요가 있다.


1. 컨트롤러와 프로세서의 구별
① 서버를 EU에 두고 국내에서 조회를 하는 경우
② EU외의 제3국에서 다른 제3국으로의 이전

 

2. 개인정보 국외이전의 요건
① 적합성 결정에 따른 이전: 유럽위원회가 제3국이나 국제기구의 역량을 평가하여 결정
② 적절한 안전장치에 따른 이전(구속력있는 기업규칙, 승인된 행동강령 등)
③ 예외: 정보주체의 명시적 동의 등 (적합성 결정 및 적절한 보호조치가 없음으로 발생가능한 위험을 고지받았을 것)



09. GDPR과 빅데이터산업_ 프로파일링과 DPIA
GDPR은 개인정보 주체들의 권리가 다양하게 인정이 되고 그를 기업에게 요구하는 반면, 그만큼 기업들이 개인정보를 활용할 수 있게 열려 있기도 하다. GDPR에서 개인정보 활용을 위해서 어떤 점을 지켜야 하는지를 살펴보도록 하자.


문: 프로파일링 작업을 하는 경우에 DPIA를 반드시 해야하는가?


1. 프로파일링이란?
프로파일링이란 정보주체의 개인적 측면, 특히 개인의 업무능력, 경제상황, 건강, 개인의 성향이나 관심사, 신뢰도, 행동, 위치, 이동에 관한 측면을 분석 및 예측하기 위하여 개인정보를 사용하는 자동화된 방식의 개인정보처리를 의미한다. (‘profiling’ means any form of automated processing of personal data consisting of the use of personal data to evaluate certain personal aspects relating to a natural person, in particular to analyse or predict aspects concerning that natural person’s performance at work, economic situation, health, personal preferences, interests, reliability, behaviour, location or movement; GDPR 제4조)


2. DPIA (개인정보 영향 평가)
GDPR은 개인정보처리자로 하여금 정보주체의 권리와 자유에 대한 심각한 위협을 초래할 가능성이 높은 유형의 개인정보처리에 대하여 DPIA를 시행할 것을 요구하고 있으며 특히 GDPR 제35조는 새로운 기술을 이용하는 경우에 해당처리의 위험성을 반드시 고려해야 한다고 규정하고 있고 이 새로운 기술에는 빅데이터 분석을 포함한 프로파일링 기법이 포함된다. 나아가 프로파일링 등의 자동화 처리에 근거하여 정보주체의 개인적인 측면에 대한 평가가 이루어지고 그러한 평가에 근거한 결정이 해당 개인에게 법적효과를 미치거나 이와 유사하게 중대한 영향을 미친다면 반드시 DPIA를 시행해야 한다 . 


 답: 프로파일링-DPIA =하나의 세트!



10. GDPR에서의 DPIA(Data Protection Impact Assessment)
데이터 활용을 위한 프로파일링을 위해 꼭 시행해야 하는 DPIA(Data Protection Impact Assessment)에 대해 보다 자세히 알아보도록 하자.


1. 누가?
주체는 개인정보처리자(컨트롤러)이다. 이 점에 있어서 공공기관의 장이 평가기관에 의뢰하여 실시하는 국내법과 다르다.


2. 언제?
정보주체의 권리와 자유에 대한 심각한 위협(high risk)을 야기할 가능성이 높은 개인정보처리를 하기 전에 해야 한다.
예: 은행이 고객을 신용조회 데이터베이스를 통해 선별하는 경우, 의료기업이 질병/건강위험의 측정과 예측을 위해 개인정보를 이용하는 경우
기업이 자신의 웹사이트이용이나 검색활동에 기초하여 마켓팅프로필을 작성하는 경우, 사물인터넷 관련기술 등


3. 평가의 내용은?
① 예상되는 처리와 목적에 대한 체계적인 기술
② 목적 관련 처리작업의 필요성과 비례성에 대한 평가
③ 정보주체의 권리와 자유에 대한 위험의 평가
④ 개인정보의 보호와 GDPR준수를 입증하기 위한 보안조치(security measure), 보호조치(safeguards), 및 매커니즘(mechanisms) 등 위험을 처리할 것으로 예상되는 조치


4. 평가후 조치는?
DPIA는 자체적으로 실시하나 만일 심각한 위험이 존재한다고 판단할 경우에 정보를 처리하기 전에 관계당국에 알리고 사전협의를 해야한다.
관계당국은 의견개진, 개선권고, 처리의 금지를 포함하는 명령을 내릴 수 있다.


5. 위반할 경우?
국내의 경우 권고사항에 불과하나 GDPR의 경우는 컨트롤러의 의무사항으로 위반하면 과징금 부과사항 (전 세계 연간 매출액 2% 또는 1천만 유로 중 높은 쪽 부과)



11. GDPR과 빅데이터산업_ 프로파일링과 가명화 작업
빅데이터분석과 관련하여 GDPR은 가명처리정보와 익명처리정보를 구분하여, 개인정보에 해당하는 가명처리정보는 일정한 법률요건을 충족하는 경우 목적 외 처리로서 허용하고, 개인정보에 해당하지 않는 익명처리정보의 활용은 GDPR의 적용을 배제함으로써 허용하고 있다.


문: 그렇다면, 프로파일링을 하는 경우에 개인정보의 가명화작업을 반드시 해야 하는가?
답: 의무는 아니나 하는 것이 좋다!


왜 가명화 작업이 권장되는지 아래에서 더 알아보자.


1. GDPR에서의 규율
- 정보주체의 위험을 감소시키고 개인정보처리자의 의무를 충족시키는 기술적 조치로서 가명처리를 장려
- 가명처리정보를 승인 없이 재식별화조치를 취하는 것은 금지되며 이러한 행위는 개인정보의 침해를 구성 
- 개인정보처리자(컨트롤러)는 ‘Data protection by design and by default’를 고려하여 가명처리를 포함한 안전조치를 해야함
- 컨트롤러와 프로세서는 개인정보의 안전한 처리를 위해 기술적/관리적 조치의무가 있는데 가명처리는 이러한 기술적 조치에 해당
- 가명처리는 공익을 위한 기록보존, 과학 및 역사 연구, 통계 목적에 따른 개인정보처리에서 반드시 요구되는 안전조치의 예로서 명시적 언급


2. 프로파일링 작업을 하게 되는 경우의 예
① 은행에서 업무를 위해 보유하고 있는 고객정보를 활용, 고객의 개인니즈를 프로파일링을 통해 파악하여 직접 마켓팅을 하려는 경우
② 쇼핑몰 업체가 개인고객 정보를 활용, 프로파일링을 통하여 거주지 및 연령과 성별에 따른 제품별 시장반응조사를 하려는 경우
③ 위 ②번에서 쇼핑몰업체가 빅데이터분석기업에게 위 사항을 위탁하려는 경우 


3. GDPR에서 허용되는 개인정보의 목적 외 활용
GDPR은 개인정보의 목적 외 처리가 가능한 경우로서 정보주체의 명시적인 동의 이외에, 개인정보가 최초로 수집될 때 제시된 목적과 다른 목적이 양립가능한 경우를 들고 있다. 이 양립가능성의 판단기준은 다음과 같다.
① 최초목적과 추가처리를 위한 목적과의 연관성
② 정보주체와 컨트롤러의 관계를 고려하여 해당 개인정보가 수집되는 전후상황
③ 의도된 추가처리가 정보주체에게 미칠 영향
④ 적절한 안전조치로서 암호화처리 또는 가명처리 


그러므로 개인정보처리자(컨트롤러)는,
 ① 개인을 식별하는데 쓰이는 추가정보를 별도로 보관하고
 ② 이 규정의 이행을 위하여 필요한 기술적/관리적 조치를 취하고
 ③ 이를 감독하는 책임자를 선정하는 경우
자신이 보유한 개인정보를 스스로 가명처리할 수 있으며 이 경우에 양립가능성여부 판단에 긍정적으로 기여하게 된다.


4. 공익을 위한 기록보존, 과학 및 역사연구, 통계적 목적을 위한 개인정보활용
(1) 개인정보처리자가 정보주체로부터 직접 수집한 경우
이러한 목적에 따른 추가적인 정보활용은 안전조치를 구비하는 한 목적외 처리로서 정보주체의 별도의 동의없이 가능하다.


특히 통계목적의 경우

1) 통계목적에 따른 처리의 결과가 개인정보가 아니라 데이터 집합체라는 사실과
2) 이러한 통계처리의 결과나 통계에 이용된 개인정보는 어떠한 개인에 관한 조치나 결정을 지지하는데 활용되지 않았다는 것을 의미한다.
3) 2013년 제29조 작업반은 통계 목적에 따른 개인정보처리는 교통사고에 따른 사망자통계와 같이 공익적인 목적뿐만 아니라, 시장조사를 목적으로 하는 빅데이터분석과 같은 상업용 목적을 포함한다는 의견을 명시적으로 제시
4) 이러한 경우 정보주체의 삭제권, 처리반대권은 제한가능


(2) 개인정보처리자가 정보주체 이외의 출처로부터 개인정보를 수집하는 경우
GDPR 14조는 개인정보처리자로 하여금 정보주체에게 자신에 대한 정보(기관명, 세부연락처), 처리의 목적과 근거, 처리되는 개인정보의 유형, 수령인, 국외이전에 대한 정보등을 고지하도록 규정하고 있으나, 동 조 제5항에서는 개인정보처리자에게 과도한 노력이 요구되는 등의 사정이 있는 경우 이를 면제해주고 있다. 



12. GDPR과 빅데이터산업_ 허용되는 개인정보의 활용
GDPR에서 허용되는 허용되는 개인정보 활용범위는 다음과 같다.


1. 상업용
- 기존 확보한 고객정보를 통해 직접 마켓팅
- 기존 고객정보를 통한 수요분석과 신제품 및 새로운 서비스 개발
- 오픈데이터에서 개인정보를 수집하여 분석하고 마켓팅대상을 선별하여 직접 마켓팅 
- 개인정보를 보유하고 있는 기업이나 오픈데이터를 통해 개인정보를 수집하여 분석하고 수요기업에게 판매 
- 프로파일링 기반 온라인 광고는 GDPR 상의 프로파일링 기반 자동화된 의사결정에 해당할 수도 있고 아닐수도 있는데 이는 ①프로파일링 프로세스의 개입수준, ② 정보주체가 고려하는 기대수준과 희망사항, ③ 광고전달방식, ④ 타겟이 되는 정보주체의 취약성을 고려해야 한다.


2. 공익을 위한 기록보존, 과학 및 역사연구, 통계적 목적
통계적 목적에는 상업용으로 활용할 목적으로 시장을 분석하는 것도 포함될 가능성 존재


3. 준수사항
- DPO의 지정
- DPIA
- 가명화작업을 비롯한 Data protection by Design and by Default
- 보호조치(처리에 적용된 로직에 대한 의미있는 정보, 적합한 수학적, 통계적 방법사용, 오류수정을 위한 기술적 조치, 차별방지조치등)
- 정보주체에 대한 고지의무
   ① 정보주체로부터 직접 수집하는 경우: 프로파일링을 포함한 자동화된 방식에 따른 의사결정의 존재여부, 처리방식에 수반된 논리구조에 관한 유의미한 정보, 정보주체에게 있어서 해당처리의 중요성 및 예상되는 결과를 고지해야 하며 여기에는 어떤 예외도 없다.
   ② 정보주체 이외로부터 수집된 경우: 위와 같으나, 공익을 위한 기록보존 및 통계목적의 경우 예외가 존재한다.



13. GDPR과 빅데이터산업_ 정보주체의 권리
그렇다면 프로파일링을 당하는 정보 주체의 권리는 무엇이 있을까. 이 역시 기업 입장에서는 고객이 요구 할 시 대응해야 할 부분이기 때문에 대비가 필요하다.


1. 프로파일링 정보에 대한 접근권(제15조)
개인정보처리자가 지는 고지의무의 내용과 동일


2. 처리반대권(제21조)
① 직접 마켓팅(direct marketing)의 경우, 정보주체는 언제든지 이에 대해 반대할 권리를 가진다.
② 프로파일링을 통한 개인정보의 처리가 개인정보처리자가 추구하는 정당한 이익을 위해 필요한 경우에도 반대권을 가지나 이에 대해 개인정보처리자는 개인정보의 처리가 정보주체의 이익보다 우선한다는 사실을 입증하여 처리할 수 있다.
③ 공익이나 통계목적의 경우에 정보주체의 반대권은 공익목적의 경우 부정된다.


3. 인적개입을 요구할 권리_자동처리방식에 따른 의사결정에 종속되지 않을 권리(제22조)
① 프로파일링 + ② 자동화된 의사결정 + ③ 법적효과의 세 가지를 모두 충족하는 경우
프로파일링을 포함하여 오로지 자동화된 방식에 의한 개인정보처리를 하고 이에 따른 의사결정이 정보주체에게 법적 효력을 미치거나 이에 상응할 정도로 중대한 영향을 주는 경우, 정보주체는 그러한 의사결정에 구속되지 않을 권리를 가진다.


예: 자동처리에 근거한 신용제공이나 인적개입없이 이루어지는 전자채용
1) 과속카메라에서 차량 속도를 확인하여 과속위반벌금을 부과하는 경우: 프로파일링(×), 자동화된 의사결정(0), 법적효력(0)
2) 은행담당자가 대출신청자의 신용등급을 고려하여 대출여부를 결정: 프로파일링(0), 자동화된 의사결정(×), 법적효력(0)
3) 과속운전의 반복성 여부 등 운전자의 평소습관을 모니터링하여 자동으로 벌금액 결정: 프로파일링(0), 자동화의사결정(0), 법적효력(0)
4) 법적효력의 예: 양육이나 주택지원같은 사회보장제도부여, 국경입국거부, 통신요금미납으로 인한 휴대폰 이용 정지



14. GDPR과 타국가와의 비교
마지막으로 GDPR과 우리나라 그리고 다른 국가와의 비교를 통해 그 차이점을 알아보도록 하자.


1. 우리나라와의 비교
GDPR은 빅데이터분석과 관련 1) 개인정보를 익명화 처리 한 경우 보호대상에서 제외하여 활용을 허용함과 동시에 2)사명화 처리 같은 안전조치를 취한 경우에 목적외 사용을 허용함으로써 문을 열어놓고 있다.
반면, 우리의 경우 개인정보의 목적외 수집/저장/보유/가공은 개인의 동의를 요하는 예외를 얻지 않는 한 금지된다. 물론 통계 작성 및 학술연구의 경우 비식별화조치를 한 경우 예외로서 허용되나, 여기에 상업적 이용가능성이 포함되는지는 규정이 없다.


2. 미국 및 일본의 경우
미국은 비식별정보의 경우, 일본은 익명가공정보의 경우 개인정보에 해당하지 않는 정보로서 빅데이터 분석 및 활용을 허용하고 있다.


자료 출처
변호사 황경태 I 법무법인 신지 파트너 변호사
Kt.hwang32@gmail.com

목록