한국의 개인정보보호법, GDPR(유럽의 개인정보보호법), CCPA(캘리포니아 소비자보호법) 그리고 일본의 개인정보보호법에 대해 소개하고 목적과 배경, 개인정보 정의, 적용범위 이렇게 4개에 대해 알아보겠습니다.
블로그를 만들 때, "해외 법제에 대한 정보가 부족하니 내가 그 블로그를 만들자"라는 의도도 있었는 데 막상 시작하려니 어깨에 부담이 가득하네요. 시작을 하기 전부터 2탄을 꼭 써야겠다는 생각이 드립니다.
시작하겠습니다.
(배경을 이해하기엔 지금 시간이 없다 하시는 분들은 맨 하단에 "[주요 4개국 개인정보보호법 요약]"를 확인해주세요)
[목적]
개인정보의 처리 및 보호에 관한 사항을 정함으로써 개인의 자유와 권리를 보호하고, 나아가 개인의 존엄과 가치를 구현함을 목적으로 합니다.
[배경]
개인정보보호법은 2011년 제정·시행된 법입니다. 개인정보보호법이 제정되기 전에는 관련 법규 미비로 개인정보보호가 법적 사각지대에 놓여있어, 인터넷 활성화와 함께 개인정보의 중요성이 대두되며 개인정보보호법이 탄생했습니다.
개인정보보호법은 데이터 경제시대를 맞아 데이터 이용을 활성화하기 위해 데이터 3 법이라는 테두리 안에 개인정보보호법, 정보통신망 이용촉진 및 정보보호 등에 관한 법률(약칭 : 정보통신망법)」,「신용정보의 이용 및 보호에 관한 법률(약칭 : 신용정보법)에 대한 개정안이 2018년 11월 발의되어 데이터 3 법 개정안은 2020년 1월 9일 국회 본회의를 통과했습니다. 그리고 2020년 8월 5일부터 시행되었습니다.
[개인정보의 정의]
"개인정보"란 살아 있는 개인에 관한 정보로서 성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 수 있는 정보와 "가명정보"를 포함합니다.
1) 개인정보는 살아있는 개인을 식별할 수 있는 정보
2) 개인정보는 다른 정보와 쉽게 결합하여 살아있는 개인을 식별할 수 있다면 이 또한 개인정보에 포함
3) 가명정보
[범위]
1. 적용범위
모든 공공기관과 민간기관의 모든 개인정보처리자가 개인정보보호법에 적용됩니다. 즉, 서비스업과 제조업을 포함한 전체 사업자와 중앙행정기관은 물론 국회, 법원, 헌법재판소 등 행정사무를 처리하는 기관과 협회, 동창회 등 비영리단체도 대상입니다.
2. 지리적 범위
한국은 속지주의를 원칙으로 하고 해외의 한국인에 대해 속인주의를 병용하고 있습니다. 따라서 대한민국 영역 내에서 일어난 범죄에 대해서는 내・외국인을 불문하고 국내법을 적용하고, 대한민국 국민은 외국에서도 국내법을 어기면 처벌받는 속인주의가 적용됩니다.
1) 속지주의와 속인주의를 혼합해서 사용
2) 속지주의 측면: 대한민국 영역 내에 일어난 범죄에 대해서는 내/외국인 모두에게 적용
3) 속인주의 측면: 대한민국 국민은 국외에서 국내법을 어길 경우 속인주의에 의거해서 처벌
유럽의 개인정보보호법(GDPR, General Data Protection Regulation)
[목적]
자연인의 기본 자유와 권리 그리고 특히 개인정보에 대한 보호 권리를 보호하며 EU 국가 내에 개인정보 이동을 자유롭게 하기 위함이다.
[배경]
2016년 5월 EU에서 제정한 GDPR이 2년간의 유예기간이 종료됨에 따라 2018년 5월 25일부터 본격적으로 시행되었습니다. 기존의 EU 개인정보보호 지침이었던 Data Protection Directive 95/46/EC보다 강력한 제재가 적용되었습니다.
[개인정보의 정의]
식별할 수 있거나 식별된 자연인과 관련된 모든 정보는 개인정보입니다.
1) 자연인이 사용하는 장치, 애플리케이션, 도구와 프로토콜을 통해 제공되는 개인식별이 가능한 IP주소, 쿠키 ID, RFID 태그 등을 개인정보(온라인 식별자)에 포함 (전문 제30항)
2) 위치정보를 개인정보의 정의에 명시적으로 규정(제4조제1항)
3) 민감한 성격의 개인정보를 ‘특별한 유형의 개인정보(민감정보)’라 정의하며, 유전정보와 생체 인식정보를 명시적으로 규정(제9조제1항)
4) 가명정보를 도입(제4조제5항)
[범위]
1. 적용범위
EU 법에 의거해서 개인정보를 부분적으로 혹은 전부 처리할 경우 적용됩니다.
1) EU 밖에서 EU 내에 있는 정보주체에게 재화나 용역을 제공하는 경우
2) 또는 EU 내에 있는 정보주체가 수행하는 활동을 모니터링하는 경우
2. 지리적 범위
EU 내에서 생성되었거나 EU 내에서 비즈니스를 하는 개인정보처리자에 의한 경우 혹은 EU 내 정보주체에게 서비스나 상품을 제공하는 경우 적용됩니다.
캘리포니아 소비자보호법(CCPA, California Customer Protection Act)
[목적]
CCPA는 개인정보를 수집하거나 판매를 위해 상업적으로 비즈니스를 하는 업체들로부터 캘리포니아 소비자를 보호하기 위해 출현했습니다.
[배경]
CCPA(캘리포니아 소비자 개인 정보 보호법)는 미국 최초의 포괄적인 개인 정보 보호법입니다. 2018년 6월 말에 법으로 제정되었으며 캘리포니아 소비자에게 다양한 개인 정보 보호 권리를 제공합니다. CCPA에서 규제하는 회사는 해당 고객에 대한 다양한 의무를 가지게 됩니다. CCPA는 2020년 1월 1일에 발효되었으며 시행일은 2020년 7월 1일입니다.
[개인정보의 정의]
개인정보는 직접적으로 혹은 간접적으로 합리적으로 연결될 수 있는 소비자 혹은 가계와 연관되는 정보입니다. 하지만, 공공기록으로부터 공개적으로 구할 수 있는 정보, 비식별화된 정보는 개인정보에 포함되지 않습니다.
[범위]
1. 적용범위
CCPA는 캘리포니아에서 다음 중 하나 이상을 충족하는 회사에만 적용됩니다.
1) 연간매출이 2천5백만 달러 이상이거나
2) 개인정보 판매에 따른 매출이 기업 매출의 50% 이상이거나
3) 5만 명 이상의 소비자 개인 정보를 구매, 판매 또는 공유
* CCPA는 GLBA (Gramm-Leach-Bliley Act) 또는 HIPAA (Health Information Portability and Accountability Act)와 같이 존재하는 연방 프라이버시 법률로 다루지 않는 데이터만 적용합니다.
2. 지리적 범위
캘리포니아 내에서 비즈니스를 하거나 혹은 캘리포니아 외에서 비즈니스를 하더라도 캘리포니아 내에 비즈니스를 수행하기 위해 캘리포니아 소비자의 개인정보를 수집하거나 판매하는 경우에 적용됩니다.
일시적으로 캘리포니아에 머무르는 사람은 CCPA 적용대상이 아니지만, 캘리포니아 외에 있어도 캘리포니아에 주소를 두고 있는 개인은 CCPA에 적용됩니다.
일본의 개인정보보호법(APPI, Act on the Protection of Personal Information)
[목적]
개인정보의 효용성을 고려하면서 개인의 권익을 보호하는 것을 목적으로 합니다. 개인정보의 적절하고 효과적인 사용으로 신산업을 창출과 경제사회를 활성화하며 일본 국민의 삶의 질 개선에 기여하기 위함입니다.
[배경]
일본은 2013년 6월 내각에서 ‘세계 최첨단 IT 국가 창조 선언’을 선언하며 개인정보 활용에 대해 제도 개선 방향을 도출하였습니다. 2015년 개정 개인정보보호법에서는 일본 내의 개인정보보호법에 대한 비판과 개인정보 유출 사건에 대한 대처, 그리고 EU 등 외국의 데이터 보호 동향을 고려한 개정 사항이 반영되었습니다. 이에 따라 개인정보보호법 개정 심의가 시작되어 2016 년 3월에 행정기관 등 개인정보보호법 4개의 개정안이 일본 국회에 제출되었습니다. 이후 개인정보보호법의 시행령, 시행규칙, 기준 등의 세부사항은 개인정보보호위원회에 의해서 만들어지고 2017년 5월 30일, 일본 개인정보보호법은 전면 시행되었습니다.
[개인정보의 정의]
"개인정보"는 다음의 두 가지 범주의 정보를 의미합니다.
1. 이름, 생년월일 또는 다른 정보에 의해 살아있는 특정 개인을 식별할 수 있는 정보로서, 그 개인을 식별할 수 있도록 다른 정보와 쉽게 결합할 수 있는 정보를 포함합니다.
2. 개인 식별자 코드(Personal Identifier Codes)를 포함하는 정보
"개인 식별자 코드"는
1) 사람을 식별할 수 있는 문자, 숫자, 마크(Mark) 또는 개인의 신체 정보로부터 변환된 컴퓨터와 함께 사용하기 위한 기타 코드를 의미
2) 사용자나 구매자의 고유카드 또는 기타 문서에 있는 문자, 숫자, 표시 또는 기타 코드 등 그 사람을 식별할 수 있는 정보
* 일본은 「개인 정보」와는 별도로, 사업자 데이터베이스에 저장된 정보를 커버하기 위해 「개인 데이터」를 별도로 정의했습니다.
[범위]
1. 적용범위
비즈니스를 위해 개인정보를 활용하는 경우 적용됩니다. APPI는 데이터 처리에 대해 광범위하고 오픈된 콘셉트를 적용했습니다.
2. 지리적 범위
APPI 개정안에 의거하면 일본 내 그리고 일본 이외의 지역에서 일본 내 데이터 주체에게 상품 혹은 서비스를 제공하기 위해 일본 내 데이터 주체의 개인정보를 제공과 관련하여 취득한 해외 정보 취급자도 APPI를 적용하도록 확대했습니다. (2020.03)
내용이 참 많죠? 짧게 요약하면 다음과 같습니다.
[주요 4개국 개인정보보호법 요약]
---
[1] 개인정보보호법 (국가법령정보센터)http://www.law.go.kr/%EB%B2%95%EB%A0%B9/%EA%B0%9C%EC%9D%B8%EC%A0%95%EB%B3%B4%20%EB%B3%B4%ED%98%B8%EB%B2%95
[2] GDPR
https://gdprinfo.eu/
[3] CCPA
https://leginfo.legislature.ca.gov/faces/billTextClient.xhtml?bill_id=201720180AB375
[4] Amended Act on the Protection of Personal Information(Personal Information Protection Commission, Japan)
https://www.ppc.go.jp/files/pdf/Act_on_the_Protection_of_Personal_Information.pdf
[5] GDPR matchup: Japan’s Act on the Protection of Personal Information
https://iapp.org/news/a/gdpr-matchup-japans-act-on-the-protection-of-personal-information/
[6] Data Protected - Japan
https://www.linklaters.com/ko-kr/insights/data-protected/data-protected---japan
[7] Comparing privacy laws:GDPR v. CCPA
https://fpf.org/wp-content/uploads/2018/11/GDPR_CCPA_Comparison-Guide.pdf