안녕하세요, 베리입니다. 제 블로그를 보시는 분들이라면 GDPR, CCPA, APPI(일본의 개인정보 보호법)에 대해 알고 계실꺼라고 생각합니다.
그런데요, 누군가 갑자기 나타나서 "그래서 GDPR이랑 한국의 개보법이 어떻게 다른가요?"라고 물어보면 어떻게 대답하시겠어요? 저는 사고회로가 정지되고 말문이 턱 막힐 것 같습니다.
그래서 준비했습니다. 한국 개보법과 해외 법제(GDPR, CCPA, APPI)의 차이점 찾기.
[한국 개인정보보호법(PIPA) vs 유럽의 개인정보 보호법(GDPR)]
1. CPO or DPO
기업 내 (개인)정보를 보호하기 위해 책임자 지정 의무가 PIPA와 GDPR의 공통적으로 존재합니다.
한국은 개인정보 보호를 위해 개인정보보호책임자(CPO) 임명을 의무화했지만, GDPR은 Data Protection Officer(DPO) 지정을 의무화했습니다. CPO와 DPO 용어처럼 컨셉 차이가 존재합니다.
| 한국 / CPO | EU (GDPR) / DPO |
지정 요건 | 상시 종업원 5인 이상의 정보통신서비스 제공자 등(정보통신망법) 또는 개인정보처리자(개인정보보호법) | 1) 공공기관에 해당하거나 2) 기업/단체의 핵심활동이 정보주체의 활동을 대규모로 모니터링하거나, 3) 기업/단체의 핵심 활동이 민감정보나 범죄정보의 대규모 처리에 관여된 경우 |
자격 | 대표자, 임원 또는 개인정보 보호 부서장 | 전문가로서의 법 지식과 실무 경험 보유 |
업무 독립성 | 언급 없음 | 강력한 독립성 보장, 업무로 인한 불이익 없음 |
고용 형태 | Internal Only | Internal or Outsourced |
수행 업무 | 1. 개인정보 보호 계획의 수립 및 시행 2. 개인정보 처리 실태 및 관행의 정기적인 조사 및 개선 3. 개인정보 처리와 관련한 불만의 처리 및 피해 구제 4. 개인정보 유출 및 오용·남용 방지를 위한 내부통제시스템의 구축 5. 개인정보 보호 교육 계획의 수립 및 시행 6. 개인정보파일의 보호 및 관리·감독 7. 개인정보 처리방침의 수립·변경 및 시행 8. 개인정보 보호 관련 자료의 관리 9. 처리 목적이 달성되거나 보유 기간이 지난 개인정보의 파기 10. 개인정보 보호와 관련하여 이 법 및 다른 관계 법령의 위반 사실을 알게 된 경우에는 즉시 개선조치를 하여야 하며, 필요하면 소속 기관 또는 단체의 장에게 개선조치를 보고 | 1. GDPR 등 개인정보보호 법규의 의무 수행에 관하여 개인정보 처리 사업자와 직원에게 고지와 조언
2. GDPR 등 개인정보보호 법규, 회사 정책을 잘 준수하는지 모니터링
3. 요청이 있으면 개인정보 영향평가에 관해 조언하고 잘 수행하는지 모니터링
4. 감독기구와의 협력
5. 사업자 내에서 감독기구와의 창구 역할 |
2. PIA or DPIA
국내의 개인정보영향평가와 GDPR에서 DPIA의 차이점은, DPIA는 “심각한 위험을 발생시킬 가능성"에 무게를 두고 있고 공공기관과 민간에게 의무화했지만, 한국은 공공기관에만 적용된다는 차이점이 존재합니다.
| 한국 / PIA | EU (GDPR) / DPIA |
대상 | 공공기관과 민간 등 컨트롤러 | 의무: 공공기관 권고: 민간 개인정보처리자 |
영향 평가
의무 수행 대상 | 1. 구축ㆍ운용 또는 변경하려는 개인정보파일로서 5만명 이상의 정보주체에 관한 민감정보 또는 고유식별정보의 처리가 수반되는 개인정보파일
2. 구축ㆍ운용하고 있는 개인정보파일을 해당 공공기관 내부 또는 외부에서 구축ㆍ운용하고 있는 다른 개인정보파일과 연계하려는 경우로서 연계 결과 50만명 이상의 정보주체에 관한 개인정보가 포함되는 개인정보파일
3. 구축ㆍ운용 또는 변경하려는 개인정보파일로서 100만명 이상의 정보주체에 관한 개인정보파일
4. 법 제33조제1항에 따른 개인정보 영향평가(이하 "영향평가"라 한다)를 받은 후에 개인정보 검색체계 등이 변경된 경우 | 1. 프로파일링 등의 자동화 처리에 근거한 개인적 측면에 대한 체계적이며, 광범위한 평가
2. “특별한 범주의 개인 데이터(인종, 정치, 병력 등)”의 대규모 처리 또는 범죄경력 및 범죄 행위에 관련된 개인정보의 처리
3. 대규모로 행해지는 공공장소에서의 모니터링
4. 고위험의 처리 활동이 개시되기 전(※ 위험변화 있을 때 또는 3년마다 업데이트 필요)
5. 처리 작업이 자연인의 권리와 자유에 높은 위험을 초래할 경우 |
평가기관 | 공공기관의 영향평가를 수행하기 위하여 개인정보보호위원장이 지정한 기관 | DPO 혹은 Controller가 지정한 개인이나 단체 |
-------------------------------------------------------------------------------------------------------
[한국 개인정보보호법(PIPA) vs 캘리포나의 소비자 보호법(CCPA)]
1. 법의 적용 대상
한국의 개인정보 보호법은 일반법으로 개인정보 보호에 관한 조항을 모두 포괄하고 있습니다. 따라서, 다른 법령에 특별한 규정이 없을 경우 개인정보 보호법이 포괄적으로 적용됩니다.
하지만 CCPA는 캘리포니아 소비자에게 비즈니스를 하는 기업 중 아래 3가지 조건을 하나 이상 충족하는 회사에만 적용됩니다.
1) 연간매출이 2천 5백만 달러 이상 or
2) 개인정보판매에 따른 매출이 기업 매출의 50% 이상 or
3) 5만 명 이상의 소비자 개인 정보를 구매, 판매 또는 공유
| 한국 | 미국, 캘리포니아 |
내용 | 개인정보 보호법에 국가, 지자체, 국가기관 등도 모두 적용 | 캘리포니아 소비자에게 서비스 혹은 제품을 판매하는 회사 중 다음 조건을 하나 이상 충족하는 회사에만 적용
1) 연간매출이 2천 5백만 달러 이상 or 2) 개인정보판매에 따른 매출이 기업 매출의 50% 이상 or 3) 5만 명 이상의 소비자 개인 정보를 구매, 판매 또는 공유 |
근거 | 개인정보 보호에 관하여는 다른 법률에 특별한 규정이 있는 경우를 제외하고는 이 법에서 정하는 바에 따른다.
- 개인정보 보호법 제6조(다른 법률과의 관계) - | In general, the only businesses that are required to comply with the CCPA are those that do business in California, which:
(A) Has annual gross revenues in excess of twenty-five million dollars ($25,000,000), as adjusted pursuant to paragraph (5) of subdivision (a) of Section 1798.185. (B) Alone or in combination, annually buys, receives for the business’s commercial purposes, sells, or shares for commercial purposes, alone or in combination, the personal information of 50,000 or more consumers, households, or devices. (C) Derives 50 percent or more of its annual revenues from selling consumers’ personal information.
- CCPA, 1798.140 - |
2. 개인정보의 판매거부권(Do Not Sell My Personal Information)에 대한 의무
CCPA에 가장 큰 특징은 개인정보의 판매거부권(Do Not Sell My Personal Information)입니다. 한국의 개인정보 보호법에는 존재하지 않는 내용입니다. CCPA는 소비자에게 "Do Not Sell My Personal Information"라는 링크를 기업 웹사이트에서 제공함으로써 소비자들이 제3자 데이터 판매에 대해 거부권을 행사하도록 했습니다.
| 한국 | 미국, 캘리포니아 |
내용 | 해당 내용 없음 | 정보주체가 자신의 개인정보를 상업적 목적으로 판매하는 데 거부권 행사 가능 |
근거 | 관련 조항 없음 | (1) Provide a clear and conspicuous link on the business’s Internet homepage, titled “Do Not Sell My Personal Information,” to an Internet Web page that enables a consumer, or a person authorized by the consumer, to opt-out of the sale of the consumer’s personal information. A business shall not require a consumer to create an account in order to direct the business not to sell the consumer’s personal information.
- CCPA, 1798.135 - |
-------------------------------------------------------------------------------------------------------
[한국 개인정보보호법(PIPA) vs 일본(APPI)]
1. 개인정보 법체계의 차이
한국은 개인정보보호법으로 개인정보보호에 관한 거버넌스가 일원화되어있어 국가, 지자체, 민간기관에게 적용되지만, 일본은 ‘행정기관이 보유한 개인정보 보호에 관한 법률’이 존재하여 행정기관, 정부부처 등은 개인정보와 관련하여 별도의 규정이 존재합니다.
한국 | 일본 |
‘개인정보 보호법'으로 일원화
개인정보 보호법에 국가, 지자체, 국가기관 등도 모두 적용 | ‘개인정보 보호법’과 ‘행정기관이 보유한 개인정보 보호에 관한 법률’ 존재
개인정보 보호법에는 국가, 지자체, 국가 기관 등은 해당되지 않음 |
2. 이용목적
일본에서는 이용목적이 특정될 경우 다양한 개인정보 수집이 가능하지만, 한국에서는 꼭 필요한 사항만 수집할 수 있도록 하고 있습니다. 따라서 일본의 경우가, 한국보다 폭 넓게 개인정보를 수집할 수 있습니다.
| 한국 | 일본 |
내용 | ‘목적에 필요한 최소한의 개인정보’를 수집 | ‘그 이용 목적을 특정할 수 있는 개인정보'를 수집 |
관련 조항 | 개인정보처리자는 제15조제1항 각 호의 어느 하나에 해당하여 개인정보를 수집하는 경우에는 그 목적에 필요한 최소한의 개인정보를 수집하여야 한다. 이 경우 최소한의 개인정보 수집이라는 입증책임은 개인정보처리자가 부담한다.
- 개인정보 보호법 제 16조(개인정보의 수집 제한)- | In handling personal information, the business operator handling personal information must specify as precise as possible about the purpose for which it uses that information.
-Act on the Protection of Personal Information, Article 15 - |
키워드 중심으로 해외 법제와 한국의 개인정보 보호법의 차이에 대해 짧게 다뤄보았습니다.
이제 그 1mm가 보이시나요?
----
[1] Japan - Act on the Protection of Personal Information
https://www.ppc.go.jp/files/pdf/280222_amendedlaw.pdf
[2] CCPA
http://leginfo.legislature.ca.gov/faces/codes_displayText.xhtml?lawCode=CIV&division=3.&title=1.81.5.&part=4.&chapter=&article=
[3] 개인정보보호 국제협력센터
https://www.privacy.go.kr/pic/faq.do
[4] 개인정보 보호법
http://www.law.go.kr/%EB%B2%95%EB%A0%B9/%EA%B0%9C%EC%9D%B8%EC%A0%95%EB%B3%B4%20%EB%B3%B4%ED%98%B8%EB%B2%95
