[개인정보보호법] 개인정보 정의 및 GDPR

 

 

 

 

 

 

개인정보보호 관련 자료는 다음 링크들에서 참고할 수 있습니다:)

 

 

1. 국가법령정보센터

https://www.law.go.kr/

국가법령정보센터

 

 

2. 개인정보보호위원회

https://www.pipc.go.kr/np/

[개인정보보호위원회] 메인사이트

 

 

3. 개인정보보호포털

https://www.privacy.go.kr/

개인정보보호 포털

 

 

---

 

국가법령정보센터로 가셔서 개인정보보호법을 검색해볼게요:)

 

개인정보보호법

 

 

 

 

제 1장 총칙 중에서

제 2조 1호의 각 목을 살펴보도록 하겠습니다:)

 

제2조(정의) 이 법에서 사용하는 용어의 뜻은 다음과 같다.  <개정 2014. 3. 24., 2020. 2. 4.>

1. “개인정보”란 살아 있는 개인에 관한 정보로서 다음 각 목의 어느 하나에 해당하는 정보를 말한다.

가. 성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 수 있는 정보

나. 해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 정보. 이 경우 쉽게 결합할 수 있는지 여부는 다른 정보의 입수 가능성 등 개인을 알아보는 데 소요되는 시간, 비용, 기술 등을 합리적으로 고려하여야 한다.

다. 가목 또는 나목을 제1호의2에 따라 가명처리함으로써 원래의 상태로 복원하기 위한 추가 정보의 사용ㆍ결합 없이는 특정 개인을 알아볼 수 없는 정보(이하 “가명정보”라 한다)

 

다시 쉽게 바꾸어보면,

제2조(정의) 이 법에서 사용하는 용어의 뜻은 다음과 같다.  <개정 2014. 3. 24., 2020. 2. 4.>

1. "개인정보"란 살아 있는 개인에 관한 정보로서 다음 각 목의 어느 하나에 해당하는 정보를 말한다.

가. 개인을 알아 볼 수 있는 정보 = 인가된 사람이 허용된 권한 내에서 통제

나. 쉽게 결합하여 알아볼 수 있는 정보

다. 가명처리한 가명정보

 

 

즉, 개인정보의 영역에 가, 나, 다 목이 포함이 되어있는 것입니다.

 

 

 

그리고 개인정보의 판단 기준은

 

"쉽게 결합 할 수 있는지 여부"

 

 

그리고 개인정보 영역이 아닌 일반정보 영역에 바로 익명정보가 포함되어 있습니다.

즉, 익명정보는 개인정보보호법의 적용대상에서 배제시킨 것이죠.

 

 

 

---

 

 

그럼 이제 

 

개인정보보호법의 개정 주요 사항들이 뭐가 있는 지 살펴보겠습니다:)

 

 

 

1. 개인정보 보호체계 일원화

 - 개인정보의 안전한 활용을 위해 감독기구 및 관련 법령 정비

 

2. 데이터 이용 활성화

 - 가명정보 도입 등 데이터 활용 근거 마련

 - 양립성에 근거한 개인정보 목적 외 이용 및 제공

 

3. 개인정보 처리자 책임성 강화

 - 가명정보의 안전한 활용을 위해 안전조치 의무 부과

 

 

 

 

3가지 중에서 1, 2번 두가지가 핵심이라고 할 수 있습니다.

 

하나씩 살펴보도록 하겠습니다:)

 

 

 

1. 개인정보 보호체계 일원화

 

 

왜? 왜 필요할까요??

 

 

GDPR에 대해서 알아야 이해할 수 있습니다.

GDPR이란 General Data Protection Regulation 의 약자로

유럽연합 일반 개인정보보호법입니다:)

 

 

EU 회원국에 일괄적으로 적용되는 개인정보 보호법으로,

EU 내 사업장을 운영하는 기업뿐만 아니라 전자상거래 등을 통해 해외에서 EU 주민의 개인정보를 처리하는 기업에도 적용될 수 있는 법입니다.

 

 

그렇기 때문에 EU와 거래하는 우리나라 기업에도 동 법률이 적용되는 것이고

조항 위반으로 인한 과징금 및 행정처분을 받지 않도록 주의할 필요가 있습니다.

 

 

 

여기서 주목할 점

 

GDPR은 개인정보를 EU 밖으로 이전하는 것을 원칙적으로 금지하되, 역외 국가에 대해 GDPR상 요구되는 적정한 수준으로 개인정보를 보호하는지 평가해 이를 통과하는 경우 해당 국가로의 개인정보 이전을 허용하고 있다.

 

GDPR 적정성 평가 통과한 국가의 기업에만 개인정보 역외 이전 허용

했기 때문에

 

대한민국 역시 적정성 평가를 받았지만 2018년 5월 GDPR발효 이후 적정성 평가를 통과한 나라는

일본이 유일했습니다.

 

이렇게 통과를 하고 난 후에는

EU 내에서 수집한 정보를 별도의 비용 부담 없이 자국으로 가져와 활용할 수 있습니다.

하지만 통과하지 못한 경우 EU가 요구하는 비용을 치러야합니다:)

 

 

그렇다면 왜??? 왜 일본은 통과한 그 기준을 대한민국은 통과할 수 없었던 걸까요?

 

우리나라는 일본보다 개인정보보호 제도가 앞서있다는 평도 있었습니다.

하지만 개인정보보호법 상 개인정보보호위원회를 두고 있으나

이 위원회는 심의, 의결 기능만 있고

 

행안부, 방통위, 금융위 등 정부부처들이 조사, 과징금 부과 등 집행 기능을 나눠서 하고 있습니다.

 

그렇다보니 정보통신망법, 개인정보보호법, 신용정보법 등

아직 일원화가 안되어있다고 생각했을 것입니다.

 

법마다 관리처가 달라서 일정한 관리수준으로 관리할 수 있는 조직이 없다고 판단한 것이죠.

 

 

결국에는

 

일본은 통과, 한국은 탈락인 것이었습니다.

 

 

 

 

그래서, 지난해 11월 개인정보보호위원회를 중앙 행정기관으로 격상하고 개인정보보호 관련 업무를 일원화해 담당하도록 하는 「개인정보보호법」 개정안이 국회에 발의된 상태입니다.

 

결국, 개인정보보호법은 2020년 1월에 개정이 진행되었습니다.

 

 

 

 

 

 

 

2. 데이터 이용 활성화

 

 

 

GDPR에도 가명정보가 존재합니다.

 

그렇기 때문에 데이터 산업을 활성화 시켜야겠다는 생각으로 개정을 진행한 것이고

이는 데이터 활용의 근거 마련이 되는 것입니다.

 

또한 양립성에 근거하여 개인정보의 목적 외 이용과 제공을 가능토록 하여

개인정보의 이용,제공 범위를 확대시켰습니다.

 

 

원래 : 개인정보의 수집목적 범위 내 이용제공 가능

개정 : 동의 없이 개인정보의 수집목적과 합리적으로 관련된 범위 내 이용, 제공 가능

 

 

원래 : 데이터 결합에 대한 명시적인 법적 근거 부재

개정 : 가명정보 결합에 대한 법적 근거 명시

 

 

 

 

3. 개인정보 처리자 책임성 강화

 

 

- 추가정보 별도 분리, 보관 관리 명시

- 가명정보 처리시 금지의무 등 명시 : 안전조치 의무 보과, 재식별 금지