EU의 데이터 보호, GDPR로의 진화

 

지난 회에 언급했던 역사적인 배경들로 인해 유럽 전체적으로 데이터 보호를 위한 조화된 접근이 필요하다는 공감대가 형성되기 시작했고, 그에 맞추어 Convention 108 및 OECD 가이드라인의 목적은 회원국의 재량에 맡겨진 구현 원칙을 국제 협약에 기초하여 데이터 보호에 대한 조화된 접근 방식을 도입하는 것이었다. 그러나 초기부터 이러한 원칙을 국가 법률로 구현함으로 인해, 다양한 데이터 보호 체제가 개발된 것임이 분명 해졌다. 이러한 원칙을 채택함에 있어 회원국 내에서 일관된 접근법이 결여되어 있다는 것은 개별 조약의 기본 권리에 심각한 영향을 미칠 뿐만 아니라, 로마조약에 포함된 자유 무역을 방해할 수 있다고 인식되었다.

데이터 보호 지침

유럽 연합 집행위원회(European Commission)는 1976년 초에 유럽 의회에서 데이터 보호법을 조화시키는 지침을 마련하기 위한 제안서를 제출한 바 있다. 회원국 내의 데이터 보호법에 대한 국가 접근법의 다양성에 대한 우려가 커지면서 개인 데이터 처리와 관련하여 개인 보호에 관한 지침(Directive)을 이사회에 제안하게 되었다.

지침은 회원국을 구속하는 입법의 한 형태이지만, 시행을 위한 형식과 방법의 선택을 국가 당국에 맡긴다. 이 제안은 유럽 연합 집행위원회의 우려를 서술하고, 데이터 보호를 위한 기본 지침을 포함하고 있다. 이 제안에서 유럽 연합 집행위원회는 ‘국내 접근법의 다양성과 공동체 차원에서의 보호 제도의 부재는 내부 시장의 완성에 장애가 된다. 데이터 주체의 기본적인 권리, 특히 프라이버시 권리가 공동체 차원에서 보호되지 않는다면, 데이터의 국경 간 흐름이 저해될 수 있다.’고 언급했다.

유럽 연합 집행위원회는 Convention 108에 포함된 원칙들이 Convention 108을 비준한 나라들에 대한 공통의 표준이 되었기 때문에, 이를 프레임워크 지침을 작성하는 기준으로 사용했다. 프레임워크 지침은 이러한 일반 원칙을 보완하여 높은 수준에서 이와 동등한 보호를 제공한다. 따라서 이를 달성하기 위한 프레임워크 지침의 제안 범위가 넓어졌으며, 자동 및 수동으로 처리하는 개인 자료에 대한 보호를 확대하고 공공 및 민간 부문 모두를 포괄하게 되었다.

유럽 연합 집행위원회가 수행한 작업의 절정은 개인정보 처리 및 그러한 데이터의 자유로운 이동에 관한 개인 보호에 관한 Directive 95/46/EC(Data Protection Directive 또는 Directive)였다. 제목에서 알 수 있듯이, 이 지침의 목적은 개인의 기본적인 프라이버시 권리를 ECHR 제8조 및 제10조와의 일관성을 유지하면서, 한 회원 국가의 자유로운 데이터 흐름과 조화롭게 조화시키는 데 있었다.

유감스럽게도 회원국들이 Directive를 시행하고 적용하는 방식에 상당한 차이가 있거나, 변경이 있어서, 기업이 내부 시장의 이점을 최대한 활용하기 어렵게 만들었다. 2003년에 발표된 European Commission of Directive의 첫 번째 보고서가 이 문제를 확인했다.

어떤 경우에는, 차이점이 Directive를 잘못 구현한 결과이며 특정 회원국의 법에 따라 수정이 필요하다는 결과를 가져왔다. 회원국이 그 입장을 개선하지 못한 경우, 유럽 연합 집행위원회는 그에 대한 위반 절차를 제정할 권한을 가진다. 다른 경우에 있어서 차이점은 회원국의 지침 이행으로 인한 것이었지만, 허용된 동작 한계 내에서도 여전히 불일치가 발생했다.

국내 법률의 차이로 인해 발생하는 불일치의 한 예는 기업이 데이터 보호 당국(DPA)에 데이터 처리에 대한 세부 정보를 알리는 요구 사항과 관련이 있다. 회원국의 국내법은 이와 관련하여 요구 사항에 따라 상당히 달랐으며, 이는 특히 개인정보를 EU 외 국가로 이전하는 경우에 대해, 관료주의 및 비용을 초래했다.

 

기본권 헌장

유럽 ​​의회, 이사회 및 집행위원회의 의장은 2000년 12월 7일 프랑스 니스에서 기관을 대신하여 기본권 헌장에 서명하고 선언했다. 유럽 연합(EU) 조약, 유럽사법재판소(CJEU) 판례법, 유럽 연합 회원국의 헌법 전통 및 유럽인권협약에서 비롯된 EU 내 기본 권리를 더욱 강화했다.

이 헌장은 ECHR에 명시된 일반적인 원칙을 포함하지만 구체적으로는 개인정보 보호를 의미한다. 리스본조약이 발효된 2009년 12월, 헌장은 법적 구속력을 가지게 되었다.

헌장 제7조와 제10조는 각각 제8조와 제10조의 ECHR 조항을 반영하고 제8조는 구체적으로 다음과 같은 데이터 보호를 다룬다.

1. 모든 사람은 자신에 관한 개인정보를 보호할 권리가 있다.

2. 그러한 데이터는 지정된 목적을 위해 그리고 관련자의 동의 또는 법률에 의해 정해진 다른 합법적인 기반에 근거하여 공정하게 처리되어야 한다. 모든 사람은 그와 관련하여 수집된 데이터에 접근할 권리와 그것이 수정될 권리를 가진다.

3. 이 규칙의 준수는 독립 당국의 통제를 받는다.

 

따라서 제8조는 개인정보 보호를 위한 특정 핵심 가치를 보장한다.

• 처리가 공정해야 한다.

• 지정된 목적으로 처리해야 한다.

• 처리를 위한 합법적인 근거가 있어야 한다.

• 개인은 개인정보에 액세스하고 정정할 수 있는 권리가 있어야 한다.

• 준수를 감독할 감독 기관이 있어야 한다.

이러한 권리에 대한 제한은 헌장 제52조에 따라야 하며, 이는 ECHR에 포함된 필요성과 비례성에 근거한 제한을 반영한다.

 

리스본조약

2007년 12월 13일, EU 회원국들은 리스본조약(Lisbon Treaty)에 서명했다. 2009년 12월 1일부터 효력을 발생했다. 주요 목적은 EU가보다 효율적으로 기능할 수 있도록 유럽 연합의 핵심 구조를 강화하고 개선하는 것이다.

리스본조약은 EU의 2가지 핵심 조약인 유럽 연합에 관한 조약과 유럽 공동체 설립 조약(Treaty on the Functioning of the European Union 또는 TFEU로 명칭이 변경됨)을 개정했다. TFEU는 헌장 제8조를 반영하고 모든 사람은 자신에 관한 개인정보를 보호할 권리가 있음을 제16조 (1)항에 규정한다. 제16조 (2)항에서 TFEU는 다음과 같이 규정한다.

 

유럽 ​​의회와 이사회는 통상적인 입법 절차에 따라 행동하며, 연합 기관, 단체, 기관 및 에이전시에 의해, 그리고 회원국이 연방법의 범위에 속하는 활동을 수행하는 경우, 회원국의 개인 데이터 처리와 관련하여 개인 보호와 관련된 규칙을 정한다. 그러한 데이터의 자유로운 이동과 관련된 규칙의 준수는 독립 당국의 통제를 받는다.

 

이 조항은 유럽 연합의 모든 기관이 개인정보를 처리할 때 개인을 보호해야 함을 보장한다. 유럽 연합 기관의 데이터 보호법 준수를 규제하는 역할을 하는 유럽 데이터 보호 관리자가 있지만 ‘당국’에 대한 언급은 해당 국가 DPA가 그러한 문제에 대해 관할권을 가질 수 있음을 의미한다.

인간의 존엄성, 자유, 민주주의, 평등, 법치주의 및 인권 존중을 포함한 핵심 가치들을 증진하는 것이 리스본조약의 주요 목표 중 하나이다. 이 가치들은 모든 회원국에 공통적으로 적용되며 유럽 연합 회원국이 되기를 희망하는 모든 유럽 국가는 이를 존중해야 한다. 유럽 연합을 설립한 조약이 기본적인 권리를 전혀 언급하지 않았기 때문에 이것은 중요한 발전이다.

리스본조약은 정의, 자유와 보안을 높은 우선순위로 설명하고 있고, 이 분야의 괄목할 만한 변화는 EU가 지배할 수 있는 하나의 시스템을 구성하여 모든 EU 활동에 대한 하나의 공통된 법적 프레임워크의 도입이라고 할 것이다.

 

GDPR의 등장

회원국의 데이터 보호 접근법의 조화가 부족한 것 외에도, Directive가 기술 중립적이긴 하지만, 개인 데이터를 수집, 접근 및 사용하는 방식을 변화시켜온 급속한 기술 개발 및 세계화와 보조를 맞추지 못했다는 것이 분명해졌다.

이러한 우려에 대한 대응으로 집행위원회는 2009년에 당시의 데이터 보호에 관한 법적 틀에 대한 검토를 시작했으며, 2010년에는 데이터 보호 규칙을 강화하기 위한 전략을 수립했다. 이로 인해 2012년 1월, EU 전체에 일련의 규칙을 적용하는 Regulation의 형태로 Directive의 포괄적인 개혁안이 집행위원회에 제안되게 되었다. GDPR(General Data Protection Regulation)의 텍스트에 대한 동의는 유럽 연합 집행위원회, 유럽 의회와 EU 이사회 간의 협상 과정(‘3자회담’이라고도 함)에서 절정에 달하는 긴 과정이었다. 이 기관들이 협의하여, GDPR은 유럽 연합 공식 저널에 게재되었고 2016년 5월에 발효되었으며, 2018년 5월 25일 DPA가 이를 온전히 시행할 수 있게 되었다.

GDPR은 그 전체가 구속력을 가지며, 국내법으로 전환할 필요 없이 발효 즉시 모든 회원국에 적용된다. 지침(Directive)이 아닌 규정(Regulation)을 갖는 목적은 EU 회원국 간의 접근 방식의 일관성을 극대화하는 것이다. 그럼에도 불구하고 GDPR은 회원국들이 일부 상황에서 보다 구체적인 규칙을 별도로 제정할 수 있도록 허용하고 있다. 이는 GDPR이 실제로 실행되는 방식에 있어 회원국 간에 접근의 차이가 여전히 존재함을 의미한다. 회원국이 추가 입법 조항을 만들 수 있는 예는 다음과 같다.

• 직원 데이터 처리와 관련된 분야의 특정 법률이 제정되어 있는 경우

• 공공의 이익, 과학이나 역사 연구 목적, 통계 목적으로 보관

• ‘개인 데이터의 특수 범주’ 처리

• ‘법적 의무’에 따른 처리

 

GDPR의 이러한 측면은 나중에 보다 자세하게 알아볼 것이다.

GDPR은 기존 Directive의 목적과 원칙이 여전히 튼튼하지만 Directive가 유럽 연합 전체에 걸쳐 데이터 보호를 단편적으로 구현하고 법적 불확실성 및 특히 ‘온라인 활동과 관련하여’ 개인정보 보호에 중대한 위험이 있다는 대중의 인식이 확산되었음을 인정한다. 기술과 세계화의 급속한 발전은 ‘전례 없는 규모로’ 민간 기업 및 공공 기관에 의한 개인정보의 사용을 야기하였다. GDPR은 ‘내부 시장에서 디지털 경제가 발전할 수 있도록’ 하는 신뢰를 구축하기 위해, 강력하고 일관성 있는 시행으로 뒷받침되는 ‘강력하고 더욱 일관성 있는 데이터 보호 프레임워크’를 만들기 위해 고안되었다.

GDPR에 포함된 주요 변경 사항은 다음과 같다.

• 특히 온라인 환경에서의 개인에 대한 더 강력한 권리

• 새로운 기술이 개발될 때 데이터 프라이버시가 고려되어야 한다는 요구사항(Data Protection by Design and by Default)

• 조직이 GDPR 준수를 입증할 수 있어야 하는 ‘책임성’ 개념 도입

• 감독 당국의 권한 증가

• ‘원 스톱 숍’의 개념

• EU 소비자를 대상으로 하는 모든 이에게 GDPR을 광범위하게 적용

 

 

GDPR과 관련된 다른 입법 활동들

 

법 집행 데이터 보호 지침

GDPR을 위한 프레임워크를 제안하는 동시에, 유럽 연합 집행위원회는 형사 범죄의 예방, 조사, 탐지 또는 기소를 목적으로, 또는 형사처벌의 집행과, 그 데이터의 자유로운 이동을 목적으로 하는 관할 당국의 개인 데이터 처리와 관련한 자연인에 대한 보호를 위한 지침(Law Enforcement Data Protection Directive또는 LEDP Directive, 2016년 5월 5일 발효)을 도입하였다. 회원국은 2018년 5월 6일까지 LEDP Directive를 국내법으로 옮겨야 했다.

LEDP Directive의 목표는 형법 집행 당국이 개인정보를 사용할 때마다 시민들의 기본적 권리를 보호하기 위해 회원국의 규칙을 조화시키는 것이지만, 회원국이 데이터 주체의 권리를 보호하기 위해 자국의 법에 더 높은 안전장치를 제공하는 것을 배제하지는 않는다.

 

ePrivacy Directive

ePrivacy Directive는 ‘공개 통신 네트워크’에서 개인 데이터 처리와 관련된 규칙을 설명한다. 전자 자료 부문의 개인정보 처리 및 개인정보 보호에 관한 Directive 2002/58/EC

GDPR은 ePrivacy Directive에 포함된 의무 사항에 추가 의무를 부과하려는 의도가 아니며, 따라서 ePrivacy Directive는 2가지 제도 간에 일관성을 유지하기 위해 적절히 검토되고 수정될 필요가 있음을 분명히 한다.

그래서 유럽 연합 집행위원회는 유럽 의회에 ePrivacy Directive를 대체할 ePrivacy Regulation을 제출하였고, 수차례의 리뷰를 거쳐 2021년 1월 5일에 유럽 의회는 ePrivacy Regulation의 새로운 안(new draft)을 발표했다. 최초의 초안은 2017년 1월에 제안되었던 것을 감안하면 매우 더딘 움직임으로 보이지만, 그만큼 개인정보 보호에 대해 충분한 논의와 검토를 한다는 것에 반증이기도 하고, EU의 개인정보보호 활동이 전세계적으로 de facto standard가 될 수 있는 이유이기도 하다.

 

유럽의 데이터 보호법 진화의 역사

1948년 유엔 총회는 보편적인 가치와 전통, 즉 모든 인류 구성원의 타고난 존엄성과 평등하고 양도할 수 없는 권리가 세계의 자유와 정의와 평화에 있음을 인식하여 세계인권선언 창설
1950년 로마에서 유럽 평의회는 인권과 기본적 자유를 보호하기 위해 개별 국가에 유럽​​인권협약(ECHR)에 서명하도록 초청

1953년에 발효된 ECHR은 회원 국가들에게만 적용되며, 회원국은 이 권리와 자유를 관할권 내의 모든 사람에게 제공할 것으로 기대되었음. 스트라스부르의 유럽인권재판소는 회원국 전체에 걸쳐 ECHR 시행가능

1951년 유럽의 석탄 및 강철 공동체 설립 조약(Treaty of Paris)은 석탄과 강철 통제를 위한 지역기구를 설립했다. 이 조약의 당사국은 프랑스, ​​서독, 이탈리아, 벨기에, 룩셈부르크 및 네덜란드였음
1957년 유럽​​경제공동체(European Economic Community) 설립 조약(Treaty of Rome)
1965년 유럽 공동체의 단일 협의회 및 단일 위원회 설립 조약(Merger Treaty)은 공동 시장을 설립하고 유럽 연합 집행위원회, 각료회의, 유럽 연합 법원(CJEU) 및 유럽 의회 설립
1970년 독일의 헤세(Hesse)주에서는 최초의 현대 개인정보 보호법 소개
1973년 스웨덴 최초의 국가 개인정보 보호법인 데이터 법 제정
1973-74년 Resolutions 73/22 및 74/29 가 통과되어 민간 및 공공 부문의 자동화된 데이터 은행에서 개인정보를 보호하는 원칙을 수립하여 이러한 결의안에 근거한 국내법의 개발 추진
1979년 7개 회원국(오스트리아, 덴마크, 프랑스, ​​독일연방공화국, 룩셈부르크, 노르웨이, 스웨덴)에서 일반 데이터 보호법이 제정되어 여러 법안이 제정 계획됨. 스페인, 포르투갈, 오스트리아의 3개 유럽 국가에서 데이터 보호는 헌법의 기본 권리로 통합
1980년 개인정보 보호 및 개인정보 흐름에 관한 OECD 가이드라인 제정
1981년 개인 데이터 자동 처리 관련 유럽​​평의회(Council of Europe) 협약(Convention 108) 제정: 1973년과 1974년 결의안을 통합하고 재확인하며 데이터 보호 분야에서 최초의 법적 구속력 있는 국제 법률문서. OECD 가이드라인과 달리 Convention 108에 서명한 국가는 해당 원칙들을 적용하기 위해 자신의 국내법에 별도 조치 필요
1986년 단일 유럽 법(single European act)은 이전 조약을 개정하고 ‘내부 시장’(1992년 발효)을 창안하고 단일 통화와 국경 규제를 종식시킴
1992년 유럽 연합 조약(마스트리히트 조약)이 유럽 연합(EU) 설립
1995년 개인 데이터의 처리와 그러한 데이터의 자유로운 이동에 관한 개인 보호에 관한 Directive 95/46/EC(Data Protection Directive또는 Directive)는 한 회원 국가에서 다른 회원국으로의 자유로운 데이터 흐름과 개인의 기본적 권리 보호를 더욱 조화시킴
2000년 내부 시장 특히 전자 상거래 시장에서 정보 사회 서비스의 법적 측면에 대한 Directive 2000/31/EC(Directive on electronic commerce) 또는 E-Commerce Directive
2000년 유럽 연합 기본권 헌장은 EU 내에서 적용 가능한 기본적인 권리를 더욱 강화시켰고, ECHR에 명시된 일반 원칙을 포함시켰지만, 개인정보 보호를 구체적으로 언급했음
2001년 감독 당국과 국가 간 정보 흐름에 관한 개인 데이터의 자동 처리와 관련한 개인의 보호를 위한 협약의 추가 의정서는 Convention 108이 서명국이 아닌 국가에 대한 개인정보의 이전을 제공하지 않는다는 사실을 해결하기 위해 고안되었다. Convention 108. 그것은 비 EU 국가로 이전된 개인정보에 대한 (동등하다기 보다) ‘적절한’ 수준의 보호의 개념 도입
2002년 전자 통신 부문에서 개인정보 처리 및 개인정보 보호에 관한 Directive 2002/58/EC(Directive on privacy and electronic communications 또는 ePrivacy Directive)는 정보의 기밀성, 트래픽 데이터 처리, 스팸 및 쿠키와 같은 여러 가지 중요한 문제에 대한 규제를 다룸
2006년 공개적으로 이용 가능한 전자 통신 서비스 또는 공중 통신망의 제공과 관련하여 생성 또는 처리된 데이터의 보존과 Directive 2002/58/EC의 개정에 관한 ‘Directive 2006/24/EC’
2007년 리스본조약은 유럽 연합의 핵심 구조를 강화하고 개선하여 유럽 연합이 보다 효율적으로 기능할 수 있도록 하기 위해 고안되었다. 2000년 헌장 구속법 제정

리스본조약에 의거 유럽 데이터 보호 관리자(European Data Protection Supervisor) 설립

2008년 11월 27일의 Council Framework Decision 2008/977/JHA에서 범죄 관련 사안에 대한 경찰 및 사법 협력의 틀에서 처리되는 개인 데이터 보호에 관한 내용을 다룸
2009년 Directive 2009/136/EC: 전자 통신 네트워크 및 서비스와 관련된 보편적 서비스 및 사용자의 권리에 대한 Directive 2002/22/EC, 개인정보 처리 및 전자 통신부문의 개인정보 보호에 관한 Directive 2002/58/EC 및 소비자 보호법 집행에 대한 책임이 있는 국가 기관 간의 협력에 관한 GDPR(EC) No 2006/2004의 개정
개인정보의 처리 및 데이터 이동 관련 자연인의 보호에 대한 GDPR(EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 그리고 Directive 95/46/EC의 폐지(GDPR).(EEA 관련성 있는 텍스트)
범죄의 예방, 조사, 탐지/기소 또는 형사처벌의 집행 목적을 위한 권한 있는 당국의 개인 데이터 처리와 관련한 자연인 보호와 그러한 데이터의 자유로운 이동에 대한 Directive(EU) 2016/680 of the European Parliament and of the Council of 27 April 2016 그리고 Council Framework Decision 2008/977/JHA의 폐지
테러 범죄와 심각한 범죄의 예방, 탐지, 조사 및 기소를 위한 여객 이름 기록(PNR)에 대한 Directive(EU) 2016/681 of the European Parliament and of the Council of 27 April 2016

 

지난 회에 이버 이번 회 까지는 EU의 규제 프레임워크의 주요 부분에 대한 개요를 비롯하여, 유럽 데이터 보호법의 역사적 맥락과 기원을 살펴보았다. 다음 회에는 EU의 개인정보보호 관련 기구/기관을 다뤄보려 한다.