[CPPG] OECD, Safe-Harbor/Privacy Shield, CBPR, EU 및 한국의 개인정보 보호 원칙 비교

OECD 프라이버시 8원칙, Safe Harbor 원칙, GDPR 제5조는 모두 개인정보 보호와 관련된 국제적인 기준을 제시하는 제도적 틀입니다. 이들은 각각 다른 시기에 다른 지역에서 개발되었지만, 기본적으로 개인정보의 수집, 처리, 저장, 이용에 관한 공통적인 원칙을 다루고 있습니다. 이 세 가지를 연결하여 설명하면 다음과 같습니다.

「개인정보보호법」은 헌법재판소가 인정한 ‘개인정보자기결정권’의 취지 및 국제적으로 통용되는 ‘OECD 프라이버시 8원칙’, EU국가들의 입법기준이 되는 「개인정보보호지침」(95/46/EC, 1995) 이후 「일반 개인정보 보호법」(GDPR, 2018)을 참고하여 이를 동 법률의 총칙 규정으로 삼았습니다.

출처: 개인정보보호위원회의 “2020 개인정보 보호 법령 및 지침·고시 해설서“(2020-12-02)

1. OECD 프라이버시 8원칙 (1980)

OECD는 1980년 “프라이버시 보호 및 개인 데이터 흐름에 관한 가이드라인”을 통해 8가지 개인정보 보호 원칙을 제시했습니다. 이는 개인정보 처리의 국제적인 표준으로 자리 잡았고, 다른 많은 법률과 규제의 기초가 되었습니다.

1. 수집 제한 원칙(Collection Limitation Principle): 개인정보 수집은 반드시 필요한 최소한의 범위에서 합법적이고 공정한 방법으로 이루어져야 하며, 정보 주체의 인지와 동의 하에 수행되어야 합니다.
2. 정보 정확성의 원칙(Data Quality Principle): 수집된 개인정보는 목적에 적합해야 하며, 이를 위해 정확하고 완전하며 최신 상태를 유지해야 합니다.
3. 목적 명확화의 원칙(Purpose Specification Principle): 개인정보 수집 목적은 사전에 명확히 고지되어야 하며, 이후 목적이 변경될 경우 이에 대해 정보주체에게 알리고 동의를 얻어야 합니다. 개인정보는 원래 목적과 일치하는 용도로만 사용되어야 합니다.
4. 이용제한의 원칙(Use Limitation Principle): 개인정보는 사전에 명시된 목적 외에는 사용되거나 제3자에게 공개되지 않아야 하며, 이를 위해 정보 주체의 동의 또는 법적 권한이 필요합니다.
5. 안전성 확보의 원칙(Security Safeguards Principle): 개인정보는 합리적인 보안 조치에 의해 보호되어야 합니다. 이는 데이터 손실, 무단 접근, 오용, 파괴, 수정 또는 공개와 같은 위험에 대비하기 위함입니다.
6. 처리방침 공개의 원칙(Openness Principle): 개인정보 처리 관행 및 정책에 대해 대중에게 정보를 제공해야 하며, 개인정보 사용에 대한 정보에 쉽게 접근할 수 있어야 합니다.
7. 정보주체 참여의 원칙(Indivisual Participation Principle): 정보 주체는 자신에 대한 데이터를 확인하고 수정할 권리가 있습니다.
8. 책임의 원칙(Accountability Principle): 개인정보 처리자는 개인정보 보호 원칙의 이행을 보장하기 위한 책임을 져야 하며, 이를 위한 적절한 절차와 조치를 실행해야 합니다.

2-1. Safe Harbor 원칙 (1998)

Safe Harbor는 미국과 EU 간의 데이터 이전을 규제하기 위해 1998년에 도입된 자율 규제 프레임워크입니다. 미국의 느슨한 개인정보 보호 법제와 EU의 엄격한 데이터 보호법 간의 차이를 해결하기 위한 장치로, 미국 기업이 EU 시민의 개인정보를 처리할 때 지켜야 할 7가지 원칙을 제시했습니다. 이 Safe Harbor 원칙은 2016년 EU-US Privacy Shield로 대체되었습니다.

1. 고지(Notice): 데이터가 수집될 때 정보 주체에게 그 목적과 수집 내용을 고지해야 합니다. 개인정보의 수집·이용 목적·용도·정보를 제공하는 제3자의 유형·문제제기·권리행사 시 접근 방법 등에 대하여 고지
2. 선택(Choice): 데이터 주체는 자신의 데이터가 제3자에게 제공되는 것에 대해 선택권을 가져야 합니다. 개인정보가 제3자에게 제공되는지 여부 및 최초의 수집 목적과 양립할 수 없는 다른 목적으로 정보가 사용될 것인지 여부에 대해 옵트 아웃(Opt-out) 방식의 선택권을 제공. 민감한 정보에 대해서는 옵트 인(Opt-in)방식의 선택권 제공.
3. 제공(Ownward Transfer): 제3자에게 데이터를 전달할 때 동일한 보호 기준이 적용되어야 합니다. 개인정보의 위탁처리 등과 같이 제3자에게 개인정보를 제공할 경우, 당사자에게 고지함은 물론 선택권을 부여하여야 함
4. 안전성(Security): 데이터를 보호하기 위한 적절한 보안 조치가 있어야 합니다.
5. 정보의 무결성(Data Integration): 데이터는 목적에 맞게 정확하고 완전해야 합니다.
6. 접근(Access): 정보 주체는 자신의 데이터에 접근하고 수정할 수 있어야 합니다.
7. 이행(Enforcement): 기업은 원칙 준수를 담보할 수 있는 구제 수단과 분쟁해결 절차, 제제수단을 확보하고, 이 원칙을 준수하는지 확인하고 감독받아야 합니다.

2-2. EU-US Privacy Shield (2016)

EU-US Privacy Shield는 2016년에 도입된 데이터 보호 프레임워크로, 미국과 유럽연합(EU) 간의 데이터 이전 및 보호를 규제하기 위해 마련된 제도입니다. 이 제도는 1998년 도입된 Safe Harbor 원칙을 대체했으며, Safe Harbor가 2015년 유럽사법재판소에서 무효 판결을 받은 후에 더 강화된 개인정보 보호 메커니즘을 구축하기 위해 도입되었습니다.
Privacy Shield는 미국과 EU 간의 기업이 개인정보를 주고받는 과정에서 EU의 엄격한 개인정보 보호 기준을 준수할 수 있도록 설계되었으며, 특히 EU 시민의 개인정보가 미국으로 이전될 때 그 보호를 보장하기 위한 역할을 했습니다. 미국 기업이 Privacy Shield에 자발적으로 참여하여 EU에서 요구하는 개인정보 보호 기준을 따름으로써, 그 데이터를 미국으로 전송받을 수 있었습니다.

1. 통지 (Notice): 기업은 정보 주체에게 개인정보가 수집되는 이유, 수집 목적, 제3자와의 공유 여부 등을 통지해야 합니다. 정보 주체가 개인정보가 처리되는 방식을 알 권리를 강조합니다.
2. 선택 (Choice): 정보 주체는 개인정보가 제3자와 공유되거나 원래 수집 목적 외에 사용되는 경우, 이를 거부할 수 있는 선택권을 가져야 합니다. 민감한 정보에 대해선 명시적인 동의(opt-in)가 필요합니다.
3. 책임 있는 데이터 이전 (Accountability for Onward Transfer): 기업이 개인정보를 제3자에게 전달할 때, 그 제3자도 Privacy Shield 원칙을 준수하거나 동등한 수준의 보호를 제공해야 합니다. 데이터의 흐름에 대한 책임을 기업이 계속 유지해야 합니다.
4. 보안 (Security): 기업은 개인정보를 손실, 오용, 무단 접근, 공개, 변경, 파괴로부터 보호하기 위한 적절한 보안 조치를 취해야 합니다.
5. 데이터 완전성 및 목적 제한 (Data Integrity and Purpose Limitation): 개인정보는 수집된 목적에 맞게 처리되어야 하며, 정확하고, 최신 상태로 유지되어야 하며, 더 이상 필요하지 않으면 삭제되거나 익명화되어야 합니다.
6. 접근 (Access): 정보 주체는 자신의 개인정보에 접근할 권리를 가지며, 그 정보를 수정, 변경하거나 삭제를 요청할 수 있습니다.
7. 구제, 시행 및 책임 (Recourse, Enforcement and Liability): 기업은 Privacy Shield 원칙을 준수하지 않는 경우, 이에 대한 구제책을 제공하고, 이를 감독할 메커니즘을 갖춰야 합니다. 또한, 불만을 해결하기 위해 독립적인 불만 처리 기구와 협력해야 하며, 정보 주체는 불만을 제기할 권리가 있습니다.

3. APEC 프라이버시 보호 9원칙 (2005)

APEC은 회원국 간 자유롭고 신뢰할 수 있는 교역을 위해 ‘APEC 프라이버시 프레임워크(APEC Privacy Framework, APF)’를 개발하여 개인정보 이전 원칙과 체계를 수립하였다(2005년). APF는 고지, 수집 제한, 목적 내 이용, 선택권, 무결성, 보호대책, 열람·정정권, 책임성, 피해 구제 등 9가지 프라이버시 원칙을 담고 있다.

1. 고지 : 개인정보 처리에 대한 사전 고지
2. 수집 제한 : 수집 목적과 관련된 정보를 합법적이고 공정하게 수집, 적절한 경우 동의 획득
3. 목적 내 이용 : 수집 목적과 양립가능(compatible)하거나 관련(related)된 목적 내 이용
4. 선택권 : 적절한 경우 정보주체에게 수집·이용·제공에 대한 처리 제한권 부여
5. 무결성 : 개인정보의 정확성, 완전성, 최신성 유지
6. 보호대책 : 피해 발생 가능성과 심각성, 정보의 민감성에 비례한 보호조치 이행
7. 열람·정정 : 정보주체의 개인정보 열람·정정·삭제권 보장
8. 책임성 : CBPR 원칙을 이행할 수 있는 내부 및 수탁사 등에 대한 책임성 있는 관리체계 수립·이행
9. 피해 구제 : 개인정보 오용 방지를 위한 설계, 피해의 개연성과 심각성에 비례한 피해 구제 조치

4. GDPR 제5조 (2018)

GDPR(General Data Protection Regulation)은 2018년부터 시행된 유럽 연합의 개인정보 보호 규정입니다. 특히 GDPR 제5조는 개인정보 처리의 기본 원칙을 규정하고 있으며, 이는 OECD 원칙과 Safe Harbor 원칙을 더욱 강화하고 세분화한 형태입니다. 제5조에 명시된 원칙은 다음과 같습니다.

1. 합법성, 공정성 및 투명성: 개인정보는 정보주체와 관련하여 합법적이고, 공정하며, 투명한 방식으로 처리되어야 한다.
2. 목적 제한: 개인정보를 수집할 때 처음부터 개인정보의 처리 목적을 구체적이고 명시적으로 제시해야 하고, 적법한 목적을 위해서 수집해야 하며, 최초 수집 목적과 부합하지 않는 방식의 추가 처리를 하지 않는다.
3. 개인정보 최소처리: 처리 목적을 달성하기 위하여 적절한 범위 내에서, 처리 목적과 합리적으로 관련이 있고, 목적을 달성하기 위하여 필요한 것 이상으로 처리하지 않는다
4. 정확성: 개인정보 처리는 정확해야 하고, 필요시 처리되는 개인정보는 최신의 상태로 유지되어야 한다. 이에 따라 정확성 원칙은 개인정보 정정·삭제 요구권과도 밀접한 관계를 가진다.
5. 보유기간 제한: 필요한 기간 이상 개인정보를 보유해서는 안 된다
6. 무결성 및 기밀성: 보유하고 있는 개인정보를 안전하게 보호하기 위해 적절한 보안조치를 취해야 한다. ‘보안성 원칙(security principle)’이라고도 부른다.
7. 책임성: GDPR의 준수에 대해서 책임을 지고 그 준수를 입증할 수 있어야 한다. 준수 여부를 입증할 수 있으려면 적절한 기술적·관리적 조치와 그에 관한 기록이 있어야 한다.