GDPR에 규정된 정보주체의 권리...잊힐 권리, 정보이동권, 프로파일링 등
[보안뉴스= 권건보 아주대학교 법학전문대학원 교수] 2012년 1월 25일 유럽연합 집행위원회(European Commission)는 EU 회원국에 포괄적으로 적용될 개인정보보호법을 제정하기 위하여 ‘개인정보의 처리와 관련한 개인의 보호 및 개인정보의 자유로운 이동에 관한 규정’, 즉 개인정보보호 일반규정(General Data Protection Regulation, GDPR) 초안을 마련하였다. 여기서 기존의 EU 개인정보보호지침(Directive 95/46/EC)에서 보장되었던 접근권을 보다 강화하기 위하여 ‘잊힐 권리’, 정보이동권 등을 새롭게 규정하였다.
이후 새로운 권리들에 대하여 회원국들의 이견이 있어 여러 수정안이 나왔지만, 2015년 12월 15일 유럽연합 28개의 회원국은 엄격한 개인정보보호 방식의 GDPR을 채택하기로 합의하였다. 이에 따라 유럽연합 이사회(Council of the European Union)에서2016년 4월 6일 GDPR 최종안이 마련되었고, 마침내 같은 해 4월 14일 유럽의회(European Parliament)에서 통과되어 5월 4일 공식적으로 공표되기에 이르렀다. 이로써 GDPR은 기존의 EU 개인정보보호지침을 대체하는 법규적 효력을 가지게 되었으며, 2년의 유예기간을 거쳐 2018년 5월 25일부터 각 회원국에 시행될 예정이다.
이러한 단일의 개인정보보호기준이 유럽연합 28개 회원국에 직접 적용될 경우 아일랜드와 같이 현재개인정보보호에 취약한 국가에 외국 IT 기업들이 정착해 엄격한 규정을 기피하려는 행태가 감소될 것으로 기대된다. 최근 공표된 GDPR은 제3장에서 접근권, 정정권, 삭제권, 처리제한권, 반대권, 정보이동권 등과 같은 정보주체의 권리들을 규정하고 있다. 이 가운데 특히 우리의 주목을 끄는 잊힐 권리, 정보이동권, 프로파일링에 대한 권리 등의 내용을 이하에서 간략히 소개하고자 한다.
잊힐 권리
잊힐 권리는 흔히 인터넷상에서 지속적으로 검색되는 자신에 관한 정보의 삭제 또는 검색차단을 요구할 수 있는 권리로서 이해된다. 이것은 2010년에 비비안 레딩(Viviane Redding)이 EU 차원의 입법화 필요성을 강력히 주장하면서 주목을 끌게 되었다. 그녀의 주장에 따라 2012년 1월 25일 유럽연합 집행위원회(European Commission)는 GDPR 초안에서 처음으로 ‘잊힐 권리’를 새로운 권리의 명칭으로 사용하기 시작하였다.
이후 잊힐 권리에 관한 조항에 대해서는 논란이 심하여 여러 수정안이 나오면서, ‘잊힐 권리’의 표현이 아예 삭제되기도 하였고 때로는 그 내용 일부가 삭제되기도 하였다. 하지만 2015년 12월15일 유럽연합 28개의 회원국은 제17조에서 삭제권과 링크 복사본·복제본의 삭제 요구 사실의 통지의무 등 ‘잊힐 권리’에 관한 내용을 포함시키기로 합의하였다. 그 대신에 ‘잊힐 권리’라는 명칭에서 오는 부담감을 고려하여 동조의 제목에서 ‘잊힐 권리’의 표현을 ‘삭제권’ 뒤의 괄호 속에 넣기로 하였다.
특히, 링크 복사본·복제본의 삭제 요구 사실의 통지의무 등의 내용이 살아남을 수 있었던 데에는 2014년 5월 13일에 있었던 유럽사법재판소(ECJ)의 판결이 크게 작용한 것으로 보인다. 동 판결에서 ECJ는 잊힐 권리는 EU 개인정보보호지침의 해석상 개인에게 보편적으로 인정될 수 있는 권리로 볼 수 있다고 전제하였다. EU Directive(95/46/EC) 제12조에 의하면 개인정보가 불완전 부정확한 경우 정보주체는 그 정보의 삭제를 받을 수 있는 권리를 가질 수 있었던 것이다.
최근 최종 공표된 GDPR은 잊힐 권리와 관련하여 제17조에서 정보주체의 삭제요구권 및 정보관리자의 삭제의무에 대해 규정하고 있는데, 그 구체적 내용을 소개하면 다음과 같다. 정보주체는 자신에 관한 개인정보의 삭제를 정보관리자(controller)에게 요구할 권리를 가진다(제1항 전단). 정보관리자는 해당 개인정보가 처리 목적상 더는 필요하지 않게 된 경우, 정보주체가 동의를 철회하고 그 처리 근거가 더 이상 존재하지 아니하는 경우, 정보가 불법적으로 처리된 경우, 정보관리자가 법적 의무의 준수를 위해 해당 정보를 삭제해야 하는 경우 등에는 지체 없이 개인정보를 삭제해야 한다(제1항 후단).
하지만 자신이 개인정보를 대중에게 노출시킨 경우, 정보관리자는 정보주체가 해당 개인정보의 링크 복사본·복제본의 삭제를 요구하였다는 사실을 다른 정보관리자들에게 알리기 위해 기술적 조치 등 합리적 조치를 취해야 하는데, 이때에는 이용 가능한 기술력과 이행의 비용이 고려되어야 한다(제2항). 이러한 통지의무는 통지대상자 파악에 기술적 난점이 있다는 비판에 따라 2013년 1월 16일 Ablrecht 수정안에서 삭제되기도 하였으나, 기술적 이행의 가능성을 조건으로 달아 최종안에 다시 포함되어 살아남았다.
그런데 동조 제1항과 제2항의 적용에 있어서 ①표현의 자유와 알권리의 행사 ②법적 의무의 준수 또는 공익적 목적이나 공공기관 업무의 수행 ③공중보건과 관련된 공익적 사유 ④공익적 아카이빙(archiving),과학적·역사적 연구 또는 통계를 위한 경우로서, 삭제가 불가능하거나 목적 달성을 심히 저해할 우려가 있는 경우 ⑤소송행위를 위해 처리가 필요한 경우에는 예외가 인정된다(제3항). 잊힐 권리가 표현의자유 등 주요 법익을 위축시킬 우려가 있다는 지적에 따라 이와 같은 예외조항을 두게 되었다.
정보이동권
정보주체의 정보이동권(Right to data portability)은 자신에 관한 개인정보가 특정인에 의해 독점적으로 처리되는 것을 막기 위해 개인정보를 자신 또는 제3자에게 이전할 것을 요구할 수 있는 권리라고 할 수 있다. 이러한 정보이동권은 EU Directive(95/46/EC)에는 관련 규정이 없었으나, GDPR 제20조에서 정보주체의 보호를 강화하는 차원에서 새롭게 도입되었다. 그 구체적 내용은 다음과 같다.
정보주체는 이해하기 쉬운 형식으로 자신이 정보관리자에게 제공한 개인정보를 돌려받을 권리를 가지며, 동의 혹은 계약에 따라 처리가 이루어지고 자동화된 수단에 의해서 처리되는 경우 그 정보를 제공받은 다른 정보관리자로부터 방해받지 않고 그 개인정보를 제3의 정보관리자에게 이전할 권리를 가진다(제20조 제1항). 이러한 정보이동의 권리를 행사할 때 정보주체는 기술적으로 실행 가능한 경우 정보관리자들 사이에 그 정보가 직접 이전되도록 할 권리를 가진다(제20조 제2항).
하지만 그러한 권리는 공익적 목적이나 공공기관 업무의 수행을 위해 처리가 필요한 경우에는 적용되지 않으며(제20조 제3항), 다른 사람들의 권리와 자유에 부정적인 영향을 미쳐서는 안 된다(제20조 제4항). 이러한 정보이동권은 정보주체가 스스로 제공한 개인정보에 한하여 허용된다. 이는 정보주체의 권리를 강화함은 물론 서비스 제공자들 사이의 경쟁도 촉진시킬 것으로 보인다.
프로파일링에 대한 권리
프로파일링(profiling)은 자연인에 관한 일정한 개인적 측면을 평가하기 위하여 특히 그의 직업, 경제력, 건강, 취향, 관심사, 신뢰도, 행태, 위치, 이동 등을 분석 또는 예측하기 위해 이루어지는 개인정보의 자동화된 처리의 모든 형태를 말한다(GDPR 제4조 제4호). 이것은 오늘날 개별 소비자에 대한 맞춤형 광고를 통하여 구매력을 극대화하려는 경영전략기법의 하나로서 각광받고 있다.
하지만 주로 정보주체가 그 정보처리의 상황을 잘 파악하지 못하는 가운데 진행되기 때문에 개인의 프라이버시 또는 개인정보를 침해할 가능성이 높고, 경우에 따라서는 개인의 인격적 존엄성과 자율성을 심각하게 위협할 우려도 있다. 이러한 점에서 프로파일링에 대하여 정보주체는 자율적인 통제권을 행사할 수 있도록 하는 것이 중요하게 되었다. EU Directive(95/46/EC)에서는 자동화된 개인적 결정(Automated individual decisions)에 관한 규정을 두었으나(제15조), 프로파일링에 대한 명시적 규정의 필요성이 제기되었다.
2010년 11월 23일에 열린 유럽이사회 각료 위원회가 채택한 프로파일링 권고(Profiling Recommendation)5는 제5조에서 정보주체에게 프로파일링 관련 통지받을 권리, 프로파일링 위한 개인정보 이용에 반대할 권리, 프로파일링에 근거한 결정의 대상이 되는 것에 반대할 권리 등을 원칙적으로 보장할 것을 권고한 바 있다. GDPR은 그와 같은 요청을 수용하여 프로파일링에 관한 권리로서 반대할 권리(제21조)와 자동화처리의 결정 대상이 되지 않을 권리(제22조)를 규정하고 있다.
먼저 GDPR 제21조에 의하면 정보주체는 원칙적으로 자신의 특수한 사정을 들어 자신에 관한 프로파일링에 대하여 반대할 권리를 가진다(제1항). 또한, 개인정보가 다이렉트 마케팅을 목적으로 처리되는경우, 정보주체는 그 마케팅을 위해 자신에 관한 프로파일링에 대하여 반대할 권리를 가진다(제2항). 다음으로 GDPR 제22조에 의하면 정보주체는 오직 자신에 관한 법적 효과를 야기하거나 유사하게 중요한 영향을 끼치는 자동화된 처리(프로파일링 포함)에만 근거한 결정의 대상이 되지 않을 권리를 가진다(제1항).
하지만 계약의 체결·이행 목적, 법률상 근거 또는 정보주체의 명시적 동의가 있는 결정에 대해서는 그러하지 아니하다(제2항). 계약의 체결·이행 목적 또는 정보주체의 명시적 동의가 있는 경우에도 정보처리자는 정보주체의 권리와 정당한 이익 또는 자신의 관점을 표현할 수 있는 권리, 그 결정에 이의를 제기할 수 있는 권리 등의 보호를 위해 적절한 조치를 이행하여야 한다(제3항).
우리나라 법제에 대한 시사점
GDPR 제17조의 삭제권과 삭제의무는 우리 개인정보보호법상 삭제청구권(제36조)과 유사하다. 하지만 GDPR에서는 열람의 절차를 전제로 하지 않는다는 점에서 우리의 개인정보보호법과 차이가 있다. 한편, 우리 정보통신망법에도 삭제요청권(제44조의2)이 규정되고 있지만, 삭제요청은 타인의 권리가 침해된 경우를 전제로 하여 침해사실의 소명을 요한다.
이러한 점에서 사생활 침해나 명예훼손과 관계없이 자신의 기록을 삭제 요구할 수 있는 GDPR의 잊힐 권리와 차이가 있다. 따라서 정보주체의 권리를 확대하는 차원에서 GDPR의 잊힐 권리를 국내에 도입할 실익은 남아있다고 본다. 특히 링크 복사본·복제본의 삭제 요구 통지의무에 관한 조항은 우리나라에 시사하는 바가 크다고 본다.
GDPR의 정보이동권은 우리나라의 입법에서 명시적 규정을 찾을 수 없다. 정보주체의 개인정보자기결정권을 실효적으로 보장하는 차원에서 그러한 권리를 국내의 입법에 반영하는 것이 바람직하다고 본다.
프로파일링이나 자동화된 개인적 결정에 대한 권리 역시 우리나라 법률에서는 규정되고 있지 않다. 오히려 빅데이터를 활성화 정책으로 비식별화 조치를 통한 개인정보의 활용을 장려하는 방안을 찾고 있는 상황이다. 비식별화 조치의 적정성을 정보처리자의 자율에 맡길 경우 무분별한 프로파일링을 불러올 위험이 있다. 설령 개인정보에 대해 비식별화 조치를 취했다고 할지라도 재식별화의 가능성을 완전히 배제하기도 어렵다.
이러한 점에서 우리나라에서도 GDPR과 같은 수준에서 프로파일링에 대한 권리를 인정할 필요가 있다고 본다. EU와의 자유무역협정 체결 이후 국내 기업이 유럽연합 지역에 진출하는 사례가 늘어나면서 우리나라도 GDPR에 따른 ‘적정한 수준’의 개인정보보호체계를 갖출 필요성이 커지고 있는 상황이다. GDPR이 본격 시행되는 2018년 5월 25일 이후 EU 회원국의 개인정보보호수준 적정성 평가에 대비하는 차원에서라도 GDPR의 새로운 권리의 도입 취지를 국내법에 반영하기 위한 노력이 필요하다고 본다.
[글_ 권건보 아주대학교 법학전문대학원 교수/前 개인정보보호위원회 위원
(kwonbo@ajou.ac.kr)]
[보안뉴스= 권건보 아주대학교 법학전문대학원 교수] 2012년 1월 25일 유럽연합 집행위원회(European Commission)는 EU 회원국에 포괄적으로 적용될 개인정보보호법을 제정하기 위하여 ‘개인정보의 처리와 관련한 개인의 보호 및 개인정보의 자유로운 이동에 관한 규정’, 즉 개인정보보호 일반규정(General Data Protection Regulation, GDPR) 초안을 마련하였다. 여기서 기존의 EU 개인정보보호지침(Directive 95/46/EC)에서 보장되었던 접근권을 보다 강화하기 위하여 ‘잊힐 권리’, 정보이동권 등을 새롭게 규정하였다.
이후 새로운 권리들에 대하여 회원국들의 이견이 있어 여러 수정안이 나왔지만, 2015년 12월 15일 유럽연합 28개의 회원국은 엄격한 개인정보보호 방식의 GDPR을 채택하기로 합의하였다. 이에 따라 유럽연합 이사회(Council of the European Union)에서2016년 4월 6일 GDPR 최종안이 마련되었고, 마침내 같은 해 4월 14일 유럽의회(European Parliament)에서 통과되어 5월 4일 공식적으로 공표되기에 이르렀다. 이로써 GDPR은 기존의 EU 개인정보보호지침을 대체하는 법규적 효력을 가지게 되었으며, 2년의 유예기간을 거쳐 2018년 5월 25일부터 각 회원국에 시행될 예정이다.
이러한 단일의 개인정보보호기준이 유럽연합 28개 회원국에 직접 적용될 경우 아일랜드와 같이 현재개인정보보호에 취약한 국가에 외국 IT 기업들이 정착해 엄격한 규정을 기피하려는 행태가 감소될 것으로 기대된다. 최근 공표된 GDPR은 제3장에서 접근권, 정정권, 삭제권, 처리제한권, 반대권, 정보이동권 등과 같은 정보주체의 권리들을 규정하고 있다. 이 가운데 특히 우리의 주목을 끄는 잊힐 권리, 정보이동권, 프로파일링에 대한 권리 등의 내용을 이하에서 간략히 소개하고자 한다.
잊힐 권리
잊힐 권리는 흔히 인터넷상에서 지속적으로 검색되는 자신에 관한 정보의 삭제 또는 검색차단을 요구할 수 있는 권리로서 이해된다. 이것은 2010년에 비비안 레딩(Viviane Redding)이 EU 차원의 입법화 필요성을 강력히 주장하면서 주목을 끌게 되었다. 그녀의 주장에 따라 2012년 1월 25일 유럽연합 집행위원회(European Commission)는 GDPR 초안에서 처음으로 ‘잊힐 권리’를 새로운 권리의 명칭으로 사용하기 시작하였다.
이후 잊힐 권리에 관한 조항에 대해서는 논란이 심하여 여러 수정안이 나오면서, ‘잊힐 권리’의 표현이 아예 삭제되기도 하였고 때로는 그 내용 일부가 삭제되기도 하였다. 하지만 2015년 12월15일 유럽연합 28개의 회원국은 제17조에서 삭제권과 링크 복사본·복제본의 삭제 요구 사실의 통지의무 등 ‘잊힐 권리’에 관한 내용을 포함시키기로 합의하였다. 그 대신에 ‘잊힐 권리’라는 명칭에서 오는 부담감을 고려하여 동조의 제목에서 ‘잊힐 권리’의 표현을 ‘삭제권’ 뒤의 괄호 속에 넣기로 하였다.
특히, 링크 복사본·복제본의 삭제 요구 사실의 통지의무 등의 내용이 살아남을 수 있었던 데에는 2014년 5월 13일에 있었던 유럽사법재판소(ECJ)의 판결이 크게 작용한 것으로 보인다. 동 판결에서 ECJ는 잊힐 권리는 EU 개인정보보호지침의 해석상 개인에게 보편적으로 인정될 수 있는 권리로 볼 수 있다고 전제하였다. EU Directive(95/46/EC) 제12조에 의하면 개인정보가 불완전 부정확한 경우 정보주체는 그 정보의 삭제를 받을 수 있는 권리를 가질 수 있었던 것이다.
최근 최종 공표된 GDPR은 잊힐 권리와 관련하여 제17조에서 정보주체의 삭제요구권 및 정보관리자의 삭제의무에 대해 규정하고 있는데, 그 구체적 내용을 소개하면 다음과 같다. 정보주체는 자신에 관한 개인정보의 삭제를 정보관리자(controller)에게 요구할 권리를 가진다(제1항 전단). 정보관리자는 해당 개인정보가 처리 목적상 더는 필요하지 않게 된 경우, 정보주체가 동의를 철회하고 그 처리 근거가 더 이상 존재하지 아니하는 경우, 정보가 불법적으로 처리된 경우, 정보관리자가 법적 의무의 준수를 위해 해당 정보를 삭제해야 하는 경우 등에는 지체 없이 개인정보를 삭제해야 한다(제1항 후단).
하지만 자신이 개인정보를 대중에게 노출시킨 경우, 정보관리자는 정보주체가 해당 개인정보의 링크 복사본·복제본의 삭제를 요구하였다는 사실을 다른 정보관리자들에게 알리기 위해 기술적 조치 등 합리적 조치를 취해야 하는데, 이때에는 이용 가능한 기술력과 이행의 비용이 고려되어야 한다(제2항). 이러한 통지의무는 통지대상자 파악에 기술적 난점이 있다는 비판에 따라 2013년 1월 16일 Ablrecht 수정안에서 삭제되기도 하였으나, 기술적 이행의 가능성을 조건으로 달아 최종안에 다시 포함되어 살아남았다.
그런데 동조 제1항과 제2항의 적용에 있어서 ①표현의 자유와 알권리의 행사 ②법적 의무의 준수 또는 공익적 목적이나 공공기관 업무의 수행 ③공중보건과 관련된 공익적 사유 ④공익적 아카이빙(archiving),과학적·역사적 연구 또는 통계를 위한 경우로서, 삭제가 불가능하거나 목적 달성을 심히 저해할 우려가 있는 경우 ⑤소송행위를 위해 처리가 필요한 경우에는 예외가 인정된다(제3항). 잊힐 권리가 표현의자유 등 주요 법익을 위축시킬 우려가 있다는 지적에 따라 이와 같은 예외조항을 두게 되었다.
정보이동권
정보주체의 정보이동권(Right to data portability)은 자신에 관한 개인정보가 특정인에 의해 독점적으로 처리되는 것을 막기 위해 개인정보를 자신 또는 제3자에게 이전할 것을 요구할 수 있는 권리라고 할 수 있다. 이러한 정보이동권은 EU Directive(95/46/EC)에는 관련 규정이 없었으나, GDPR 제20조에서 정보주체의 보호를 강화하는 차원에서 새롭게 도입되었다. 그 구체적 내용은 다음과 같다.
정보주체는 이해하기 쉬운 형식으로 자신이 정보관리자에게 제공한 개인정보를 돌려받을 권리를 가지며, 동의 혹은 계약에 따라 처리가 이루어지고 자동화된 수단에 의해서 처리되는 경우 그 정보를 제공받은 다른 정보관리자로부터 방해받지 않고 그 개인정보를 제3의 정보관리자에게 이전할 권리를 가진다(제20조 제1항). 이러한 정보이동의 권리를 행사할 때 정보주체는 기술적으로 실행 가능한 경우 정보관리자들 사이에 그 정보가 직접 이전되도록 할 권리를 가진다(제20조 제2항).
하지만 그러한 권리는 공익적 목적이나 공공기관 업무의 수행을 위해 처리가 필요한 경우에는 적용되지 않으며(제20조 제3항), 다른 사람들의 권리와 자유에 부정적인 영향을 미쳐서는 안 된다(제20조 제4항). 이러한 정보이동권은 정보주체가 스스로 제공한 개인정보에 한하여 허용된다. 이는 정보주체의 권리를 강화함은 물론 서비스 제공자들 사이의 경쟁도 촉진시킬 것으로 보인다.
프로파일링에 대한 권리
프로파일링(profiling)은 자연인에 관한 일정한 개인적 측면을 평가하기 위하여 특히 그의 직업, 경제력, 건강, 취향, 관심사, 신뢰도, 행태, 위치, 이동 등을 분석 또는 예측하기 위해 이루어지는 개인정보의 자동화된 처리의 모든 형태를 말한다(GDPR 제4조 제4호). 이것은 오늘날 개별 소비자에 대한 맞춤형 광고를 통하여 구매력을 극대화하려는 경영전략기법의 하나로서 각광받고 있다.
하지만 주로 정보주체가 그 정보처리의 상황을 잘 파악하지 못하는 가운데 진행되기 때문에 개인의 프라이버시 또는 개인정보를 침해할 가능성이 높고, 경우에 따라서는 개인의 인격적 존엄성과 자율성을 심각하게 위협할 우려도 있다. 이러한 점에서 프로파일링에 대하여 정보주체는 자율적인 통제권을 행사할 수 있도록 하는 것이 중요하게 되었다. EU Directive(95/46/EC)에서는 자동화된 개인적 결정(Automated individual decisions)에 관한 규정을 두었으나(제15조), 프로파일링에 대한 명시적 규정의 필요성이 제기되었다.
2010년 11월 23일에 열린 유럽이사회 각료 위원회가 채택한 프로파일링 권고(Profiling Recommendation)5는 제5조에서 정보주체에게 프로파일링 관련 통지받을 권리, 프로파일링 위한 개인정보 이용에 반대할 권리, 프로파일링에 근거한 결정의 대상이 되는 것에 반대할 권리 등을 원칙적으로 보장할 것을 권고한 바 있다. GDPR은 그와 같은 요청을 수용하여 프로파일링에 관한 권리로서 반대할 권리(제21조)와 자동화처리의 결정 대상이 되지 않을 권리(제22조)를 규정하고 있다.
먼저 GDPR 제21조에 의하면 정보주체는 원칙적으로 자신의 특수한 사정을 들어 자신에 관한 프로파일링에 대하여 반대할 권리를 가진다(제1항). 또한, 개인정보가 다이렉트 마케팅을 목적으로 처리되는경우, 정보주체는 그 마케팅을 위해 자신에 관한 프로파일링에 대하여 반대할 권리를 가진다(제2항). 다음으로 GDPR 제22조에 의하면 정보주체는 오직 자신에 관한 법적 효과를 야기하거나 유사하게 중요한 영향을 끼치는 자동화된 처리(프로파일링 포함)에만 근거한 결정의 대상이 되지 않을 권리를 가진다(제1항).
하지만 계약의 체결·이행 목적, 법률상 근거 또는 정보주체의 명시적 동의가 있는 결정에 대해서는 그러하지 아니하다(제2항). 계약의 체결·이행 목적 또는 정보주체의 명시적 동의가 있는 경우에도 정보처리자는 정보주체의 권리와 정당한 이익 또는 자신의 관점을 표현할 수 있는 권리, 그 결정에 이의를 제기할 수 있는 권리 등의 보호를 위해 적절한 조치를 이행하여야 한다(제3항).
우리나라 법제에 대한 시사점
GDPR 제17조의 삭제권과 삭제의무는 우리 개인정보보호법상 삭제청구권(제36조)과 유사하다. 하지만 GDPR에서는 열람의 절차를 전제로 하지 않는다는 점에서 우리의 개인정보보호법과 차이가 있다. 한편, 우리 정보통신망법에도 삭제요청권(제44조의2)이 규정되고 있지만, 삭제요청은 타인의 권리가 침해된 경우를 전제로 하여 침해사실의 소명을 요한다.
이러한 점에서 사생활 침해나 명예훼손과 관계없이 자신의 기록을 삭제 요구할 수 있는 GDPR의 잊힐 권리와 차이가 있다. 따라서 정보주체의 권리를 확대하는 차원에서 GDPR의 잊힐 권리를 국내에 도입할 실익은 남아있다고 본다. 특히 링크 복사본·복제본의 삭제 요구 통지의무에 관한 조항은 우리나라에 시사하는 바가 크다고 본다.
GDPR의 정보이동권은 우리나라의 입법에서 명시적 규정을 찾을 수 없다. 정보주체의 개인정보자기결정권을 실효적으로 보장하는 차원에서 그러한 권리를 국내의 입법에 반영하는 것이 바람직하다고 본다.
프로파일링이나 자동화된 개인적 결정에 대한 권리 역시 우리나라 법률에서는 규정되고 있지 않다. 오히려 빅데이터를 활성화 정책으로 비식별화 조치를 통한 개인정보의 활용을 장려하는 방안을 찾고 있는 상황이다. 비식별화 조치의 적정성을 정보처리자의 자율에 맡길 경우 무분별한 프로파일링을 불러올 위험이 있다. 설령 개인정보에 대해 비식별화 조치를 취했다고 할지라도 재식별화의 가능성을 완전히 배제하기도 어렵다.
이러한 점에서 우리나라에서도 GDPR과 같은 수준에서 프로파일링에 대한 권리를 인정할 필요가 있다고 본다. EU와의 자유무역협정 체결 이후 국내 기업이 유럽연합 지역에 진출하는 사례가 늘어나면서 우리나라도 GDPR에 따른 ‘적정한 수준’의 개인정보보호체계를 갖출 필요성이 커지고 있는 상황이다. GDPR이 본격 시행되는 2018년 5월 25일 이후 EU 회원국의 개인정보보호수준 적정성 평가에 대비하는 차원에서라도 GDPR의 새로운 권리의 도입 취지를 국내법에 반영하기 위한 노력이 필요하다고 본다.
[글_ 권건보 아주대학교 법학전문대학원 교수/前 개인정보보호위원회 위원
(kwonbo@ajou.ac.kr)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
