개인정보 관련 국제규범 형성을 위한

우리나라의 역할과 과제

규범의 상호운용성- (Legal Interoperability)과

위험기반 접근(Risk-based Approach) -

법무법인 민후 김경환 변호사

- 2 -

목 차

국제적 정세와 국제규범.Ⅰ

개인정보의 국제적 정세○

개인정보 법제도 정책의 방향○ ㆍ

국제규범의 필요성○

국제규범의 목표○

규범의 상호운용성. (Legal Interoperability)Ⅱ

규범의 상호운용성 : OECD Privacy Guideline 2013○

상호운용성 : APEC Privacy Framework Stocktake 2015○

상호운용성 미국의 온라인 프라이버시 프레임워크: 2012○

- 3 -

상호운용성의 개념○

상호운용성 광의 의 레벨( )○

상호운용성의 구현 방법○

위험 기반 접근. (Risk-based Approach)Ⅲ

위험 기반 접근(Risk-based Approach)○

우리나라의 역할과 과제.Ⅳ

국제규범 형성을 위한 우리나라의 역할○

국제규범 형성을 위한 우리나라의 선결과제○

과제 우리나라의 개인정보 국외이전:○

과제 디지털자산의 상속:○

- 4 -

국제적 정세와 국제규범.Ⅰ

규범의 상호운용성. (Legal Interoperability)Ⅱ

위험 기반 접근. (Risk-based Approach)Ⅲ

우리나라의 역할과 과제.Ⅳ

- 5 -

개인정보의 국제적 정세

사실적 경제적 측면○ ㆍ 개인정보 자유로운 흐름의 보편화:

글로벌 서비스 및 전자상거래의 증가-

인터넷 기술의 발달로 인한 국경의 약화- ITㆍ

경제발전의 도구로서 정보의 가치 증가-

규범적 측면○ 개인정보 국외이전의 제한:

국가마다 상이한 수준의 개인정보 법령의 등장-

개인정보 국외 이전의 보편화에 따른 프라이버시 침해 증가 방지-

자본의 흐름과 같이 유입의 확대 및 유출의 제한 추세- ‘ ’

- 6 -

개인정보 법제도 정책의 방향ㆍ

경제적 측면○ 개인정보 자유로운 흐름의 보장 경제적 이익 증진: →

규범적 측면○ 프라이버시 보호 개인정보 통제권 보장: →

두 목표는 서로 상충⇒

다른 방향으로 뛰는 두 마리 토끼 를 잡아라“ ”⇒

- 7 -

국제규범의 필요성

한 국가가 이 과제를 해결할 수 있는가?○

개인정보 보호 수준을 올리면 프라이버시 보호 그러나 장벽- : +

개인정보 보호 수준을 내리면 흐름의 증가 그러나 통제 상실- : +

두 마리 토끼를 잡기 위해서 국제규범이 등장했고 그 존재가 불가피함,○

수평적 측면- : 공통 기준의 설정으로 인한 개인정보 유통 보장

수직적 측면- : 적절한 기준의 설정으로 인한 프라이버시 보호

- 8 -

국제규범의 목표

공통 기준의 달성‘ ’○

- 규범의 상호운용성(Legal Interoperability)

적절한 기준의 달성‘ ’○

- 위험 기준 접근 비례성(Risk-based Approach) = (proportionality)

- 9 -

국제적 정세와 국제규범.Ⅰ

규범의 상호운용성. (Legal Interoperability)Ⅱ

위험 기반 접근. (Risk-based Approach)Ⅲ

우리나라의 역할과 과제.Ⅳ

- 10 -

규범의 상호운용성 : OECD Privacy Guideline 2013

목적○

프라이버시의 보호 및 자유로운 정보의 유통 보장 상충되는 가치- [ ]

배경○

사실적 배경 정보처리기술의 혁신적 발전 프라이버시의 위협- : ⇒

규범적 배경 개국 이상이 개인정보보호법령을 제정 정보의 자유로- : 90 ⇒

운 흐름의 방해

- 11 -

내용○

년 원칙은 유지- 1908 OECD 8

책임성과 법집행의 강화-

National privacy strategiesㆍ

Privacy management programmesㆍ

Data security breach notificationㆍ

- Interoperability와 국제적 협력 강화 개선[paragraph 21 ]

집행기관 사이의 정보 공유ㆍ

상호 협조ㆍ

세부 규정의 공개ㆍ

- 12 -

상호운용성 등장의 배경○

개인정보보호법령의 증가-

정보의 흐름 증가 및 프라이버시 보호를 위해서는 국제적 협력이 필요함-

개별국가의 보호 법령은 구체적인 내용이 상이하더라도 동일한 원칙에 바-

탕을 두고 만들어졌음

- 13 -

상호운용성의 장점○

개인정보의 자유로운 흐름에 긍정적-

컴플라이언스의 단순화 및 기업 부담 감소-

정보주체의 인식과 권리보호 향상-

집행기능의 확대 및 규제 회피 목적의 유통 제한-

전세계적 소통을 촉진하고 국경을 넘는 사업의 비용을 절감하며 혁신을- ,

불러일으키며 이를 통해 차세대기술과 문화교류를 위한 공평한 경쟁의 장,

을 조성함

- 14 -

상호운용성의 단점○

지나치게 높은 수준의 법적 상호운용성은 사회적 문화적 차이를 무시할- ㆍ

수 있으며 반면 너무 낮은 수준의 법적 상호운용성은 부드러운 사회적, (

또는 경제적 상호작용에 걸림돌을 만들 수 있음)

- 15 -

상호운용성 국제규범 의 예시( )○

- U.S.-EU Safe Harbor framework

- EU BCR / APEC CBPR

- Council of Europe Convention 108

과 같은 국내심사는 해당하지 않음adequacy model※

- 16 -

상호운용성 : APEC Privacy Framework Stocktake 2015

호주 캐나다 뉴질랜드 개인정보보호당국에서 제시한, , 2005 APEC Privacy○

의 향후 개선 방향Framework

은 외 지역의 프라이버시 프레임워크와의 상호운용APEC Framework APEC○

성 증대에 개선되어야 한다고 함

The APEC Framework might usefully be updated to include

promotion of Interoperability with privacy frameworks based outside

the APEC region.

- 17 -

상호운용성 미국의 온라인 프라이버시 프레임워크: 2012

프레임워크는 네가지 요소로 이루어졌는데 소비자를 위한 온라인 프라이○ △

버시 권리장전의 제정 인터넷업체 그룹 소비자 그룹 등의 다양한 이해관,△

계인의 합의를 바탕으로 한 온라인 프라이버시 권리장전에 부합하는 실효적

인 법규의 제정 미국 의 법집행 강화FTC(Federal Trade Commission)△

정보장벽을 낮추기 위한 세계 여러 나라와의 프라이버시 기준의△ 상호운용

성 고려가 그것이며 이 중의 핵심은 온라인 프라이버시 권리장전이다, ‘ ’ .

This will provide more consistent protections for consumers and○

lower compliance burdens for companies.

- 18 -

상호운용성의 개념

년2010 <European Interoperability Framework (EIF) for European○

public services> : The ability of disparate and diverse organisations

to interact towards mutually beneficial and agreed common goals,

involving the sharing of information and knowledge between the

organisations.

- 19 -

법적 규범을 만드는 과정이 국가관할을 넘어서 협력하는Rolf H. Weber :○

것 (The recently developed term “legal interoperability” addresses the

process of making legal rules cooperate across jurisdictions)

Félix Tréguer : legal systems can be said to be○ interoperable when

the cost of regulatory fragmentation is low enough for people,

goods and services subject to regulation to easily move between

them

- 20 -

법적 마찰 을 줄이는 과정 또는 부드러운 상호작용(friction) (smooth)○

Palfrey and Gasser : Legal interoperability should make systems○

work together, but not make the systems all the same, since

regulatory competition can be advantageous and productive

provided the best normative order prevails

- 21 -

상호운용성 광의 의 레벨( ) 출처< : EU>

- 22 -

상호운용성의 구현 방법

상향식 대규모의 다양한 이해관계자들의 협력을 요구:○

하향식 기존 또는 새로운 국제기구를 통한 접근:○

상호운용성 국제규범 의 구현 방식 규범 모델* ( ) ( , Rolf H. Weber)

- 23 -

구속력에 따른 국제규범의 가지 형식* 3 (Pritchard, Berleur)

윤리규약 예 개인정보 가이드라인- (code of ethics) : ) UNESCO

행동규약 예 프라이버시 가이드라인- (code of conduct) : ) OECD

실천규약 예 개인정보- (code of practice) : ) EU Directive

- 24 -

국제적 정세와 국제규범.Ⅰ

규범의 상호운용성. (Legal Interoperability)Ⅱ

위험 기반 접근. (Risk-based Approach)Ⅲ

우리나라의 역할과 과제.Ⅳ

- 25 -

위험 기반 접근(Risk-based Approach)

년 가이드라인에서부터 존재함1980 OECD○

- [paragraph18 가맹국은 개인의 프라이버시와 자유의 보호라는 명목으로]

이들의 보호에 필요한 정도를 넘어 개인데이터의 국제유통에 장애를 만들

수 있는 법률 또는 정책의 설정 및 관행의 실시를 억제하여야 한다.

비례성- (proportionality)

- 26 -

년 가이드라인에서2013 OECD [○ paragraph18 를 업데이트함]

- Paragraph 18 updates the language in the 1980 Guidelines to

refer to “risk” and “proportionality” indicating that any restrictions

upon transborder data flows imposed by Member countries

should be proportionate to the risks presented (i.e. not exceed

the requirements necessary for the protection of personal data),

taking into account the sensitivity of the data, the purpose and

context the processing. In doing so, the text has been made

more coherent with other provisions of the Guidelines, which

implement a risk-based approach.

- 27 -

국제적 정세와 국제규범.Ⅰ

규범의 상호운용성. (Legal Interoperability)Ⅱ

위험 기반 접근. (Risk-based Approach)Ⅲ

우리나라의 역할과 과제.Ⅳ

- 28 -

국제규범 형성을 위한 우리나라의 역할

역할이 필요한가?○

우리나라 안에서 해결할 수 없는 주제나 영역이 존재함-

기존 국제규범의 확장 추세이나 트렌드에서 자유로울 수 없음-

- 국제규범 형성 논의에서 소외될 때 우리 목소리 국익 를 반영할 수 없음(= )

역할 수행시 고려하여야 할 준거○

국가의 경제적 이익-

국민의 프라이버시 보호-

- 29 -

적극적 역할○

국제규범의 멤버 기존 프레임이 없는- : , 현실적으로 독자적인 국제규범 형

성이 가능한 영역의 탐색

예 동북아 지역 한국 미국) , ㆍ

- 국제규범의 대상 원칙적으로 한 국가에서 해결할 수 없고 멤버간에: , 공

통의 가치가 형성될 수 있는 것이 대상

예 개인정보의 자유로운 흐름 또는 국외 이전 개인정보의 해킹 범죄 익) , ,

명화된 개인정보의 무동의 처리

예 개인정보의 개념 옵트인 옵트아웃 잊혀질 권리) ? ? ?ㆍ

국제규범의 형성 공론화 국제협력 또는- : Harmonization Code→ →

까지 고려Practice

- 30 -

소극적 역할○

커져가는 타 국제규범에 대한 대비 참여 배척- ( ) or他 →

- 규범의 선진화 및 주도적인 참여를 통하여 의도되지 않은 강제 개방이나,

흡수 대상이 되지 않도록 유의

- 31 -

국제규범 형성을 위한 우리나라의 선결과제

두 마리 토끼를 잡는 것에 동참○

정보의 자유로운 흐름 보장 경제적 이익- →

프라이버시 보호 정보주체의 통제권 증대- →

규범의 선진화○

과제 다른 나라 규범과의 상호운용성 증대 수평적 측면- 1 : ( )

선택의 문제가 아니라 속도의 문제*

과제 우리나라 규범에 위험 기반 접근 방식을 도입 수직적 측면- 2 : ( )

- 32 -

과제 우리나라의 개인정보 국외이전:

입법○

정보통신망법 제 조에 다루고 있고 이용자의 동의를 얻는 경우에만 국- 63 ,

외 이전이 가능하도록 규정하고 있음

개인정보보호법 제 조 제 항에서도 다루고 있지만 이 경우는 정보통신- 17 3 ,

망법 제 조와 달리 국외 제공의 경우에만 정보주체의 동의를 얻어 가능63 ‘ ’

하도록 규정하고 있음

- 33 -

문제점○

등에 비교하여도 매우 경직되어 있는바- EU 프라이버시 보호 측면에서만

보면 일견 장점이 있지만 개인정보의 국외 흐름의 원칙적 허용이라는,

개정 프라이버시 가이드라인에 저촉될 소지가 있다는 점에서OECD 상호

운용성은 높지 않음

경제성은 매우 낮은 고려-

- 34 -

해결방안○

위험기반 접근 도입- :

선 위험 평가 후 규범 도입ㆍ →

등의 여러 제도 위험 비례성 평가 이후 도입EU :ㆍ

상호운용성 증대- :

국가 참여APEC : CBPRㆍ

국가 표준계약 승인 등EU : , BCR,ㆍ

미국 세이프하버 체결 등:ㆍ

- 35 -

과제 디지털자산의 상속:

입법○

디지털자산의 상속을 인정하는 입법은 없고- ,

단지 해석상 부정되고 있음-

- 36 -

문제점○

고인의- 프라이버시는 보호되겠지만 디지털자산의 상속을 부정하는 것은,

다른 다수의 입법에 대한 상호운용성이 낮음

구글의 휴면 계정 관리자 서비스*

미국의 수개주 년 코네티컷주 년 로드아일랜드주 인디애나주* (2005 , 2007 · ,

년 오클라호마주 년 아이다호주 년 버지니아주 는 이미2010 , 2011 , 2013 )

디지털 유산의 상속에 대해 법으로 보장하고 있고 미국의 개 이상의, 17

주는 현재 입법화 과정에 있음

- 37 -

감사합니다.

oalmephaga@minwho.kr