Home > 전체기사

[개인정보보호 연차보고서 톺아보기-28] 해외동향-유럽: 영국·프랑스

  |  입력 : 2020-11-30 17:35
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
영국과 프랑스의 2019년 개인정보보호 현황과 주요 결정 사례 분석

2020 개인정보보호 연차보고서에서는 유럽의 개인정보보호 동향도 소개하고 있다. 유럽의 유럽연합(EU)에 이어 영국과 프랑스의 개인정보보호 동향을 살펴본다.

[이미지=utoimage]


영국
1. BREXIT와 GDPR
영국은 2018년 5월 25일부터 GDPR과 새로운 데이터보호법(Data Protection Act 2018, 이하 DPA 2018)을 시행해 왔다. 또한, e-Privacy Directive라고 불리는 유럽연합 지침 2002/58/EC의 이행을 위한 영국 국내 규정인 PECR(Privacy and Electronic Communications Regulations)을 시행해 왔으며, PECR의 최신 개정 규정은 2019년 3월 29일부터 시행됐다. 2018년 5월 25일 당시 영국은 유럽연합의 회원국이었으나, 2020년 1월 31일 유럽연합을 탈퇴(BREXIT)했다. 다만 영국의 유럽연합 탈퇴 조건을 정한 협정안(Withdrawal Agreement)에 따라, 영국은 2020년 12월 31일까지의 전환 기간(Transition Period) 동안 GDPR을 포함한 EU법을 준수해야 한다.

2. 영국 정보보호위원회(ICO)의 개인정보보호 관련 집행 사례
ICO는 2019년 12월 20일경 런던 기반의 제약사인 Doorstep Dispensaree Ltd.사에 대해 27만5,000유로의 벌금을 부과하고 3개월 내에 일정한 시정조치의 이행을 명했는데 이는 GDPR에 따른 첫 벌금 부과 사례다. 위 제약사는 불특정 다수의 개인 성명, 주소, 출생일, 국가보건서비스(NHS, National Health Service) 번호, 의료정보, 처방 등이 포함된 50만여 개의 문서를 잠금장치 없는 컨테이너에 보관하는 등 민감정보를 포함한 특수한 범주의 데이터에 대해 적절한 보안 조치를 취하지 않았다. 3개월 내에 이행해야 하는 시정조치에는 위 제약사가 컨트롤러로서의 책임을 분명히 하고, 그 임직원으로 하여금 데이터 처리 및 보안을 위해 따라야 하는 분명하고 구체적인 ‘Step-by-step’ 가이드를 포함한 내부 정책과 표준업무처리절차(SOPs, Standard Operation Procedures)를 업데이트하며, DPO(Data Protection Office)의 지정과 공개·임직원 트레이닝 및 정보주체의 알권리를 보장하기 위한 Privacy Notice(Privacy Policy)의 업데이트를 포함했다.

ICO는 2019년 상반기까지 DPA 2018에 따라 11건의 조사 통지를 발행했으며, 그 조사는 정치적 목적, 정당, 데이터 중개인, 신용조회기관 등을 위한 정보 분석과 관련된 것이 포함됐다. ICO는 집행 통지를 통해 데이터 컨트롤러로 하여금 일정 기한 내에 개인정보보호 법률을 준수할 것을 강제할 수 있다. 집행 통지 사례의 경우, 캐나다 데이터 브로커(정치 컨설팅 테크 회사)인 AggregateIQ Data Services Ltd.(이하 AIQ)에 대한 것이 DPA 2018에 따른 첫 번째 집행 통지 사례다. ICO는 AIQ에 대해 영국의 정치 관련 단체(Vote Leave, Beleave 등)로부터 적법한 절차 없이 개인정보(이름, 이메일 주소)를 받아 소셜미디어(Facebook)를 통해 정치 광고 캠페인을 시행하고 개인들을 프로파일링했다는 혐의로, 집행 통지에서 영국 시민과 주민에 대한 특정 개인정보의 삭제를 명했다.

벌금 통지와 관련해 2018~2019년에는 사상 최고 수준의 벌금이 부과됐다. DPA 1998의 위반을 이유로 22개의 벌금 통지가 발행됐고, 총 301만610파운드(약 45억원)의 벌금이 부과됐다. 대표적인 벌금 통지 사례는 △최대 1,500만 영국 시민과 주민의 개인정보에 영향을 미친 사이버 보안 사고와 관련해 Equifax Ltd.사에 50만파운드 벌금 부과 △약 8,700만 Facebook 사용자의 개인정보에 영향을 미친 심각한 데이터 사고와 관련해 Facebook Ireland Ltd.사에 50만파운드 벌금 부과(현재 항소 진행 중) △270만 영국 Uber 사용자 및 8만2,000 영국 Uber 드라이버의 개인정보 사이버 보안 사고와 관련해 Uber사에 38만5,000 파운드의 벌금 부과 △경찰 인터뷰 기록이 들어 있는 암호화되지 않은 DVD의 분실로 인해 검찰청에 32만5,000파운드 벌금 부과 △전 세계 약 5억명 사용자의 개인정보 사이버 보안 문제와 관련해 Yahoo! UK Services Ltd.에 25만파운드의 벌금 부과 등이다.

3. 개인정보 유출 신고 및 권리구제
GDPR 및 DPA 2018은 개인정보 유출(Personal Data Breach) 신고에 대한 의무사항을 강화했다. 그 결과 ICO는 2018~2019년 동안 1만3,840개의 개인정보 유출 신고를 수령했으며, 이는 2017~2018년의 3,311건에서 크게 증가된 수치다. 이는 개인정보 유출 및 이에 대한 적절한 대응 방안에 대한 인식 제고로 인한 것이다. 이러한 개인정보 유출 신고 중 약 82%는 이미 해당 조직에서 적절한 조치를 취했거나 ICO에서 요구되는 추가 조치가 필요하지 않은 경우에 해당했고, ICO는 필요한 경우 유사한 개인정보 유출을 방지하기 위해 필요한 조언과 권고를 제공했다. 약 17%의 경우는 데이터 컨트롤러가 추가 조치를 취해야 했으며, 나머지 소수의 사례(1% 미만)에서는 그 이상의 조치가 요구됐다. 이러한 조치에는 개선 행동 계획, 추가 현장 조사, 감사 또는 벌금 부과 등이 포함됐다.

이러한 개인정보 유출은 대규모의 개인정보를 취급하는 분야에서 자주 발생했으며, 침해사고 신고 건수는 데이터의 민감성이나 신고 의무에 대한 이해도와 상당한 상관관계가 있었다. 예를 들어 전문화된 DPO와 개인정보 유출 신고 프로세스가 잘 정립된 경우 높은 신고율을 보이는 것으로 확인됐다. 2018~2019년에는 일반 대중에 의한 개인정보보호 권리구제신청 건수가 크게 증가해 접수된 신청 건수가 4만1,661건에 이르렀다. 이는 2017~2018년의 2만1,019건에 비해 크게 증가한 수치다. 접수된 권리구제신청의 유형 중 정보주체 접근 요청(Subject Access Requests)이 38%를 차지하는 가장 빈번한 신청 유형에 해당하며, 이는 GDPR 및 DPA 2018 이전의 비율(39%)과 비슷하다. 일반적인 추세는 모든 유형의 권리구제신청 건수가 전체적으로 비슷한 비율로 증가한 것이다.

4. 국외이전
영국의 유럽연합 탈퇴 조건을 정한 협정안(Withdrawal Agreement)에 따른 전환 기간이 종료되면 영국은 GDPR 제5장의 목적 하에서 제3국이 되므로, 영국은 그전에 국외이전을 한 적정성 결정(Adequacy Decision)을 받을 가능성이 높다. 그러나 적정성 결정이 없는 경우, EU에서 영국으로 개인정보를 이전하기 위해서는 적절한 보호 조치가 요구된다. 영국의 적정성 결정 여부와 시기 등은 아직 불확실한 상황이므로 2020년 동안 진행 상황을 면밀히 모니터링할 필요가 있다. 한편, 영국으로부터의 개인정보 이전과 관련해 영국은 관련 법률에 따라 제3국에 대한 EU의 적정성 결정을 인정하고 EEA 국가를 일시적으로 적정성 결정을 받은 것과 같이 취급하기로 결정했다. 그러나 영국은 자체적으로 적정성 결정을 내릴 수 있는 권한을 가지므로, 기존 EU의 적정성 결정을 받은 국가 및 EEA 국가와 관련해 적정성을 재평가할 것으로 예상된다.

5. 규제 샌드박스 및 개인정보보호 관련 법·제도 연구
프라이버시와 혁신은 상호 배타적인 것이 아니므로 개인정보보호 모범 사례가 효과적인 혁신을 위한 핵심적 보조 장치가 될 수 있도록 새로운 제품과 서비스의 설계 단계부터 프라이버시를 고려할 필요가 있다. 이를 촉진하기 위해 ICO는 2019년 3월경 애플리케이션(앱)을 위한 규제 샌드박스를 열어 같은 해 5월까지 64건의 신청을 접수했다. 규제 샌드박스는 개인정보를 사용해 혁신적인 제품과 서비스를 개발하고자 하는 회사를 지원하는데, 개인정보보호 규정 준수에 도움을 줄 수 있는 전문가를 통해 회사가 개인정보를 다양한 방법으로 활용함으로써 혁신적인 제품과 서비스를 개발할 수 있도록 도움을 준다고 본 것이다. 이 외에도 ICO는 다양한 분야에 대한 개인정보보호 관련 가이드라인 제정을 준비했으며, 치안 목적의 휴대전화 데이터 추출 사용·라이브 얼굴인식 기술 등의 개인정보 이슈에 대한 연구도 진행했다.

[이미지=utoimage]


프랑스
프랑스는 기존의 정보 기술·정보 파일 및 시민의 자유에 관한 1978년 1월 6일자 법률 제78-17호를, (i)개인정보보호에 관한 2018년 6월 20일자 법률 제2018-493호 및 (ii)법률 제2018-493호 제32조에 따라 채택된 2018년 12월 12일자 영(Order) 제2018-1125호의 제정과 함께 GDPR에 맞춰 개정했다(이하 위 법률). 또한, 프랑스는 GDPR과의 규제 정합성을 보장하기 위해 개인정보보호 관련 기타 법률을 개정해 필요한 수정 작업을 진행했다. 프랑스는 위 법률의 집행을 위해 시행령 제2019-536호를 채택했다(이하 위 시행령). 위 시행령은 프랑스의 데이터 보호 감독기구의 규제 및 제재를 포함해 절차적 규정을 명확히 하고, 정보주체의 권리를 보다 명확히 했다.

1. 개인정보보호 주요 이슈 및 과제
프랑스 개인정보보호 감독기구인 CNIL에서는 2019년 4월, 2019년 주요 이슈와 과제를 발표했다. 해당 자료에서 CNIL은 GDPR의 성공적 정착과 디지털 인프라 및 플랫폼에 대한 전문지식 역량의 강화 그리고 유럽 및 국제적 논의의 지속을 강조했다. 주요 내용은 아래와 같다. 첫째, 신뢰할 수 있는 디지털 환경의 구축으로 새로운 법적 체계에 대한 신뢰성 제고 및 성공적인 정착의 필요성이다. 둘째는 조사 프로그램으로 정보주체의 기대에 발맞춰 권리구제신청에 기초한 조사를 진행하며, 특히 데이터 프로세서와 그 하청 업체 간의 책임 문제·아동의 개인정보(15세 미만 아동에 대한 부모 동의, 학교 내 사진, 생체정보 및 CCTV 정보 포함) 이슈에 대한 조사를 포함하고 있다. 셋째는 CNIL의 인프라 및 디지털 플랫폼에 대한 전문성 확보이며, 넷째는 유럽 및 국제 차원에서의 개인정보 외교 문제로서 CNIL은 특히 2019년부터 2020년까지의 작업 프로그램 프레임워크에서 EDPB 내의 프랑스 지위를 공고히 해 유럽 사회에서 주도적인 역할을 지속하기를 희망하면서 유럽 이외 국가와의 협력과 전 세계 개인정보보호 원칙의 통합을 목표로 하는 이니셔티브에 참여하고자 하는 내용이다.

2. CNIL의 개인정보보호 관련 주요 집행 사례 및 활동
CNIL은 지침, 권고 및 표준의 공개, 행동 규약의 승인, 인증 및 인증 표시, 광범위한 현장조사 및 서면 조사, 제재 부과 등 임무를 완수하기 위한 권한을 가지고 있다. CNIL은 2019년 1월 구글(Google LLC.)에 대해 맞춤 광고에 대한 유효한 동의 미비, 투명성 원칙 위배, 불충분한 정보 제공 등 GDPR 위반에 따른 5,000만유로의 벌금을 부과하고, 2019년 7월에는 쿠키 및 기타 추적 장치에 대한 새로운 가이드라인을 채택했다. 2015년경 CNIL은 개인의 인터넷 검색 기록을 삭제할 수 있는 잊힐 권리를 유럽뿐 아니라 전 세계의 다른 나라의 검색 사이트에서도 보장할 것을 구글에 명령했으나 구글이 이에 따르지 않았다는 이유로 2016년경 10만유로의 벌금을 부과한 바 있다. 이와 관련해 구글은 유럽사법재판소(CJEU)를 통해 불복 소송을 진행했으며 유럽사법재판소는 CNIL과 다른 결론을 내렸다(2019년 9월 24일 CJEU 결정). 쟁점은 잊힐 권리와 관련해(검색 결과 화면에서 링크 삭제) 구글의 전 세계 검색엔진 도메인에서 삭제를 해야 하는지, 아니면 EU 회원국 내 검색 엔진 도메인에서만 삭제하면 되는지 여부에 있었다. 이에 대해 유럽사법재판소는 잊힐 권리의 보장 범위가 해당 특정 회원국 내 검색엔진 도메인에 한정되는 것은 아니지만, (전 세계 도메인이 아닌) EU 회원국 내 검색엔진 도메인에서만 삭제하면 된다고 판시했다.

한편, CNIL은 2019년 7월 4일 심의를 통해 쿠키 및 기타 추적장치에 대한 새로운 지침을 채택했다. 이는 EU의 e-프라이버시 지침 제5(3)조를 구현한 프랑스 데이터 보호법(Loi Informatique et Libertés) 제82조를 기반으로 한다. CNIL은 동의의 요건으로 다음을 명시했다. 첫째, CNIL은 제29조 작업반이 발행한 동의에 대한 가이드라인에 따라 웹사이트 또는 앱을 통한 스크롤, 탐색 또는 스와이핑을 쿠키에 대한 동의로 간주할 수 있도록 하는 기존의 입장을 폐지했다. 따라서 CNIL의 경우 더 이상 웹사이트를 계속 탐색하는 것이 쿠키에 대한 동의를 나타내는 것으로 보지 않으며, 이는 소프트 Opt-in에서 적극적 동의 메커니즘으로 전환된 것이다. 둘째, 정보주체는 자유롭게 동의 여부를 선택할 수 있어야 한다는 것이다. CNIL은 ‘쿠키월’의 사용이 GDPR을 준수하지 않음을 강조한다. 셋째, 동의는 각 목적에 맞게 구체화돼야 하며, 일반 약관에 대한 전체적인 수용은 유효한 동의를 구성하지 않는다는 점이다.

넷째, 정보주체에 대한 정보 제공은 쉽게 이해할 수 있어야 한다. 정보는 일반 언어로 제공돼야 하며, 복잡한 기술 또는 법률 용어의 사용은 사전 정보 제공 의무사항을 충족시키지 못한다. 이러한 정보에는 최소한 (i)추적 장치를 구현한 데이터 컨트롤러의 신원 (ii)데이터 읽기·쓰기의 목적 (iii)동의 철회권이 포함돼야 한다. 다섯째, 쿠키를 사용하는 모든 조직은 쿠키가 사용자의 동의를 얻어 수집됐음을 입증할 수 있는 적절한 메커니즘을 구현해야 한다. 여섯째, 사용자가 동의를 한 것과 마찬가지로 쉽게 철회할 수 있도록 사용자 친화적 방안을 마련할 것을 권장했다. 정보 보관기간과 관련해 쿠키의 유효기간은 13개월이며, 추적 장치를 통해 수집된 정보는 25개월 동안 보존될 수 있다. CNIL은 이러한 새로운 지침 준수를 위한 12개월의 유예기간을 부여했으며 이는 2020년 5월 종료됐다. 이 유예기간에는 브라우징 지속을 유효한 동의로 인정했지만, 다른 요구 사항(예: 수락 전 쿠키 설치 금지, 동의 철회 가능성 등)에 대해서는 CNIL의 감독과 제재를 받을 수 있다.
[자료=2020 개인정보보호 연차보고서, 정리=박미영 기자]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
보안전문 기자들이 뽑은 2021년 보안 핫키워드 10개 가운데 가장 관심이 높은 키워드는?
민간인증서부터 융복합인증까지, 인증의 시대 열린다
랜섬웨어 공격, ‘불특정 다수’에서 ‘표적형’으로 진화
데이터 프라이버시가 기업들의 목을 죈다
재택근무와 주 52시간 근무제, 오피스 보안 ‘혁신’ 예고
영상·음성까지 합성 ‘딥페이크’, 비대면 사회 침투하나
의료·제약 분야, 코로나19 다음은 해커
스마트공장 구축은 OT/ICS 보안 정립부터
드론, 융합보안 산업의 핵심 아이템이 되다
몸집 키운 ADT캡스-에스원 대격돌, 보안시장 지각변동
CCTV 시스템온칩 대란, 중소기업 생존까지 위협