국가정보_영국
법률체계
1개요
영국은 오랜 과거부터 표현의 자유를 중요한 기본권 중 하나로 인식하여 왔다. 이를 근거로 강력한 지위를 누려왔던 언론, 미디어의 프라이버시 보호에 대한 저항과 영국의 법적 전통인 의회 주권(parliamentary sovereignty) 원칙으로 인해 프라이버시권에 대한 명문법적 보호가 상대적으로 늦어졌다. 그럼에도 영국의 과거 많은 판례들은 프라이버시권의 중요성과 여러 법적 수단을 통해 프라이버시 침해로부터 보호하고자 하는 노력들을 해왔음을 보여주고 있으며, 이후 1998년 제정된 인권법(Human Rights Act 1998)의 프라이버시 및 가정생활을 존중받을 권리(제8조)를 통해 프라이버시권이 보장되었다
프라이버시권과 중첩되거나 직접적인 관계가 있는 개인정보보호도 이러한 프라이버시권 또는 인권 보호의 맥락에서 규율되어 왔으나, 1970년대부터 컴퓨터 사용이 점차 증가함에 따라 컴퓨터에 의한 개인정보 처리에 대한 규율의 필요성이 제기되었다. 영국의 개인정보보호 관련 입법은 1980년 OECD 프라이버시 가이드라인 채택과 1981년 유럽평의회에서 채택한 개인정보 처리에 대한 협약(CoE 108)의 영향을 받아 진행되었다. 이후 영국은 1984년 개인정보보호법(Data Protection Act)을 제정하였다. 초기 개인정보보호법은 공공 또는 민간기관이 컴퓨터를 통해 개인정보를 처리하는 경우 관할 기관인 개인정보보호등록부(
Data Protection Registrar)에 등록하도록 규정하였으나, 정보주체의 권리 등에 대한 규정은 다소 미미했다.
이후 EU에서 개인정보보호 지침(Data Protection Directive 95)이 제정되어 각 회원국이 해당 지침을 반영한 개인정보보호 법제를 마련해야함에 따라 영국은 개인정보보호법(Data Protection Act 1998)을 새롭게 제정하여 현 개인정보보호법의 기반을 마련하였다. 개인정보보호법은 민간·공공부문을 아우르는 일반법으로 1984년의 개인정보보호법보다 개인정보의 범위를 확장하여, 자동 처리되는 개인정보뿐만 아니라 체계적 파일 시스템의 일부로서의 정보까지 포함하여 수기 데이터도 법 적용 대상이 되었다. 또한 8개의 정보보호 원칙, ① 공정하고 적법한 처리(Fairly and lawfully process), ② 제한된 목적 내 취급(Processed for limited purposes), ③ 목적 적합성(Adequate, relevant and not excessive), ④ 정확성, 최신성(Accurate and up to date), ⑤ 보유기간 제한(Not kept for longer than is necessary), ⑥ 정보주체의 권리(Processed in line with your rights), ⑦ 안전성 확보(Secure), ⑧
적절한 보호가 보장되지 않는 제3국으로의 정보 이전 제한(Not transferred to other countries without adequate protection)을 규정하여 정보주체의 권리와 개인정보 처리자의 책임과 의무를 명시적으로 규정하였다.
이후 개인정보보호법의 근간인 EU 개인정보보호 지침이 폐지되고 2018년 5월 25일부터 이를 대체하는 일반 개인정보보호법(General Data Protection Regulation, GDPR)이 시행됨에 따라, 영국은 이에 발맞춰 GDPR을 수용하고 자국에 맞게 보완한 개인정보보호법 2018(Data Protection Act 2018)을 제정하여 시행하고 있다. 개인정보보호 기본법인 개인정보보호법 이외에 정보통신, 금융, 의료 등 소관 분야별 또는 공공기관에서 처리되는 정보의 공개 등 영역별 개인정보와 관련하여 규율하는 법률이 다수 제정되었다.
이후 2020년 1월 31일 영국의 EU 탈퇴(브렉시트) 단행이 확정되었으며, 전환기간을 거쳐 2020년 12월 24일 영국과 EU가 미래관계협상을 타결하면서 영국은 EU를 완전히 탈퇴했다. 영국의 브렉시트 선언 이후, 2019년 2월 개인정보보호, 프라이버시, 전자 커뮤니케이션 수정법(The Data Protection, Privacy and Electronic Communications (Amendments etc) (EU Exit) Regulations 2019)을 기반으로 영국 개인정보보호법 및 EU GDPR을 브렉시트 현실에 맞게 수정했으며, 그 중 수정된 EU GDPR을 UK GDPR로 명명하고 있다.
영국은 오랜 과거부터 표현의 자유를 중요한 기본권 중 하나로 인식하여 왔다. 이를 근거로 강력한 지위를 누려왔던 언론, 미디어의 프라이버시 보호에 대한 저항과 영국의 법적 전통인 의회 주권(parliamentary sovereignty) 원칙으로 인해 프라이버시권에 대한 명문법적 보호가 상대적으로 늦어졌다. 그럼에도 영국의 과거 많은 판례들은 프라이버시권의 중요성과 여러 법적 수단을 통해 프라이버시 침해로부터 보호하고자 하는 노력들을 해왔음을 보여주고 있으며, 이후 1998년 제정된 인권법(Human Rights Act 1998)의 프라이버시 및 가정생활을 존중받을 권리(제8조)를 통해 프라이버시권이 보장되었다
프라이버시권과 중첩되거나 직접적인 관계가 있는 개인정보보호도 이러한 프라이버시권 또는 인권 보호의 맥락에서 규율되어 왔으나, 1970년대부터 컴퓨터 사용이 점차 증가함에 따라 컴퓨터에 의한 개인정보 처리에 대한 규율의 필요성이 제기되었다. 영국의 개인정보보호 관련 입법은 1980년 OECD 프라이버시 가이드라인 채택과 1981년 유럽평의회에서 채택한 개인정보 처리에 대한 협약(CoE 108)의 영향을 받아 진행되었다. 이후 영국은 1984년 개인정보보호법(Data Protection Act)을 제정하였다. 초기 개인정보보호법은 공공 또는 민간기관이 컴퓨터를 통해 개인정보를 처리하는 경우 관할 기관인 개인정보보호등록부( Data Protection Registrar)에 등록하도록 규정하였으나, 정보주체의 권리 등에 대한 규정은 다소 미미했다.
이후 EU에서 개인정보보호 지침(Data Protection Directive 95)이 제정되어 각 회원국이 해당 지침을 반영한 개인정보보호 법제를 마련해야함에 따라 영국은 개인정보보호법(Data Protection Act 1998)을 새롭게 제정하여 현 개인정보보호법의 기반을 마련하였다. 개인정보보호법은 민간·공공부문을 아우르는 일반법으로 1984년의 개인정보보호법보다 개인정보의 범위를 확장하여, 자동 처리되는 개인정보뿐만 아니라 체계적 파일 시스템의 일부로서의 정보까지 포함하여 수기 데이터도 법 적용 대상이 되었다. 또한 8개의 정보보호 원칙, ① 공정하고 적법한 처리(Fairly and lawfully process), ② 제한된 목적 내 취급(Processed for limited purposes), ③ 목적 적합성(Adequate, relevant and not excessive), ④ 정확성, 최신성(Accurate and up to date), ⑤ 보유기간 제한(Not kept for longer than is necessary), ⑥ 정보주체의 권리(Processed in line with your rights), ⑦ 안전성 확보(Secure), ⑧ 적절한 보호가 보장되지 않는 제3국으로의 정보 이전 제한(Not transferred to other countries without adequate protection)을 규정하여 정보주체의 권리와 개인정보 처리자의 책임과 의무를 명시적으로 규정하였다.
이후 개인정보보호법의 근간인 EU 개인정보보호 지침이 폐지되고 2018년 5월 25일부터 이를 대체하는 일반 개인정보보호법(General Data Protection Regulation, GDPR)이 시행됨에 따라, 영국은 이에 발맞춰 GDPR을 수용하고 자국에 맞게 보완한 개인정보보호법 2018(Data Protection Act 2018)을 제정하여 시행하고 있다. 개인정보보호 기본법인 개인정보보호법 이외에 정보통신, 금융, 의료 등 소관 분야별 또는 공공기관에서 처리되는 정보의 공개 등 영역별 개인정보와 관련하여 규율하는 법률이 다수 제정되었다.
이후 2020년 1월 31일 영국의 EU 탈퇴(브렉시트) 단행이 확정되었으며, 전환기간을 거쳐 2020년 12월 24일 영국과 EU가 미래관계협상을 타결하면서 영국은 EU를 완전히 탈퇴했다. 영국의 브렉시트 선언 이후, 2019년 2월 개인정보보호, 프라이버시, 전자 커뮤니케이션 수정법(The Data Protection, Privacy and Electronic Communications (Amendments etc) (EU Exit) Regulations 2019)을 기반으로 영국 개인정보보호법 및 EU GDPR을 브렉시트 현실에 맞게 수정했으며, 그 중 수정된 EU GDPR을 UK GDPR로 명명하고 있다.
2영국 법률 체계
현재 통상적으로 일컫는 영국은 그레이트브리튼 및 북아일랜드 연합왕국(United Kingdom of Great Britain and Northern Ireland)이며, 영국 영토는 잉글랜드, 웨일스, 스코틀랜드, 북아일랜드 등으로 구성되어 있다. 영국의 법체계는 잉글랜드 및 웨일스, 스코틀랜드, 북아일랜드 3개 법령에 따라 다르게 구성되며, 일반적으로 일컫는 영국 법은 주로 잉글랜드 및 웨일스의 법체계를 중심으로 하고 있다.
영국 법은 관습법(Common law)에 기반하고 있다. 영국은 통치기구 및 국민의 인권에 대해 체계적으로 규정한 성문헌법이 존재하지 않는다. 실질적 의미의 헌법은 대헌장(Magna Carta: 1215년 영국의 존 왕이 귀족들의 입력에 굴복하여 칙허한 63개조의 법), 권리청원(1628년), 권리장전(1689년) 등의 문서, 관습법, 의회의 제정법, 판례 등으로 구성되어 있다. 영국에서는 1066년 윌리엄 대왕이 잉글랜드를 정복한 이래 그리스도교의 영향을 강하게 받아 법은 '신의 의사'이며 '국왕도 신의 법 아래에 있다'는 의식 하에 자연법적인 형태로 관습법이 발전되어 왔다.
영국 법은 성문헌법이 없기 때문에 기본적으로 판례법을 중시하며 재판을 통해 확인된 관습법의 집합체라 할 수 있다. 인권에 대해 체계적으로 규정한 성문헌법은 없으나 1998년 인권법이 제정되어 유럽인권조약에 부합하는 인권이 보장되어 있다. 민법과 관련해서도 명확히 확립된 민법 체계가 없으며, 관습법에 의해 형성된 영국의 민법은 부정행위법, 계약법, 재산법 등으로 분류 가능하다. 민사법과 형사법의 경계도 모호하며, 모두 관습법을 따르는 법제도를 기반으로 구성되어 있다.
EU 가입 후에는 EU 법의 우위성을 따라왔으나, EU 탈퇴 후 영국 국내법으로 전환하고 있다. EU 탈퇴로 EU 법이 더 이상 영국 내에 적용되지 않는 법적 공백에 대응하기 위해, 전환 과정에서 영국은 유럽연합 탈퇴법(European Union (Withdrawal) Act 2018)을 제정하여 EU 법령이 그대로 영국 국내법으로 기능할 수 있도록 노력해왔다. 동법 제3조에서는 영국에 직접 적용되어 오던 EU 법령(regulation)·결정
(decision)·하위입법(tertiary legislation)의 경우, 영국이 EU를 탈퇴하더라도 그대로 영국의 국내법을 이룬다고 규정하고 있다.
현재 통상적으로 일컫는 영국은 그레이트브리튼 및 북아일랜드 연합왕국(United Kingdom of Great Britain and Northern Ireland)이며, 영국 영토는 잉글랜드, 웨일스, 스코틀랜드, 북아일랜드 등으로 구성되어 있다. 영국의 법체계는 잉글랜드 및 웨일스, 스코틀랜드, 북아일랜드 3개 법령에 따라 다르게 구성되며, 일반적으로 일컫는 영국 법은 주로 잉글랜드 및 웨일스의 법체계를 중심으로 하고 있다.
영국 법은 관습법(Common law)에 기반하고 있다. 영국은 통치기구 및 국민의 인권에 대해 체계적으로 규정한 성문헌법이 존재하지 않는다. 실질적 의미의 헌법은 대헌장(Magna Carta: 1215년 영국의 존 왕이 귀족들의 입력에 굴복하여 칙허한 63개조의 법), 권리청원(1628년), 권리장전(1689년) 등의 문서, 관습법, 의회의 제정법, 판례 등으로 구성되어 있다. 영국에서는 1066년 윌리엄 대왕이 잉글랜드를 정복한 이래 그리스도교의 영향을 강하게 받아 법은 '신의 의사'이며 '국왕도 신의 법 아래에 있다'는 의식 하에 자연법적인 형태로 관습법이 발전되어 왔다.
영국 법은 성문헌법이 없기 때문에 기본적으로 판례법을 중시하며 재판을 통해 확인된 관습법의 집합체라 할 수 있다. 인권에 대해 체계적으로 규정한 성문헌법은 없으나 1998년 인권법이 제정되어 유럽인권조약에 부합하는 인권이 보장되어 있다. 민법과 관련해서도 명확히 확립된 민법 체계가 없으며, 관습법에 의해 형성된 영국의 민법은 부정행위법, 계약법, 재산법 등으로 분류 가능하다. 민사법과 형사법의 경계도 모호하며, 모두 관습법을 따르는 법제도를 기반으로 구성되어 있다.
EU 가입 후에는 EU 법의 우위성을 따라왔으나, EU 탈퇴 후 영국 국내법으로 전환하고 있다. EU 탈퇴로 EU 법이 더 이상 영국 내에 적용되지 않는 법적 공백에 대응하기 위해, 전환 과정에서 영국은 유럽연합 탈퇴법(European Union (Withdrawal) Act 2018)을 제정하여 EU 법령이 그대로 영국 국내법으로 기능할 수 있도록 노력해왔다. 동법 제3조에서는 영국에 직접 적용되어 오던 EU 법령(regulation)·결정 (decision)·하위입법(tertiary legislation)의 경우, 영국이 EU를 탈퇴하더라도 그대로 영국의 국내법을 이룬다고 규정하고 있다.
3개인정보보호법
가. 개요
영국은 개인정보보호 일반법에 해당하는 영국 일반 개인정보보호법(UK General Data Protection Regulation, UK GDPR)과 공공 및 민간의 개인정보 처리에 대해 전반적으로 규율하는 개인정보보호법(Data Protection Act 2018)을 필두로 필요에 따라 분야별, 영역별 법률에 의해 개인정보 처리를 규율하고 있다.
[표 1] 영국의 개인정보보호 관련 주요 법률
영국의 개인정보보호 관련 주요 법률
적용분야
법률
소관 기관
비고
공공/민간
개인정보보호법
(Data Protection Act 2018)
ICO
(Information Commissioner‘s office)
개인정보보호 기본법
영국 일반 개인정보보호법
(UK General Data Protection Regulation)
ICO
(Information Commissioner‘s office)
EU 탈퇴 이후 국내법으로 전환한 영국식 GDPR
공공
정보자유법
(Freedom of Information Act 2000)
ICO
(Information Commissioner‘s office)
공공기관이 취급하는 정보의 공개에 대한 규정
환경정보규정
(Environmental Information Regulations 2004)
ICO
(Information Commissioner‘s office)
공공기관이 취급하는 환경 관련 정보 공개에 대한 규정
정보통신
프라이버시 전자통신 규정
(Privacy and Electronic
Communications Regulations 2003)
ICO
(Information Commissioner‘s office)
정보통신 서비스 개인정보보호
정보보안
네트워크, 정보시스템 규정
(Network and Information Systems Regulations 2018)
분야별 각 소관기관
네트워크, 정보시스템 보안에 대한 규정
금융
소비자 신용법
(Consumer Credit Act 2006)
공정거래청
(The Office of Fair Trading)
신용정보 분야 개인정보보호 규정
의료
건강기록접근법
(Access to Health Records Act 1990)
The Family Practitioner Committee
건강, 의료기록 등의 개인정보보호 규정
형사
경찰법
(Police Act 1997)
국가범죄정보원
(National Criminal Intelligence Service)
형사기록에 대한 개인정보보호
이 중 대표적인 영국 일반 개인정보보호법 및 개인정보보호법의 주요 내용은 다음과 같다. 그 외 개인정보 관련 법률은 기타 관련 법령에서 소개한다.
(1) 영국 일반 개인정보보호법(UK General Data Protection Regulation, UK GDPR)
영국의 EU 탈퇴 이후, 2018년 5월부터 적용되어온 EU 일반 개인정보보호법(EU General Data Protection Regulation, EU GDPR)을 모태로 브렉시트 상황에 맞게 일부 수정을 가한 영국식 GDPR이다. EU 탈퇴 과정에서 EU GDPR과 영국 개인정보보호법이 그대로 적용될 경우 변화한 법적 상황을 반영하지 못하게 되는 것을 이유로, 영국은 2019년 2월 개인정보보호, 프라이버시, 전자 커뮤니케이션 수정법을 제정하고 개인정보 관련 법률에 수정을 가하여 개인정보보호 법제 전반을 정비했다. 이에 UK GDPR로의 전환과 더불어 '회원국'을 '영국'으로 수정하는 등 국가법으로의 변환이 이루어졌다.
UK GDPR은 2021년 1월 1일 발효되었으며, 법 집행기관 및 정보기관을 제외한 대부분의 영국 내 개인정보 처리를 위한 핵심 원칙, 권리 및 의무를 명시하고 있다. EU 탈퇴 이전 적용되어온 EU GDPR을 기반으로 영국 환경에 맞춰 일부 변경 사항을 포함하고 있으나, 실질적으로 기존의 EU GDPR과 동일한 내용을 담고 있고, 단지 일부 조문이나 단어를 대체, 추가, 제거하는 등 최소한의 변경만을 가한 것으로, 개인정보보호법과 더불어 영국 개인정보보호 법제를 이루는 큰 축 중 하나이다.
(2) 개인정보보호법(Data Protection Act 2018, DPA)
개인정보보호법은 1984년 최초로 제정되어 1998년 1차 개정, 2018년 2차 개정이 이루어졌다. 개인정보보호법 2018은 EU GDPR을 보완하고 영국의 개인정보보호 제도와 맞추어 브렉시트 이후를 대비하였다. 또한 EU 법 집행 지침(Law Enforcement Directive, LED)을 이행하고 법 집행 기관 및 정보기관에서 처리하는 개인정보 등 GDPR의 적용 범위가 미치지 않는 영역까지 확대하여 규정하는 등 개인정보보호 규범의 포괄적 패키지를 제공한다.
2018년 5월 25일 발효되어 현재까지 주요 개인정보보호법으로 유지되고 있으나, 이후 영국의 EU 탈퇴로 인해 2019년 2월 개인정보보호, 프라이버시, 전자 커뮤니케이션 수정법에 기반하여 한 차례 더 수정을 거쳤다. 주요 수정 내용에는 기존 GDPR의 UK GDPR로의 전환 내용이 포함되어 있다. 전체적으로 UK GDPR과 같은 맥락을 유지하고 있으며, UK GDPR이 규정하지 않는 범위에 대해서는 재량에 따라 확대 규정을 허용하는 등 UK GDPR 체제를 보완하고 있다.
개인정보보호법은 총7장, 215개 조항 및 21개의 부칙으로 구성되어 있다. 제1장 서문은 법규 개요와 주요 용어를 정의하며, 제2장 일반 처리(General processing) 부분은 UK GDPR의 적용을 위한 세부 규정을 다룬 2절을 포함하고 있다. 2절의 주요 변동 내용은 제3국으로의 개인정보 이전 부분으로, 적정성 규정에 근거한 이전, 검토, 표준 데이터 보호 조항 등이 추가되었다(제17조A, B, C). 그 외 관할당국의 법 집행을 위한 개인정보 처리(제3장), 자동화된 결정 도구 등 지능형 서비스(Intelligence services)에 의한 개인정보 처리(제4장), 개인정보 감독기구 ICO의 역할(제5장), 법 집행절차(제6장), 부가 조항(제7장) 등으로 구성되어 있다.
나. 개인정보 정의
개인정보(Personal data)는 '신원이 확인되거나 식별 가능한 자연인과 관련된 모든 정보'로 정의된다(UK GDPR 제4조 및 개인정보보호법 제1장 제3조). '식별 가능한 살아있는 자연인'은 ① 이름, 식별번호, 위치 데이터 또는 온라인 식별자 등의 식별자, ② 개인의 신체적, 생리학적, 유전적, 정신적, 경제적, 문화적 또는 사회적 정체성 중 하나 이상의 정보를 직접 또는 간접적으로 식별할 수 있는 살아있는 개인을 의미한다. 또한 '데이터 주체'는 개인정보와 관련된 신원이 확인되거나 식별 가능한 살아있는 개인을 의미한다.
UK GDPR은 이러한 개인정보의 '처리'와 관련이 있다. 여기에서 ‘처리'는 매우 광범위한 의미를 지니는데, 단순한 보관, 호스팅, 참조(consultation), 삭제, 파기 등을 포함하며 개인정보에 대해 이루어지는 모든 작업을 포함한다. UK GDPR에서는 개인정보(인종, 종교, 성생활, 건강, 유전학, 생체인식 관련 정보 포함) 및 범죄와 관련된 개인정보 처리를 위해 보다 제한적인 규칙을 제공한다(제10조).
UK GDPR에 따르면, 개인정보는 '컨트롤러' 또는 '프로세서'에 의해 처리될 수 있다. 컨트롤러는 의사결정자로, '개인정보 처리에 대한 목적과 수단을 혼자 또는 다른 사람과 공동으로 결정하는 사람'으로 정의하고 있다(제83조). 프로세서는 컨트롤러의 지시에 따라 '컨트롤러 대신 개인정보를 처리'한다. 이전 법률과 대조적으로 GDPR에서는 프로세서에 부과되는 의무는 적지만 컨트롤러와 프로세서 모두에게 직접적인 의무를 부과하고 있다.
'공권력(public authority)'과 '공공기관(public body)'도 UK GDPR에서 사용되는 표현이다. 개인정보보호법은 2000년 제정된 정보자유법에 사용된 '공권력'의 정의를 참고하여 이를 정의하고 있다. 또한 개인정보보호법에서는 법 제정에 의해 처리 목적과 수단이 결정되는 경우, 해당 법 제정에 의해 데이터 처리 의무가 부과되는 사람이 컨트롤러임을 명확히 하고 있다.
다. 적용 범위
개인정보보호법의 적용 대상은 공공·민간 모두 해당된다. UK GDPR의 적용은 주로 영국에 조직이 설립되어 있는지의 여부에 달려있다. 그러나 영국에 설립된 조직이 아닐지라도 상품 또는 서비스의 제공과 관련된 활동과 관련해 영국에 있는 데이터 주체의 개인 데이터를 처리하거나, 행동에 대한 모니터링이 영국 내에서 진행될 경우에는 UK GDPR의 적용을 받게 된다.
한편, 유럽에서 영업하거나, 유럽에 있는 개인에게 상품이나 서비스를 제공하거나, 유럽에서 개인의 행동을 감시하는 경우, UK GDPR과 EU GDRP을 모두 준수해야 한다. EU GDPR은 유럽 감독당국에 의해 별도로 규제된다. 2021년 1월 1일 이전에 수집된 해외 정보(일명 legacy data)를 보유할 경우, 2020년 12월 31일까지 적용된 EU GDPR의 적용을 받는다. 단기적으로 EU GDPR과 UK GDPR 사이에 큰 변화는 없을 것으로 보인다.
라. 정보주체의 권리
(1) 정보를 제공받을 권리
UK GDPR 외에 개인정보보호법 제3장 관할당국의 법 집행을 위한 개인정보 처리 중 3절은 데이터 주체의 권리(Rights of the data subject)를 명시하고 있다. 데이터 주체에 대한 컨트롤러의 정보 제공 의무(제44조) 및 데이터 주체의 접근권(제45조)에서 정보를 제공받을 권리를 함께 언급하고 있다.
(2) 접근권
접근권은 데이터 주체가 자신이 관여된 개인정보 처리의 유무를 확인하고, 처리가 행해질 경우에는 해당 정보와 더불어 '처리 목적 및 법적 근거' 등 관련 정보를 제공받을 권리이다. UK GDPR 제15조에 따르면, 데이터 주체는 컨트롤러가 데이터를 어떻게 사용했는지에 대한 정보와 더불어 자신의 개인정보에 대한 접근을 요청하고 사본을 얻을 수 있다.
개인정보보호법에서도 접근권을 다루고 있는데, 제45조에 따르면, 데이터 주체는 컨트롤러로부터 본인과 관련된 개인정보의 처리 여부에 대한 설명 및 개인정보 처리 관련 정보를 제공받을 권리가 있다. 처리 관련 정보는 해당 정보의 처리 목적 및 법적 근거, 관련 개인정보의 범주, 개인정보의 수령인 또는 수령인 범주(제3국 또는 국제기구 포함), 개인정보 저장 기간 및 기간을 결정하는 기준 등이다. 또한 데이터 주체의 권리(정정권, 삭제권 및 커미셔너에게 불만을 제기할 수 있는 권리와 커미셔너 연락처 세부 정보 등)에 대한 정보를 제공받을 권리가 있다. 컨트롤러는 데이터 주체가 요청할 경우 지체 없이 해당 기간이 종료되기 전에 서면으로 관련 정보를 제공해야 한다.
한편, 컨트롤러는 제한된 범위 내에서 데이터 주체에 대한 정보 제공을 제약할 수 있는데, 이는 ① 공식 또는 법적 조사 및 조사 절차를 방해하지 않기 위한 목적, ② 범죄 예방, 탐지, 조사 또는 기소나 형사 처벌 집행을 방해하지 않기 위한 목적, ③ 공익의 안전 보장, ④ 국가 안전 보장, ⑤ 타인의 권리와 자유 보호 등에 해당하는 경우이다. 컨트롤러는 데이터 주체에 대한 정보 제공이 전체적 또는 부분적으로 제한될 경우, 정보 제공이 제한되었다는 사실과 제한 사유 및 데이터 주체의 권리(커미셔너에게 요청할 권리 및 제167조에 따른 법원에 신청할 수 있는 데이터 주체의 권리 포함)를 지체 없이 서면으로 데이터 주체에 알려야 한다. 제45조에 언급된 데이터 주체에 대한 컨트롤러의 의무는 제44조에 명시된 컨트롤러의 일반적 의무와 동일하다.
(3) 정정권
UK GDPR 제16조에 따르면, 데이터 주체는 부정확하거나 불완전한 개인정보를 지체 없이 수정하거나 완성할 것을 요구할 수 있다. 개인정보보호법 제46조에도 정정권에 대한 언급이 있는데, 데이터 주체가 요청할 경우 컨트롤러가 데이터 주체와 관련된 부정확한 개인정보를 지체 없이 수정해야함을 명시하고 있다. 개인정보가 불완전하여 오류가 있을 경우, 데이터 주체의 요청이 있을 시 컨트롤러는 오류를 정정해야 한다. 한편, 컨트롤러가 제46조에 따라 개인정보를 정정해야 하지만 증거를 위해 개인정보를 유지해야할 경우 컨트롤러는 개인정보를 수정하는 대신 처리를 제한해야 한다.
(4) 삭제권
UK GDPR 제17조에 따르면, 데이터 주체는 개인정보의 삭제를 요청할 수 있다. 개인정보보호법의 경우 제47조에서 삭제권을 명시하고 있다. 컨트롤러는 개인정보 처리가 제35조, 제36조 1~3항, 제37조, 제38조 1항, 제39조 1항, 제40조, 제41조, 제42조를 위반할 수 있다고 판단될 경우 개인정보를 지체 없이 삭제해야 한다. 해당 조항은 주로 ① 수집 목적의 적법성·공정성, ② 수집 목적의 한정성, ③ 목적의 타당성, ④ 정보의 정확성·최신성 확보, ⑤ 보유 권한 한정, ⑥ 정보보호 확보 등 정보 처리에 관한 보호 원칙에 저촉될 경우에 해당된다.
(5) 처리제한권
UK GDPR 제18조에 따르면, 데이터 주체는 다음의 상황에서 자신의 개인정보 처리를 제한할 권리를 갖는다. 데이터의 정확성에 문제가 있는 경우, 처리가 불법인 경우, 데이터 주체의 법적 청구를 위해 데이터가 더 이상 필요하지 않은 경우, 컨트롤러의 정당한 처리 근거가 문제가 되는 경우가 여기에 포함된다. 개인정보보호법에서는 삭제권을 언급한 제47조에서 처리제한권을 같이 언급하고 있다. 제47조에 따르면, 컨트롤러가 개인정보를 삭제해야 하지만 증거를 위해 개인정보를 유지해야 할 경우 컨트롤러는 개인정보를 삭제하는 대신 처리를 제한해야 한다. 또한 데이터 주체가 개인정보의 정확성에 이의를 제기하나 그 정확성 여부를 확인할 수 없을 경우 컨트롤러는 데이터 처리를 제한해야 한다. 아울러 데이터 주체는 컨트롤러에게 개인정보 삭제 또는 처리제한을 요청할 수 있다.
(6) 데이터 이동권
UK GDPR 제20조에 따르면, 데이터 주체가 처리에 동의하였거나 계약 이행을 위해 처리가 필요한 경우, 데이터 주체는 다른 컨트롤러에게 일반적으로 사용되는 파일 형식 등으로 개인정보를 제공하거나 전송할 권리가 있다.
(7) 이의신청권
UK GDPR 제21조에 따르면, 데이터 주체는 컨트롤러의 데이터 처리에 대한 합법성 및 공정성과 관련해 법적 근거에 따라 데이터 처리에 이의를 제기할 권리가 있다. 컨트롤러는 데이터 주체의 권리를 저해하는 처리에 대한 설득력 있는 정당한 근거를 입증할 때까지 데이터 처리를 중단해야 한다. 또한 데이터 주체는 마케팅 목적의 개인정보 처리를 거부할 권리가 있다.
(8) 프로파일링을 포함한 자동의사결정의 대상이 되지 않을 권리
UK GDPR 제22조에 따르면, 자동의사결정(프로파일링 포함)은 다음과 같은 경우에만 허용된다. 계약의 체결 및 이행에 필요한 사항, 영국 법이 승인한 경우, 정보주체가 동의한 경우가 이에 해당된다. 영국 법에 승인된 자동의사결정에 대한 추가 안전장치는 개인정보보호법의 제14조에 규정되어 있는데, 특히 7항은 국무장관이 정보주체의 권리, 자유, 정당한 이익을 보호하기 위한 적절한 조치와 관련한 추가 조항을 만들 수 있음을 언급하고 있다.
(9) 정보사회 서비스에 대한 아동의 동의
UK GDPR 제8조 제1항은 정보사회(주로 온라인) 서비스와 관련하여 스스로 처리에 동의할 수 있는 나이를 13세 이상으로 규정하고 있다. 개인정보보호법에서도 마찬가지로 이러한 목적에 대한 동의 연령을 13세로 두고 있다.
마.컨트롤러 및 프로세서의 의무
컨트롤러와 프로세서에 대한 모든 의무는 EU GDPR에서 다루었던 것처럼 UK GDPR에서도 기본적으로 동일하게 유지되고 있다.
(1) 컨트롤러의 의무
개인정보보호법 제3장 3절 제44조 컨트롤러의 일반적 의무는 제45조의 접근권과 제공 내용이 거의 동일하다(제44조는 컨트롤러 입장에서 기술, 제45조는 정보주체 입장에서 기술). 이에 따라 컨트롤러는 일반적으로 컨트롤러의 신원과 연락처 세부 정보, 해당될 경우 개인정보보호책임자 연락처, 개인정보 처리 목적과 더불어 정보주체가 컨트롤러에게 요청할 수 있는 권한의 존재(접근권, 정정권, 삭제권) 및 커미셔너에게 불만을 제기할 수 있는 권리의 존재와 커미셔너 연락처 세부 정보를 정보주체에게 제공해야 한다. 컨트롤러가 정보주체에 제공하는 사항은 데이터 처리의 법적 근거에 대한 설명, 개인정보가 저장되는 기간 및 기간 결정 기준에 대한 설명, 해당될 경우 개인정보의 수령자 범주 정보 등을 제공해야 한다. 또한 컨트롤러는 제한된 범위 내에서 정보주체에 대한 정보 제공을 제약할 수 있는데, 이는 상기에도 언급한 것처럼 ① 공식 또는 법적 조사 및 조사 절차를 방해하지 않기 위한 목적, ② 범죄 예방, 탐지, 조사 또는 기소나 형사 처벌 집행을 방해하지 않기 위한 목적, ③ 공익의 안전 보장, ④ 국가 안전 보장, ⑤ 타인의 권리와 자유 보호 등에 해당하는 경우이다. 정보주체에 대한 정보 제공이 전체적 또는 부분적으로 제한될 경우, 컨트롤러는 지체 없이 서면으로 정보주체에 이를 알려야 한다. 또한 컨트롤러는 정보주체에 대한 정보 제공을 전체적 또는 부분적으로 제한하기로 결정한 이유를 기록하고, 커미셔너가 요청할 경우 해당 기록을 이용할 수 있도록 제공해야 한다.
개인정보보호법 4절 컨트롤러와 프로세서에 명시된 컨트롤러의 의무를 보면, 컨트롤러는 개인정보 처리가 4절의 요구사항을 준수하는지 확인하고 입증할 수 있도록 적절한 기술적·조직적 조치를 구현해야 하며 이러한 조치를 검토하고 필요한 경우 업데이트해야 한다. 컨트롤러의 의무를 준수하기 위해 시행되는 조치에는 적절한 정보보호 정책이 포함되어야 한다.
이에 따라 컨트롤러는 개인정보의 모든 처리에 적용되는 일련의 핵심 원칙을 준수할 책임이 있다. 이러한 원칙에 따라 개인정보는 다음의 원칙을 따라 처리되어야 한다. ① 법에 기반하여 공정·투명하게 처리한다(합법성, 공정성 및 투명성 원칙), ② 명확하고 명시적이며 합법적인 목적으로 수집되며, 이러한 목적과 양립할 수 없는 방식으로 추가 처리되지 않는다(목적 제한 원칙), ③ 목적에 맞게 적절하게 처리하고 필요한 범위로 제한된다(정보 최소화 원칙), ④ 정확한 정보의 최신 상태를 유지한다(정확성 원칙), ⑤ 데이터가 처리되는 목적에 필요한 만큼만 데이터 주체의 식별을 허용하는 형식으로 보관한다(보관 제한 원칙), ⑥ 적절한 기술적·조직적 조치를 활용하여 개인정보의 적절한 보안을 보장하는 방식으로 처리된다(보안 유지 원칙), ⑦ 컨트롤러는 상기 원칙을 준수할 책임이 있으며 이를 입증할 수 있어야 한다(책임 원칙). 책임성은 UK GDPR의 핵심 주제이기도 하다. 조직은 UK GDPR을 준수해야 할 뿐만 아니라 개인정보 처리와 관련한 어떤 결정이 내려진지 수 년이 지난 후에도 그 준수 내용을 입증할 수 있어야 한다. 기록 보관, 감사 및 적절한 거버넌스는 책임 완수에 중요한 역할을 한다.
(2) 프로세서의 의무
한편, 프로세서의 의무와 관련하여, 컨트롤러에게 적절한 기술적·조직적 조치가 가능한 프로세서만 이용할 수 있다고 규정하고 있으며, 4절의 요구사항 충족과 정보주체의 권리 보호 등을 언급하고 있다. 프로세서의 처리는 컨트롤러와 프로세서 사이의 서면 계약에 의해 통제되어야 하며, 계약서에는 컨트롤러의 지시에 의해서만 개인정보 처리가 가능하다는 점과 개인정보의 제3자 제공 제한, 비밀 유지 의무, 서비스 종료 시 개인정보 삭제 및 반환 의무 등이 명시되어 있다. 또한, 프로세서는 컨트롤러의 사전 서면 승인 없이 다른 프로세서와 계약을 체결할 수 없으며, 다른 프로세서의 추가 또는 교체와 관련해 변경사항이 발생할 경우 컨트롤러에 알리고, 변경사항에 대해 컨트롤러가 반대할 수 있는 기회를 제공해야 한다. 아울러 적절한 기술적, 조직적 조치를 통해 컨트롤러의 의무 이행을 지원해야 한다.
(3) 컨트롤러 수수료 부과 제도
영국은 개인정보보호 수수료(Data Protection Fee)로 알려진 개인정보보호 (요금 및 정보) 규정 2018(Data Protection (Charges and Information) Regulations 2018)에 따라 컨트롤러에게 수수료 부과 제도를 운영하고 있다. 모든 컨트롤러는 개인정보보호 수수료를 면제받지 않는 한 매년 ICO에 이를 지불해야 한다.
영국 정부는 개인정보를 처리하는 컨트롤러가 야기할 수 있는 위험에 대한 인식을 기반으로 수수료 체계를 설정했다. 부과 금액은 직원 수와 연간 이직률 외에 컨트롤러의 형태(공공기관, 자선단체, 또는 소액 직업 연금 제도 가입 여부)에 따라 달라진다. 모든 컨트롤러가 수수료를 지불해야 하는 것은 아니며 면제 혜택이 있다. 대기업의 최대 수수료는 2,900 파운드(약 469만원)이다. 수수료를 지불하지 않거나 정확한 수수료를 지불하지 않는 등 법을 어긴 컨트롤러에 대한 최대 과징금은 4,350 파운드(약 704만원)이다.
(3) 컨트롤러 수수료 부과 제도
영국은 데이터 보호 수수료(Data Protection Fee)로 알려진 데이터 보호(요금 및 정보) 규정 2018(Data Protection (Charges and Information) Regulations 2018)에 따라 컨트롤러에게 수수료 부과 제도를 운영하고 있다. 모든 컨트롤러는 데이터 보호 수수료를 면제받지 않는 한 매년 ICO에 이를 지불해야 한다.
영국 정부는 개인정보를 처리하는 컨트롤러가 야기할 수 있는 위험에 대한 인식을 기반으로 수수료 체계를 설정했다. 부과 금액은 직원 수와 연간 이직률 외에 컨트롤러의 형태(공공기관, 자선단체, 또는 소액 직업 연금 제도 가입 여부)에 따라 달라진다. 모든 컨트롤러가 수수료를 지불해야 하는 것은 아니며 면제 혜택이 있다. 대기업의 최대 수수료는 2,900 파운드(약 469만원)이다. 수수료를 지불하지 않거나 정확한 수수료를 지불하지 않는 등 법을 어긴 컨트롤러에 대한 최대 과징금은 4,350 파운드(약 704만원)이다.
(4) DPO(Data Protection Officer) 지정
UK GDPR에 따라 컨트롤러 또는 프로세서는 ① 정부 또는 공공기관에 해당할 경우, ② 주 활동이 성격, 범위, 목적상 대규모 정보주체에 대한 정기적이고 체계적인 감시가 필요한 처리 작업으로 구성될 경우, ③ 주 활동이 개인정보를 대규모로 처리하는 것일 경우 중 하나 이상을 충족하는 경우 개인정보보호책임자(Data Protection Officer, DPO)를 임명해야 한다. 각 기관에서 개인정보보호책임자에 대한 원활한 접근이 가능할 경우 법적 책임을 가진 단일 개인정보보호 책임자를 임명할 수 있다. 이는 대규모 조직의 경우 단일 개인정보보호 책임자로 운영하는 것이 현실적으로 어려울 수도 있음을 시사한다.
개인정보보호책임자는 자신의 역할을 서비스 제공업체에 아웃소싱할 수 있으나, 개인정보보호 관련 법률 및 관행에 대한 '전문 지식'을 보유해야 한다(제37조 5항, 6항). UK GDPR에 명시된 개인정보보호책임자의 주요 업무는 다음과 같다(제39조). 개인정보보호책임자는 UK GDPR 및 기타 영국 개인정보보호법의 준수를 공고하고 조언하며, 책임 이행, 인식 제고, 인력 양성을 포함한 조직의 내부 정책 및 법률 준수 여부를 감시한다. 이와 더불어 개인정보 처리 관련 문제 등에 대해 커미셔너와 협력 및 협의한다. 컨트롤러와 프로세서는 개인정보보호책임자가 개인정보보호와 관련된 모든 문제에 시의적절하게 대응하도록 보장해야 한다.
개인정보보호법 제3장 4절 컨트롤러와 프로세서 중 제69조~제71조에서도 정보보호책임자의 정의와 업무를 명시하고 있다. 컨트롤러가 법원이나 기타 사법기관이 아닌 한 정보보호책임자를 지정해야 하며, 지정 시 전문적 자질과 능력이 중요하다. 조직 구조와 규모를 고려하여 다수의 컨트롤러가 동일인을 정보보호책임자로 지정할 수 있으며, 컨트롤러는 정보보호책임자의 연락처 정보를 공개하고 이를 커미셔너에게 전달한다. 제71조에는 정보보호책임자의 업무가 규정되어 있는데, 컨트롤러 조직 내에서의 활동과 더불어 감독기관인 ICO와의 협력을 중시하고 있다.
바. 개인정보 역외 이전
컨트롤러 또는 프로세서가 영국 이외의 제3국으로 개인정보를 이전하는 것은 UK GDPR에 명시된 조건이 충족되는 경우에만 허용된다(UK GDPR 제44조). 개인정보보호법에서도 제3장 5절에서 개인정보 역외 이전(Transfers of personal data to third countries etc)을 명시하고 있다.
영국 정부는 UK GDPR에 따라 제3국에 대해 적정성 결정을 내릴 권한이 있다(제45조). 이 권한은 EU GDPR에 따라 EC에 부여된 권한과 동등하며, 제3국이 적정 수준의 정보보호를 제공할 시 개인정보가 제3국으로 자유롭게 전송될 수 있다는 결정을 내리는 것을 포함한다(제45조 1항). 현재 영국이 적정성 결정을 내린 국가는 안도라, 아르헨티나, 캐나다(일부 예외), 스위스, 패로 제도, 건지, 이스라엘, 맨섬, 저지, 우루과이, 뉴질랜드이다. 아울러 EU 및 EEA(European Economic Area) 회원국 또한 개인정보 역외 이전이 가능한 지역이다. 영국은 적정성과 관련한 모든 결정을 2024년 말까지 재평가할 계획이다.
컨트롤러나 프로세서에 의해 적절한 안전장치가 제공될 경우, 또한 데이터 주체에 대한 적절한 데이터 주체 권리 적용 및 법적 구제책을 이용할 수 있는 경우 제3국으로의 이전도 허용된다(제46조). 적절한 안전장치 목록에는 구속력 있는 기업 규칙과 데이터 주체 및 개인정보에 대한 동등한 수준의 보호를 보장하기 위한 추가 안전장치가 포함된 표준 계약 조항이 포함된다.
개인정보보호법의 부칙 21에서, UK GDPR에 따른 개인정보 이전 시 EU 집행위원회가 승인한 표준 계약 조항은 영국 정부가 제정하는 조항으로 대체될 때까지 유효하다고 규정하고 있다. UK GDPR 제49조에는 다음과 같은 경우에 제3국으로의 이전을 허용하는 상황별 평가 목록도 포함되어 있다. ① 명시적인 사전 동의를 얻었을 경우, ② 계약의 이행 또는 사전 계약 조항의 이행을 위해 이전이 필요할 경우, ③ 컨트롤러와 다른 자연인 또는 법률가 사이에 정보주체의 이익으로 체결된 계약의 이행을 위해 이전이 필요할 경우, ④ 공공의 이익을 위한 중요한 이유로 이전이 필요할 경우, ⑤ 법적 청구의 설정, 행사 또는 방어를 위해 이전이 필요할 경우, ⑥ 동의를 얻을 수 없는 상황에서 정보주체의 중요한 이익을 보호하기 위해 이전이 필요할 경우가 이에 해당된다.
영국 이외의 국가의 법원, 재판소 또는 행정당국에 의해 요구되는 이전(제48조) 요청은 제3국과 영국 사이에 발효 중인 국제사법공조(Mutual Legal Assistance Treaty) 같은 국제 협약에 근거하는 경우에만 인정되거나 시행 가능하다. 이전에 대한 다른 법적 근거가 없는데 이전 요청에 응할 경우 UK GDPR을 침해하는 것이 된다.
한편, 영국의 EU 탈퇴로 이제 영국은 EU GDPR 제5장의 목적상 제3국에 해당된다. 이에 2020년 12월 24일 EU와 영국이 체결한 무역협력협정(TCA: Trade and Cooperation Agreement)은 개인정보에 관한 향후 관계를 포함한 내용을 명시하고 있다. 이에 따르면, 2021년 1월 1일부터 최대 6개월 동안 개인정보를 EU에서 영국으로 이전하는 것을 합법화하고 있다. 무역협력협정과 함께 발표된 EU-영국 공동선언(EU-UK Joint Declaration)에서는 빠른 시일 내에 영국에 유리한 적정성 결정을 내리겠다는 EU의 약속이 포함되었다. 이후 2021년 6월 21일 영국에 대한 적정성 결정이 내려짐에 따라, EU에서 영국으로 개인정보 이전이 허가되고, EU 법에서 보장된 것과 동등한 수준의 보호 혜택을 받을 수 있게 되었다. 적정성 기간은 4년으로 제한하여 향후를 대비한 안전장치를 마련해두고 있다.
사. 집행
(1) 조사 및 시정 권한
UK GDPR은 개인정보 침해와 관련해 컨트롤러가 ICO 및 침해로 인해 영향을 받는 정보주체에 통지해야 하는 일반적인 요건을 제시하고 있다. '개인정보 침해'는 광범위한 개념으로, '사고 또는 불법적인 파괴, 분실, 변경, 무단 공개, 전송, 저장 또는 기타 처리된 개인정보 접근으로 이어지는 보안 위반'으로 정의된다(제4조). 컨트롤러는 ICO에 지체 없이 위반 사실을 통보해야 하며, 개인정보 위반이 개인에게 높은 위험을 초래할 가능성이 있는 경우 컨트롤러는 영향을 받는 정보주체에게도 지체 없이 통지해야 한다(제34조). 프로세서에서 위반사항이 발생할 경우 위반 사실을 알게 된 즉시 컨트롤러에게 통보해야 한다(제33조 2항).
ICO에 대한 통지는 가능한 경우 관련 개인과 기록의 범주, 조직의 개인정보보호책임자 또는 기타 담당자 이름, 위반 결과, 피해를 완화하기 위해 취한 조치 등을 포함해야 한다(제33조). 또한 컨트롤러는 모든 데이터 위반에 대한 기록(제33조 5항)을 보관하고, 해당 기록에 대한 ICO의 감사를 허용해야 한다. 영국 내 위반은 ICO의 전용 위반 헬프라인(0303 123 1113)에 보고할 수 있다. 서면 통지를 선호하는 경우 서식을 다운로드하여 이메일로 보낼 수 있다.
ICO는 현장 감사를 수행할 권한, 교정 조치 수행에 대한 공개 경고, 질책 및 명령 권한을 포함하여 광범위한 조사 및 시정 권한(제58조)을 갖는다. 개인정보보호법은 UK GDPR 제58조에 따라 ICO의 구체적인 시행 권한을 규정하고 있는데 ① 컨트롤러 또는 프로세서는 ICO에 정보를 제공해야 하고, ② ICO가 법 준수 관련 평가를 수행할 수 있도록 허용해야 한다는 점과, ③ ICO는 컨트롤러 또는 프로세서가 특정 조치를 취하거나 자제할 것을 요구할 수 있으며, ④ 과징금을 부과할 수 있음을 명시하고 있다. 이에 ICO는 컨트롤러 또는 프로세서에 대한 감사를 실시하고, 해당 조직이 개인정보 처리와 관련하여 모범 사례를 준수하고 있는지 평가할 수 있는 권한을 갖는다. 개인정보보호법 부칙 15에 따르면 ICO는 사업장 내 진입 및 감사 권한을 가지며, 사법 영장에 따라 ICO는 현장에 들어가 자료를 압수할 수 있다.
(2) 과징금
UK GDPR은 감독 당국이 최대 1,750만 파운드(약 283억 1,762만원) 혹은 그 이상의 과징금을 부과할 권한을 부여하고 있다. 870만 파운드(약 140억 7,790만원) 이하의 과징금 또는 전년도 세계 매출의 2% 중 더 높은 금액의 과징금(제83조 4항)은 ① 보안 및 개인정보 침해 통지 의무를 포함한 컨트롤러 및 프로세서의 의무 위반, ② 인증기관의 의무 위반, ③ 감시기관의 의무 위반 시 적용된다. 최대 1,750만 파운드의 과징금 또는 전년도 세계 매출의 4% 중 더 높은 금액의 과징금(제83조 5항)은 ① 동의 조건을 포함한 처리를 위한 기본 원칙 위반, ② 데이터 주체의 권리 위반, ③ 국제 이전 제한 위반, ④ 직원 데이터 처리 같은 특수한 경우에 대해 국내법에 의해 부과되는 의무 위반, ⑤ 감독 기관의 명령 위반 시 적용된다. ICO는 각각의 경우에 부과된 제재가 효과적이고 균형적인지 확인해야 한다(제83조 1항).
(3) 배상청구권
UK GDPR은 개인이 컨트롤러와 프로세서에 대해 개인배상청구를 할 수 있도록 다음과 같은 구체적인 규정을 마련하고 있다. UK GDPR 위반으로 인해 물질적 또는 비물질적 피해를 입은 자는 컨트롤러 또는 프로세서로부터 보상을 받을 권리가 있다(제82조 1항). 비물질적인 피해가 포함된 것은 개인이 금전적 손실을 증명할 수 없는 경우에도 고통에 대한 보상을 청구할 수 있다는 것을 의미한다. 데이터 주체는 소비자 보호기구에 권한을 행사하고 이들을 대신하여 청구권을 요구할 권리가 있으며(제80조), 개인도 ICO에 제소할 권리가 있다(제77조). 개인 및 컨트롤러, 프로세서를 포함한 모든 자연인과 법조인은 관련 ICO의 결정에 대해 또는 결정을 내리지 못한 경우에 법적 구제권을 갖는다(제78조). 데이터 주체는 컨트롤러 또는 프로세서에 대한 법적 구제권을 갖는다(제79조).
가. 개요
영국은 개인정보보호 일반법에 해당하는 영국 일반 개인정보보호법(UK General Data Protection Regulation, UK GDPR)과 공공 및 민간의 개인정보 처리에 대해 전반적으로 규율하는 개인정보보호법(Data Protection Act 2018)을 필두로 필요에 따라 분야별, 영역별 법률에 의해 개인정보 처리를 규율하고 있다.
[표 1] 영국의 개인정보보호 관련 주요 법률
| 적용분야 | 법률 | 소관 기관 | 비고 |
|---|---|---|---|
|
공공/민간 |
개인정보보호법 (Data Protection Act 2018) |
ICO (Information Commissioner‘s office) |
개인정보보호 기본법 |
영국 일반 개인정보보호법 (UK General Data Protection Regulation) |
ICO (Information Commissioner‘s office) |
EU 탈퇴 이후 국내법으로 전환한 영국식 GDPR |
|
공공 |
정보자유법 (Freedom of Information Act 2000) |
ICO (Information Commissioner‘s office) |
공공기관이 취급하는 정보의 공개에 대한 규정 |
환경정보규정 (Environmental Information Regulations 2004) |
ICO (Information Commissioner‘s office) |
공공기관이 취급하는 환경 관련 정보 공개에 대한 규정 |
|
정보통신 |
프라이버시 전자통신 규정 (Privacy and Electronic Communications Regulations 2003) |
ICO (Information Commissioner‘s office) |
정보통신 서비스 개인정보보호 |
|
정보보안 |
네트워크, 정보시스템 규정 (Network and Information Systems Regulations 2018) |
분야별 각 소관기관 |
네트워크, 정보시스템 보안에 대한 규정 |
|
금융 |
소비자 신용법 (Consumer Credit Act 2006) |
공정거래청 (The Office of Fair Trading) |
신용정보 분야 개인정보보호 규정 |
|
의료 |
건강기록접근법 (Access to Health Records Act 1990) |
The Family Practitioner Committee |
건강, 의료기록 등의 개인정보보호 규정 |
|
형사 |
경찰법 (Police Act 1997) |
국가범죄정보원 (National Criminal Intelligence Service) |
형사기록에 대한 개인정보보호 |
이 중 대표적인 영국 일반 개인정보보호법 및 개인정보보호법의 주요 내용은 다음과 같다. 그 외 개인정보 관련 법률은 기타 관련 법령에서 소개한다.
(1) 영국 일반 개인정보보호법(UK General Data Protection Regulation, UK GDPR)
영국의 EU 탈퇴 이후, 2018년 5월부터 적용되어온 EU 일반 개인정보보호법(EU General Data Protection Regulation, EU GDPR)을 모태로 브렉시트 상황에 맞게 일부 수정을 가한 영국식 GDPR이다. EU 탈퇴 과정에서 EU GDPR과 영국 개인정보보호법이 그대로 적용될 경우 변화한 법적 상황을 반영하지 못하게 되는 것을 이유로, 영국은 2019년 2월 개인정보보호, 프라이버시, 전자 커뮤니케이션 수정법을 제정하고 개인정보 관련 법률에 수정을 가하여 개인정보보호 법제 전반을 정비했다. 이에 UK GDPR로의 전환과 더불어 '회원국'을 '영국'으로 수정하는 등 국가법으로의 변환이 이루어졌다.
UK GDPR은 2021년 1월 1일 발효되었으며, 법 집행기관 및 정보기관을 제외한 대부분의 영국 내 개인정보 처리를 위한 핵심 원칙, 권리 및 의무를 명시하고 있다. EU 탈퇴 이전 적용되어온 EU GDPR을 기반으로 영국 환경에 맞춰 일부 변경 사항을 포함하고 있으나, 실질적으로 기존의 EU GDPR과 동일한 내용을 담고 있고, 단지 일부 조문이나 단어를 대체, 추가, 제거하는 등 최소한의 변경만을 가한 것으로, 개인정보보호법과 더불어 영국 개인정보보호 법제를 이루는 큰 축 중 하나이다.
(2) 개인정보보호법(Data Protection Act 2018, DPA)
개인정보보호법은 1984년 최초로 제정되어 1998년 1차 개정, 2018년 2차 개정이 이루어졌다. 개인정보보호법 2018은 EU GDPR을 보완하고 영국의 개인정보보호 제도와 맞추어 브렉시트 이후를 대비하였다. 또한 EU 법 집행 지침(Law Enforcement Directive, LED)을 이행하고 법 집행 기관 및 정보기관에서 처리하는 개인정보 등 GDPR의 적용 범위가 미치지 않는 영역까지 확대하여 규정하는 등 개인정보보호 규범의 포괄적 패키지를 제공한다.
2018년 5월 25일 발효되어 현재까지 주요 개인정보보호법으로 유지되고 있으나, 이후 영국의 EU 탈퇴로 인해 2019년 2월 개인정보보호, 프라이버시, 전자 커뮤니케이션 수정법에 기반하여 한 차례 더 수정을 거쳤다. 주요 수정 내용에는 기존 GDPR의 UK GDPR로의 전환 내용이 포함되어 있다. 전체적으로 UK GDPR과 같은 맥락을 유지하고 있으며, UK GDPR이 규정하지 않는 범위에 대해서는 재량에 따라 확대 규정을 허용하는 등 UK GDPR 체제를 보완하고 있다.
개인정보보호법은 총7장, 215개 조항 및 21개의 부칙으로 구성되어 있다. 제1장 서문은 법규 개요와 주요 용어를 정의하며, 제2장 일반 처리(General processing) 부분은 UK GDPR의 적용을 위한 세부 규정을 다룬 2절을 포함하고 있다. 2절의 주요 변동 내용은 제3국으로의 개인정보 이전 부분으로, 적정성 규정에 근거한 이전, 검토, 표준 데이터 보호 조항 등이 추가되었다(제17조A, B, C). 그 외 관할당국의 법 집행을 위한 개인정보 처리(제3장), 자동화된 결정 도구 등 지능형 서비스(Intelligence services)에 의한 개인정보 처리(제4장), 개인정보 감독기구 ICO의 역할(제5장), 법 집행절차(제6장), 부가 조항(제7장) 등으로 구성되어 있다.
나. 개인정보 정의
개인정보(Personal data)는 '신원이 확인되거나 식별 가능한 자연인과 관련된 모든 정보'로 정의된다(UK GDPR 제4조 및 개인정보보호법 제1장 제3조). '식별 가능한 살아있는 자연인'은 ① 이름, 식별번호, 위치 데이터 또는 온라인 식별자 등의 식별자, ② 개인의 신체적, 생리학적, 유전적, 정신적, 경제적, 문화적 또는 사회적 정체성 중 하나 이상의 정보를 직접 또는 간접적으로 식별할 수 있는 살아있는 개인을 의미한다. 또한 '데이터 주체'는 개인정보와 관련된 신원이 확인되거나 식별 가능한 살아있는 개인을 의미한다.
UK GDPR은 이러한 개인정보의 '처리'와 관련이 있다. 여기에서 ‘처리'는 매우 광범위한 의미를 지니는데, 단순한 보관, 호스팅, 참조(consultation), 삭제, 파기 등을 포함하며 개인정보에 대해 이루어지는 모든 작업을 포함한다. UK GDPR에서는 개인정보(인종, 종교, 성생활, 건강, 유전학, 생체인식 관련 정보 포함) 및 범죄와 관련된 개인정보 처리를 위해 보다 제한적인 규칙을 제공한다(제10조).
UK GDPR에 따르면, 개인정보는 '컨트롤러' 또는 '프로세서'에 의해 처리될 수 있다. 컨트롤러는 의사결정자로, '개인정보 처리에 대한 목적과 수단을 혼자 또는 다른 사람과 공동으로 결정하는 사람'으로 정의하고 있다(제83조). 프로세서는 컨트롤러의 지시에 따라 '컨트롤러 대신 개인정보를 처리'한다. 이전 법률과 대조적으로 GDPR에서는 프로세서에 부과되는 의무는 적지만 컨트롤러와 프로세서 모두에게 직접적인 의무를 부과하고 있다.
'공권력(public authority)'과 '공공기관(public body)'도 UK GDPR에서 사용되는 표현이다. 개인정보보호법은 2000년 제정된 정보자유법에 사용된 '공권력'의 정의를 참고하여 이를 정의하고 있다. 또한 개인정보보호법에서는 법 제정에 의해 처리 목적과 수단이 결정되는 경우, 해당 법 제정에 의해 데이터 처리 의무가 부과되는 사람이 컨트롤러임을 명확히 하고 있다.
다. 적용 범위
개인정보보호법의 적용 대상은 공공·민간 모두 해당된다. UK GDPR의 적용은 주로 영국에 조직이 설립되어 있는지의 여부에 달려있다. 그러나 영국에 설립된 조직이 아닐지라도 상품 또는 서비스의 제공과 관련된 활동과 관련해 영국에 있는 데이터 주체의 개인 데이터를 처리하거나, 행동에 대한 모니터링이 영국 내에서 진행될 경우에는 UK GDPR의 적용을 받게 된다.
한편, 유럽에서 영업하거나, 유럽에 있는 개인에게 상품이나 서비스를 제공하거나, 유럽에서 개인의 행동을 감시하는 경우, UK GDPR과 EU GDRP을 모두 준수해야 한다. EU GDPR은 유럽 감독당국에 의해 별도로 규제된다. 2021년 1월 1일 이전에 수집된 해외 정보(일명 legacy data)를 보유할 경우, 2020년 12월 31일까지 적용된 EU GDPR의 적용을 받는다. 단기적으로 EU GDPR과 UK GDPR 사이에 큰 변화는 없을 것으로 보인다.
라. 정보주체의 권리
(1) 정보를 제공받을 권리
UK GDPR 외에 개인정보보호법 제3장 관할당국의 법 집행을 위한 개인정보 처리 중 3절은 데이터 주체의 권리(Rights of the data subject)를 명시하고 있다. 데이터 주체에 대한 컨트롤러의 정보 제공 의무(제44조) 및 데이터 주체의 접근권(제45조)에서 정보를 제공받을 권리를 함께 언급하고 있다.
(2) 접근권
접근권은 데이터 주체가 자신이 관여된 개인정보 처리의 유무를 확인하고, 처리가 행해질 경우에는 해당 정보와 더불어 '처리 목적 및 법적 근거' 등 관련 정보를 제공받을 권리이다. UK GDPR 제15조에 따르면, 데이터 주체는 컨트롤러가 데이터를 어떻게 사용했는지에 대한 정보와 더불어 자신의 개인정보에 대한 접근을 요청하고 사본을 얻을 수 있다.
개인정보보호법에서도 접근권을 다루고 있는데, 제45조에 따르면, 데이터 주체는 컨트롤러로부터 본인과 관련된 개인정보의 처리 여부에 대한 설명 및 개인정보 처리 관련 정보를 제공받을 권리가 있다. 처리 관련 정보는 해당 정보의 처리 목적 및 법적 근거, 관련 개인정보의 범주, 개인정보의 수령인 또는 수령인 범주(제3국 또는 국제기구 포함), 개인정보 저장 기간 및 기간을 결정하는 기준 등이다. 또한 데이터 주체의 권리(정정권, 삭제권 및 커미셔너에게 불만을 제기할 수 있는 권리와 커미셔너 연락처 세부 정보 등)에 대한 정보를 제공받을 권리가 있다. 컨트롤러는 데이터 주체가 요청할 경우 지체 없이 해당 기간이 종료되기 전에 서면으로 관련 정보를 제공해야 한다.
한편, 컨트롤러는 제한된 범위 내에서 데이터 주체에 대한 정보 제공을 제약할 수 있는데, 이는 ① 공식 또는 법적 조사 및 조사 절차를 방해하지 않기 위한 목적, ② 범죄 예방, 탐지, 조사 또는 기소나 형사 처벌 집행을 방해하지 않기 위한 목적, ③ 공익의 안전 보장, ④ 국가 안전 보장, ⑤ 타인의 권리와 자유 보호 등에 해당하는 경우이다. 컨트롤러는 데이터 주체에 대한 정보 제공이 전체적 또는 부분적으로 제한될 경우, 정보 제공이 제한되었다는 사실과 제한 사유 및 데이터 주체의 권리(커미셔너에게 요청할 권리 및 제167조에 따른 법원에 신청할 수 있는 데이터 주체의 권리 포함)를 지체 없이 서면으로 데이터 주체에 알려야 한다. 제45조에 언급된 데이터 주체에 대한 컨트롤러의 의무는 제44조에 명시된 컨트롤러의 일반적 의무와 동일하다.
(3) 정정권
UK GDPR 제16조에 따르면, 데이터 주체는 부정확하거나 불완전한 개인정보를 지체 없이 수정하거나 완성할 것을 요구할 수 있다. 개인정보보호법 제46조에도 정정권에 대한 언급이 있는데, 데이터 주체가 요청할 경우 컨트롤러가 데이터 주체와 관련된 부정확한 개인정보를 지체 없이 수정해야함을 명시하고 있다. 개인정보가 불완전하여 오류가 있을 경우, 데이터 주체의 요청이 있을 시 컨트롤러는 오류를 정정해야 한다. 한편, 컨트롤러가 제46조에 따라 개인정보를 정정해야 하지만 증거를 위해 개인정보를 유지해야할 경우 컨트롤러는 개인정보를 수정하는 대신 처리를 제한해야 한다.
(4) 삭제권
UK GDPR 제17조에 따르면, 데이터 주체는 개인정보의 삭제를 요청할 수 있다. 개인정보보호법의 경우 제47조에서 삭제권을 명시하고 있다. 컨트롤러는 개인정보 처리가 제35조, 제36조 1~3항, 제37조, 제38조 1항, 제39조 1항, 제40조, 제41조, 제42조를 위반할 수 있다고 판단될 경우 개인정보를 지체 없이 삭제해야 한다. 해당 조항은 주로 ① 수집 목적의 적법성·공정성, ② 수집 목적의 한정성, ③ 목적의 타당성, ④ 정보의 정확성·최신성 확보, ⑤ 보유 권한 한정, ⑥ 정보보호 확보 등 정보 처리에 관한 보호 원칙에 저촉될 경우에 해당된다.
(5) 처리제한권
UK GDPR 제18조에 따르면, 데이터 주체는 다음의 상황에서 자신의 개인정보 처리를 제한할 권리를 갖는다. 데이터의 정확성에 문제가 있는 경우, 처리가 불법인 경우, 데이터 주체의 법적 청구를 위해 데이터가 더 이상 필요하지 않은 경우, 컨트롤러의 정당한 처리 근거가 문제가 되는 경우가 여기에 포함된다. 개인정보보호법에서는 삭제권을 언급한 제47조에서 처리제한권을 같이 언급하고 있다. 제47조에 따르면, 컨트롤러가 개인정보를 삭제해야 하지만 증거를 위해 개인정보를 유지해야 할 경우 컨트롤러는 개인정보를 삭제하는 대신 처리를 제한해야 한다. 또한 데이터 주체가 개인정보의 정확성에 이의를 제기하나 그 정확성 여부를 확인할 수 없을 경우 컨트롤러는 데이터 처리를 제한해야 한다. 아울러 데이터 주체는 컨트롤러에게 개인정보 삭제 또는 처리제한을 요청할 수 있다.
(6) 데이터 이동권
UK GDPR 제20조에 따르면, 데이터 주체가 처리에 동의하였거나 계약 이행을 위해 처리가 필요한 경우, 데이터 주체는 다른 컨트롤러에게 일반적으로 사용되는 파일 형식 등으로 개인정보를 제공하거나 전송할 권리가 있다.
(7) 이의신청권
UK GDPR 제21조에 따르면, 데이터 주체는 컨트롤러의 데이터 처리에 대한 합법성 및 공정성과 관련해 법적 근거에 따라 데이터 처리에 이의를 제기할 권리가 있다. 컨트롤러는 데이터 주체의 권리를 저해하는 처리에 대한 설득력 있는 정당한 근거를 입증할 때까지 데이터 처리를 중단해야 한다. 또한 데이터 주체는 마케팅 목적의 개인정보 처리를 거부할 권리가 있다.
(8) 프로파일링을 포함한 자동의사결정의 대상이 되지 않을 권리
UK GDPR 제22조에 따르면, 자동의사결정(프로파일링 포함)은 다음과 같은 경우에만 허용된다. 계약의 체결 및 이행에 필요한 사항, 영국 법이 승인한 경우, 정보주체가 동의한 경우가 이에 해당된다. 영국 법에 승인된 자동의사결정에 대한 추가 안전장치는 개인정보보호법의 제14조에 규정되어 있는데, 특히 7항은 국무장관이 정보주체의 권리, 자유, 정당한 이익을 보호하기 위한 적절한 조치와 관련한 추가 조항을 만들 수 있음을 언급하고 있다.
(9) 정보사회 서비스에 대한 아동의 동의
UK GDPR 제8조 제1항은 정보사회(주로 온라인) 서비스와 관련하여 스스로 처리에 동의할 수 있는 나이를 13세 이상으로 규정하고 있다. 개인정보보호법에서도 마찬가지로 이러한 목적에 대한 동의 연령을 13세로 두고 있다.
마.컨트롤러 및 프로세서의 의무
컨트롤러와 프로세서에 대한 모든 의무는 EU GDPR에서 다루었던 것처럼 UK GDPR에서도 기본적으로 동일하게 유지되고 있다.
(1) 컨트롤러의 의무
개인정보보호법 제3장 3절 제44조 컨트롤러의 일반적 의무는 제45조의 접근권과 제공 내용이 거의 동일하다(제44조는 컨트롤러 입장에서 기술, 제45조는 정보주체 입장에서 기술). 이에 따라 컨트롤러는 일반적으로 컨트롤러의 신원과 연락처 세부 정보, 해당될 경우 개인정보보호책임자 연락처, 개인정보 처리 목적과 더불어 정보주체가 컨트롤러에게 요청할 수 있는 권한의 존재(접근권, 정정권, 삭제권) 및 커미셔너에게 불만을 제기할 수 있는 권리의 존재와 커미셔너 연락처 세부 정보를 정보주체에게 제공해야 한다. 컨트롤러가 정보주체에 제공하는 사항은 데이터 처리의 법적 근거에 대한 설명, 개인정보가 저장되는 기간 및 기간 결정 기준에 대한 설명, 해당될 경우 개인정보의 수령자 범주 정보 등을 제공해야 한다. 또한 컨트롤러는 제한된 범위 내에서 정보주체에 대한 정보 제공을 제약할 수 있는데, 이는 상기에도 언급한 것처럼 ① 공식 또는 법적 조사 및 조사 절차를 방해하지 않기 위한 목적, ② 범죄 예방, 탐지, 조사 또는 기소나 형사 처벌 집행을 방해하지 않기 위한 목적, ③ 공익의 안전 보장, ④ 국가 안전 보장, ⑤ 타인의 권리와 자유 보호 등에 해당하는 경우이다. 정보주체에 대한 정보 제공이 전체적 또는 부분적으로 제한될 경우, 컨트롤러는 지체 없이 서면으로 정보주체에 이를 알려야 한다. 또한 컨트롤러는 정보주체에 대한 정보 제공을 전체적 또는 부분적으로 제한하기로 결정한 이유를 기록하고, 커미셔너가 요청할 경우 해당 기록을 이용할 수 있도록 제공해야 한다.
개인정보보호법 4절 컨트롤러와 프로세서에 명시된 컨트롤러의 의무를 보면, 컨트롤러는 개인정보 처리가 4절의 요구사항을 준수하는지 확인하고 입증할 수 있도록 적절한 기술적·조직적 조치를 구현해야 하며 이러한 조치를 검토하고 필요한 경우 업데이트해야 한다. 컨트롤러의 의무를 준수하기 위해 시행되는 조치에는 적절한 정보보호 정책이 포함되어야 한다.
이에 따라 컨트롤러는 개인정보의 모든 처리에 적용되는 일련의 핵심 원칙을 준수할 책임이 있다. 이러한 원칙에 따라 개인정보는 다음의 원칙을 따라 처리되어야 한다. ① 법에 기반하여 공정·투명하게 처리한다(합법성, 공정성 및 투명성 원칙), ② 명확하고 명시적이며 합법적인 목적으로 수집되며, 이러한 목적과 양립할 수 없는 방식으로 추가 처리되지 않는다(목적 제한 원칙), ③ 목적에 맞게 적절하게 처리하고 필요한 범위로 제한된다(정보 최소화 원칙), ④ 정확한 정보의 최신 상태를 유지한다(정확성 원칙), ⑤ 데이터가 처리되는 목적에 필요한 만큼만 데이터 주체의 식별을 허용하는 형식으로 보관한다(보관 제한 원칙), ⑥ 적절한 기술적·조직적 조치를 활용하여 개인정보의 적절한 보안을 보장하는 방식으로 처리된다(보안 유지 원칙), ⑦ 컨트롤러는 상기 원칙을 준수할 책임이 있으며 이를 입증할 수 있어야 한다(책임 원칙). 책임성은 UK GDPR의 핵심 주제이기도 하다. 조직은 UK GDPR을 준수해야 할 뿐만 아니라 개인정보 처리와 관련한 어떤 결정이 내려진지 수 년이 지난 후에도 그 준수 내용을 입증할 수 있어야 한다. 기록 보관, 감사 및 적절한 거버넌스는 책임 완수에 중요한 역할을 한다.
(2) 프로세서의 의무
한편, 프로세서의 의무와 관련하여, 컨트롤러에게 적절한 기술적·조직적 조치가 가능한 프로세서만 이용할 수 있다고 규정하고 있으며, 4절의 요구사항 충족과 정보주체의 권리 보호 등을 언급하고 있다. 프로세서의 처리는 컨트롤러와 프로세서 사이의 서면 계약에 의해 통제되어야 하며, 계약서에는 컨트롤러의 지시에 의해서만 개인정보 처리가 가능하다는 점과 개인정보의 제3자 제공 제한, 비밀 유지 의무, 서비스 종료 시 개인정보 삭제 및 반환 의무 등이 명시되어 있다. 또한, 프로세서는 컨트롤러의 사전 서면 승인 없이 다른 프로세서와 계약을 체결할 수 없으며, 다른 프로세서의 추가 또는 교체와 관련해 변경사항이 발생할 경우 컨트롤러에 알리고, 변경사항에 대해 컨트롤러가 반대할 수 있는 기회를 제공해야 한다. 아울러 적절한 기술적, 조직적 조치를 통해 컨트롤러의 의무 이행을 지원해야 한다.
(3) 컨트롤러 수수료 부과 제도
영국은 개인정보보호 수수료(Data Protection Fee)로 알려진 개인정보보호 (요금 및 정보) 규정 2018(Data Protection (Charges and Information) Regulations 2018)에 따라 컨트롤러에게 수수료 부과 제도를 운영하고 있다. 모든 컨트롤러는 개인정보보호 수수료를 면제받지 않는 한 매년 ICO에 이를 지불해야 한다.
영국 정부는 개인정보를 처리하는 컨트롤러가 야기할 수 있는 위험에 대한 인식을 기반으로 수수료 체계를 설정했다. 부과 금액은 직원 수와 연간 이직률 외에 컨트롤러의 형태(공공기관, 자선단체, 또는 소액 직업 연금 제도 가입 여부)에 따라 달라진다. 모든 컨트롤러가 수수료를 지불해야 하는 것은 아니며 면제 혜택이 있다. 대기업의 최대 수수료는 2,900 파운드(약 469만원)이다. 수수료를 지불하지 않거나 정확한 수수료를 지불하지 않는 등 법을 어긴 컨트롤러에 대한 최대 과징금은 4,350 파운드(약 704만원)이다.
(3) 컨트롤러 수수료 부과 제도
영국은 데이터 보호 수수료(Data Protection Fee)로 알려진 데이터 보호(요금 및 정보) 규정 2018(Data Protection (Charges and Information) Regulations 2018)에 따라 컨트롤러에게 수수료 부과 제도를 운영하고 있다. 모든 컨트롤러는 데이터 보호 수수료를 면제받지 않는 한 매년 ICO에 이를 지불해야 한다.
영국 정부는 개인정보를 처리하는 컨트롤러가 야기할 수 있는 위험에 대한 인식을 기반으로 수수료 체계를 설정했다. 부과 금액은 직원 수와 연간 이직률 외에 컨트롤러의 형태(공공기관, 자선단체, 또는 소액 직업 연금 제도 가입 여부)에 따라 달라진다. 모든 컨트롤러가 수수료를 지불해야 하는 것은 아니며 면제 혜택이 있다. 대기업의 최대 수수료는 2,900 파운드(약 469만원)이다. 수수료를 지불하지 않거나 정확한 수수료를 지불하지 않는 등 법을 어긴 컨트롤러에 대한 최대 과징금은 4,350 파운드(약 704만원)이다.
(4) DPO(Data Protection Officer) 지정
UK GDPR에 따라 컨트롤러 또는 프로세서는 ① 정부 또는 공공기관에 해당할 경우, ② 주 활동이 성격, 범위, 목적상 대규모 정보주체에 대한 정기적이고 체계적인 감시가 필요한 처리 작업으로 구성될 경우, ③ 주 활동이 개인정보를 대규모로 처리하는 것일 경우 중 하나 이상을 충족하는 경우 개인정보보호책임자(Data Protection Officer, DPO)를 임명해야 한다. 각 기관에서 개인정보보호책임자에 대한 원활한 접근이 가능할 경우 법적 책임을 가진 단일 개인정보보호 책임자를 임명할 수 있다. 이는 대규모 조직의 경우 단일 개인정보보호 책임자로 운영하는 것이 현실적으로 어려울 수도 있음을 시사한다.
개인정보보호책임자는 자신의 역할을 서비스 제공업체에 아웃소싱할 수 있으나, 개인정보보호 관련 법률 및 관행에 대한 '전문 지식'을 보유해야 한다(제37조 5항, 6항). UK GDPR에 명시된 개인정보보호책임자의 주요 업무는 다음과 같다(제39조). 개인정보보호책임자는 UK GDPR 및 기타 영국 개인정보보호법의 준수를 공고하고 조언하며, 책임 이행, 인식 제고, 인력 양성을 포함한 조직의 내부 정책 및 법률 준수 여부를 감시한다. 이와 더불어 개인정보 처리 관련 문제 등에 대해 커미셔너와 협력 및 협의한다. 컨트롤러와 프로세서는 개인정보보호책임자가 개인정보보호와 관련된 모든 문제에 시의적절하게 대응하도록 보장해야 한다.
개인정보보호법 제3장 4절 컨트롤러와 프로세서 중 제69조~제71조에서도 정보보호책임자의 정의와 업무를 명시하고 있다. 컨트롤러가 법원이나 기타 사법기관이 아닌 한 정보보호책임자를 지정해야 하며, 지정 시 전문적 자질과 능력이 중요하다. 조직 구조와 규모를 고려하여 다수의 컨트롤러가 동일인을 정보보호책임자로 지정할 수 있으며, 컨트롤러는 정보보호책임자의 연락처 정보를 공개하고 이를 커미셔너에게 전달한다. 제71조에는 정보보호책임자의 업무가 규정되어 있는데, 컨트롤러 조직 내에서의 활동과 더불어 감독기관인 ICO와의 협력을 중시하고 있다.
바. 개인정보 역외 이전
컨트롤러 또는 프로세서가 영국 이외의 제3국으로 개인정보를 이전하는 것은 UK GDPR에 명시된 조건이 충족되는 경우에만 허용된다(UK GDPR 제44조). 개인정보보호법에서도 제3장 5절에서 개인정보 역외 이전(Transfers of personal data to third countries etc)을 명시하고 있다.
영국 정부는 UK GDPR에 따라 제3국에 대해 적정성 결정을 내릴 권한이 있다(제45조). 이 권한은 EU GDPR에 따라 EC에 부여된 권한과 동등하며, 제3국이 적정 수준의 정보보호를 제공할 시 개인정보가 제3국으로 자유롭게 전송될 수 있다는 결정을 내리는 것을 포함한다(제45조 1항). 현재 영국이 적정성 결정을 내린 국가는 안도라, 아르헨티나, 캐나다(일부 예외), 스위스, 패로 제도, 건지, 이스라엘, 맨섬, 저지, 우루과이, 뉴질랜드이다. 아울러 EU 및 EEA(European Economic Area) 회원국 또한 개인정보 역외 이전이 가능한 지역이다. 영국은 적정성과 관련한 모든 결정을 2024년 말까지 재평가할 계획이다.
컨트롤러나 프로세서에 의해 적절한 안전장치가 제공될 경우, 또한 데이터 주체에 대한 적절한 데이터 주체 권리 적용 및 법적 구제책을 이용할 수 있는 경우 제3국으로의 이전도 허용된다(제46조). 적절한 안전장치 목록에는 구속력 있는 기업 규칙과 데이터 주체 및 개인정보에 대한 동등한 수준의 보호를 보장하기 위한 추가 안전장치가 포함된 표준 계약 조항이 포함된다.
개인정보보호법의 부칙 21에서, UK GDPR에 따른 개인정보 이전 시 EU 집행위원회가 승인한 표준 계약 조항은 영국 정부가 제정하는 조항으로 대체될 때까지 유효하다고 규정하고 있다. UK GDPR 제49조에는 다음과 같은 경우에 제3국으로의 이전을 허용하는 상황별 평가 목록도 포함되어 있다. ① 명시적인 사전 동의를 얻었을 경우, ② 계약의 이행 또는 사전 계약 조항의 이행을 위해 이전이 필요할 경우, ③ 컨트롤러와 다른 자연인 또는 법률가 사이에 정보주체의 이익으로 체결된 계약의 이행을 위해 이전이 필요할 경우, ④ 공공의 이익을 위한 중요한 이유로 이전이 필요할 경우, ⑤ 법적 청구의 설정, 행사 또는 방어를 위해 이전이 필요할 경우, ⑥ 동의를 얻을 수 없는 상황에서 정보주체의 중요한 이익을 보호하기 위해 이전이 필요할 경우가 이에 해당된다.
영국 이외의 국가의 법원, 재판소 또는 행정당국에 의해 요구되는 이전(제48조) 요청은 제3국과 영국 사이에 발효 중인 국제사법공조(Mutual Legal Assistance Treaty) 같은 국제 협약에 근거하는 경우에만 인정되거나 시행 가능하다. 이전에 대한 다른 법적 근거가 없는데 이전 요청에 응할 경우 UK GDPR을 침해하는 것이 된다.
한편, 영국의 EU 탈퇴로 이제 영국은 EU GDPR 제5장의 목적상 제3국에 해당된다. 이에 2020년 12월 24일 EU와 영국이 체결한 무역협력협정(TCA: Trade and Cooperation Agreement)은 개인정보에 관한 향후 관계를 포함한 내용을 명시하고 있다. 이에 따르면, 2021년 1월 1일부터 최대 6개월 동안 개인정보를 EU에서 영국으로 이전하는 것을 합법화하고 있다. 무역협력협정과 함께 발표된 EU-영국 공동선언(EU-UK Joint Declaration)에서는 빠른 시일 내에 영국에 유리한 적정성 결정을 내리겠다는 EU의 약속이 포함되었다. 이후 2021년 6월 21일 영국에 대한 적정성 결정이 내려짐에 따라, EU에서 영국으로 개인정보 이전이 허가되고, EU 법에서 보장된 것과 동등한 수준의 보호 혜택을 받을 수 있게 되었다. 적정성 기간은 4년으로 제한하여 향후를 대비한 안전장치를 마련해두고 있다.
사. 집행
(1) 조사 및 시정 권한
UK GDPR은 개인정보 침해와 관련해 컨트롤러가 ICO 및 침해로 인해 영향을 받는 정보주체에 통지해야 하는 일반적인 요건을 제시하고 있다. '개인정보 침해'는 광범위한 개념으로, '사고 또는 불법적인 파괴, 분실, 변경, 무단 공개, 전송, 저장 또는 기타 처리된 개인정보 접근으로 이어지는 보안 위반'으로 정의된다(제4조). 컨트롤러는 ICO에 지체 없이 위반 사실을 통보해야 하며, 개인정보 위반이 개인에게 높은 위험을 초래할 가능성이 있는 경우 컨트롤러는 영향을 받는 정보주체에게도 지체 없이 통지해야 한다(제34조). 프로세서에서 위반사항이 발생할 경우 위반 사실을 알게 된 즉시 컨트롤러에게 통보해야 한다(제33조 2항).
ICO에 대한 통지는 가능한 경우 관련 개인과 기록의 범주, 조직의 개인정보보호책임자 또는 기타 담당자 이름, 위반 결과, 피해를 완화하기 위해 취한 조치 등을 포함해야 한다(제33조). 또한 컨트롤러는 모든 데이터 위반에 대한 기록(제33조 5항)을 보관하고, 해당 기록에 대한 ICO의 감사를 허용해야 한다. 영국 내 위반은 ICO의 전용 위반 헬프라인(0303 123 1113)에 보고할 수 있다. 서면 통지를 선호하는 경우 서식을 다운로드하여 이메일로 보낼 수 있다.
ICO는 현장 감사를 수행할 권한, 교정 조치 수행에 대한 공개 경고, 질책 및 명령 권한을 포함하여 광범위한 조사 및 시정 권한(제58조)을 갖는다. 개인정보보호법은 UK GDPR 제58조에 따라 ICO의 구체적인 시행 권한을 규정하고 있는데 ① 컨트롤러 또는 프로세서는 ICO에 정보를 제공해야 하고, ② ICO가 법 준수 관련 평가를 수행할 수 있도록 허용해야 한다는 점과, ③ ICO는 컨트롤러 또는 프로세서가 특정 조치를 취하거나 자제할 것을 요구할 수 있으며, ④ 과징금을 부과할 수 있음을 명시하고 있다. 이에 ICO는 컨트롤러 또는 프로세서에 대한 감사를 실시하고, 해당 조직이 개인정보 처리와 관련하여 모범 사례를 준수하고 있는지 평가할 수 있는 권한을 갖는다. 개인정보보호법 부칙 15에 따르면 ICO는 사업장 내 진입 및 감사 권한을 가지며, 사법 영장에 따라 ICO는 현장에 들어가 자료를 압수할 수 있다.
(2) 과징금
UK GDPR은 감독 당국이 최대 1,750만 파운드(약 283억 1,762만원) 혹은 그 이상의 과징금을 부과할 권한을 부여하고 있다. 870만 파운드(약 140억 7,790만원) 이하의 과징금 또는 전년도 세계 매출의 2% 중 더 높은 금액의 과징금(제83조 4항)은 ① 보안 및 개인정보 침해 통지 의무를 포함한 컨트롤러 및 프로세서의 의무 위반, ② 인증기관의 의무 위반, ③ 감시기관의 의무 위반 시 적용된다. 최대 1,750만 파운드의 과징금 또는 전년도 세계 매출의 4% 중 더 높은 금액의 과징금(제83조 5항)은 ① 동의 조건을 포함한 처리를 위한 기본 원칙 위반, ② 데이터 주체의 권리 위반, ③ 국제 이전 제한 위반, ④ 직원 데이터 처리 같은 특수한 경우에 대해 국내법에 의해 부과되는 의무 위반, ⑤ 감독 기관의 명령 위반 시 적용된다. ICO는 각각의 경우에 부과된 제재가 효과적이고 균형적인지 확인해야 한다(제83조 1항).
(3) 배상청구권
UK GDPR은 개인이 컨트롤러와 프로세서에 대해 개인배상청구를 할 수 있도록 다음과 같은 구체적인 규정을 마련하고 있다. UK GDPR 위반으로 인해 물질적 또는 비물질적 피해를 입은 자는 컨트롤러 또는 프로세서로부터 보상을 받을 권리가 있다(제82조 1항). 비물질적인 피해가 포함된 것은 개인이 금전적 손실을 증명할 수 없는 경우에도 고통에 대한 보상을 청구할 수 있다는 것을 의미한다. 데이터 주체는 소비자 보호기구에 권한을 행사하고 이들을 대신하여 청구권을 요구할 권리가 있으며(제80조), 개인도 ICO에 제소할 권리가 있다(제77조). 개인 및 컨트롤러, 프로세서를 포함한 모든 자연인과 법조인은 관련 ICO의 결정에 대해 또는 결정을 내리지 못한 경우에 법적 구제권을 갖는다(제78조). 데이터 주체는 컨트롤러 또는 프로세서에 대한 법적 구제권을 갖는다(제79조).
4기타 관련 법령
영국은 UK GDPR 및 개인정보보호법 외에 필요에 따라 분야별, 영역별 법률에 의해 개인정보 처리를 규율하고 있다. 먼저, 국민의 알권리를 보장하기 위해 공공기관에서 처리하는 정보에 대한 접근권을 규정하는 정보자유법(Freedom of Information Act 2000), 정보통신 분야의 개인정보 보호를 위한 프라이버시 및 전자통신 규정(Privacy and Electronic Communications Regulations 2003), 환경정보 규정(Environmental Information Regulations 2004) 등이 대표적이며, 2018년에는 정보보안에 대한 네트워크 정보 시스템 규정(Network and Information Systems Regulations 2018)이 제정되었다. 그 밖에 분야별로 신용정보 분야의 개인정보보호를 규정하는 소비자 신용법(Consumer Credit Act 2006), 의료·보건 분야의 건강기록에 대한 열람권을 규정하는 건강기록접근법(Access to Health Records Act 1990), 형사기록 상의 개인정보보호를 다루는 경찰법(Police Act 1997) 등의 적용을 받고 있다.
가. 정보자유법(Freedom of Information Act 2000, FOIA)
정보자유법은 국가 정책의 투명성과 국민의 알권리를 보장하기 위해 제정된 것으로 영국의 경우 비밀주의적 문화 영향 등으로 다른 선진국에 비해 비교적 늦은 2000년에 입법화되었으며, 실제 시행된 것은 2005년부터이다. 정보자유법은 공공기관이 보유하고 있는 정보에 대해 국민이 접근할 수 있는 권리를 명시하고 있다. 이에 따라 공공기관은 수행 활동에 대한 정보를 공개해야 하고, 일반 대중은 공공기관에 정보를 요청할 권리를 가진다.
해당 기관은 국민의 공개 청구에 의한 공개뿐만 아니라 정책, 절차, 회의록, 연차보고서 등과 같은 일상 업무에 관한 정보를 홈페이지 등에 게시하여야 한다. 별도의 법규를 제정한 스코틀랜드를 제외한 영국의 모든 지역의 공공기관이 보유한 정보에 적용되며, 공공기관은 정부기관, 지방 관청, 공공 의료기관과 주립 학교 및 경찰 등을 의미한다. 그러나 반드시 공공자금을 받는 모든 기관에 한해 적용되는 것은 아니라서 보조금을 받는 자선단체나 공적 기능을 수행하는 민간기업 등은 이에 해당되지 않으며, 사법 기능을 가진 기관이나 치과, 건강요양원, 일부 방송국 등은 공공업무와 관련된 일부 정보에 한하여 정보 공개 의무가 있다. 정보자유법의 부속서를 통해 적용 대상 기관의 명칭 또는 유형을 명시하고 있으며, 법 제5조에서 국무장관 또는 국무조정실장이 추가적으로 지정할 수 있도록 명시하고 있다. 공개 대상 정보는 인쇄된 문서, 컴퓨터 파일, 편지, 이메일, 사진 및 소리, 영상 등이 포함되지만 정보 공개를 청구하는 주체의 개인정보는 제외된다.
나. 프라이버시 전자통신 규정(Privacy and Electronic Communications Regulation 2003, PECR)
프라이버시 전자통신 규정은 EU의 개인정보 및 전자통신 지침(Privacy and Electronic Communications Directive 2002, e-Privacy Directive)에 따라 2003년 제정된 규범으로 UK GDPR을 보완하여 전자통신에 대한 구체적인 프라이버시 권리를 규정한다. 따라서 전자적 수단을 통한 마케팅이나 쿠키 등 이용 정보를 추적하는 경우, 공공 전자통신 서비스의 보안 영역이나 통신 네트워크나 서비스를 이용하는 이용자의 프라이버시에 대해 규율한다.
경우에 따라서 공공 전자통신 네트워크나 서비스 제공자가 아니라도 전화, 이메일, 문자 또는 팩스를 통해 마케팅을 하거나 운영하는 웹사이트에서 쿠키를 사용하는 경우 또는 전화번호부를 만드는 등의 경우에도 본 규정을 준수해야 한다. 반드시 개인정보를 처리하지 않아도, 개인뿐만 아니라 회사를 보호하기 위한 규정도 다수 있으며, 식별되지 않은 개인에 대한 연락을 하는 경우에도 적용된다.
프라이버시 전자통신 규정은 2003년 제정 이후 2018년까지 총5회의 개정 작업을 거쳤는데 최근 개정 내용으로는 긴급 경고 문자 허용 및 마케팅 규정의 중대한 위반에 대한 제재 강화(2015년), 마케팅 전화에 대한 발신자 번호 표시 의무화(2016년), 그리고 연금 등 기타 소비자 금융 서비스 등에 대한 청구 관리 서비스(claims management services)에 콜드 콜링(cold-calling, 임의의 수신자에게 전화하는 것) 금지(2018년) 등 마케팅을 위한 연락에 대한 기준을 강화하였다.
다. 네트워크, 정보시스템 규정(Network and Information Systems Regulations 2018, NIS Regulations)
사이버 공격으로부터 중요 국가 시설과 핵심 서비스를 보호할 목적으로 EU 회원국 간 공동 대응 및 협력을 도모하기 위해 2016년 EU는 네트워크 정보시스템 지침 2016(The Network Information Systems Directive 2016, NISD)을 제정하였고, 영국 정부는 이를 이행하기 위해 NIS 규정을 마련하여 2018년 5월 10일부터 시행하고 있다. NIS 규정은 중요 시설을 운영하거나 디지털 서비스를 제공하는 공공기관 및 민간 기업에 적용되며 최신 보안 요구 사항에 대한 기준을 제시한다. 비슷한 시기에 시행된 EU GDPR과 중첩되는 부분에 대해 정합성을 맞추었다. 개인정보보호에 대해서는 GDPR에 따라, 네트워크와 정보시스템 보안에 대해서는 NIS 규정에 따라 규율하지만, 개인정보와 네트워크 보안을 동시에 침해하는 사고가 발생하는 경우에는 법적용에 있어 이중 규제 위험(double jeopardy)이 발생할 수 있다. 또한 이 규정이 사이버보안 증진에 중점이 있기는 하나 사이버가 아닌 원인(자연재해, 정전 등)에 의한 침해사고도 포함하므로 이 규정을 사이버 보안법이라고 구분하지 않는다.
[표 2] NIS 규정 적용 대상
[표 4] NIS 규정 적용 대상
중요 서비스 운영자
(OES, operators of essential services)
경제 사회에 중요한 영향을 끼치는 사회기반시설(수도, 교통, 에너지)과 그밖에 건강, 디지털기반시설 등과 같은 다른 중요한 서비스를 운영하는 자
디지털 서비스 제공자
(DSPs, Digital service providers)
특정 형태의 디지털 서비스(온라인 검색 엔진, 온라인시장, 클라우드 컴퓨팅 서비스)를 제공하는 자로, 본사가 영국에 위치(또는 영국 대표자를 임명)한 경우 내 위치한 경우. 단 소규모 사업자는 제외
디지털문화미디어스포츠부(Department for Digital, Culture, Media and Sport, DCMS)에서 NIS 규정 이행에 대한 감독 등 컨트롤 타워 역할을 하며, 실질적인 법 집행은 각 분야별 정부부처 또는 소관기관이 수행한다. 예를 들어, 건강의료 분야는 보건복지부장관(Secretary of State for Health), 통신 분야는 통신위원회(Ofcom)가 관할하며, 디지털 서비스 제공자의 경우 개인정보보호 감독기관인 ICO(Information Commissioner’s Office)가 관할한다.
라. 건강기록접근법(Access to Health Records Act 1990, AHRA)
건강기록에 접근하는 권리를 규정하기 위하여 1990년 제정된 법률이다. 동법에 따라 개인은 해당 개인을 치료한 의료기관이 보유한 의료기록에 접근하거나 개인의 전담의(General Practitioner, GP)가 작성한 요약 관리기록(Summary Care Record, SCR)에 접근할 권리를 가진다.
영국은 UK GDPR 및 개인정보보호법 외에 필요에 따라 분야별, 영역별 법률에 의해 개인정보 처리를 규율하고 있다. 먼저, 국민의 알권리를 보장하기 위해 공공기관에서 처리하는 정보에 대한 접근권을 규정하는 정보자유법(Freedom of Information Act 2000), 정보통신 분야의 개인정보 보호를 위한 프라이버시 및 전자통신 규정(Privacy and Electronic Communications Regulations 2003), 환경정보 규정(Environmental Information Regulations 2004) 등이 대표적이며, 2018년에는 정보보안에 대한 네트워크 정보 시스템 규정(Network and Information Systems Regulations 2018)이 제정되었다. 그 밖에 분야별로 신용정보 분야의 개인정보보호를 규정하는 소비자 신용법(Consumer Credit Act 2006), 의료·보건 분야의 건강기록에 대한 열람권을 규정하는 건강기록접근법(Access to Health Records Act 1990), 형사기록 상의 개인정보보호를 다루는 경찰법(Police Act 1997) 등의 적용을 받고 있다.
가. 정보자유법(Freedom of Information Act 2000, FOIA)
정보자유법은 국가 정책의 투명성과 국민의 알권리를 보장하기 위해 제정된 것으로 영국의 경우 비밀주의적 문화 영향 등으로 다른 선진국에 비해 비교적 늦은 2000년에 입법화되었으며, 실제 시행된 것은 2005년부터이다. 정보자유법은 공공기관이 보유하고 있는 정보에 대해 국민이 접근할 수 있는 권리를 명시하고 있다. 이에 따라 공공기관은 수행 활동에 대한 정보를 공개해야 하고, 일반 대중은 공공기관에 정보를 요청할 권리를 가진다.
해당 기관은 국민의 공개 청구에 의한 공개뿐만 아니라 정책, 절차, 회의록, 연차보고서 등과 같은 일상 업무에 관한 정보를 홈페이지 등에 게시하여야 한다. 별도의 법규를 제정한 스코틀랜드를 제외한 영국의 모든 지역의 공공기관이 보유한 정보에 적용되며, 공공기관은 정부기관, 지방 관청, 공공 의료기관과 주립 학교 및 경찰 등을 의미한다. 그러나 반드시 공공자금을 받는 모든 기관에 한해 적용되는 것은 아니라서 보조금을 받는 자선단체나 공적 기능을 수행하는 민간기업 등은 이에 해당되지 않으며, 사법 기능을 가진 기관이나 치과, 건강요양원, 일부 방송국 등은 공공업무와 관련된 일부 정보에 한하여 정보 공개 의무가 있다. 정보자유법의 부속서를 통해 적용 대상 기관의 명칭 또는 유형을 명시하고 있으며, 법 제5조에서 국무장관 또는 국무조정실장이 추가적으로 지정할 수 있도록 명시하고 있다. 공개 대상 정보는 인쇄된 문서, 컴퓨터 파일, 편지, 이메일, 사진 및 소리, 영상 등이 포함되지만 정보 공개를 청구하는 주체의 개인정보는 제외된다.
나. 프라이버시 전자통신 규정(Privacy and Electronic Communications Regulation 2003, PECR)
프라이버시 전자통신 규정은 EU의 개인정보 및 전자통신 지침(Privacy and Electronic Communications Directive 2002, e-Privacy Directive)에 따라 2003년 제정된 규범으로 UK GDPR을 보완하여 전자통신에 대한 구체적인 프라이버시 권리를 규정한다. 따라서 전자적 수단을 통한 마케팅이나 쿠키 등 이용 정보를 추적하는 경우, 공공 전자통신 서비스의 보안 영역이나 통신 네트워크나 서비스를 이용하는 이용자의 프라이버시에 대해 규율한다.
경우에 따라서 공공 전자통신 네트워크나 서비스 제공자가 아니라도 전화, 이메일, 문자 또는 팩스를 통해 마케팅을 하거나 운영하는 웹사이트에서 쿠키를 사용하는 경우 또는 전화번호부를 만드는 등의 경우에도 본 규정을 준수해야 한다. 반드시 개인정보를 처리하지 않아도, 개인뿐만 아니라 회사를 보호하기 위한 규정도 다수 있으며, 식별되지 않은 개인에 대한 연락을 하는 경우에도 적용된다.
프라이버시 전자통신 규정은 2003년 제정 이후 2018년까지 총5회의 개정 작업을 거쳤는데 최근 개정 내용으로는 긴급 경고 문자 허용 및 마케팅 규정의 중대한 위반에 대한 제재 강화(2015년), 마케팅 전화에 대한 발신자 번호 표시 의무화(2016년), 그리고 연금 등 기타 소비자 금융 서비스 등에 대한 청구 관리 서비스(claims management services)에 콜드 콜링(cold-calling, 임의의 수신자에게 전화하는 것) 금지(2018년) 등 마케팅을 위한 연락에 대한 기준을 강화하였다.
다. 네트워크, 정보시스템 규정(Network and Information Systems Regulations 2018, NIS Regulations)
사이버 공격으로부터 중요 국가 시설과 핵심 서비스를 보호할 목적으로 EU 회원국 간 공동 대응 및 협력을 도모하기 위해 2016년 EU는 네트워크 정보시스템 지침 2016(The Network Information Systems Directive 2016, NISD)을 제정하였고, 영국 정부는 이를 이행하기 위해 NIS 규정을 마련하여 2018년 5월 10일부터 시행하고 있다. NIS 규정은 중요 시설을 운영하거나 디지털 서비스를 제공하는 공공기관 및 민간 기업에 적용되며 최신 보안 요구 사항에 대한 기준을 제시한다. 비슷한 시기에 시행된 EU GDPR과 중첩되는 부분에 대해 정합성을 맞추었다. 개인정보보호에 대해서는 GDPR에 따라, 네트워크와 정보시스템 보안에 대해서는 NIS 규정에 따라 규율하지만, 개인정보와 네트워크 보안을 동시에 침해하는 사고가 발생하는 경우에는 법적용에 있어 이중 규제 위험(double jeopardy)이 발생할 수 있다. 또한 이 규정이 사이버보안 증진에 중점이 있기는 하나 사이버가 아닌 원인(자연재해, 정전 등)에 의한 침해사고도 포함하므로 이 규정을 사이버 보안법이라고 구분하지 않는다.
[표 2] NIS 규정 적용 대상
|
중요 서비스 운영자 (OES, operators of essential services) |
경제 사회에 중요한 영향을 끼치는 사회기반시설(수도, 교통, 에너지)과 그밖에 건강, 디지털기반시설 등과 같은 다른 중요한 서비스를 운영하는 자 |
|---|---|
|
디지털 서비스 제공자 (DSPs, Digital service providers) |
특정 형태의 디지털 서비스(온라인 검색 엔진, 온라인시장, 클라우드 컴퓨팅 서비스)를 제공하는 자로, 본사가 영국에 위치(또는 영국 대표자를 임명)한 경우 내 위치한 경우. 단 소규모 사업자는 제외 |
디지털문화미디어스포츠부(Department for Digital, Culture, Media and Sport, DCMS)에서 NIS 규정 이행에 대한 감독 등 컨트롤 타워 역할을 하며, 실질적인 법 집행은 각 분야별 정부부처 또는 소관기관이 수행한다. 예를 들어, 건강의료 분야는 보건복지부장관(Secretary of State for Health), 통신 분야는 통신위원회(Ofcom)가 관할하며, 디지털 서비스 제공자의 경우 개인정보보호 감독기관인 ICO(Information Commissioner’s Office)가 관할한다.
라. 건강기록접근법(Access to Health Records Act 1990, AHRA)
건강기록에 접근하는 권리를 규정하기 위하여 1990년 제정된 법률이다. 동법에 따라 개인은 해당 개인을 치료한 의료기관이 보유한 의료기록에 접근하거나 개인의 전담의(General Practitioner, GP)가 작성한 요약 관리기록(Summary Care Record, SCR)에 접근할 권리를 가진다.
