국가정보_영국

  •  미국
  •  독일
  •  싱가포르

법률체계

1개요

영국은 오랜 과거부터 표현의 자유를 중요한 기본권 중 하나로 인식하여 왔다. 이를 근거로 강력한 지위를 누려왔던 언론, 미디어의 프라이버시 보호에 대한 저항과 영국의 법적 전통인 의회 주권(parliamentary sovereignty) 원칙으로 활발한 법제정 기반 미비 등의 배경으로 프라이버시권에 대한 명문법적 보호가 늦어졌다. 그럼에도 영국의 과거 많은 판례들은 프라이버시권의 중요성과 여러 법적 수단을 통해 프라이버시 침해로부터 보호하고자 하는 노력들을 해왔음을 보여주고 있으며, 이후 1998년 제정된 인권법(Human right Act)의 프라이버시 및 가정 생활을 존중받을 권리(제8조)를 통해 프라이버시권이 보장되었다.

프라이버시권과 중첩되거나 직접적인 관계가 있는 개인정보보호도 이러한 프라이버시권 또는 인권 보호의 맥락에서 규율되어 왔으나, 1970년대부터 컴퓨터 사용이 점차 증가함에 따라 컴퓨터에 의한 개인정보 처리에 대한 규율의 필요성이 제기되었다. 영국의 개인정보보호 관련 입법은 1980년 OECD 프라이버시 가이드라인 채택과 1981년 유럽평의회에서 채택한 개인정보 처리에 대한 협약(CoE 108)의 영향을 받아 진행되었다. 이후 영국은 1984년 정보보호법(Data Protection Act)을 제정하였다. 초기 정보보호법은 공공 또는 민간기관이 컴퓨터를 통해 개인정보를 처리하는 경우 관할 기관인 정보보호등록부(Data Protection Registrar)에 등록하도록 규정하였으나, 정보주체의 권리 등에 대한 규정은 다소 미미했다.

이후 EU에서 개인정보보호 지침(Data Protection Directive 95)이 제정되어 각 회원국이 해당 지침을 반영한 개인정보보호 법제를 마련해야함에 따라 영국은 정보보호법(Data Protection Act 1998)을 새롭게 제정하여 오늘날 개인정보 보호법의 기반을 마련하였다. 정보보호법은 민간․공공부문을 아우르는 일반법으로 1984년의 정보보호법보다 개인정보의 범위를 확장하여, 자동처리되는 개인정보뿐만 아니라 체계적 파일 시스템의 일부로서의 정보까지 포함하여 수기 데이터도 법 적용 대상이 되었다. 또한 8개의 정보보호 원칙, ① 공정하고 적법한 처리(Fairly and lawfully process), ② 제한된 목적 내 취급(Processed for limited purposes), ③ 목적 적합성(Adequate, relevant and not excessive), ④ 정확성, 최신성(Accurate and up to date), ⑤ 보유기간 제한(Not kept for longer than is necessary), ⑥ 정보주체의 권리(Processed in line with your rights), ⑦ 안전성 확보(Secure), ⑧ 제3국으로의 정보 이전 제한(Not transferred to other countries without adequate protection)을 규정하여 정보주체의 권리와 개인정보 처리자의 책임과 의무를 명시적으로 규정하였다.

최근 정보보호법의 근간인 EU 개인정보보호 지침이 폐지되고 2018년 5월 25일부터 이를 대체하는 일반 개인정보 보호법(GDPR, General Data Protection Regulation)이 시행됨에 따라, 영국은 이에 발맞춰 GDPR을 수용하고 자국에 맞게 보완한 정보보호법 (Data Protection Act 2018)을 제정하여 시행하고 있다. 개인정보보호 기본법인 정보보호법 이외에 정보통신, 금융, 의료 등 소관 분야별 또는 공공기관에서 처리되는 정보의 공개 등 영역별 개인정보와 관련하여 규율하는 법률이 다수 제정되었다.

2개인정보보호 관련 주요 법률

영국은 공공 및 민간의 개인정보 처리에 대해 전반적으로 규율하는 정보보호법 이외에도 분야별, 영역별 법률에 의해 개인정보 처리를 규율하고 있다. 먼저, 정보통신 분야의 개인정보 보호를 위한 프라이버시 및 전자통신 규정(Privacy and Electronic Communications Regulations 2003), 국민의 알권리를 보장하기 위해 공공기관에서 처리하는 정보에 대한 접근권을 규정하는 정보자유법(Freedom of Information Act 2000, 환경정보규정(Environmental Information Regulations 2004) 등이 대표적이며, 최근에는 정보 보안에 대한 네트워크 정보 시스템 규정(Network and Information Systems Regulations 2018)이 제정되었다. 그 밖에 분야별로 신용정보 분야는 소비자 신용법(Consumer Credit Act 2006), 의료, 건강관련 분야는 건강기록에 대한 접근법(Access to Health Records Act 1990), 형사기록 상의 개인정보보호는 Police act 1997의 적용을 받고 있다.

[표 1] 영국의 개인정보보호 관련 주요 법률

영국의 개인정보보호 관련 주요 법률
적용분야 법률 소관 기관 비고

공공/민간

정보보호법

(Data Protection Act 2018)

정보위원회

(Information Commissioner‘s office)

개인정보보호 기본법

공공

정보자유법

(Freedom of Information Act 2000)

정보위원회

(Information Commissioner‘s office)

공공기관이 취급하는 정보의 공개에 대한 규정

환경정보규정

(Environmental Information Regulations 2004)

정보위원회

(Information Commissioner‘s office)

공공기관이 취급하는 환경 관련 정보 공개에 대한 규정

정보

통신

프라이버시 전자통신 규정

(Privacy and Electronic

Communications Regulations 2003)

정보위원회

(Information Commissioner‘s office)

정보 통신 서비스 개인정보보호

정보

보안

네트워크, 정보시스템 규정

(Network and Information Systems Regulations 2018)

분야별 각 소관기관

네트워크, 정보시스템 보안에 대한 규정

금융

소비자신용법

(Consumer Credit Act 2006)

공정거래청

(The Office of Fair Trading)

신용정보 분야 개인정보보호 규정

의료

건강기록접근법

(Access to Health Records Act 1990)

The Family Practitioner Committee

건강, 의료기록 등의 개인정보보호 규정

형사

경찰법

(Police Act 1997)

국가범죄정보원

(National Criminal Intelligence Service)

형사기록에 대한 개인정보보호

이 중 대표적인 법률인 정보보호법, 정보자유법, 프라이버시 전자통신 규정, 네트워크, 정보시스템 규정의 주요 내용은 다음과 같다.

가. 정보보호법(DPA, Data Protection Act 2018)

(1) 개요

영국은 1984년에 최초로 제정된 정보보호법 이후 1998년 1차 개정을 거쳐 2018년 2번째 법 개정을 거쳐 정보보호법 제3세대를 맞이했다. 정보보호법 2018은 유럽 GDPR을 보완하고 영국의 개인정보보호 제도와 서로 맞추어 브렉시트 이후를 대비하였다. 또한 EU 법 집행 지침(LED, Law Enforcement Directive)을 이행하고 법 집행 기관 및 정보기관에서 처리하는 개인정보 등 GDPR의 적용 범위가 미치지 않는 영역까지 확대하여 규정하는 등 개인정보보호 규범의 포괄적 패키지를 제공한다. 본 법규의 개정 이유 및 목표는 다음과 같다.

첫째, 영국 정보보호법이 기술적 변화에 보조를 맞추고 이러한 변화가 개인정보 수집과 사용에 가져올 편익과 과제를 다루며 영국 내 정보보호 기본법으로서 1998년 개정된 1차 정보보호법을 대체한다. 또한 영국 정보보호법과 상호작용하는 법률, 가령 정보자유법이 정보보호와 관련하여 지속적인 효력을 가지도록 연속성을 보장하고자 한다.

둘째, 정보보호법보다 요건이 더 엄격한 GDPR이 영국 법규로 채택되는 것을 지원하고 보완하여 GDPR이 영국에서 효력을 가지도록 보장한다. GDPR은 2018년 5월 25일부터 영국이 EU를 떠날 때까지 직접적인 효력을 가지며, 영국이 EU에서 탈퇴하면 정보보호법 2018은 GDPR 기준을 영국 법에서 실현하는데 도움이 될 것이다.

셋째, 회원국의 재량에 맡겨진 GDPR의 영역들을 다루어 일부 GDPR 요건을 강화하거나 적용 예외를 규정한다. GDPR에 규정된 정보보호 기준들이 영국에 적용되었을 때 영국의 요건을 반영하도록 보장한다.

넷째, 정보보호법 적용 범위를 GDPR에서 다루지 않는 처리 유형(예: 공공기관에서 처리하는 구조화되지 않은 매뉴얼 파일)까지 확장하여 포괄적 정보보호 입법 체계를 제공한다.

다섯째, EU 법 집행 지침을 영국 법으로 구현하고 법 집행 전반에 걸쳐 개인정보 처리와 관련하여 단일의 국내 및 초국가적 체제를 만들어, 개인의 권리와 개인정보 통제권을 강화하고 국가 간 정보 공유를 지원하려는 LED의 핵심 목표에 충족시킨다.

여섯째, 정보기관의 개인정보 처리를 다룬다. 정보보호법 2018은 정보기관의 개인정보 처리를 규제하는 법규들이 현대화된 108호 협약의 기준이 반영되도록 갱신하고 구체적인 정보보호 체제를 규정한다.

일곱째, 정보위원회(ICO)의 역할을 새로 정의한다. 정보보호법 1998의 기능과 거의 유사하나 GDPR 등 관련 규정들에서 요구되는 기능들을 추가하고 좀 더 명확히 규정한다.

여덟째, 법 집행과 관련된 영역을 통합하고 명료화한다. 정보보호법 1998에 규정된 위법 조항들에 GDPR 기준 등을 반영하여 범칙금액을 높이는 등 현대화하거나 새로운 사항을 추가한다.

(2) 구성

정보보호법은 총7장, 215개 조항 및 20개의 부칙으로 구성되어 있으며, GDPR의 영국 내 적용에 관한 사항, GDPR 범주 이외에 관한 사항, 법 집행 기관 및 정보기관의 개인정보 처리에 대한 사항 등 영국의 개인정보보호 관련 규율을 총체적으로 다루고 있다. 기본적으로 정보보호법 2018은 GDPR를 그대로 적용하고 있으므로 GDPR의 내용을 중복하여 기술하지 않고, GDPR에서 회원국에 세부 사항을 정하도록 하거나 회원국 재량으로 정한 사항 또는 GDPR 적용 이외의 부분에 대해 명시하였다. 제1장 서문은 법규 개요, 주요 용어를 정의하며, 제2장 일반 처리(general process) 부분은 GDPR의 적용을 위한 세부 규정을 다룬 2절과 GDPR이나 EU 법규가 적용되지 않는 나머지 범주에 관한 사항인 3장으로 나누어 있다. 일반 데이터 컨트롤러들이 준수해야 할 규정들은 제2장에서 다루고 있으므로, 기업들은 2장을 중심으로 살펴보면 된다. 관할 당국의 법 집행을 위한 개인정보 처리에 관한 규율, 정보기관의 개인정보 처리 원칙 등에 관한 규정을 각각 제3장, 4장에 명시하고 있다. 제5장에는 ICO의 권한과 기능과 업무를 다루고 있으며, 제6장에서 ICO 법 집행 절차, 민원처리 및 피해 구제 등에 관한 사항을 규율하고 마지막으로 제7장은 벌칙에 관한 사항 등을 명시하고 있다.

나. 정보자유법(FOIA, Freedom of Information Act 2000)

(1) 개요

정보자유법은 국가 정책의 투명성과 국민의 알권리를 보장하기 위해 제정된 것으로 영국의 경우 비밀주의적 문화 영향 등으로 다른 선진국에 비해 비교적 늦은 2000년에 입법화되었으며, 실제 시행된 것은 2005년부터다. 정보자유법은 공공기관이 보유하고 있는 정보에 대해 국민이 접근할 수 있는 권리를 명시하고 있다. 이에 따라 공공기관은 수행활동에 대한 정보를 공개해야 하고, 일반 대중은 공공기관에 정보를 요청할 권리를 가진다. 해당 기관은 국민의 공개 청구에 의한 공개뿐만 아니라 정책, 절차, 회의록, 연차보고서 등과 같은 일상 업무에 관한 정보를 홈페이지 등에 게시하여야 한다. 별도의 법규를 제정한 스코틀랜드를 제외한 영국의 모든 지역의 공공기관이 보유한 개인정보에 적용되며, 공공기관은 정부기관, 지방 관청, 공공 의료기관과 주립 학교 및 경찰 등을 의미한다. 그러나 반드시 공공자금을 받는 모든 기관에 한해 적용되는 것은 아니라서 보조금을 받는 자선단체나 공적 기능을 수행하는 민간기업 등은 이에 해당되지 않으며, 사법 기능을 가진 기관이나 치과, 건강요양원, 일부 방송국 등은 공공업무와 관련된 일부 정보에 한하여 정보 공개 의무가 있다. 정보자유법의 부속서(1)을 통해 적용 대상 기관의 명칭 또는 유형을 명시하고 있으며, 법 제5조에서 국무장관 또는 국무조정실장이 추가적으로 지정할 수 있도록 명시하고 있다. 공개 대상 정보는 인쇄된 문서, 컴퓨터 파일, 편지, 이메일, 사진 및 소리, 영상 등이 포함되지만 정보 공개를 청구하는 주체의 개인정보는 제외된다.

다. 프라이버시 전자 통신 규정(PECR, Privacy and Electronic Communications Regulation 2003)

(1) 개요

프라이버시 전자통신 규정은 EU의 e-Privacy 지침에 따라 2003년 제정된 규범으로 일반 개인정보보호 규범을 보완하여 전자통신에 대한 구체적인 프라이버시 권리를 규정한다. 따라서 전자적 수단을 통한 마케팅이나 쿠키 등 이용 정보를 추적하는 경우, 공공 전자통신 서비스의 보안 영역이나 통신 네트워크나 서비스를 이용하는 이용자의 프라이버시에 대해 규율한다. 경우에 따라서 공공 전자 통신 네트워크나 서비스 제공자가 아니라도 전화, 이메일, 문자 또는 팩스를 통해 마케팅을 하거나 운영하는 웹사이트에서 쿠키를 사용하는 경우 또는 전화번호부를 만드는 등의 경우에도 본 규정을 준수해야 한다. 또한 PECR은 반드시 개인정보를 처리하지 않아도, 개인뿐만 아니라 회사를 보호하기 위한 규정도 다수 있으며 또한 식별되지 않은 개인에 대한 연락을 하는 경우에도 적용된다.

PECR 규율 대상은 다음과 같다.

마케팅 전화, 문자, 이메일 및 팩스 등 전자적 수단을 통한 마케팅

웹사이트나 다른 전자 서비스를 이용하는 이용자의 정보를 추적하는 쿠키나 유사 기술의 사용

공공 전자통신 서비스의 보안

트래픽 및 위치정보, 항목 별 청구, 회선 식별 서비스(예 : 발신자 ID 및 전화 응답) 및 디렉토리 목록과 관련하여 통신 네트워크 또는 서비스를 이용하는 이용자의 프라이버시

PECR은 2003년 제정 이후 2018년까지 총5회의 개정 작업을 거쳤는데 최근 개정 내용으로는 긴급 경고 문자 허용 및 마케팅 규정의 중대한 위반에 대한 제재 강화(2015년), 마케팅 전화에 대한 발신자 번호 표시 의무화(2016년), 그리고 연금 등 기타 소비자 금융 서비스 등에 대한 청구 관리 서비스(claims management services)에 콜드 콜링(cold-calling) 금지(2018년) 등 마케팅을 위한 연락에 대한 기준을 강화하였다.

라. 네트워크, 정보 시스템 규정(NIS regulation, Network and Information Systems Regulations 2018)

(1) 개요

사이버 공격으로부터 중요 국가 시설과 핵심 서비스를 보호할 목적으로 EU 회원국 간 공동 대응 및 협력을 도모하기 위해 2016년 EU는 네트워크 정보시스템 지침 2016(NISD, The Network Information Systems Directive 2016)을 제정하였고, 영국 정부는 이를 이행하기 위해 NIS 규정을 마련하여 2018년 5월 10일부터 시행하고 있다. NIS 규정은 중요 시설을 운영하거나 디지털 서비스를 제공하는 공공기관 및 민간 기업에 적용되며 최신의 보안 요구 사항에 대한 기준을 제시한다. 비슷한 시기에 시행된 EU GDPR과 중첩되는 부분에 대해 정합성을 맞추었다. 개인정보보호에 대해서는 GDPR이 네트워크와 정보시스템 보안에 대해서는 NIS 규정이 규율하지만, 개인정보와 네트워크 보안을 동시에 침해하는 사고가 발생하는 경우에는 법적용에 있어 이중의 위험(double jeopardy)이 발생할 수 있다. 또한 이 규정이 사이버보안 증진에 중점이 있기는 하나 사이버가 아닌 원인(예 : 자연재해, 정전 등)에 의한 침해사고도 포함하므로 이 규정을 사이버보안법이라고 구분하지 않는다.

[표 2] NIS 규정 적용 대상

[표 4] NIS 규정 적용 대상

중요 서비스 운영자

(OES, operators of essential services)

경제 사회에 중요한 영향을 끼치는 사회기반시설(수도, 교통, 에너지)과 그밖에 건강, 디지털기반시설 등과 같은 다른 중요한 서비스를 운영하는 자

디지털 서비스 제공자

(DSPs, Digital service providers)

특정 형태의 디지털 서비스(온라인 검색 엔진, 온라인시장, 클라우드 컴퓨팅 서비스)를 제공하는 자로, 본사가 영국에 위치(또는 영국 대표자를 임명)한 경우 내 위치한 경우. 단 소규모 사업자는 제외

디지털, 문화, 미디어 및 체육부(DCMS, Department for Digital, Culture, Media & Sport)에서 NIS 규정 이행에 대한 감독 등 컨트롤 타워 역할을 하며, 실질적인 법 집행은 각 분야별 정부부처 또는 소관기관이 수행한다. 예를 들어, 건강의료 분야는 국무장관(Secretary of State for Health), 통신 분야는 통신위원회(Ofcom)가 관할 당국이며, 디지털 서비스 제공자(DSPs)의 경우 정보위원회(ICO)의 규율을 받는다. 또한 각 국가 사이버보안 센터(NCSC, National Cyber Security Centre)에서 관할 당국에 NIS 규정 이행과 관련 기술 자문과 가이드를 제공한다.

top