국가정보_프랑스
법률체계
1개요
프랑스는 1978년 제정된 법률을 기반으로 개인정보보호 체계를 확립하였으며, 2018년 ‘유럽 일반 개인정보 보호법(General Data Protection Regulation, 이하 ‘GDPR’) 발표 이후 이에 맞춰 개정을 거듭해왔다. 프랑스 개인정보보호 관련 법률 제정 필요성의 논의는 1974년에 시작되었다. 당시 프랑스 정부는 자국민을 특정 번호로 식별하고 고유 식별자를 사용하여 모든 정부 기록을 상호 연결하려는 ‘행정문서와 개인별 목록 자동화시스템(Système Automatisé pour les Fichiers Administratifs et le Répertoire des Individus, 일명 ‘SAFARI 프로젝트’)의 시행을 계획 중이었고, 이는 국민들의 사생활과 자유를 침해할 수 있다는 비판을 받게 된다. 이에 대한 정책 대안 논의 끝에 프랑스 정부는 1978년 프랑스 개인정보 보호법(Loi informatique et libertés, 일명 ‘정보자유법’)을 제정하여 자국 내 모든 개인정보 처리(공공 및 민간부문)의 공정성·투명성·적정성을 확보하도록 규정하고, 이에 대한 임무를 수행하는 독립 감독기구인 정보자유국가위원회(Commission nationale de l’informatique et des libertés, 이하 ‘CNIL’)를 설치해 개인정보보호의 법적·제도적 기본체계를 확립하게 되었다. 이후 프랑스 개인정보 보호법은 OECD와 EU의 지침에 부합하도록 수차례 개정을 거듭하며 법의 규율 영역을 확대하는 등 개선과 보완이 이루어져왔다. 2018년 5월 25일 GDPR이 시행된 이후에는 2018년 6월 ‘2018-493호 법률(Loi n° 2018-493 du 20 juin 2018 relative à la protection des données personnenlles)’의 시행을 통해 GDPR에 부합하도록 법을 개정하였다. 그러나 이 과정에서 중복 조항이나 조항의 시행과 관련하여 불분명한 표현 등의 문제가 발생하여 2018년 12월 12일 ‘2018-1125호 법령(Ordonnance n° 2018-1125)’을 통해 이러한 문제점을 해결하고 시행 중인 다른 규정과 일관성을 기하는 등 기존 법률을 보완하였다. GDPR과 프랑스 자국법의 방향을 맞추는 마지막 작업으로 2019년 5월 29일 ‘2019-536호 시행령(Décret n° 2019-536)’이 발표되었다.
2프랑스 법률 체계
프랑스는 프랑스 헌법 제39조 제1항을 통해 대통령, 총리 또는 장관, 의외 의원들이 공동으로 법률안을 제안할 수 있는 권리를 보장한다. 이렇듯 대통령, 총리 또는 장관으로 표현되는 ‘정부’가 법안을 발의하는 것을 ‘정부발의법안(projets de loi)’이라고 한다. 정부발의법안의 경우 의회 제출 전 관련 부처 협의를 거쳐 자문을 받아 제출된다. 또한 법안 초안은 의회 제출 전 반드시 영향평가(étude d’impact)와 최고 행정법원인 국참사원(Conseil d’Etat, 주: 참사원 혹은 국사원이라고도 불리며 최고 행정법원을 의미함) 자문을 받아야 한다. 정부발의법안과 의회발의법안 모두 제출이후 하원 심의, 상원 심의, 양원의 법안 조정을 위한 의견조율과 재심의(이러한 과정을 왕복심의라 함), 대통령 서명, 공포의 절차를 거친다. 의회에서 발의하는 ‘의회발의법안(propositions de loi)’의 경우는 발의 주체만 다르고 정부발의법안과 동일한 입법 절차를 거친다.
3개인정보 보호법
프랑스 개인정보 보호법의 정식 명칭은 ‘정보처리, 문서 및 자유에 관한 1978년 1월 6일 법률(Loi n˚ 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés’ )이다. 프랑스의 정보주체 개인정보보호 권리는 헌법상 명시적 근거는 없으나, 1789년 ‘인간과 시민의 권리선언(Déclaration des droits de l’Homme et du citoyen)’과 2004년 ‘환경헌장(Charte de l’environnement)에서 기본권을 정의하고 그 보장을 약속하고 있으며 개인정보보호를 ‘사생활의 자유(liberté de la vie privée)’로 간주한다. 개인정보 보호법은 전체 다섯 편(title) 128개 조항으로 이루어져 있다. 각 장의 주요 내용은 다음과 같다.
[표 1]프랑스 개인정보 보호법 주요내용
| 제1편 공통 조항 | |||
|---|---|---|---|
| 제1장 일반 조항 | - | 제 1조 | 목적 |
| 제 2조 | 적용 범위 | ||
| 제 3조 | 지리적 범위 | ||
| 제 4조 | 개인정보 처리 및 보관 요건 | ||
| 제 5조 | 개인정보 처리의 법적 근거 | ||
| 제 6조 | 민감정보 처리의 법적 근거 | ||
| 제 7조 | 행정문서 및 공공기록물 열람의 합법적 요건 | ||
| 제2장 개인정보 보호 감독기구(CNIL) | 제1절 조직과 임무 | 제 8조 | 감독기구(CNIL)의 역할 |
| 제 9조 | 감독기구(CNIL)의 구성 | ||
| 제 10조 | 감독기구(CNIL) 구성원의 임명 | ||
| 제 11조 | 감독기구(CNIL) 구성원의 기밀유지 의무 | ||
| 제 12조 | 심의, 서류 검토, 개인정보보호 인증라벨 발급 의무 | ||
| 제 13조 | 감독기구(CNIL) 의사결정 절차 | ||
| 제 14조 | 공통 사안에 대한 행정문서접근위원회와 협력 | ||
| 제 15조 | 감독기구(CNIL) 감독 업무 권한의 법적 근거 | ||
| 제 16조 | 감독기구(CNIL)의 처벌 권한의 법적 근거 | ||
| 제 17조 | 감독기구(CNIL) 내 정부위원 근무와 역할 | ||
| 제 18조 | 감독기구(CNIL) 독립성의 법적 근거 | ||
| 제2절 개인정보 처리에 대한 감독 | 제 19조 | 개인데이터 처리 감독에 있어 감독기구(CNIL)의 감독 절차 및 권한 | |
| 제3절 시정조치 및 제재 | 제 20조 | GDPR 및 개인정보 보호법 위반 사항 혹은 위반 가능성이 존재하는 사항에 대한 시정 요구·절차·내용 | |
| 제 21조 | 개입이 시급한 GDPR 및 개인정보 보호법 위반 사항에 대한 시정 요구·절차·내용 | ||
| 제 22조 | 시정 명령 절차와 내용 | ||
| 제 23조 | GDPR 및 개인정보 보호법 위반에 대한 승인 취소 | ||
| 제4절 국제협력 | 제 24조 | GDPR에 따른 기타 EU 회원국 감독기관과 상호협력 의무 | |
| 제 25조 | GDPR에 따른 기타 EU 회원국 감독기관 요청에 따른 개인정보보호 위반 사항 조사 협력 | ||
| 제 26조 | EU 회원국 감독기관과 협력과 협력 거부에 대한 법적 근거 | ||
| 제 27조 | 선임 감독 기구로서 역할 | ||
| 제 28조 | 시정 명령에 대한 의견 수렴과 반론 제기 | ||
| 제 29조 | EU 비회원국 개인정보보호 감독기관과의 협력과 요건 | ||
| 제3장 국가개인식별등록부(RNIPP)에 관한 특별규정 | - | 제 30조 | 국가개인식별번호 처리 허용 조건 |
| 제4장 처리실행의 사전수속 | - | 제 31조 | 개인정보 성격에 따른 처리의 사전 절차 |
| 제 32조 | 생체정보 처리의 사전 절차 | ||
| 제 33조 | 사전 절차를 통해 CNIL에 제출한 의견요청서 작성 사항 | ||
| 제 34조 | 의견 요청 처리 기간과 CNIL의 동의로 간주되는 조건 | ||
| 제 35조 | 개인정보 사전 절차 검토 후 처리 개시 허가서 상 명시 내용 | ||
| 제 36조 | 자동화된 개인정보 처리 목록 공개와 목록 내용 | ||
| 제5장 컨트롤러에 대한 의무 및 권리 | - | 제 37조 | 개인정보 침해에 대한 공동 대응 |
| 제 38조 | 공동 대응을 위한 조직 구성 근거 | ||
| 제 39조 | CNIL의 법적 조사 절차 | ||
| 제6장 형사 조항 | - | 제 40조 | 개인정보보호법 조항 위반내용에 대한 형법상의 근거 조항 |
| 제 41조 | 판결 공판 사전 절차 | ||
| 제2편 GDPR에 의해 규정된 법제에 속하는 처리 | |||
| 제1장 일반 조항 | - | 제 42조 | 개인정보 처리의 법적 허용 범위 |
| 제 43조 | 개인정보 처리의 적법성 원칙 | ||
| 제 44조 | 처리 허용 개인정보 | ||
| 제 45조 | 미성년자 동의 | ||
| 제 46조 | 법 집행·범죄 관련 보안 조치 허용 요건 | ||
| 제 47조 | 자동화된 개인정보 처리 금지조건 및 예외 | ||
| 제2장 정보주체의 권리 | - | 제 48조 | 정보주체 권리 보장 일반 규정 |
| 제 49조 | 열람권 | ||
| 제 50조 | 정정권 | ||
| 제 51조 | 삭제권 | ||
| 제 52조 | 공공 업무 수행을 위한 개인정보 처리 상황에서 정보주체 권리 | ||
| 제 53조 | 처리 제한권 | ||
| 제 54조 | 개인정보 정정 또는 삭제 시 통지 의무 | ||
| 제 55조 | 이동권 | ||
| 제 56조 | 반대권 | ||
| 제2장 정보주체의 권리 | 제1절 일반 의무 | 제 57조 | 개인정보 처리를 위한 기술적, 조직적 조치 의무 |
| 제 58조 | 개인정보 처리 위반 사항에 대한 고지와 예외 사항 | ||
| 제 59조 | 다수의 컨트롤러가 존재하는 경우 의무 적용 | ||
| 제 60조 | 프로세서 의무 사항 | ||
| 제 61조 | 컨트롤러 동의 없이 프로세서의 개인정보 처리 금지 | ||
| 제2절 자연인의 권리와 자유에 높은 위험을 초래할 가능성이 있는 처리에 대한 의무 사항 | 제 62조 | 개인정보 영향평가 의무 | |
| 제 63조 | 고위험 개인정보 처리 이행 이전 CNIL 자문 요청 의무 | ||
| 제3절 보건(건강) 분야 개인정보 처리 | 제 64조 | 개인 건강정보 처리에 대한 열람권 행사 | |
| 제3절 보건(건강) 분야 개인정보 처리 제1부속절 일반 조항 | 제 65조 | 적용 범위 | |
| 제 66조 | 개인 건강정보 처리를 위한 사전 절차 | ||
| 제 67조 | 개인 건강정보 처리를 위한 사전 절차 예외 | ||
| 제 68조 | 개인 건강정보 이전 시 기밀 보장 의무 | ||
| 제 69조 | 개인 건강정보 수집에 대한 정보주체 고지 및 예외 | ||
| 제 70조 | 미성년자의 개인 건강정보 관련 권리 행사 | ||
| 제 71조 | 동일 개인 건강정보를 취급하는 모든 기관에 대한 통지 | ||
| 제3절 보건(건강) 분야 개인정보 처리 제2부속절 연구, 조사 또는 평가 목적의 처리에 대한 특별 조항 | 제 72조 | 연구, 조사 또는 평가 목적의 개인 건강정보 처리에 대한 일반 의무 | |
| 제 73조 | 개인 건강정보 처리 절차 준수 의무와 예외 | ||
| 제 74조 | 개인 건강정보 처리 반대권 | ||
| 제 75조 | 유전적 특성에 대한 검사를 요구하는 연구의 경우 정보주체 동의 획득 의무 | ||
| 제 76조 | 개인 건강정보 처리 허가 담당 기관 | ||
| 제 77조 | 국립 보건정보 시스템의 감사 위원회 | ||
| 제4절 공익에 부합하는 과학, 역사 연구 또는 통계 목적의 기록과 처리 | 제 78조 | 적용 범위 | |
| 제 79조 | 과학, 역사연구 또는 통계 목적에 적용되지 않는 처리 | ||
| 제3장 컨트롤러 및 프로세서의 의무 | 제5절 보도, 문학 및 예술적 표현을 위한 개인정보 처리 | 제 80조 | 일반 규정 |
| 제4장 전자통신분야에서 처리와 관련된 권리 및 의무 | - | 제 81조 | 적용 범위 |
| 제 82조 | 전자통신 서비스 이용자에 대한 고지 의무 및 예외 | ||
| 제 83조 | 개인정보 처리 및 침해 관련 통지 | ||
| 제5장 고인의 개인정보 처리 관련 조항 | - | 제 84조 | 적용 범위 |
| 제 85조 | 일반 규정 | ||
| 제 86조 | 보건 분야 연구, 조사 또는 평가 목적의 사용 허가 | ||
| 제3편 EU 형사법절차에서 개인정보보호 지침 | |||
| 제1장 일반 조항 | - | 제 87조 | 적용 범위 |
| 제 88조 | 민감정보 처리 요건 | ||
| 제 89조 | 자동화된 개인정보와 민감정보 처리 규제 법적 근거 | ||
| 제 90조 | 고위험 민감정보 처리에 대한 영향평가 | ||
| 제 91조 | 형사처벌, 법 집행 등을 위한 목적 내 개인정보 이용 의무와 예외 | ||
| 제 92조 | 과학적 또는 통계 연구 목적에 있어 개인정보 처리의 허용 | ||
| 제 93조 | 과학적·역사적 연구 목적에 있어 개인정보 처리의 허용 | ||
| 제 94조 | 개인적 평가에 기반을 둔 데이터와 구분 | ||
| 제 95조 | 민감정보 처리 금지 | ||
| 제 96조 | 개인 데이터 보호를 위한 프로세서의 기술·조직적 조치 의무 | ||
| 제2장 관할 당국, 컨트롤러 및 프로세서의 의무 | - | 제 97조 | 개인정보의 정확성, 완전성, 신뢰성 그리고 최신성 유지 의무 |
| 제 98조 | 형사 범죄 관련 정보주체 및 개인정보 구분 | ||
| 제 99조 | 자동화된 처리에 있어 컨트롤러와 프로세서의 조치 목적 | ||
| 제 100조 | 컨트롤러와 프로세서의 국가개인식별번호 처리 사항 기록 의무 | ||
| 제 101조 | 자동화된 처리에 있어 컨트롤러와 프로세서의 개인정보 처리(수집, 수정, 열람, 이전, 전달, 파기 등) 대한 활동 일지 작성 의무 | ||
| 제 102조 | 국가안보, 범죄예방, 수사 등을 위한 개인정보 처리 | ||
| 제 103조 | DPO 임명 의무 | ||
| 제3장 정보주체의 권리 | - | 제 104조 | 컨트롤러가 정보주체에게 제공하는 정보 |
| 제 105조 | 정보주체가 접근 가능한 정보 및 권한 | ||
| 제 106조 | 컨트롤러에 요구 가능한 정보주체의 권리 | ||
| 제 107조 | 정보주체 권리 제한 요건 | ||
| 제 108조 | 정보주체 권리 제한에 대한 CNIL의 심사 | ||
| 제 109조 | 정보주체 요청 거부 요건 | ||
| 제 110조 | 처리 거부권 | ||
| 제 111조 | 개인정보 열람, 수정 또는 삭제 조건 | ||
| 제4장 EU 역외 국가 혹은 EU에 속하지 않은 국가로의 개인정보 이전(국외 이전) | - | 제 112조 | 비유럽 국가로 개인정보 이전 혹은 재이전 허가 요건(적정성 결정) |
| 제 113조 | 적정성 결정 부재 국가에 대한 국외 이전 허용 근거 | ||
| 제 114+조 | 국외 제3자에 대한 개인정보 직접 전송 기준 | ||
| 제4편 국가 안보 및 방위에 관한 처리 | |||
| - | - | 제 115조 | 적용 범위 |
| 제1장 정보주체의 권리 | - | 제 116조 | 컨트롤러의 정보주체 고지 의무 |
| 제 117조 | 반대권 | ||
| 제 118조 | 정보주체의 열람·수정·삭제권 행사에 대한 CNIL의 역할 | ||
| 제 119조 | 정보주체의 열람·수정·삭제권 관련 컨트롤러 의무 | ||
| 제 120조 | 민감정보 처리 금지 | ||
| 제2장 기타 조항 | 제1절 컨트롤러의 의무 | 제 121조 | 컨트롤러의 데이터 자료와 성질에 따른 안전 조치 의무 |
| 제2절 프로세서의 의무 | 제 122조 | 프로세서의 안전 조치 의무 | |
| 제3절 EU 역외 국가 혹은 EU에 속하지 않은 국가로의 개인정보 이전(국외 이전) | 제 123조 | 국외 이전 조건(적정성 결정) | |
| 제 124조 | 동의 기반 혹은 그 외 국외 이전 조건 | ||
| 제5편 영토 및 적용 범위 | |||
| - | - | 제 125조 | 영토 및 적용 범위 1 |
| 제 126조 | 영토 및 적용 범위 2 | ||
| 제 127조 | 영토 및 적용 범위 3 | ||
| 제 128조 | 영토 및 적용 범위 4 | ||
프랑스 개인정보 보호법(정보자유법)은 정보처리가 모든 국민을 위한 것이어야 하며, 국민들의 정체성, 인권, 사생활, 개인 또는 공공의 자유를 보장해야 한다고 규정한다(제1조). 또한, 정보주체의 권리와 개인정보를 처리하는 컨트롤러에 대한 의무는 본 법과 GDPR, 그리고 ‘유럽 형사 사법 지침’의 범위 내에서 적용된다고 명시한다(제1조). 다만, 개인이 사적이거나 내부적 활동을 위해 시행한 개인정보 처리는 제외한다(제2조). 프랑스 개인정보 보호법 상 사용되는 용어는 GDPR의 정의를 따르며(제2조), 대부분 조항 또한 기본적으로 GDPR에 근거하고 있다. 프랑스 개인정보 보호법은 일반적 규정 외에도 처리하는 개인정보 특성이나 상황(의료 정보, 형사 범죄의 수사, 국가 안보 등)을 고려한 개별적 규정을 두고 있다.
가. 개인정보 처리 원칙 및 조건
(1) 개인정보 처리 원칙(제4조)
프랑스 개인정보 보호법 상 개인정보 처리 원칙은 다음 여섯 가지와 같다.
- ① 처리의 정당성·합법성·투명성
- ② 목적 부합성(공익을 위한 기록 보관 및 과학·역사·통계적 목적은 예외)
- ③ 목적 외 처리 제한
- ④ 개인정보의 최신성 및 무결성 유지
- ⑤ 처리 목적에 따른 보관기간 준수(공익을 위한 기록 보관 및 과학·역사·통계적 목적은 예외)
- ⑥ 불법 처리·접근이나 사고로 인한 개인정보 침해 피해 예방을 위한 기술적 혹은 조직적 조치 시행
(2) 개인정보 처리 조건(제5조)
다음과 같은 상황에서 개인정보 처리는 적법하다.
- ① 정보주체의 동의를 받은 경우
- ② 계약 이행이나 체결을 위한 사전 조치가 필요한 경우
- ③ 법적 의무 준수를 위한 경우
- ④ 정보주체 혹은 다른 개인의 중요한 이익 보장을 위한 경우
- ⑤ 공익 목적 혹은 컨트롤러의 공식적 권한에 의한 경우
- ⑥ 컨트롤러 혹은 제3자의 정당한 이익을 위한 경우 : 이러한 경우에도 불구하고 정보주체가 미성년자이거나 정보주체의 이익이나 기본권보다 우선하는 경우는 처리를 금지한다.
- ⑦ 문학·언론·예술적 표현을 위해 필요한 경우
- ⑧ 형사 범죄의 예방·조사·기소를 위해 필요한 경우
- ⑨ 공익을 위한 과학·역사·통계적 처리에 필요한 경우
- ⑩ 국방 혹은 국가 안보를 위해 필요한 경우
- ⑪ 세금 확인 및 징수 등 공공기관의 업무를 위한 경우
이 밖에도 제44조를 통해 합법적 처리의 범주에 대해 규정하고 있으며 이는 다음과 같다.
- ① 예방의학, 의료진단, 치료 및 처방 등 보건 서비스 관리를 위해 법적 책임이 있는 개인정보처리자에 의하여 처리되는 경우
- ② 국가 통계정보위원회 의견을 거쳐 국립통계연구소(INSEE) 혹은 내각 통계부서들 중 어느 한 곳에서 시행되는 통계 처리의 경우
- ③ 정보주체가 동의하고 공익성을 인정받은 건강 관련 정보를 처리하는 경우
- ④ 근무자 혹은 서비스업자가 업무 중에 사용하는 기기와 응용 프로그램, 근무지 출입에 반드시 필요로 하는 생체 정보 처리의 경우
- ⑤ 공적 업무 수행에 필요한 경우
- ⑥ 공익을 위한 중대한 사유가 있다고 CNIL이 허용한 경우
(3) 정보주체의 개인정보 처리 동의(GDPR 제4조제11항, 제7조)
프랑스 개인정보 보호법 상 동의에 대한 내용은 GDPR 관련 조항(제4조제11항, 제7조)을 따른다. GDPR에서는 정보주체가 기망, 강요, 협박 등에 영향 받지 않는 상황에서 자유롭고(freely given), 진정한(genuine) 의사 표시를 동의로 인정한다. 또한 동의는 구체적이고(specific) 충분한 정보가 제공된 상태에서 이루어져야 하며(informed), 의사표시가 모호하지 않아야 한다(unambiguous). GDPR 내 동의 수집 시 제공해야 하는 핵심 요소는 다음과 같다.
- ① 컨트롤러의 신원
- ② 동의를 구하는 개별 처리 활동의 목적
- ③ 수집 및 이용되는 개인정보 또는 개인정보의 유형
- ④ 동의 철회권의 존재
- ⑤ GDPR 제22조제2항에 따른 프로파일링 등 자동화된 개인정보 처리를 바탕으로 한 결정에 사용되는 개인정보에 대한 정보
- ⑥ (개인정보 이전에 대한 동의인 경우) 적정성 결정 및 적절한 보호조치가 존재하지 않는 제3국으로의 개인정보 전송에 따라 발생 가능한 위험에 대한 정보
동의는 반드시 개인정보 처리 활동이 발생하기 전에 획득되어야 하며(opt-in) 정보주체가 동의하였다는 사실과 동의한 내용이 분명해야 한다(unambiguous indication). 이를 위해서는 동의 조건을 읽었음을 확인하는 것만으로는 부족하며 편지나 이메일과 등 문서 혹은 구두로 명확한 긍정 행위(clear affirmative act)가 있어야 한다(전문 제32항). 이러한 명확한 긍정 행위는 ‘의식적 행동’으로 표시하는 것을 의미하며 다음과 같은 경우는 해당되지 않는다.
- ① 사전에 선택되어 있는 체크박스(pre-ticked boxes)를 제시하는 것
- ② 침묵(silence)이나 부작위(inactivity)를 동의로 보는 것
- ③ 서비스가 제시하는 절차를 동의 의사 표시 없이 단순히 진행하는 것
- ④ 이용약관에 포괄적인 수용(일명 ‘blanket acceptance’) 의사를 표현한 것
GDPR은 중대한 개인정보보호 위험이 발생하여 정보주체에게 개인정보에 대한 높은 수준의 통제권이 필요하다고 보는 경우 정보주체의 명시적 동의(explicit consent)를 요구하고 있다. ‘명시적(explicit)’이란 정보주체가 동의를 표현하는 방식을 의미하며, 이러한 방식에는 서면진술, 동의 의사가 표명된 이메일 발송, 정보주체의 서명이 포함된 스캔 문서의 업로드, 전자 서명 요구, 동의에 대한 2단계 검증 등이 있다.
(4) 특수한 범주의 개인정보 처리(제6조)
‘민감정보(special categories of personal data)’라고도 불리는 특수 한 범주의 개인정보 처리는 기본적으로 금지된다. 민감정보로 분류되는 정보는 다음과 같다.
- ① 인종이나 민족
- ② 정치적 성향, 종교적·철학적 신념
- ③ 노동조합 가입 여부
- ④ 개인을 식별하기 위한 목적의 생체 정보나 유전자 정보
- ⑤ 개인의 성생활이나 성적 지향에 관련한 정보
이와 같은 특수 범주의 개인정보 처리는 GDPR 제9조제2항에 따라 예외로 처리가 가능하다. 예외 처리 가능 요건은 다음과 같다.
- ① 정보주체의 명시적 동의를 획득한 경우
- ② 고용, 사회 안보, 사회보장 및 사회보호법(social security and social protection law) 또는 단체협약에 따른 의무의 이행을 위하여 필요한 경우
- ③ 정보주체가 물리적 또는 법적으로 동의할 능력이 없는 경우에 정보주체 또는 다른 자연인의 중대한 이익을 보호하기 위하여 필요한 경우
- ④ 정치·철학·종교 목적을 지닌 비영리 단체나 노동조합이 하는 처리로, 회원이나 과거 회원(또는 그 목적과 관련하여 정규적인 접촉을 유지하는 자)에 관해서만 처리하며, 또한 동의 없이 제3자에게 공개하지 않는 경우
- ⑤ 정보주체가 명백히 일반에게 공개한 정보를 처리하는 경우
- ⑥ 법적 청구권의 설정, 행사, 방어 또는 법원이 재판 목적으로 처리하는 경우
- ⑦ 중대한 공익을 위하여 또는 EU법이나 회원국법을 근거로 하는 처리로, 추구하는 목적에 비례하고 적절한 보호조치가 있는 경우
- ⑧EU법이나 회원국법 또는 의료 전문가와의 계약을 근거로, 예방 의학이나 직업 의학, 종업원의 업무 능력 판정, 의료 진단, 보건·사회 복지·치료, 보건이나 사회 복지 시스템의 관리 및 서비스 등의 제공을 위하여 필요한 경우
- ⑨ 국경을 넘은 심각한 보건 위협으로부터의 보호 또는 의료 혜택 및 약품이나 높은 수준의 의료장비 확보 등 공중보건 영역에서 공익을 위하여 필요한 경우
- ⑩ 공익을 위한 기록 보존 목적(archiving purposes in the public interest)이나 과학적·역사적 연구 목적, 통계 목적을 위하여 제89조제1항에 따라 필요한 경우
관련하여 프랑스 개인정보 보호법 상 민감정보 예외 처리 조건은 제31조제2항과 제32조에 의거한 ‘CNIL이 채택하고 국참사원령에 의해 허가된 처리’가 있다.
(5) 개인정보의 국외 이전(제112조~제114조, 제123조~제124조)
프랑스는 GDPR 상 국외 이전 규정을 따른다. 프랑스는 EU GDPR의 적정성 결정을 통해 개인정보보호 법 존재 유무와 기타 안전조치 등을 고려하여 충분한 개인정보보호 수준을 갖추고 있다고 판단되는 국가에 한해 개인정보를 이전한다. 그렇지 않은 경우는 개인정보 이전을 금지한다. 프랑스 개인정보 보호법 제112조와 제113조에서도 EU 역외 국가로의 개인정보 이전 허용 요건에 대해 규정하고 있으며 이는 다음과 같다.
- ① 형사 처벌 수행이나 범죄 예방을 위한 수사를 위해 필요한 경우
- ② 개인정보를 이전한 국가가 해당 국가법에 의거해 사전에 이전을 허가한 경우
- ③ 정보주체 혹은 제3자의 중요한 이익을 보장하기 위한 경우
- ④ 프랑스법 규정에 따라 정보주체의 정당한 이익을 보장하기 위한 경우
- ⑤ 다른 국가의 공공의 안전에 대한 중대한 위험을 예방하기 위한 경우
제123조와 제124조에서도 개인정보 국외이전 요건에 대해 규정하고 있으며 정보주체의 명시적 동의가 존재하거나 다음 각 호에 해당하는 상황의 경우 국외 이전을 허용한다.
- ① 정보주체의 중대한 이익 보호
- ② 공익 추구
- ③ 법 집행에 있어 권리 보호 혹은 행사를 위한 경우
- ④ 법 규정에 따라 정보 제공을 목적으로 하는 경우
- ⑤ 컨트롤러와 정보주체 간 계약 이행 또는 정보주체 요청에 따라 취해진 사전 계약 조치의 이행의 경우
- ⑥ 정보주체의 이익을 위해 컨트롤러와 제3자 간의 계약 체결 혹은 이행을 위한 경우
나. 정보주체 권리(제48조~제56조)
프랑스 개인정보 보호법 상 정보주체 권리 조항은 GDPR 제12조부터 제14조의 규정을 따르며 주요 내용과 세부 사항은 프랑스 법 조항을 통해 다룬다.
(1) 정보를 제공받을 권리(제48조)
정보주체는 개인정보를 제공 시 정보주체 권리에 대해 사전고지를 받은 경우를 제외하고는 컨트롤러나 그 대리인을 통해 개인정보 처리 방침에 대해 결정할 권리가 존재한다는 사실에 대해 고지 받을 권리가 있다. 다만, 정보주체 권리는 법에 규정된 조건에 따라 수집되거나 국가안보, 세금 징수, 법 집행 등을 위해 처리되는 정보의 경우에는 해당하지 않는다. 이 경우에 정보주체 권리가 제한되는 처리는 문서로 규정되어야 한다. 한편, 정보주체가 15세 미만의 미성년자인 경우는 GDPR 제13조에 해당하는 정보주체 권리에 대해 이해하기 쉬운 표현을 사용해 고지해야 한다.
(2) 접근권(제49조)
정보주체는 자신의 개인정보 처리와 관련한 사항에 대해 컨트롤러에게 정보를 요구할 권리를 지니며, 이는 다음과 같다(GDPR 제15조).
- ① 처리 목적
- ② 처리되는 개인정보 유형(category)
- ③ 개인정보를 제공받았거나 제공받을 수령인 혹은 수령인의 범주
- ④ (가능하다면) 개인정보의 예상 보유기간 또는 (가능하지 않다면) 해당기간을 결정하기 위해 이용되는 기준
- ⑤ 컨트롤러에게 본인의 개인정보에 대한 수정, 삭제 또는 처리제한이나 처리에 대한 반대를 요구할 수 있는 권리의 유무
- ⑥ 감독기구에 민원을 제기할 수 있는 권리
- ⑦ 개인정보가 정보주체로부터 수집되지 않은 경우 개인정보의 출처에 대한 모든 가용한 정보
- ⑧ GDPR 제22조제1항, 제4항에 규정된 프로파일링 등 자동화된 의사결정의 유무와 관련 로직에 대한 유의미한 정보, 이러한 처리가 정보주체에게 미치는 유의성과 예상되는 결과
이 밖에도 프랑스 법률에 따르면, 관할 판사는 개인정보의 은폐 또는 분실 위험이 있는 경우에 명령을 통해 이를 방지하기 위한 조치를 취할 수 있다. 다만 개인정보가 정보주체의 사생활과 개인정보보호를 침해할 가능성이 있는 모든 위험이 배제되는 형태로, 통계 작성 및 과학적·역사적 연구 실행 목적으로만 사용되고 필요 기간만 보존하는 경우에는 예외로 한다.
(3) 정정권(제50조)
GDPR은 제5조제1항(d)를 통해 정보주체를 높은 수준으로 보호하기 위해서 제공한 개인정보의 정확성을 유지해야하는 정확성의 원칙에 관한 규정을 두고 있다. 이와 관련해 정보주체는 본인에 관한 개인정보가 정확하지 않은 부분을 수정하도록 컨트롤러에게 요구할 수 있다(GDPR 제16조). 또한, 정보주체는 처리 목적을 고려하여 컨트롤러에게 추가 정보를 제공함으로써 불완전한 정보를 보완할 수 있는 권리를 가진다. 이름, 주소, 전화번호의 변경 등은 단순한 요구만으로도 정정이 가능하나 정보주체의 법적인 본인 확인 용도이거나 법률 문서의 송달을 위한 거주지 주소 변경과 같은 경우에는 단순 정정 요구만으로는 부족하다. 이러한 경우 컨트롤러는 정보주체에게 기존 정보의 부정확성을 확인하기 위해 합리적 수준의 증거를 요구할 수 있다.
(4) 삭제권(‘잊힐 권리,’ 제51조)
GDPR 제17조에서는 정보주체가 컨트롤러에게 자신과 관련한 개인정보의 삭제를 요구할 권리를 보장한다. 정보주체는 자신에 관한 개인정보를 삭제하도록 함으로써 개인정보의 처리가 더 이상 이루어지지 않도록 할 수 있다. 컨트롤러는 다음 중 하나에 해당할 경우 지체 없이(without undue delay) 개인정보를 삭제할 의무를 부담한다.
- ① 개인정보가 수집 목적 또는 다른 방식으로 처리되는 목적에 더 이상 필요하지 않은 경우
- ② 정보주체가 동의를 철회하여 해당 처리에 대한 다른 법적 근거가 없는 경우
- ③ 정보주체가 제21조제1항(국가 안보·국방·공공안보·범죄예방)에 따라서 처리에 반대하고 관련 처리에 대하여 우선하는 정당한 사유가 없는 경우, 또는 제21조제2항에 따라서 직접 마케팅을 위한 처리에 반대하는 경우
- ④ 개인정보가 불법적으로 처리된 경우(GDPR 위반)
- ⑤ 정보처리자에 적용되는 유럽연합 내지 회원국 법률에 따른 법적 의무 준수를 위하여 삭제되어야 하는 경우
- ⑥ 감독기구에 민원을 제기할 수 있는 권리
더불어 아동을 대상으로 하는 서비스의 경우에 아동의 개인정보 처리에 대한 합법성 입증 책임은 컨트롤러에게 있으며, 책임의 원칙에 따라 컨트롤러는 언제라도 개인정보 처리의 정당한 근거가 있음을 보여줄 수 있어야 한다. GDPR에서는 삭제 거부가 가능한 다음의 경우 또한 명시하고 있다(제17조제3항).
- ① 표현 및 정보의 자유에 관한 권리 행사를 위한 경우
- ② EU 또는 회원국 법률에 따른 법적 의무를 준수하거나 공익을 위한 직무 수행을 위한 경우, 컨트롤러에게 부여된 공정 권한의 행사를 위한 경우
- ③ 공중 보건 분야의 공익을 위한 경우
- ④ 공익을 위한 기록 보존, 과학적·역사적 연구 또는 통계 목적을 위한 것인 경우로서 삭제권의 행사가 불가능하다고 생각되거나 삭제권의 행사로 해당 처리 목적 달성을 심각하게 저해할 가능성이 있는 경우
- ⑤ 법적 청구권의 확립·행사·방어를 위한 경우
프랑스 개인정보 보호법은 삭제권과 관련하여 ‘컨트롤러는 정보수집 당시에 정보주체가 미성년자인 경우에 서비스 제공 차원에서 수집한 개인정보를 최대한 빠른 시일에 삭제해야 한다’고 규정한다. 또한 컨트롤러는 삭제 요청을 받은 정보를 제3의 컨트롤러에게 전달하는 경우에 처리 비용과 사용 가능 기술을 고려한 기술적 차원의 조치를 취해야 하며, 정보주체가 삭제권을 요청했다는 사실을 제3의 컨트롤러에게 알려야 한다. 정보주체의 개인정보 삭제 요청에 대해 컨트롤러는 한 달 내에 응답하여야 하며, 응답이 부재할 경우에 정보주체는 CNIL에 의견 요청을 할 수 있다. CNIL은 이러한 요청에 대해 3주 이내에 응답해야 한다.
(5) 공공 업무 수행을 위한 개인정보 처리 상황에서 정보주체 권리(제52조)
제49조부터 제51조까지의 예외로 공공 행정 기관과 공공 서비스를 담당하는 개인에 의해 실행된 규제 또는 세금 징수 의무 이행을 위해 시행된 처리의 경우에는 접근·정정·삭제권에 제한을 둘 수 있다.
(6) 처리 제한권(제53조)
프랑스 개인정보 보호법의 처리 제한권은 GDPR 제18조를 따라, 정보주체는 자신에 관한 개인정보 처리를 차단하거나 제한할 권리를 보장한다. 개인정보 처리가 제한되면 컨트롤러는 그 정보를 보유만 할 수 있고 이용·제공 등의 처리는 제한된다. 정보주체의 처리 제한권은 개인정보의 정확성, 처리의 합법성 등에 대하여 다툼이 있거나 소송 수행 등을 위하여 보존의 필요성이 있는 경우에 이용을 제한하되 삭제는 보류할 수 있도록 요구할 수 있는 권리이다. 컨트롤러는 다음 중 하나에 해당할 경우에 정보주체의 개인정보 처리 제한 요구를 이행하여야 한다.
- ① 정보주체가 개인정보의 정확성에 이의를 제기한 경우에 개인정보의 정확성을 입증할 때까지 처리 제한이 필요한 경우
- ② 정보 처리가 불법적으로 이루어지고 정보주체가 개인정보의 삭제에 반대하면서 대신에 그 개인정보의 이용 제한을 요청한 경우
- ③ 더 이상 개인정보가 필요하지 않지만, 정보주체가 법적 청구권의 확립·행사·방어를 위하여 그 정보를 요구한 경우
- ④ 정보주체가 제21조제1항에 따라 처리에 반대한 경우에 컨트롤러의 정당한 근거가 정보주체의 정당한 근거에 우선하는지 여부가 확인될 때까지 처리 제한이 필요한 경우
GDPR 제19조에서는 개인정보를 수령인에게 공개·제공하였다면 가능한 수령인에게 해당 처리 제한에 대하여 통지하여야 한다고 명시한다. 또한 컨트롤러는 정보주체가 요구하는 경우에 정보의 수령인에 대한 내용 또한 정보주체에게 통지하여야 한다. 개인정보 처리 제한은 ‘선택된 정보를 임시로 다른 처리 시스템으로 이전’하거나 ‘선별된 개인정보를 이용하지 못하도록 조치 또는 공개적으로 접근하지 못하도록 하거나 공개된 개인정보를 웹사이트에서 임시로 제거하는 방식’으로 이루어진다.
(7) 이동권(제55조)
프랑스 개인정보 보호법의 이동권은 GDPR 제20조를 따른다. 개인정보 이동권은 정보주체의 개인정보를 다른 컨트롤러에게 전송할 수 있게 해줌으로써 정보주체에게 자신과 관련한 개인정보에 대하여 더 많은 통제력을 부여하고, EU 내에서 개인정보의 자유로운 흐름을 보장할 수 있도록 한다. 개인정보 이동권은 처리한 개인정보를 받을 수 있는 권리와 컨트롤러 간 개인정보를 전송할 수 있는 다음의 두 가지 내용으로 구성된다.
- ① 정보주체가 컨트롤러에게 제공한 자신의 개인정보를 체계적으로 구성되고, 일반적으로 사용되며, 기계 판독이 가능한 형식으로 제공받을 권리
- ② 기술적으로 가능한 경우 그 정보를 다른 컨트롤러에게 직접 이전할 것을 요구할 수 있는 권리
개인정보 이동권은 정보주체가 개인정보의 처리에 동의하거나 계약의 이행에 필요한 경우 혹은 자동화된 수단에 의해 처리가 이루어지는 경우에 행사 가능하다.
(8) 반대권(제56조)
프랑스 개인정보 보호법의 반대권은 GDPR 제21조의 규정을 따른다. 정보주체의 반대권은 컨트롤러에 대하여 자신의 개인정보 처리에 반대할 권리를 보장한다. GDPR은 다음 세 가지의 경우에 대하여 정보주체의 반대권을 보장한다.
- ① 직접 마케팅(프로파일링 포함)을 통해 개인정보가 처리되는 경우
- ② 컨트롤러의 적법한 이익 또는 공적 업무 수행에 근거한 개인정보 처리의 경우
- ③ 과학적·역사적 연구 및 통계 목적을 위한 처리의 경우
반대권은 정보주체 권리 행사와 관련한 GDPR 제23조의 예외 상황(국가 안보, 범죄 예방 및 법 집행, EU 회원국의 중대한 이익 보장, 공익 추구 등)에 해당하거나 컨트롤러가 개인정보 처리에 관해 법에 규정된 의무 사항을 충족하는 경우에는 제한받을 수 있다.
다. 컨트롤러 및 프로세서의 의무(제57조~제80조)
프랑스 개인정보 보호법 내 컨트롤러와 프로세서의 의무는 ‘제2편 GDPR에 의해 규정된 법제에 속하는 처리,’ ‘제3편 형사법절차에서 개인정보보호지침,’ ‘제4편 국가 안보 및 방위에 관한 처리’ 등 처리 상황에 따라 각기 규정하고 있으며, 본 항목에서는 일반적인 컨트롤러와 프로세서 의무 사항에 대해 설명한다.
(1) 개인 데이터 처리를 위한 기술적·조직적 조치 의무(제57조)
프랑스 개인정보 보호법은 GDPR 제24조를 적용하여 컨트롤러가 개인정보 처리 시, GDPR과 프랑스 개인정보 보호법에 부합함을 보장하고 입증하기 위해 적절한 기술적·조직적 조치를 수행해야 함을 명시한다. 컨트롤러는 GDPR 제30조에 따라 다음의 사항을 개인정보 처리 활동 기록을 보유해야 한다. 일정한 경우 수탁자 또한 이 조항에 동일하게 적용된다. 컨트롤러와 프로세서는 GDPR 제4장 제4절에 규정된 바에 따라 개인정보보호책임자(DPO) 또는 대리인을 임명해야 한다.
GDPR 제30조에서 규정하는 개인정보 처리 활동 기록에 포함되어야 하는 사항은 다음과 같다.
| 컨트롤러와 그 대리인의 경우 | 프로세서와 그 대리인의 경우 |
|---|---|
| ① 컨트롤러와 공동 컨트롤러, 컨트롤러의 대리인 및 DPO의 이름과 연락처 | ① 프로세서(들)와 프로세서가 대행하는 각 컨트롤러 및 컨트롤러·프로세서의 대리인, DPO의 이름과 연락처 |
| ② 처리의 목적 | ② 각 컨트롤러를 대신하여 수행되는 처리의 범주 |
| ③ 정보주체의 범주 및 개인정보 범주에 대한 설명 | |
| ④ (해당되는 경우) 제3국 또는 국제기구로의 개인정보 이전의 경우, 이전 방식에 대한 적절한 보호조치 | ③ (해당되는 경우) 제3국 또는 국제기구로의 개인정보 이전의 경우, 이전 방식에 대한 적절한 보호조치 |
| ⑤ (가능한 경우) 개인정보 유형별 보유기간 | |
| ⑥ (가능한 경우) 제32조제1항에 언급된 기술적· 관리적 보호조치에 대한 일반적인 설명 | ④ (가능한 경우) 제32조제1항에 언급된 기술적·관리적 보호조치에 대한 일반적인 설명 |
(2) 다수의 컨트롤러가 존재하는 경우 의무의 적용(제59조)
두 명 이상의 정보처리자가 공동으로 처리의 목적과 수단을 결정하는 경우에 이들은 공동 컨트롤러(joint controller)가 된다(GDPR 제26조). 공동 컨트롤러는 개인정보 처리 목적 및 수단을 단독 또는 공동으로 결정하는 개인·법인·공공기관·기타 단체를 의미한다. 공동 컨트롤러는 당사자 간 합의를 통해 개인정보 처리 관련 정보를 정보주체에게 고지하는 의무(GDPR 제13조 및 제14조)를 투명하게 결정해야 하며, 합의의 주요 내용은 정보주체에게 제공되어야 한다. 공동 컨트롤러는 개인정보 침해로 인한 피해 발생 시, 공동으로 법적 책임을 부담하며 정보주체는 개별 컨트롤러에 대하여 GDPR에서 규정하는 정보주체의 권리를 주장할 수 있다.
(3) 프로세서의 의무(제60조)
프로세서가 준수해야 할 의무는 GDPR 제28조에서 규정한 사항과 프랑스 개인정보 보호법을 통해 개별적으로 명시하고 있다. 프로세서는 컨트롤러를 대신하여 개인정보의 처리를 수행하므로 컨트롤러는 GDPR 요구사항을 준수하고 정보주체 권리 보호에 적합한 기술적·조직적 조치를 취하고 있다고 확인된 프로세서를 선택해야 한다. 프로세서는 컨트롤러가 사전에 허용하거나 구체적 혹은 서면을 통해 승인하지 않는 한 다른 프로세서를 추가할 수 없다. 사전 서면 승인이 있는 경우에도 프로세서는 컨트롤러에게 다른 프로세서의 추가에 대한 사항을 고지해야하며, 컨트롤러가 의견을 제시할 기회를 제공해야 한다.
프로세서 또한 개인정보 처리와 관련한 사항을 GDPR 제30조에 따라 기록해야 하며, 이는 프로세서 대리인의 경우에도 동일하게 적용된다.
(4) 개인정보 영향평가 의무(제62조)
프랑스 개인정보 보호법에서는 컨트롤러가 개인정보 처리 수행 전 GDPR 제35조에 규정된 조건에 따라 개인정보 처리 작업의 영향평가를 수행하도록 규정하고 있다. GDPR에서는 개인정보 처리가 자연인의 권리와 자유에 높은 위험을 초래할 가능성이 있는 경우에 컨트롤러가 정기적 영향평가를 수행해야 함을 규정한다. 개인정보 영향평가(Data Protection Impact Assessment, DPIA)란, 개인정보 처리를 분석하고 그 처리의 필요성과 영향을 고려하여 처리로 인해 발생 가능한 자연인의 권리와 자유에 대한 위험을 평가하고 해당 위험을 다루는 방법을 결정함으로써 그 위험을 관리하기 위해 만들어진 프로세스를 의미한다. 특히 GDPR에서는 다음의 경우 개인정보 처리 작업에 대한 영향평가를 의무적으로 시행하도록 하고 있다.
- ① 자동화된 개인정보 처리(프로파일링 포함)에 근거한 개인에 대한 체계적이고 광범위한 평가로, 해당 평가를 바탕으로 한 결정이 해당 정보주체에게 법적 효력을 미치거나 이와 유사하게 중대한 영향을 미치는 경우
- ② 민감정보 또는 범죄정보에 대한 대규모 처리를 하는 경우
- ③ 공개적으로 접근 가능한 장소에 대한 대규모의 체계적 모니터링을 하는 경우(예, CCTV)
그러나 다음에 해당하는 경우에는 개인정보 영향평가 수행을 예외로 한다.
- ① 감독기구가 유럽개인정보보호이사회(EDPB)에 통보한 개인정보 영향평가가 요구되지 않는 처리 작업 종류 목록에 해당하는 경우
- ② 컨트롤러에게 적용되는 법적 의무 이행을 위하여 필요한 처리나 공익을 위하여 수행되는 직무의 이행 또는 컨트롤러에게 부여된 공적 권한의 행사에 필요한 처리인 경우로 해당 법률에서 특정 처리 작업이나 일련의 관련 작업을 규정하고 있으며 해당 법적 근거 채택 과정에서 개인정보 영향평가가 이미 실시된 경우
영향평가 시에는 ‘개인정보 처리와 목적에 대한 체계적 기술,’ ‘목적 관련 개인정보 처리 작업의 필요성과 비례성에 대한 평가,’ ‘정보주체의 권리와 자유에 대한 위험의 평가,’ ‘개인정보의 보호와 GDPR 준수를 입증하기 위한 보안조치,’ ‘보호대책 및 메커니즘 등 위험을 처리할 것으로 예상되는 조치’에 대한 내용을 모두 포함해야 한다.
(5) 보건(건강) 분야 개인정보 처리 시의 의무(제64조~제67조)
프랑스 개인정보 보호법에서는 의료·건강과 관련한 개인정보 처리 시 컨트롤러의 의무와 일반사항을 규정하고 있다. 개인의 건강 분야 개인정보(예, 의료기록, 생체정보 등)는 GDPR에서 규정한 ‘특정 범주의 개인정보‘에 해당하며 정보주체의 명시적 동의가 존재하거나 급박한 생명 또는 재산상 손해를 방지하기 위한 경우 등에는 이를 근거로 처리가 가능하다. 또한, 프랑스 개인정보 보호법에서는 개인 건강 관련 정보가 공익 추구를 목적으로 하는 경우에는 처리가 가능하도록 하고 있다. 건강 관련 개인정보 처리의 법적 근거와 표준규정은 ’공중보건법’ 제L. 1462-1조에 언급된 건강정보 플랫폼과 관계 당사자들의 대표 공공기관 및 사립기관과 협의하여 CNIL이 정한다. 이러한 준거에 부합하는 처리가 실행되려면 컨트롤러가 이러한 부합성을 증명하는 신고서를 CNIL에 사전 제출해야 한다.
개인의 건강 관련 정보를 활용하기 위해서는 기밀 유지를 보장해야하며 CNIL은 이와 관련한 기술적 절차에 대한 권장사항 및 기준을 채택할 수 있다. 또한, 정보처리 결과가 일반에 공개될 경우 정보주체의 직·간접적 식별화가 불가능해야하며 정보를 제공하거나 열람하는 사람에게 부여되는 기밀 유지 의무를 어길 시 형법 제226-13조에 의해 처벌받게 된다.
(6) 과학적·역사적 연구 목적 또는 통계적 목적의 처리(제78조~제80조)
프랑스 개인정보 보호법에서는 개인정보 처리가 공익을 목표로 하거나 기록 보관 상의 목적으로 하는 경우, GDPR의 정보주체의 권리 보호를 위한 행위가 이러한 목적 달성을 저해한다고 인정되는 경우에는 일정한 정보주체 권리(GDPR 제15조, 제16조, 제18조부터 제21조)에 관한 규정이 적용되지 않는다.
표현과 정보의 자유를 보장하기 위한 개인정보 처리에 대해서는 제80조 ‘보도·문학 및 예술적 표현 목적의 개인정보처리’에서 다루고 있다. 다음의 경우에는 GDPR에서 규정한 개인정보 처리에 관한 규정(제4조제5항, 제6조, 제46조, 제48조, 제49조, 제50조, 제53조, 제118조, 제119조 및 제5장)은 적용되지 않는다.
- ① 학문적, 예술적, 또는 문학적 표현의 목적
- ② 직업윤리 규칙을 준수하면서 기자 활동을 직업적으로 수행하기 위한 목적
반론 게재 청구권 행사 조건의 규정과 개인의 명성과 사생활에 대한 침해 예방·제한·배상과 관련하여 처벌하는 민법, 인쇄 또는 방송 매체에 관한 법률들, 형법의 규정을 적용하는 데 있어서도 GDPR 상 개인정보 처리 규정은 적용되지 않는다.
(7) 전자통신분야에서 컨트롤러의 의무(제81조~제83조)
전자통신분야의 컨트롤러는 사전 고지한 경우를 제외하고는 전자통신 서비스 가입자 및 이용자에게 다음의 정보를 제공하여야 한다.
- ① 가입자 또는 이용자 전자단말에 저장된 정보에 접근하는 행위나 정보를 기입하려는 행위의 목적
- ② 컨트롤러의 정보 접근이나 기입하려는 행위에 대해 반대할 수 있는 방법과 기타 단말 접근 시 동의 획득 의무
컨트롤러는 전자통신서비스 이용자 및 이용자의 단말에 연결된 기타 장치에 접근하기 위하여 해당 이용자의 동의를 받아야 한다. 그러나 다음의 경우에는 그러하지 아니하다.
- ① 통신을 가능하게 하거나 용이하게 하려는 목적만을 위한 경우
- ② 이용자 요청에 따라 온라인 통신 서비스 제공에 반드시 필요한 경우
개인정보의 파기 또는 분실, 변조, 누설, 허가되지 않은 열람을 초래하는 보안상의 침해가 발생한 경우에 정보통신서비스 제공자는 CNIL에게 지체 없이 이러한 사실을 알려야 하며, 이러한 사실이 가입자 혹은 다른 정보주체의 사생활을 침해할 우려가 있는 경우 당사자에게 이를 알려야 한다. 다만 서비스 제공자가 적절한 보호조치를 취했고 이러한 조치가 침해에 연관된 정보에 적용되었다고 CNIL이 판단할 경우에는 당사자에게 개인정보 침해를 통지할 필요 없다. 그렇지 않을 경우, CNIL은 침해의 중대성을 조사한 후에 관련 당사자에게 통보할 것을 서비스 제공자에게 독촉할 수 있다. 전자통신 서비스 제공자는 개인정보 침해, 특히 그 방법과 영향에 대해서 그리고 이를 개선하기 위해서 취한 조치에 대한 목록에 대해 최신성을 유지하고 위원회에 제공하기 위해 보관한다.
라. 개인정보 감독기구(제8조~제18조)
(1) 역할 및 권한(제8조)
CNIL은 독립된 행정기관으로서 ① 정보주체와 컨트롤러에게 권리와 의무를 통지하고, 이를 위해 지방자치단체와 지방자치단체 협력체, 중소기업에 적합한 정보를 제공한다. 또한 CNIL은 EU법과 프랑스의 국제적인 약속에 규정된 개인정보의 보호에 관한 다른 조항에 따라 개인정보처리가 실행되고 있는지 감시한다. CNIL은 컨트롤러와 프로세서의 개인정보 처리가 국내법 및 GDPR에 부합하고 안전하게 이루어지도록 가이드라인이나 권고, 기준을 정하고 게재한다. CNIL은 정보주체 또는 기관이나 단체, 협회에 의한 청구와 탄원, 고소를 다루고 수사 진행 상황과 조사 결과에 대하여 합리적인 기간 내에 이를 청구자에게 알린다. 또한, CNIL은 개인정보 관련 중죄·경죄가 발생한 것을 알게 된 경우에 검찰에 이를 즉시 알리고 관련 사안에 대해 소견을 제출할 수 있다.
CNIL은 개인정보보호 인증에 관한 업무를 담당한다. CNIL은 기업체 규모별 인증 기준을 세울 수 있으며, GDPR 내 국가인증기관 기준에 따라 인증 부여 기관을 인가하거나 인증 부여 기관과 함께 인증을 요청하는 업체에 대해 평가하고 인증 여부에 대해 결정할 수 있다.
(2) 교정조치 및 제재(제20조~제23조)
CNIL은 법을 위반한 대상에 대해 경고와 독촉뿐만 아니라 소송위원회 결정을 통해 관할 재판소에 과징금 부과를 요청할 수 있다. CNIL은 법을 위반하거나 교정 조치를 이행하지 않은 기관에 대하여 인증을 거부하거나 취소할 수 있는 권리를 가지며, 문제가 되는 개인정보 처리에 대한 중단을 강제할 수 있다.
4디지털 공화국법
디지털 공화국법(LOI n 2016-1321 du 7 octobre 2016 pour une République numérique (1))은 2016년 10월 7일 제정되어 시행 중이다. 디지털 공화국법은 지식의 공유를 통해 시민의 권리를 보장하고 이를 통해 데이터 경제를 활성화하여 디지털이 주는 혜택을 모두가 누릴 수 있는 평등 실현을 목표로 한다. 디지털 공화국법은 ‘공익데이터’의 개념을 규정하며 국가 통계 정보, 공공 도로 정보, 판결 결과, 부동산 거래에 따른 조세 정보 등의 정보를 공개하도록 한다.
해당 법은 전체 4편(title), 7장(chapter), 10절(section), 113개 조항으로 이루어져 있으며, 프랑스의 국가 이념인 자유, 평등, 박애를 따라 현대 사회에서의 ‘정보와 지식의 순환을 위한 더 큰 자유,’ ‘인터넷 사용자의 권리 보장과 평등,’ ‘국민 모두에게 개방된 디지털 사회를 위한 박애’를 추구한다.
디지털 공화국법은 GDPR 발효와 변화에 맞춰 법 내용을 개정하였다. 개정의 핵심은 기존 법률 및 관련 규범을 통해 규정하던 행정기관이나 사업자의 무분별한 개인정보 접근과 활용을 제한하고 정보주체 편의와 권리를 보장하기 위함이다. 그 중 주된 변경 내용은 다음과 같다.
- ① 비식별화하지 않고 공개될 수 있는 행정문서 범위의 정의(제6조)
- ② 공적 정보의 무료 재사용을 위한 허가 및 국가의 승인(제9조)
- ③ 공적 데이터베이스에 대한 안전한 접근절차의 마련(제36조)
- ④ 망 중립성 및 관련 조사 행위의 정의와 규정(제40조)
- ⑤ 정보의 공정성, 명확성 및 투명성 강화를 위한 운영지침 작성 및 배포의 기준 제정(제49조)
- ⑥ 온라인 소비자 의견(리뷰)과 관련한 의무 규정(제52조)
- ⑦ 디지털 보안서비스에 의해 저장된 문서와 자료의 회수 조건 규정(제87조)
디지털 공화국법에서는 공익데이터의 공개와 관련하여 제6조에서 행정기관이 일정한 행정문서(전자적 형태로 배포 가능한 것에 한함)를 온라인으로 공개하도록 규정하고 있으며, ‘비식별화 절차의 대상이 되지 않고 공개될 수 있는 행정문서의 범위에 관한 2018년 12월 10일의 제2018-1117호 시행령(Decret n 2018-1117 du 10 decembre 2018 relatif aux categories de documents administratifs pouvant etre rendus publics sans faire l’objet d’un processus d’anonymisation)’을 통해 비식별화 절차의 대상이 되지 않고 공개될 수 있는 행정문서의 범위를 안내하고 있다.
디지털 공화국법 제9조에서는 국가, 지방자치단체, 공법상 법인 혹은 공공 서비스에 관한 임무를 수행하는 법인에 의해서 송부 혹은 게재된 문서들에 담긴 공적 정보들이 공공서비스 목적 외의 다른 목적으로 사용하고자 하는 모든 사람들에 의해 재사용될 수 있으며, 이러한 재사용의 한계와 조건은 공적 정보 재사용에 의해 규율된다고 규정하고 있다. 또한 디지털 공화국법 제11조제2호에 의해 기업이 공적 정보의 재사용에 대하여 허가를 받아야 하는 경우에 만일 행정기관이 명령으로 정해진 허가 이외의 허가를 하고자 하는 경우에는 사전에 이에 대한 국가 승인을 받아야 하며, 그 관련 요건에 대해 ‘공적 정보의 무료 재사용을 위한 허가 및 허가에 대한 (국가의) 승인에 관한 2017년 4월 27일 제2017-638호 시행령(Decret n 2017-638 du 27 avril 2017 relatif aux licences de reutilisation a titre gratuit des informations publiques et aux modalites de leur homologation)’을 제정하여 ‘공적 정보의 재사용에 대한 오픈 라이선스’와 ‘오픈데이터베이스 라이선스’를 받게 할 수 있다고 규정하고 있다.
공적 데이터베이스에 대한 안전한 접근절차와 관련하여 디지털 공화국법 제36조제I항에서는 공익적 연구를 위한 정보처리를 목적으로 데이터베이스를 요청하는 경우에, 해당 데이터베이스를 보유한 행정기관 또는 기록물관리 행정기관은 ‘통계 관련 의무, 협업 및 기밀에 관한 1951년 6월 7일 제51-711호 법률(Loi n 51-711 du 7 juin 1951 sur l’obligation, la coordination et le secret en matiere de statistiques)’에 의해 설립된 ‘통계비밀위원회’에 자문을 구할 수 있다. 위원회는 적절한 보안을 갖춘 정보들에 대하여 안전한 이용절차를 권할 수 있으며, 위원회는 ‘사생활의 보호 및 산업 및 영업비밀의 보호 등 법으로 보호되는 비밀에 관련한 쟁점들’과 ‘이용 신청의 대상이 된 연구의 성격 및 목적’을 고려하여 의견을 제시한다. 이와 관련하여 ‘공적 데이터베이스에 대한 안전한 접근 절차에 관한 2017년 5월 20일 제2017-349호 시행령(Decret n 2017-349 du 20 mars 2017 relatif a la procedure d’acces securise aux bases de donnees publiques)’을 제정하여 통계비밀위원회에 자문을 구하는 절차, 위원회 권고의 성격, 법률에 의해 부여될 수 있는 명령의 범위들을 규정하고 있다.
디지털 공화국법 제40조에서는 ‘망 중립성’에 대해 규정하도록 하고 있다. 또한 제43조를 통해 전자통신부와 전자통신 및 우편규제청(l’Autorite de regulation des communications electroniques et des postes, ARCEP) 소속 공무원으로서 최고행정법원의 시행령으로 정한 조건에 따라 선서를 한 자에 한해 관련 감독 및 조사업무를 수행하도록 한다. 이에 따라 ‘조사행위에 관한 2017년 5월 4일 제2017-768호 시행령(Decret n 2017-768 du 4 mai 2017 relatif aux actes d’enquete effectues en application du II de l’article L. 32-4 du code des posttes et des communications electroniques)’이 제정되어 전자통신부와 전자통신 및 우편규제청 소속 공무원들의 조사권과 조사보고서의 내용 및 통지 방식에 대해서 상세히 규정하고 있다.
디지털 공화국법 제49조는 ‘온라인 플랫폼 운영자(operateur de plateforme en ligne)’를 정의하고, 이들에게 일정한 내용에 대해서 공정·명확·투명한 정보를 제공할 의무를 부과하고 있다. 이에 ‘온라인 플랫폼 운영자가 소비자에게 전달되는 정보의 공정성, 명확성 및 투명성을 강화하기 위해 운영지침을 작성하고 배포해야 하는 접속자 기준을 정하는 것에 관한 2017년 9월 29일 2017-1435호 시행령(Decret n 2017-1435 du 29 septembre 2017 relatif a la fixation d’un seuil de connexions a partir duquel les operateurs de plateformes en ligne elaborent et diffusent des bonnes pratiques pour renforcer la loyaute, la clarte et la transparence des informations transmises aux consommaeurs)’을 제정하여 운영지침 작성 및 배포의 기준이 되는 접속자 수를 매월 순 방문자 500만 명으로 정하고 있다.
디지털 공화국법 제52조에서는 인터넷 상에서 소비자들의 의견을 수집, 처리 또는 배포하는 활동을 하는 경우에 이러한 처리 방식을 공정하고 명확하고 투명하게 전달하도록 규정한다. 이에 따라 ‘소비자의 온라인 의견과 관련된 정보 의무에 관한 2017년 9월 29일 2017-1436호 시행령(Decret n 2017-1436 du 29 septembre 2017 relatif aux obligations d’information relatives aux avis en ligne de consommateurs)’을 제정하여 온라인 의견의 개념 정의, 온라인 의견 서비스의 운영 방법과 의견 통제 절차 등을 열거하고, 소비자가 자신의 의견이 발표되길 원하지 않는 경우에 거부권을 행사하고 그 결과를 통지하는 방식에 대해 규정한다.
5기타 개인정보 관련 가이드라인 현황
| 구분 | 주요 내용 | 주요 내용 |
|---|---|---|
|
의료 및 준의료 기관 개인정보 처리 관련 기준 |
· 민간 의료종사자들의 개인정보처리 규정 준수를 위한 기준 안내 |
'20.07 |
|
저장기간 실무가이드 |
· 개인정보 처리 관련 종사자들의 개인정보 저장기간에 대한 이해를 돕기 위한 가이드 |
'20.07 |
|
‘승인된 제3자’ 실무가이드 |
· ‘승인된 제3자’의 정의 및 개인정보 이전 요청 및 식별, 처리에 대한 가이드 |
'20.07 |
|
GDPR 개발자 가이드 |
· GDPR을 준수하면서 응용 프로그램을 개발하고 배포할 때 고려해야 할 다양한 주의사항 안내 |
'20.06.11 |
가. 의료 및 준의료기관 개인정보처리 관련 기준(Référentiel relatif aux traitements de données à caractère personnel destinés à la gestion des cabinets médicaux et paramédicaux)
일반의, 전문의, 간호사, 물리치료사, 발 전문치료사, 발음교정사 등의 민간 의료종사자를 주요 대상으로 하는 기준으로, 환자의 의료 및 행정관리 측면에서 개인정보를 처리할 때, 저장 기간, 처리 목적, 법적 근거, 범위, 개인정보에 대한 접근 및 최종 사용자, 정보주체에 대한 고지 의무 및 정보주체의 권리에 대해 안내하고 있다.
① 의료 종사자들은 의무적으로 개인정보 처리를 기록해야 하며 개인정보 처리 목적이 업무의 성격에 부합해야 한다.
② 최소한의 개인정보만을 처리하기 위해 의료 및 행정 관리의 목적에 부합하는 정보만을 수집하고 사용한다(예: 환자의 신원 및 연락처, 가족관계, 건강보험번호 등).
③ 업무 수행에 환자의 개인정보가 반드시 필요한 의료 종사자, 예방 및 치료 관련 종사자, 사무직원, 건강보험기관 직원, 사보험기관 직원, 보건 분야 연구기관 및 의료관행평가 전문기관에만 개인정보에 대한 접근 및 사용을 허용한다.
나. 저장기간 실무 가이드 (Guide pratique : Les durées de conservation)
개인정보 수집 및 처리를 수행해야 하는 민간 또는 공공 조직을 주요 대상으로 하며 저장기간 제한 원칙, 저장기간의 정의 및 적용, 저장기간 기준 등을 안내한다.
① 컨트롤러는 GDPR 제5조에 명시된 원칙에 따라 처리 목적에 부합하는 저장기간을 정해야 하며 특별히 필요한 경우에만 저장기간을 정하지 않을 수 있다.
② 공공보건법, 국가보안법 등의 관련 법조항이나 규제조항, CNIL의 판결이 저장기간 고려의 기준이 될 수 있다.
다. ‘승인된 제3자‘ 실무 가이드(Guide pratique : «tiers autorisés»)
GDPR 제4조 제9항에서 언급된 ‘승인된 제3자’의 정의와 ‘승인된 제3자’의 개인정보 제공 요청을 받는 컨트롤러가 주의할 사항을 골자로 한다. GDPR 제4조 제9항은 수령인을 “제3자인지 여부와 관계없이 개인정보를 제공받는 자연인이나 법인, 정부부처 및 관련기관, 기타 단체 등을 의미”한다고 정의하고 있다. 단, “EU 또는 회원국 법률에 따라 특정한 문의·회신 및 조회 업무를 수행하는 체제에서 개인정보를 제공받는 공공당국은 수령인으로 간주하지 않는다”고 예외를 두는데, CNIL은 이러한 공공당국들을 ‘승인된 제3자(tiers autorisé)’라고 명명하며 그 예로 세무당국, 생계보조비(Revenu de solidarité active, RSA) 지급 심사, 지급 및 감시 담당 기관, 사법경찰, 헌병대 관련 행정조직, 사법보좌관이 있다. 또한, '승인된 제3자’의 개인정보 제공 요청과 관련해 ① 법적 권한 및 개인정보보호 원칙 ② ‘승인된 제3자’의 요청 식별 ③ 요청의 출처 및 범위 확인 ④ 정보 이전 시 보안에 대해 설명하고 있다.
라. 개발자를 위한 GDPR 가이드(Guide RGPD du développeur)
응용 프로그램 개발 및 프로그램 배포 시, 이용자의 개인정보 보호를 위한 고려 사항 안내를 주요 내용으로 한다. ① GDPR에 따른 개발 ② 개인정보 식별 ③ 개발 준비 ④ 개발 환경 보안 ⑤ 소스코드 관리 ⑥ 정보에 입각한 아키텍처 선택 ⑦ 웹사이트, 응용 프로그램 및 서버 보안 ⑧ 개인정보 수집 최소화 ⑨ 사용자 프로필 관리 등에 대해 설명한다. CNIL은 깃허브(GitHub)* 계정이 있는 개발자가 동 가이드 작성에 참여할 수 있도록 했으며 CNIL이 검토 후 공개한다.
* 분산버전관리시스템인 깃(Git)을 사용하는 프로젝트를 지원하는 웹호스팅 서비스로, Git에서 진행한 작업 내용 공유 가능
