규제 측면에서의 한국 ・EU・일본의 개인정보보호 법령의 비교 · •개인정보 보호책임자의 지정 의무 •안전성 확보조치 기준의 준수

법무법인 민후 김경환 변호사

2017 NAVER Privacy White Paper

규제 측면에서의 한국 ・ EU ・ 일본의

개인정보보호 법령의 비교

요약문 ······························································································································ 3

1. 서설 ···························································································································· 5

가. 규제의 개념 ·········································································································· 5

나. 개인정보 규제의 특징 ························································································· 6

다. 본 연구에서의 규제 비교의 방법 ······································································ 8

2. 수집 · 이용 관련 실체적 규제의 비교 ···································································· 10

가. 일반 개인정보 수집 · 이용의 ‘허용 사유’의 비교 ············································ 10

나. 민감정보 수집 · 이용의 ‘허용 사유’의 비교 ······················································ 13

다. 목적 외 이용의 ‘허용 사유’의 비교 ································································ 18

3. 제공 · 위탁 관련 실체적 규제의 비교 ···································································· 22

가. 제공의 ‘허용 사유’의 비교 ··············································································· 22

나. 위탁의 ‘절차’의 비교 ························································································· 26

다. 국외 이전의 ‘허용 사유’의 비교 ······································································ 27

4. 관리 · 파기 관련 실체적 규제의 비교 ···································································· 31

가. ‘파기 사유’의 비교 ····························································································· 31

나. ‘개인정보 유효기간 제도’의 비교 ······································································ 33

5. 종합적인 평가 ··········································································································· 34

6. 결어 ···························································································································· 36

참고문헌 ·························································································································· 37

목 차

3

1. 머리말

o 개인정보에 대한 규제는 정보주체에 대한 규제와 개인정보처리자 또는 정보통신서비

스제공자 등 정보처리자에 대한 규제가 있고, 정보처리자에 대한 규제는 개인정보

처리 자체를 하지 못하게 하는 실체적 규제와 개인정보 처리는 가능하지만 일정한

절차적 부담을 주는 절차적 규제로 나눌 수 있음

o 본 연구에서는 정보처리자의 영업의 자유를 제한하는 정보처리자에 대한 실체적 규

제를 중심으로, 한국의 개인정보보호법과 정보통신망법, EU의 GDPR, 일본의 개인정

보보호법을 상호 비교하고, 이를 토대로 우리나라의 규제가 어느 정도 되는지 및 상

대적인 순위가 어떻게 되는지에 대하여 파악하고자 함

o 실체적 규제는 수집 · 이용 · 제공 · 위탁 · 관리 · 파기의 생명주기 순서로 검토하되, 수

집 · 이용 단계에서는 일반 개인정보 수집 · 이용의 허용 사유, 민감정보 수집 · 이용의

허용 사유, 목적 외 이용의 허용 사유를 비교 · 검토하고, 제공 · 위탁 단계에서는 제

공의 허용 사유, 위탁의 절차 사유를 비교 · 검토하며, 관리 · 파기 단계에서는 파기

사유와 개인정보 유효기간 제도에 대하여 각각 비교 및 검토하였음

o 그 결과 대체로 EU GDPR이 가장 허용 사유가 많았고, 우리나라의 입법들이 허용

사유가 적었는바, EU GDPR이 우리 입법들에 비하여 유연한 태도를 취하고 있었음

o 한국의 개인정보보호법과 정보통신망법, EU의 GDPR, 일본의 개인정보보호법에 나타

난 실체적 규제를 비교하고 각각의 허용 사유에 대한 순위를 더하여 총점을 낸 결

과, EU의 GDPR이 가장 낮은 점수가 나와 실체적 규제가 가장 낮음이 밝혀졌으며,

한국의 정보통신망법이 가장 높은 점수가 나와 실체적 규제가 가장 높음이 밝혀짐.

일본의 개인정보보호법은 한국의 개인정보보호법보다는 실체적 규제의 정도가 낮은

것으로 드러남

o EU GDPR을 기준으로 비교하면, 일본 개인정보보호법은 1.4배의 규제가 더 있고,

우리나라 개인정보보호법은 2.6배, 우리나라 정보통신망법은 3.4배의 규제가 더 존재

(2.6배 ~ 3.4배). 일본 개인정보보호법을 기준으로 비교하면, 우리나라 개인정보보호법은

1.8배, 우리나라 정보통신망법은 2.4배의 규제가 더 존재하는 것으로 나타남(1.8배

~ 2.4배)

요약문

4

o 다른 입법에 비하여 상대적으로 높게 나타난 우리나라 개인정보보호 법령의 실체적

규제는 기업의 규제 비용을 증대시키고 개인정보의 활용도를 낮추는 역할을 하고 있

는바, 실체적 규제를 다른 입법 수준에 맞추어 조절하는 노력이 필요할 것으로 보임

5

관한 연구

김경환 (법무법인 민후 변호사)

1. 서설

가. 규제의 개념

규제란 ‘국가나 지방자치단체가 특정한 행정 목적을 실현하기 위하여 국민(국내법을 적용받

는 외국인을 포함한다)의 권리를 제한하거나 의무를 부과하는 것’을 의미한다(행정규제기본법

제2조 제1호).

따라서 국민의 권리제한 또는 의무부과에 관한 사항이 아닌 경우나 국민의 권리를 제한하

거나 의무를 부과하는 사항이기는 하지만 그것이 특정한 행정목적 실현을 위한 것이 아닌 경

우에는 규제가 될 수 없다.

이러한 규제는 법률에 근거하여야 하며, 그 내용은 알기 쉬운 용어로 구체적이고 명확하게 규

정되어야 한다. 다만, 규제의 세부적인 내용은 법률 또는 상위법령(上位法令)에서 구체적으로 범

위를 정하여 위임한 바에 따라 하위법령으로 정할 수 있다(행정규제기본법 제4조 참조).

우리 행정규제기본법 제5조는 규제를 도입함에 있어 반드시 지켜야 할 몇 가지 원칙을 제

시하고 있는데, ① 국가나 지방자치단체는 국민의 자유와 창의를 존중하여야 하며, 규제를 정

하는 경우에도 그 본질적 내용을 침해하지 아니하도록 하여야 하고, ② 국가나 지방자치단체

가 규제를 정할 때에는 국민의 생명 · 인권 · 보건 및 환경 등의 보호와 식품 · 의약품의 안전을

위한 실효성이 있는 규제가 되도록 하여야 하며, ③ 규제의 대상과 수단은 규제의 목적 실현

에 필요한 최소한의 범위에서 가장 효과적인 방법으로 객관성 · 투명성 및 공정성이 확보되도

록 설정되어야 한다.

규제 측면에서의 한국 ・ EU ・ 일본의

개인정보보호 법령의 비교

6

나. 개인정보 규제의 특징

개인정보 영역에서도 규제는 존재한다. 개인정보 영역에서의 규제는 두 가지가 있는데, 국가

등의 민간기업(개인정보보호법 적용대상 중 민간의 ‘개인정보처리자’ 및 정보통신망법의 ‘정보통

신서비스제공자등’이 여기에 해당함. 이하 민간기업을 ‘정보처리자’라고 표현함)의 영업의 자유에

대한 제한이 있으며, 또 다른 규제로는 국가 등의 정보주체의 자기결정권 제한이 존재한다.

전자를 정보처리자 규제로 칭한다면, 후자는 정보주체 규제로 부를 수 있다. 예컨대 정보처

리자가 ‘정보주체의 동의를 받은 경우’에 개인정보를 수집할 수 있는 것이 전자의 예이고, 공

공기관이 ‘법령 등에서 정하는 소관 업무의 수행을 위하여 불가피한 경우’에 개인정보를 수집

할 수 있는 것이 후자의 예이다.

본 연구에서는 전자의 경우, 즉 국가 등이 정보처리자의 영업의 자유를 제한하는 경우에

한하여 살펴보도록 할 것인바, 이하 규제라 하면 정보처리자 규제, 즉 정보처리자의 영업의

자유가 제한받는 경우를 의미한다.

참고로 본 연구에서는 정보처리자의 영업의 자유를 중심으로 살펴볼 것이지만, 아래에서

볼 수 있는 바와 같이 정보주체의 권리인 ‘개인정보 자기결정권’과 충돌되는 권리 또는 이익으

로는 정보처리자의 영업의 자유만 있는 것이 아니다.

예컨대 공개된 개인정보의 영리 목적의 이용에 관한 대법원 2016. 8. 17. 선고 2014다

235080 판결에서, 대법원은 ‘개인정보 자기결정권’과 충돌 또는 형량되는 이익으로서 정보처

리자의 영업의 자유, 사회 전체의 경제적 효율성 등의 가치’ 뿐만 아니라 ‘정보처리 행위로 인

하여 얻을 수 있는 이익, 즉 정보처리자의 알 권리와 이를 기반으로 한 정보수용자의 알 권리

및 표현의 자유도 함께 언급하였다.

7

정보주체

개인정보자기결정권

•알 권리•영업의 자유

(3) 사회 전체의 경제적 효율성

•알 권리•표현의 자유

(2) 정보수용자

(1) 정보처리자

<그림 1> 개인정보에 관련된 권리 또는 이익

한편 정보처리자의 영업의 자유를 제한하는 개인정보 규제가 추구하는 특정한 행정 목적이

무엇인지 문제되는데, 개인정보보호법은 ‘개인의 자유와 권리를 보호하고, 나아가 개인의 존엄

과 가치를 구현함을 목적으로’ 규정하고 있는바(제1조), 결국 규제의 목적, 즉 특정한 행정 목

적은 ‘정보주체의 개인정보 자기결정권 보호’라고 볼 수 있다.

즉, 정보처리자는 개인정보보호 법령이 존재하지 않았을 때는 아무런 제한 없이 정보주체

의 개인정보를 수집 · 처리할 수 있었으나, 개인정보 자기결정권 보호를 목적으로 하는 개인정

보보호 법령이 제정된 이후에는 그 법령이 정한 절차에 따라서, 그 법령이 정한 요건을 충족

한 경우에만 개인정보를 수집 · 처리할 수 있게 된 것이다.

개인정보보호 법령의 제정으로 인하여, 정보처리자의 영업의 자유는 그만큼 제한되었고 의

무를 부과받게 되었는바, 정보처리자 입장에서는 그만큼 규제를 받는 것이다.

그리고 정보처리자의 영업의 자유가 제한받는 개인정보 규제에서 추구하는 그 목적 또는

특정한 행정 목적에 해당하는 ‘개인정보 자기결정권’의 정체가 문제되는데, 우리 헌법재판소는

개인정보 자기결정권에 대하여 아래와 같이 설명하고 있다.

인간의 존엄과 가치, 행복추구권을 규정한 헌법 제10조 제1문에서 도출되는 일반적 인격권

및 헌법 제17조의 사생활의 비 과 자유에 의하여 보장되는 개인정보 자기결정권은 자신에

관한 정보가 언제 누구에게 어느 범위까지 알려지고 또 이용되도록 할 것인지를 그 정보

주체가 스스로 결정할 수 있는 권리이다. 즉, 정보주체가 개인정보의 공개와 이용에 관하여

8

스스로 결정할 권리를 말한다.

개인정보 자기결정권의 보호대상이 되는 개인정보는 개인의 신체, 신념, 사회적 지위, 신분

등과 같이 개인의 인격주체성을 특징짓는 사항으로서 그 개인의 동일성을 식별할 수 있게

하는 일체의 정보라고 할 수 있고, 반드시 개인의 내 한 영역이나 사사(私事)의 영역에 속

하는 정보에 국한되지 않고 공적 생활에서 형성되었거나 이미 공개된 개인정보까지 포함한

다. 또한 그러한 개인정보를 대상으로 한 조사 · 수집 · 보관 · 처리 · 이용 등의 행위는 모두 원

칙적으로 개인정보 자기결정권에 대한 제한에 해당한다(헌재 2005. 5. 26. 99헌마513등,

공보 105, 666, 672).

헌법재판소가 파악하는 개인정보 자기결정권을 요약하면, 첫째, 정보주체에게 부여되는 권

리이며, 둘째, 헌법상 명문의 규정은 없지만 헌법상 도출되는 기본권이라는 것이며, 셋째, 정

보주체는 이 권리에 의하여 자신의 개인정보에 대하여 공개 · 이용 등의 여부와 범위를 결정할

수 있다는 것이다.

정리하면 개인정보 규제는 정보주체의 개인정보 자기결정권 보호를 위하여 정보처리자의

영업의 자유를 제한한 것인바, 결국 개인정보 규제는 기본권의 충돌의 문제를 형량하여 규정

화한 것이라 볼 수 있다.

다. 본 연구에서의 규제 비교의 방법

본 연구는 한국의 개인정보보호법과 정보통신망법, 2018년 5월 시행 예정인 EU의 GDPR,

2017년 5월 시행된 일본의 개인정보보호법을 정보처리자 규제 측면에서 비교하고자 한다.

즉, 정보처리자의 영업의 자유가 정보주체의 개인정보 자기결정권에 의하여 어느 정도 제한되

는지 상대적으로 비교함으로써 우리 개인정보보호 법령의 현재 실태를 파악하고자 한다.

한편 정보처리자의 영업의 자유를 제한하는 개인정보 규제, 즉 정보처리자 규제는 여러 가

지 유형으로 구분할 수 있는데, 예컨대 아래 표와 같이 유형화할 수 있다.

9

유 형 내 용 예 시

실체적

규제

규제 내용을 만족하지 않으면

개인정보 처리가 허용되지 않

는 경우

• 수집 · 이용의 허용 사유

• 제공의 허용 사유

• 개인정보 국외 제공의 허용 사유

• 파기의 사유

• 개인정보 유효기간 제도

절차적

규제

규제가 있더라도 정보처리자의

개인정보 처리는 가능하나 절

차적 부담이 있는 경우

• 개인정보 처리방침의 제정 및 공개

• 개인정보 보호책임자의 지정 의무

• 안전성 확보조치 기준의 준수

• 개인정보 파일의 등록 및 공개

• 개인정보보호 인증

• 개인정보 영향 평가

• 개인정보 유출 통지

• 정보주체의 권리

• 개인정보 이용내역 통지제도

<표 1> 정보처리자 규제 유형

실체적 규제는 정보처리자의 개인정보 처리 자체를 못하게 하는 규제로서, 규제 내용을 만

족하지 않으면 개인정보 처리가 허용되지 않는 경우를 의미한다.

절차적 규제는 정보처리자의 개인정보 처리 자체를 불가능하게 하는 규제는 아닌 것으로

서, 규제가 있더라도 정보처리자의 개인정보 처리는 가능하나 절차적 부담이 있는 경우를 의

미한다.

실체적 규제의 예시로는, 수집 · 이용의 허용 사유, 제공의 허용 사유, 개인정보 국외 제공

의 허용 사유, 파기의 사유, 개인정보 유효기간 제도 등이 존재한다.

절차적 규제의 예시로는, 개인정보 처리방침의 제정 및 공개, 개인정보 보호책임자의 지정 의

무, 안전성 확보조치 기준의 준수, 개인정보 파일의 등록 및 공개, 개인정보 보호 인증, 개인정보

영향 평가, 개인정보 유출 통지, 정보주체의 권리, 개인정보 이용내역 통지제도 등이 존재한다.

본 연구에서는 절차적 규제보다는 실체적 규제 중심으로 살펴보고자 한다. 그 이유는 절차

적 규제는 상호 비교가 쉽지 않으며 절차적 규제가 있다고 하더라도 정보처리자 입장에서는

개인정보 처리 자체가 불가능한 것이 아니기 때문이다.

절차적 규제에 대한 상호 비교나 평가는 앞으로의 과제로 남겨두고, 본 연구에서는 실체적

규제를 비교 · 평가하되, 비교 순서는 수집 · 이용 · 제공 · 위탁 · 관리 · 파기의 개인정보의 생명주

기 순서대로 진행하며, 각 생명주기에 해당하는 규제 또는 권리제한 · 의무부과 규정을 소개하고,

10

그 규제를 상호 비교함으로써 우리나라 개인정보보호법과 정보통신망법의 개인정보 규제를 외

국 입법에 대응시켜 상대적으로 평가한다.

2. 수집 ・ 이용 관련 실체적 규제의 비교

가. 일반 개인정보 수집 ・ 이용의 ‘허용 사유’의 비교

1) 각 법의 허용 사유

우리나라 개인정보보호법은 수집 · 이용이 가능한 사유로서 아래와 같이 6가지의 허용 사유

를 인정하고 있다(제15조 제1항). 6가지의 사유 중 3호는 공공기관에게 적용되어 정보처리자

에게 적용할 수 없으므로 이를 제외하면, 5가지의 허용 사유를 보유하고 있다. 이 중에서 특

히 제6호는 일반조항으로서 규정되어 있다.

1. 정보주체의 동의를 받은 경우

2. 법률에 특별한 규정이 있거나 법령상 의무를 준수하기 위하여 불가피한 경우

3. 공공기관이 법령 등에서 정하는 소관 업무의 수행을 위하여 불가피한 경우

4. 정보주체와의 계약의 체결 및 이행을 위하여 불가피하게 필요한 경우

5. 정보주체 또는 그 법정대리인이 의사표시를 할 수 없는 상태에 있거나 주소불명 등으로

사전 동의를 받을 수 없는 경우로서 명백히 정보주체 또는 제3자의 급박한 생명, 신체,

재산의 이익을 위하여 필요하다고 인정되는 경우

6. 개인정보처리자의 정당한 이익을 달성하기 위하여 필요한 경우로서 명백하게 정보주체의

권리보다 우선하는 경우. 이 경우 개인정보처리자의 정당한 이익과 상당한 관련이 있고

합리적인 범위를 초과하지 아니하는 경우에 한한다.

반면 우리나라 정보통신망법은 수집 · 이용이 허용되는 사유로서 아래와 같이 4가지의 허용

사유를 인정하고 있다(제22조 참조).

1. 이용자의 동의를 받은 경우

2. 정보통신서비스의 제공에 관한 계약을 이행하기 위하여 필요한 개인정보로서 경제적 · 기

술적인 사유로 통상적인 동의를 받는 것이 뚜렷하게 곤란한 경우

11

3. 정보통신서비스의 제공에 따른 요금정산을 위하여 필요한 경우

4. 이 법 또는 다른 법률에 특별한 규정이 있는 경우

EU GDPR1)은 개인정보의 수집 · 이용이 허용되는 사유로서 아래와 같이 6가지를 제시하고

있다(제6조 제1항). 1 ~ 6호 중에서 5호는 공공기관에만 적용되어 정보처리자에게는 적용되지

않는 사유이므로 제외하였다.

1. 정보주체가 하나 이상의 특정한 목적을 위해 자신의 개인정보 처리에 동의한 경우

2. 정보주체가 당사자인 계약의 이행을 위하여 또는 계약 체결 전에 정보주체의 요청에 따

른 조치를 취하기 위하여 처리가 필요한 경우

3. 컨트롤러에게 적용되는 법적 의무의 준수를 위하여 처리가 필요한 경우

4. 정보주체 또는 다른 자연인의 중대한 이익을 보호하기 위하여 처리가 필요한 경우

5. 공익을 위하여 수행되는 직무의 실행을 위하여 또는 컨트롤러에게 부여된 공적 권한의

행사에 처리가 필요한 경우

6. 컨트롤러나 제3자가 추구하는 정당한 이익의 목적을 위하여 처리가 필요한 경우로서, 다

만, 특히 정보주체가 아동인 경우와 같이 개인정보 보호를 요구하는 정보주체의 이익이나

기본권과 자유가 해당 이익에 우선하는 경우에는 그러하지 아니하다. 6호는 공공당국이

자신의 직무 수행을 위하여 실행하는 처리에 적용되지 아니한다.

일본 개인정보보호법의 경우, 민감정보(일본 개인정보보호법은 ‘배려필요정보’로 표현하고

있음)가 아닌 일반적인 개인정보에 대하여는 우리나라 · EU와 달리 옵트 아웃 체제이기 때문

에 수집 · 이용에 있어 허용 사유는 존재하지 않는다(제17조 참조). 다만, 수집 이후 정보주체

에게 미리 그 이용목적을 공표하고 있는 경우를 제외하고는 절차적으로 신속하게 그 이용목

적을 통지 또는 공표하여야 한다(제18조 제1항).

2) 각 법의 비교 평가

일단 각국의 수집 · 이용의 허용 사유를 비교하되 유사한 사유끼리 대응하여 표로 정리하면

아래와 같다.

1) 본 논문에서 EU GDPR의 조문 해석은 박노형 저 ‘EU 개인정보보호법’을 참조하였음

12

개인정보보호법 정보통신망법 EU 일본

1. 정보주체의 동의를 받은

경우

1. 이용자의 동의를 받은 경우 1. 정보주체가 하나 이상의 특

정한 목적을 위해 자신의 개

인정보 처리에 동의한 경우

허용

사유

없음

2. 법률에 특별한 규정이 있거

나 법령상 의무를 준수하기

위하여 불가피한 경우

4. 이 법 또는 다른 법률에 특

별한 규정이 있는 경우

3. 컨트롤러에게 적용되는 법적

의무의 준수를 위하여 처리

가 필요한 경우

4. 정보주체와의 계약의 체결

및 이행을 위하여 불가피하

게 필요한 경우

2. 정보통신서비스의 제공에 관

한 계약을 이행하기 위하여

필요한 개인정보로서 경제적 ·

기술적 사유로 통상적인 동의

를 받는 것이 뚜렷하게 곤란

한 경우

2. 정보주체가 당사자인 계약의

이행을 위하여 또는 계약 체

결 전에 정보주체의 요청에

따른 조치를 취하기 위하여

처리가 필요한 경우

5. 정보주체 또는 그 법정대리

인이 의사표시를 할 수 없는

상태에 있거나 주소불명 등

으로 사전 동의를 받을 수

없는 경우로서 명백히 정보

주체 또는 제3자의 급박한

생명, 신체, 재산의 이익을

위하여 필요하다고 인정되는

경우

4. 정보주체 또는 다른 자연인

의 중대한 이익을 보호하기

위하여 처리가 필요한 경우

6. 개인정보처리자의 정당한 이

익을 달성하기 위하여 필요

한 경우로서 명백하게 정보

주체의 권리보다 우선하는

경우

3. 정보통신서비스의 제공에 따

른 요금정산을 위하여 필요

한 경우

6. 컨트롤러나 제3자가 추구하

는 정당한 이익의 목적을 위

하여 처리가 필요한 경우

<표 2> 일반 개인정보 수집 ․ 이용의 허용 사유 유사 항목 비교

정량적 · 정성적으로 비교하면, 어느 나라의 법령에 비교해도 일단 옵트아웃 제도를 취하고

있는 일본의 허용 사유가 가장 범위가 넓다고 볼 수 있다.

다음으로 우리나라 개인정보보호법과 EU GDPR의 허용 사유를 비교하면, EU의 경우 그

‘동의’는 묵시적 동의까지 포함하고 있어 우리나라 개인정보보호법이 명시적 동의에 한정하는

것에 비교하여 그 범위가 넓다 할 것이고, 우리나라 개인정보보호법은 ‘5. 정보주체 또는 그

법정대리인이 의사표시를 할 수 없는 상태에 있거나 주소불명 등으로 사전 동의를 받을 수

없는 경우로서 명백히 정보주체 또는 제3자의 급박한 생명, 신체, 재산의 이익을 위하여 필요

하다고 인정되는 경우’인데 반하여 EU GDPR은 긴급한 경우에 한정하지 않고 ‘4. 정보주체

또는 다른 자연인의 중대한 이익을 보호하기 위하여 처리가 필요한 경우’까지 넓히고 있기에,

13

결론적으로 EU GDPR의 허용 사유가 우리나라 개인정보보호법의 허용 사유보다 더 넓다고

판단할 수 있다.

우리나라 개인정보호보법과 정보통신망법을 비교하면, 개인정보보호법이 ‘4. 정보주체와의

계약의 체결 및 이행을 위하여 불가피하게 필요한 경우’라고 규정하고 있는 것과 달리 정보통

신망법은 ‘2. 정보통신서비스의 제공에 관한 계약을 이행하기 위하여 필요한 개인정보로서 경

제적 · 기술적인 사유로 통상적인 동의를 받는 것이 뚜렷하게 곤란한 경우’로 규정되어 있어

정보통신망법의 허용 사유의 범위가 좁다 할 것이며, 개인정보보호법의 ‘5. 정보주체 또는 그

법정대리인이 의사표시를 할 수 없는 상태에 있거나 주소불명 등으로 사전 동의를 받을 수

없는 경우로서 명백히 정보주체 또는 제3자의 급박한 생명, 신체, 재산의 이익을 위하여 필요

하다고 인정되는 경우’에 해당하는 정보통신망법의 허용 사유가 존재하지 않고, 가장 중요한

점은 정보통신망법은 개인정보보호법이 가지는 일반적인 허용 사유를 보유하고 있지 않다는

점에서, 정보통신망법의 허용 사유는 개인정보보호법의 허용 사유보다 그 범위가 좁다고 단언

할 수 있다.

결론적으로 허용 사유가 가장 넓은 순서 또는 규제가 낮은 순서대로 정리하면, 일본의 개

인정보보호법 → EU GDPR → 우리나라 개인정보보호법 → 우리나라 정보통신망법이 된다.

구 분 개인정보보호법 정보통신망법 EU 일본

수집 · 이용의

허용 사유

규제의 완화순위

3 4 2 1

<표 3> 일반 개인정보 수집 ․ 이용의 허용 사유 규제 완화순위

나. 민감정보 수집 ․ 이용의 ‘허용 사유’의 비교


민감정보의 경우, 우리나라 개인정보보호법은 제23조 제1항에 규정하고 있다. 우리나라 개

인정보보호법은 민감정보의 수집 · 이용의 허용 사유로서 아래와 같이 2가지를 규정하고 있다.

1. 다른 개인정보의 처리에 대한 동의와 별도로 동의를 받은 경우

2. 법령에서 민감정보의 처리를 요구하거나 허용하는 경우

14

위 허용 사유가 적용되는 민감정보에 대하여는 아래와 같이 정의하고 있다(제23조 제1항,

같은 법 시행령 제18조).

1. 사상 · 신념, 노동조합 · 정당의 가입 · 탈퇴, 정치적 견해, 건강, 성생활 등에 관한 정보

2. 유전자검사 등의 결과로 얻어진 유전정보

3. 범죄경력자료에 해당하는 정보

한편 우리나라 정보통신망법은 민감정보의 수집 · 이용에 있어, 그 허용 사유로서 2가지를

규정하고 있다(제23조 제1항).

1. 이용자의 동의를 받은 경우

2. 다른 법률에 따라 특별히 수집 대상 개인정보로 허용된 경우

위 허용 사유가 적용되는 민감정보의 범위는 아래와 같다(제23조 제1항).

사상, 신념, 가족 및 친인척관계, 학력(學歷) · 병력(病歷), 기타 사회활동 경력 등 개인의 권

리 · 이익이나 사생활을 뚜렷하게 침해할 우려가 있는 개인정보

EU GDPR 제9조 제2항은 아래와 같이 민감정보(EU GDPR은 ‘특수한 범주의 개인정보’로

표현하고 있음)의 10가지의 허용 사유를 열거하고 있다.

1. 정보주체가 명시적 동의를 한 경우(다만, EU 또는 회원국 법이 금지하지 않아야 함)

2. 고용과 사회보장 및 사회보호법 영역에서 필요한 경우

3. 정보주체 또는 다른 자연인의 중대한 이익을 보호하기 위하여 필요한 경우

4. 비영리기관이 그 기관의 구성원 또는 과거 구성원 또는 그 목적과 관계되어 정보주체의

동의 없이 그 기관 밖으로 공개되지 않는 조건으로 처리가 수행되는 경우

5. 정보주체가 명백하게 공개한 개인정보에 대한 처리

6. 법적 청구권의 설정, 행사 또는 방어를 위하거나 법원이 사법적 지위에서 행동하는 데 필

요한 경우

7. EU 또는 회원국 법에 근거하여 중대한 공익 실현에 필요한 경우

15

8. 예방의학이나 직업병의학의 목적으로, 건강이나 사회복지 시스템과 서비스의 관리를 위하

여 필요한 경우

9. EU 또는 회원국 법에 근거하여 공중보건 영역에서 공익을 이유로 필요한 경우

10. 적절한 보호조치가 있고 공익을 위한 기록보존 목적, 과학적 또는 역사적 연구 또는 통

계적 목적으로 필요한 경우

위 10가지의 허용 사유가 적용되는 민감정보의 범위는 아래와 같다.

1. 인종이나 민족 기원, 정치적 견해, 종교나 철학적 믿음, 노조 가입을 드러내는 개인정보

2. 유전정보

3. 자연인을 고유하게 식별할 수 있는 바이오정보

4. 건강 관련 정보

5. 자연인의 성생활 또는 성적 취향에 관한 데이터

일본 개인정보보호법은 일반 개인정보에 대하여 옵트 아웃 체제가 적용되는 것과는 달리,

민감정보에 대하여는 옵트 인 체제가 적용된다. 따라서 민감정보의 수집 · 이용에 있어서는 허

용 사유가 열거되어 있는데, 일본 개인정보보호법 제17조 제2항은 아래와 같이 7가지의 허용

사유를 규정하고 있다. 7가지의 사유 중 5호와 6호는 공공기관에만 적용되는 조항이므로 제

외하였는바, 정보처리자에게는 5가지의 사유가 존재한다.

1. 본인2)의 동의를 얻은 경우

2. 법령에 근거한 경우

3. 사람의 생명, 신체 또는 재산의 보호를 위해서 필요가 있는 경우로서 본인의 동의를 얻는

것이 곤란한 경우

4. 공중위생의 향상 또는 아동의 건전한 육성의 추진을 위하여 특히 필요한 경우로서 본인

의 동의를 얻는 것이 곤란한 경우

5. 국가기관 혹은 지방공공단체 또는 그 위탁을 받은 자가 법령이 정한 사무를 수행하는 것에

대해서 협력할 필요가 있는 경우로서 본인의 동의를 얻은 것이 해당 업무 수행에 지장을

2) ｢본인｣은 개인정보에 의해 식별되는 특정의 개인을 말한다(일본 개인정보보호법 제2조 제8항). 따라서 우리 법의 정보주

체에 해당한다.

16

줄 우려가 있는 경우

6. 해당 배려필요정보가 본인, 국가기관, 지방공공단체, 제76조 제1항 각 호에 해당하는 자,

그 밖에 개인정보보호위원회 규칙으로 정한 사람에 의해 공개된 경우

7. 그 밖에 전 각 호에 준한 것으로서 정령으로 정한 경우

위 허용 사유가 적용되는 민감정보의 범위는 아래와 같다(일본 개인정보보호법 제2조 제3항).

‘배려필요정보’란 본인의 인종, 신조, 사회적 신분, 병력, 범죄경력, 범죄로 인하여 피해를 입

은 사실 그 밖에 본인에 대한 부당한 차별, 편견, 그 밖의 불이익이 생기지 않도록 그 취급

에 특히 배려를 필요로 하는 것으로서 정령으로 정한 기술(記述) 등이 포함된 개인정보를

말한다.


각국의 민감정보에 대한 실체적 규제를 유사한 항목끼리 대응 및 비교하여 정리한 표는 아

래와 같다.


1. 다른 개인정보의 처리

에 대한 동의와 별도

로 동의를 받은 경우

1. 이용자의 동의를 받은

경우

1. 정보주체가 명시적 동의

를 한 경우

1. 본인의 동의를 얻은

경우

2. 법령에서 민감정보의

처리를 요구하거나 허

용하는 경우

2. 다른 법률에 따라 특

별히 수집 대상 개인

정보로 허용된 경우

7. EU 또는 회원국 법에 근

거하여 중대한 공익 실현

에 필요한 경우

9. EU 또는 회원국 법에 근

거하여 공중보건 영역에

서 공익을 이유로 필요한

경우


3. 정보주체 또는 다른 자연

인의 중대한 이익을 보호

하기 위하여 필요한 경우

3. 사람의 생명, 신체 또

는 재산의 보호를 위해

서 필요가 있는 경우로

서 본인의 동의를 얻는


8. 예방의학이나 직업병의

학의 목적으로, 건강이나

4. 공중위생의 향상 또는

아동의 건전한 육성의

<표 4> 민감정보에 대한 실체적 규제 유사 항목 비교

17

일단 민감정보의 범위에 ‘바이오정보’가 포함되어 있는 입법은 EU밖에는 없다. 따라서 민감

정보의 범위에 있어 가장 엄격한 규제는 EU GDPR이라 할 수 있다.

하지만 이러한 점을 감안하더라도, 실체적 규제끼리 비교하면 단연 허용 사유가 월등하게

많은 EU GDPR의 규제가 가장 약하다고 볼 수 있다.

일본은 우리나라의 개인정보보호법이나 정보통신망법에 비하여, 그 허용 사유가 광범위하다.

한편 우리나라의 개인정보보호법은 ‘법령’에만 근거하면 민감정보의 처리가 허용되는 반면,

정보통신망법은 ‘법률’에 근거하여야만 민감정보의 처리가 허용된다.

결국 각국의 민감정보 처리에 대한 실체적 규제를 비교하면, EU GDPR → 일본 개인정보

보호법 → 우리나라 개인정보보호법 → 우리나라 정보통신망법 순서로 정리할 수 있다.


사회복지 시스템과 서비

스의 관리를 위하여 필

요한 경우

추진을 위하여 특히 필

요한 경우로서 본인의

동의를 얻는 것이 곤란

한 경우

2. 고용과 사회보장 및 사회

보호법 영역에서 필요한

경우

4. 비영리기관이 그 기관의

구성원 또는 과거 구성원

또는 그 목적과 관계되어

정보주체의 동의 없이 그

기관 밖으로 공개되지 않

는 조건으로 처리가 수행

되는 경우

5. 정보주체가 명백하게 공개

한 개인정보에 대한 처리

6. 법적 청구권의 설정, 행

사 또는 방어를 위하거나

법원이 사법적 지위에서

행동하는 데 필요한 경우

10. 적절한 보호조치가 있고

공익을 위한 기록보존

목적, 과학적 또는 역사

적 연구 또는 통계적 목

적으로 필요한 경우

7. 그 밖에 전 각 호에

준한 것으로서 정령으

로 정한 경우

18

구분 개인정보보호법 정보통신망법 EU 일본

민감정보 처리의

허용 사유 규제의

완화순위

3 4 1 2

<표 5> 민감정보 처리의 허용 사유 규제 완화순위

다. 목적 외 이용의 ‘허용 사유’의 비교


우리나라 개인정보보호법이나 정보통신망법, EU의 GDPR, 일본 개인정보보호법은 공히 개

인정보 이용에 있어 ‘목적제한성’ 원칙을 적용하고 있다. 따라서 목적을 벗어난 개인정보의 이

용은 원칙적으로 허용되지 않는다. 하지만 모든 법은 일정한 사유가 있는 경우에는 목적 외

이용을 허용하고 있다.

우리나라 개인정보보호법 제18조 제2항은 목적 외 이용이 가능한 사유로서 9가지를 규정

하고 있으며, 이 9가지의 사유는 모두 ‘정보주체 또는 제3자의 이익을 부당하게 침해할 우려

가 없는 경우’에 한하여 목적 외 이용이 허용된다(제18조 제2항 본문). 9가지 사유 중 4호는

이용을 제외하고 제공의 경우에만 적용되고, 5호부터 9호까지는 공공기관에만 적용되므로 제

외하면, 정보처리자의 목적 외 이용이 허용되는 경우는 3가지이다.

1. 정보주체로부터 별도의 동의를 받은 경우

2. 다른 법률에 특별한 규정이 있는 경우




4. 통계작성 및 학술연구 등의 목적을 위하여 필요한 경우로서 특정 개인을 알아볼 수 없는

형태로 개인정보를 제공하는 경우

5. 개인정보를 목적 외의 용도로 이용하거나 이를 제3자에게 제공하지 아니하면 다른 법률

에서 정하는 소관 업무를 수행할 수 없는 경우로서 보호위원회의 심의 · 의결을 거친 경우

6. 조약, 그 밖의 국제협정의 이행을 위하여 외국정부 또는 국제기구에 제공하기 위하여 필

요한 경우

19

7. 범죄의 수사와 공소의 제기 및 유지를 위하여 필요한 경우

8. 법원의 재판업무 수행을 위하여 필요한 경우

9. 형(刑) 및 감호, 보호처분의 집행을 위하여 필요한 경우

우리나라 정보통신망법은 목적 외 이용을 허용하는 사유를 규정하지 않고 있다.

EU GDPR은 제5조 제1항 (b) 및 제6조 제4항에 목적 외 이용이 가능한 사유를 규정하고

있는바, 이를 정리하면 아래와 같다. 이 중에서 4호는 목적 외 이용이 가능한 일반규정으로

규정되어 있다.

1. 적절한 보호조치가 있고 공익 목적의 기록 보존 · 과학적 또는 역사적 연구 또는 통계 목

적의 추가처리를 하는 경우

2. 정보주체의 동의를 얻은 경우

3. EU 또는 회원국 법에 근거하고 있는 경우

4. 다음을 고려하여 초기 목적과 일치한다고 판단한 경우

(a) 초기 목적과 추가 처리의 목적 사이의 관련성

(b) 정보주체와 컨트롤러의 관계와 관련하여 개인정보가 수집된 맥락

(c) 개인정보의 성격

(d) 추가 처리가 정보주체에 대하여 야기할 수 있는 결과

(e) 암호화 또는 가명처리를 포함하여 적절한 안전장치의 존재

일본 개인정보보호법은 제15조 제2항, 제16조 제1항 및 제3항에 규정되어 있는바, 이를

정리하면 아래 6가지가 된다. 이 중에서 1호는 정확하게는 이용 목적의 변경 사유이나 목적

외 이용 사유로도 기능하므로 여기에 포함시켰고, 6호는 공공기관에 적용되는 사유이므로 제

외하면, 정보처리자는 5가지의 목적 외 이용 사유를 가진다.

1. 변경 전의 이용 목적과 관련성을 가졌다고 합리적으로 인정되는 경우

2. 본인의 동의를 얻은 경우

3. 법령에 근거하는 경우



20



6. 국가기관 혹은 지방공공단체 또는 그 위탁을 받은 자가 법령이 정한 사무를 수행하는 것

에 대해서 협력할 필요가 있는 경우로서 본인의 동의를 얻은 것이 해당 업무 수행에 지

장을 줄 우려가 있는 경우


각국의 목적 외 이용의 허용 사유를 유사한 항목끼리 대응시켜 비교하면 아래 표와 같다.


1. 정보주체로부터 별도의

동의를 받은 경우

2. 정보주체의 동의를 얻

은 경우

2. 본인의 동의를 얻은 경

우

2. 다른 법률에 특별한 규

정이 있는 경우

3. EU 또는 회원국 법에

근거하고 있는 경우

3. 법령에 근거하는 경우

3. 정보주체 또는 그 법정

대리인이 의사표시를

할 수 없는 상태에 있거

나 주소불명 등으로 사

전 동의를 받을 수 없는

경우로서 명백히 정보

주체 또는 제3자의 급

박한 생명, 신체, 재산

의 이익을 위하여 필요

하다고 인정되는 경우






1. 적절한 보호조치가 있

고 공익 목적의 기록

보존 · 과학적 또는 역

사적 연구 또는 통계

목적의 추가처리를 하

는 경우






한 경우

4. 다음을 고려하여 초기

목적과 일치한다고 판

단한 경우

(a) 초기 목적과 추가 처

리 목적 사이 관련성

1. 변경 전의 이용 목적과

관련성을 가졌다고 합리

적으로 인정되는 경우

<표 6> 목적 외 이용의 허용 사유 유사 항목 비교

21

EU GDPR과 일본의 개인정보보호법을 비교하면, EU GDPR에 있는 일반적인 목적 외 처

리 사유가 일본의 개인정보보호법에 존재하지 않지만, 일본에는 유사한 ‘1. 변경 전의 이용

목적과 관련성을 가졌다고 합리적으로 인정되는 경우’의 사유를 가지고 있기 때문에 쉽게 어

느 입법의 규제가 가볍다고 단정할 수는 없어 보인다. 다만, EU GDPR의 ‘1. 적절한 보호조

치가 있고 공익 목적의 기록 보존 · 과학적 또는 역사적 연구 또는 통계 목적의 추가처리를 하

는 경우’의 사유는 일본 개인정보보호법의 ‘4. 공중위생의 향상 또는 아동의 건전한 육성의 추

진을 위하여 특히 필요한 경우로서 본인의 동의를 얻는 것이 곤란한 경우’의 사유보다는 확연

히 넓어 보이기 때문에 전체적으로 EU GDPR의 허용 사유가 가장 넓다고 볼 수 있다.

우리나라의 개인정보보호법은 정량적으로 또는 정성적으로 보아도 EU GDPR과 일본 개인

정보보호법보다는 허용 사유가 넓지 않아 보인다. 다만, 우리나라의 정보통신망법은 허용 사

유가 존재하지 않기 때문에 우리나라 개인정보보호법은 우리나라 정보통신망법보다는 그 허용

사유가 넓다고 볼 수 있다.

결국 각국의 목적 외 처리에 대한 실체적 규제를 비교하면, EU GDPR → 일본 개인정보보

호법 → 우리나라 개인정보보호법 → 우리나라 정보통신망법 순서로 정리할 수 있다.


목적 외 처리의


완화순위

3 4 1 2

<표 7> 목적 외 처리의 허용 사유 규제의 완화순위

(b) 정보주체와 컨트롤

러의 관계와 관련하

여 개인정보가 수집

된 맥락

(c) 개인정보의 성격

(d) 추가 처리가 정보주

체에 대하여 야기할

수 있는 결과

(e) 암호화 또는 가명처

리를 포함하여 적절

한 안전장치의 존재

22

3. 제공 ・ 위탁 관련 실체적 규제의 비교

가. 제공의 ‘허용 사유’의 비교


우리나라 개인정보보호법은 개인정보의 제공이 허용되는 경우로서 4가지를 규정하고 있다

(제17조 제1항). 4가지 중 3호는 공공기관에만 적용되는 사유인바 이를 제외하면 정보처리자

에는 3가지의 제공 사유가 적용된다.

1. 정보주체의 동의를 받은 경우

2. 법률에 특별한 규정이 있거나 법령상 의무를 준수하기 위하여 불가피한 경우

3. 공공기관이 법령 등에서 정하는 소관 업무의 수행을 위하여 불가피한 경우




우리나라 정보통신망법은 아래 3가지의 제공의 허용 사유를 규정하고 있다(제24조의2 제1항).

1. 이용자의 동의를 얻은 경우

2. 정보통신서비스의 제공에 따른 요금정산을 위하여 필요한 경우

3. 이 법 또는 다른 법률에 특별한 규정이 있는 경우

EU GDPR은 제공의 허용 사유를 별도로 규정하고 있지 않고 모든 형태의 처리의 허용 사

유를 동일하게 규정하고 있는바, 앞서 살펴본 수집 · 이용의 적법 사유가 그대로 제공의 적법

사유에 적용된다. 앞서 살펴본 바와 같이 EU GDPR은 개인정보의 수집 · 이용이 허용되는 사

유로서 아래와 같이 6가지를 제시하고 있고(제6조 제1항), 1~6호 중에서 5호의 후단은 공공

기관에만 적용되고 정보처리자에게 적용되지 않는 사유이므로 제외하였다.

1. 정보주체가 하나 이상의 특정한 목적을 위해 자신의 개인정보 처리에 동의한 경우

2. 정보주체가 당사자인 계약의 이행을 위하여 또는 계약 체결 전에 정보주체의 요청에 따

른 조치를 취하기 위하여 처리가 필요한 경우

23

3. 컨트롤러에게 적용되는 법적 의무의 준수를 위하여 처리가 필요한 경우

4. 정보주체 또는 다른 자연인의 중대한 이익을 보호하기 위하여 처리가 필요한 경우

5. 공익을 위하여 수행되는 직무의 실행을 위하여 또는 컨트롤러에게 부여된 공적 권한의

행사에 처리가 필요한 경우

6. 컨트롤러나 제3자가 추구하는 정당한 이익의 목적을 위하여 처리가 필요한 경우로서, 다

만, 특히 정보주체가 아동인 경우와 같이 개인정보 보호를 요구하는 정보주체의 이익이나

기본권과 자유가 해당 이익에 우선하는 경우에는 그러하지 아니하다. 6호는 공공당국이

자신의 직무 수행을 위하여 실행하는 처리에 적용되지 아니한다.

일본 개인정보보호법은 제공의 적법 사유로 5가지를 규정하고 있다(제23조 1항 및 제2항,

5호는 제외함). 다만, 아래 제공의 적법 사유는 ‘개인정보’가 아닌 ‘개인 데이터’에 적용되는데,

여기서 ‘개인 데이터’란 개인정보 데이터베이스 등을 구성하는 개인정보를 의미한다(제2조 제

6항).

1. 미리 본인의 동의를 얻은 경우







에 대해서 협력할 필요가 있는 경우로서 본인의 동의를 얻은 것이 해당 업무 수행에 지


6. 일정한 사항에 대하여 개인정보 보호위원회 규칙으로 정한 바에 따라 미리 본인에게 통

지하거나 또는 본인이 쉽게 파악하는 상태로 두는 동시에 개인정보 보호위원회에 신고한

경우

24


각국의 제공의 허용 사유를 유사한 항목끼리 대응시켜 비교하면 아래 표와 같다.


1. 정보주체의 동의를 받

은 경우

1. 이용자의 동의를 얻은

경우

1. 정보주체가 하나 이상

의 특정한 목적을 위해

자신의 개인정보 처리

에 동의한 경우

1. 미리 본인의 동의를 얻

은 경우

2. 법률에 특별한 규정이

있거나 법령상 의무를

준수하기 위하여 불가

피한 경우

3. 이 법 또는 다른 법률

에 특별한 규정이 있는

경우

3. 컨트롤러에게 적용되는

법적 의무의 준수를 위하

여 처리가 필요한 경우


4. 정보주체 또는 그 법정

대리인이 의사표시를 할

수 없는 상태에 있거나

주소불명 등으로 사전

동의를 받을 수 없는 경

우로서 명백히 정보주체

또는 제3자의 급박한 생

명, 신체, 재산의 이익을

위하여 필요하다고 인정

되는 경우

4. 정보주체 또는 다른 자

연인의 중대한 이익을

보호하기 위하여 처리

가 필요한 경우






2. 정보통신서비스의 제공

에 따른 요금정산을 위

하여 필요한 경우

6. 컨트롤러나 제3자가

추구하는 정당한 이익

의 목적을 위하여 처

리가 필요한 경우






한 경우

2. 정보주체가 당사자인

계약의 이행을 위하여

또는 계약체결 전에 정

보주체의 요청에 따른

조치를 취하기 위하여

처리가 필요한 경우

6. 일정한 사항에 대하여

개인정보 보호위원회 규

칙으로 정한 바에 따라 미

리 본인에게 통지하거나

<표 8> 개인정보 제공 허용 사유 유사 항목 비교

25

EU GDPR과 일본 개인정보보호법의 규제는 서로 유사하여 그 우열을 판단하기 어렵다. 다

만, EU GDPR의 ‘4. 정보주체 또는 다른 자연인의 중대한 이익을 보호하기 위하여 처리가 필

요한 경우’가 일본 개인정보보호법의 ‘4. 공중위생의 향상 또는 아동의 건전한 육성의 추진을

위하여 특히 필요한 경우로서 본인의 동의를 얻는 것이 곤란한 경우’보다는 넓어 보이고, 일

본 개인정보보호법에는 없는 ‘2. 정보주체가 당사자인 계약의 이행을 위하여 또는 계약 체결

전에 정보주체의 요청에 따른 조치를 취하기 위하여 처리가 필요한 경우’의 사유가 존재한다

는 점을 고려하면, EU GDPR이 일본 개인정보보호법보다는 그 실체적 규제가 약하고 허용

사유가 넓다고 판단할 수 있다.

우리나라의 개인정보보호법과 정보통신망법의 허용 사유는 일본 개인정보보호법에 비하여

허용 사유가 많지 않음이 명백한 것으로 보인다.

우리나라의 개인정보보호법과 정보통신망법의 허용 사유에 대한 비교 판정은 쉽지 않지만,

외견상 개인정보보호법의 허용 사유가 약간 더 넓어 보인다.

결국 각국의 제공 사유에 대한 실체적 규제를 비교하면, EU GDPR → 일본 개인정보보호

법 → 우리나라 개인정보보호법 → 우리나라 정보통신망법의 순서로 정리할 수 있다.


제공의 허용 사유

규제의 완화순위3 4 1 2

<표 9> 개인정보 제공의 허용 사유 규제 완화순위


또는 본인이 쉽게 파악

하는 상태로 두는 동시

에 개인정보 보호위원회

에 신고한 경우

26

나. 위탁의 ‘절차’의 비교

1) 각 법의 절차

개인정보의 위탁을 규율하는 규정은 위탁 절차 그 자체에 대하여 규율하고 있는 규정과 위

탁으로 인하여 발생하는 법률관계에 대하여 규율하는 규정으로 구별할 수 있다. 예컨대 위탁시

정보주체의 동의를 얻도록 하는 것이 전자의 규정이라면, 위탁 이후 위탁자가 수탁자에 대한

감독의무를 부담하는 것, 위탁을 문서로 해야 하는 것, 적절한 기술적 및 관리적 조치를 이행

한다는 충분한 보증을 제공하는 수탁자를 이용하는 것 등이 후자의 규정이라 할 수 있다.

후자, 즉 위탁으로 인하여 발생하는 법률관계에 대하여 규율하는 규정은 위탁 그 자체를

어렵게 하는 것은 아니므로, 여기서는 전자, 즉 위탁 절차 그 자체에 대하여 규율하고 있는

규정으로 한정하여 살펴보기로 한다. 위탁 절차 그 자체에 대하여 규율하고 있는 규정은 실질

적으로 실체적 규제의 기능도 하고 있다.

우리나라 개인정보보호법은 위탁의 절차에 대하여 ‘정보주체가 언제든지 쉽게 확인할 수

있도록 대통령령으로 정하는 방법에 따라 공개하여야 한다.’라고 규정하고 있다(제26조 제2

항). 여기서 정보주체에 대한 ‘공개’란 불특정 다수에게 일방적으로 정보를 제공하는 것을 의

미하는 것으로서, 정보주체의 승낙을 전제로 하는 ‘동의’나 특정 다수에게 일방적으로 정보를

제공하는 ‘통지 · 고지’보다는 간이한 절차에 해당한다.

우리나라 정보통신망법은 위탁의 절차에 대하여 원칙적으로 이용자의 ‘동의’를 전제로 한다

(제25조 제1항). 다만, 정보통신서비스의 제공에 관한 계약을 이행하고 이용자 편의 증진 등

을 위하여 필요한 경우로서 일정한 사항을 공개하거나 전자우편 등으로 이용자에게 알린 경

우에는 동의를 얻지 않아도 된다(같은 조 제2항).

EU GDPR의 경우 컨트롤러와 프로세서의 관계가 우리나라 법의 위탁의 절차와 가장 유사

한바, 컨트롤러의 프로세서에 대한 위탁의 절차에 대하여 별도로 규정한 것은 없다.

일본 개인정보보호법 제23조 제5항은 개인정보 취급사업자가 이용 목적에 필요한 범위 내

에서 개인 데이터 취급의 전부 또는 일부를 위탁하는 경우 그에 수반하여 해당 개인 데이터

가 제공되는 경우에 해당 개인 데이터를 제공받는 사람은 개인정보 제공의 제3자에 해당하지

않는다고 규정되어 있는바, 이 규정에 따르면 위탁의 절차에 대하여 별도의 규제는 존재하지

않는다.

27


각국의 위탁의 허용 사유를 유사한 항목끼리 대응시켜 비교하면 아래 표와 같다.


정보 주체에 대한 공개 이용자의 동의 없음 없음

<표 10> 개인정보의 위탁 허용 사유 유사항목 비교

위탁의 경우 실체적 규제를 비교하면 아래와 같은 순서로 정리할 수 있다. 아무런 규제가

없는 EU GDPR이나 일본 개인정보보호법에 비하여 우리 개인정보보호법은 ‘공개’라는 절차를

준수하여야 하며, 정보통신망법은 예외는 있지만 원칙적으로 ‘이용자의 동의’를 전제로 이루어

져야 하기 때문이다.


위탁 허용 사유


<표 11> 개인정보의 위탁 허용 사유 규제의 완화순위

다. 국외 이전의 ‘허용 사유’의 비교


개인정보의 국외 이전은 개인정보의 국외 제공을 포함하여 개인정보가 국경을 넘는 일체의

행위를 지칭한다.

우리나라 개인정보보호법은 개인정보 국외 이전에 대하여 규정하지 않고 단지 개인정보의

국외 제공에 대하여만 규정하고 있으며, 개인정보의 국외 제공의 허용 사유는 유일하게 아래

1가지를 정하고 있다(제17조 제3항).

정보주체의 동의를 얻은 경우

28

우리나라 정보통신망법 역시 개인정보의 국외 이전3)의 허용 사유에 대하여 이용자의 동의

를 원칙으로 하고 있다(제63조 제2항 본문). 다만, 정보통신서비스의 제공에 관한 계약을 이

행하고 이용자 편의 증진 등을 위하여 필요한 경우로서 일정한 사항을 공개하거나 전자우편

등으로 이용자에게 알린 경우에는 처리위탁 · 보관시 이용자의 동의를 얻지 않아도 된다(같은

항 단서).

정보주체의 동의를 얻은 경우(예외가 있음)

EU GDPR은 제5장에서 여러 가지의 국외 이전 허용 사유를 규정하고 있다. 이를 정리하

면 아래와 같다.

1. EU집행위원회가 적정한 보호수준에 대하여 평가한 후 적정성 결정을 한 경우

2. 적절한 안전장치가 있는 경우(적절한 안전장치의 예 : 공공당국 또는 기관 사이의 법적

구속력 있고 집행가능한 문서, 소관 감독당국이 승인한 구속력 있는 기업규칙, EU집행위

원회가 채택한 표준개인정보보호조항, 감독당국이 채택하고 EU집행위원회가 승인한 표준

개인정보보호조항, 승인된 행동강령, 승인된 인증 메커니즘 등)

3. 적정성 결정과 적절한 안전장치가 없음을 고지받고, 정보주체가 이전에 명시적으로 동의

한 경우

4. 계약의 이행이나 이행 준비를 위하여 이전이 필요한 경우

5. 정보주체의 이익을 위해 컨트롤러와 다른 법인 등과 체결된 계약 이행을 위해 필요한 경우

6. 공익 달성이 중요한 경우(EU 또는 회원국 법에 의하여 인정된 공익이어야 함)

7. 법적 청구권의 설정, 행사, 방어를 위해 필요한 경우

8. 정보주체의 동의가 불가능하고, 정보주체 또는 다른 사람의 중대한 이익 보호를 위한 경우

9. EU 또는 회원국 법에 따라 의도되고 공개된 등록부로부터 일부가 이전되는 경우

10. 반복적인 이전이 아니고, 정보주체의 수가 제한적이며, 컨트롤러의 정당한 이익을 위해

필요하고, 이전을 둘러싼 모든 환경에 대한 평가를 고려한 적절한 보호조치에 따른 이

전인 경우

3) 정보통신망법은 이전에 대하여 ‘제공(조회되는 경우를 포함한다) · 처리위탁 · 보관’으로 정의하고 있는바, 본 연구에서 규정한

‘개인정보가 국경을 넘는 일체의 행위’보다는 범위가 협소함을 알 수 있다.

29

일본 개인정보보호법 제24조는 개인 데이터를 국외에 제공할 수 있는 사유를 규정하고 있

는바, 그 허용 사유는 정리하면 6가지이지만, 공공기관에만 적용되는 5호를 제외하면 정보처

리자는 5가지의 개인 데이터 국외 제공의 허용 사유를 보유한다.

1. 미리 본인의 동의를 얻은 경우







에 대해서 협력할 필요가 있는 경우로서 본인의 동의를 얻는 것이 해당 업무 수행에 지


6. 개인 데이터 취급에 대해서 제4장 제1절의 규정에 따라 개인정보 취급사업자가 취해야

하는 조치에 상당하는 조치로서, 국외의 개인 데이터를 제공받는 자가 계속적으로 취하기

위하여 필요한 것으로서 개인정보 보호위원회 규칙으로 정한 기준에 적합한 체제를 정비

한 경우


각국의 국외 이전의 허용 사유를 유사한 항목끼리 대응시켜 비교하면 아래 표와 같다.


정보주체의 동의를 얻은

경우(제공)

정보주체의 동의를 얻은

경우

3. 적정성 결정과 적절한

안전장치가 없음을 고

지 받고, 정보주체가 이

전에 명시적으로 동의

한 경우

1. 미리 본인의 동의를 얻

은 경우

1. EU집행위원회가 적정한

보호수준에 대하여 평

가한 후 적정성 결정을

한 경우


3. 사람의 생명, 신체 또는

재산의 보호를 위해서

필요가 있는 경우로서

<표 12> 개인정보 국외 이전 허용 사유 유사항목 비교

30


2. 적절한 안전장치가 있

는 경우(적절한 안전장

치의 예 : 공공당국 또

는 기관 사이의 법적

구속력 있고 집행가능

한 문서, 소관 감독당국

이 승인한 구속력 있는

기업규칙, EU집행위원

회가 채택한 표준개인

정보보호조항, 감독당국

이 채택하고 EU집행위

원회가 승인한 표준개

인정보보호조항, 승인된

행동강령, 승인된 인증

메커니즘 등)

4. 계약의 이행이나 이행

준비를 위하여 이전이

필요한 경우

5. 정보주체의 이익을 위해

컨트롤러와 다른 법인

등과 체결된 계약 이행

을 위해 필요한 경우

6. 공익 달성이 중요한 경

우(EU 또는 회원국 법

에 의하여 인정된 공익

이어야 함)

7. 법적 청구권의 설정, 행

사, 방어를 위해 필요한

경우

8. 정보주체의 동의가 불

가능하고, 정보주체 또

는 다른 사람의 중대한

이익 보호를 위한 경우

9. EU 또는 회원국 법에

따라 의도되고 공개된

등 록 부 로 부 터 일 부 가

이전되는 경우

10. 반복적인 이전이 아니

고, 정보주체의 수가 제

한적이며, 컨트롤러의 정

당한 이익을 위해 필요할

하고, 이전을 둘러싼 모

든 환경에 대한 평가를

고려한 적절한 보호조치

에 따른 이전인 경우

본인의 동의를 얻는 것

이 곤란한 경우






한 경우

6. 개인 데이터 취급에 대

해서 제4장 제1절의 규

정에 따라 개인정보 취

급사업자가 취해야 하는

조치에 상당하는 조치로

서, 국외의 개인 데이터

를 제공받는 자가 계속

적으로 취하기 위하여

필요한 것으로서 개인정

보 보호위원회 규칙으로

정한 기준에 적합한 체

제를 정비한 경우

31

정량적으로 또는 정성적으로 판단하더라도, EU GDPR의 허용 사유가 다른 나라의 입법보

다 월등이 많다. 그 다음으로 일본 개인정보보호법의 허용 사유가 많다고 판단할 수 있다.

한편 우리나라의 개인정보보호법이나 정보통신망법은 일본 개인정보보호법보다는 적은 허

용 사유를 보이고 있다. 그리고 우리나라의 개인정보보호법이나 정보통신망법을 비교하면, 개

인정보보호법은 ‘제공’의 사유만 규정하고 있다는 점, 정보통신망법은 ‘동의’를 받지 않고 국외

이전을 할 수 있다는 점을 고려하여, 정보통신망법의 허용 사유가 개인정보보호법의 허용 사

유보다 넓다고 볼 수 있다.

그 허용 사유 또는 실체적 규제의 순서를 정리하면 아래와 같다.


국외 이전의


완화순위

4 3 1 2

<표 13> 개인정보 국외 이전 허용 사유 규제의 완화순위

4. 관리 ・ 파기 관련 실체적 규제의 비교

가. ‘파기 사유’의 비교

1) 각 법의 사유

우리나라 개인정보보호법은 파기 사유에 대하여 아래와 같이 보유기간의 경과, 개인정보의

처리 목적 달성 등 그 개인정보가 불필요하게 되었을 때로 규정하고 있다(제21조 참조). 파기

를 할 때는 복구 또는 재생되지 아니하도록 조치하여야 하나, 다만 법령에 따라 보존해야 하

는 경우에는 파기를 하지 않아도 된다(제21조 참조).

보유기간의 경과, 개인정보의 처리 목적 달성 등 그 개인정보가 불필요하게 되었을 때

우리나라 정보통신망법은 파기 사유에 대하여 아래 4가지를 들고 있다(제29조). 파기의 방

법은 동일하고, 다만 법령에 따라 보존해야 하는 경우에는 파기를 하지 않아도 된다(제29조).

32

1. 동의를 받은 개인정보의 수집 · 이용 목적이나 해당 목적을 달성한 경우

2. 동의를 받은 개인정보의 보유 및 이용 기간이 끝난 경우

3. 이용자의 동의를 받지 아니하고 수집 · 이용한 경우에는 개인정보처리방침에서 정한 개인

정보의 보유 및 이용 기간이 끝난 경우

4. 사업을 폐업하는 경우

EU GDPR은 제5조 제1항 (e)에서 ‘개인정보가 처리되는 목적에 필요한 기간’ 동안만 개인정

보를 정보주체의 식별을 허용하는 형태로 저장할 수 있도록 하고 있다. 다만, 예외적으로 개인정

보는 정보주체의 권리와 자유를 보호하기 위해 본 규칙에서 요구하는 적절한 기술적 및 관리적

조치의 이행을 조건으로 공익적 기록보존 목적, 과학적 및 역사적 연구 목적이나 통계적 목적에

한해 개인정보가 처리되는 한, 해당 개인정보는 더 오랜 기간 저장될 수 있다.

개인정보가 처리되는 목적에 필요한 기간이 경과했을 경우

일본 개인정보보호법은 제19조에서 ‘이용할 필요가 없어졌을 경우’ 개인정보를 지체 없이 소

거하도록 규정하고 있다.

이용할 필요가 없어졌을 경우


파기 사유는 수집 · 이용 · 제공의 허용 사유와 달리 그 사유가 적을수록 실체적 규제가 적

다고 볼 수 있다. 각국의 파기 사유를 정리 또는 비교하면 아래 표와 같다.


보유기간의 경과, 개인정

보의 처리 목적 달성 등

그 개인정보가 불필요하

게 되었을 때

1. 동의를 받은 개인정보의

수집 · 이용 목적이나 해

당 목적을 달성한 경우

2. 동의를 받은 개인정보의

보유 및 이용 기간이 끝

난 경우

개인정보가 처리되는 목

적에 필요한 기간이 경

과했을 경우

이용할 필요가 없어졌을

경우

<표 14> 각국의 개인정보 파기 사유

33

각국의 파기 사유는 대체로 유사한 범위를 가지고 있다. 다만, EU GDPR의 경우 파기 대

신에 정보주체의 식별을 허용하는 형태로 보관할 수 있기 때문에 파기나 소거를 의무화하는

국가에 대하여 비교적 규제가 낮다고 볼 수 있다.

한국의 개인정보보호법이나 정보통신망법, 일본의 개인정보보호법은 대체로 유사한 파기

사유를 보유하고 있으나, 파기 사유의 개수를 비교하면 일본의 개인정보보호법이 가장 규제가

약하고, 한국의 개인정보보호법, 정보통신망법 순서로 규제의 순서를 정리할 수 있다.


파기 사유


<표 15> 개인정보 파기 사유 규제의 완화순위

나. ‘개인정보 유효기간 제도’의 비교

1) 각 법의 제도

개인정보 유효기간 제도란 정보주체가 1년의 기간 이상 서비스를 이용하지 않을 경우 보관

중인 개인정보에 대하여 파기 등의 조치를 취해야 하는 의무를 말한다.

우리나라 개인정보보호법은 파기 제도 외에 개인정보 유효기간 제도를 규정하고 있지 않고

우리나라 정보통신망법은 제29조 제2항에서 개인정보 유효기간 제도를 규정하고 있다.

정보통신서비스 제공자등은 정보통신서비스를 1년의 기간 동안 이용하지 아니하는 이용자의

개인정보를 보호하기 위하여 대통령령으로 정하는 바에 따라 개인정보의 파기 등 필요한 조

치를 취하여야 한다. 다만, 그 기간에 대하여 다른 법령 또는 이용자의 요청에 따라 달리 정

한 경우에는 그에 따른다.

3. 이용자의 동의를 받지

아니하고 수집 · 이용한

경우에는 개인정보처리

방침에서 정한 개인정보

의 보유 및 이용 기간

이 끝난 경우

4. 사업을 폐업하는 경우

34

EU GDPR이나 일본 개인정보보호법은 개인정보 유효기간 제도를 보유하고 있지 않다.


개인정보 유효기간 제도는 오직 우리나라의 정보통신망법에만 존재하고 다른 입법에서는

존재하지 않는다. 따라서 실체적 규제 순서를 표로 정리하면 아래와 같다.


개인정보 유효기간

제도 규제의 완화순위1 4 1 1

<표 16> 개인정보 유효기간 제도 규제의 완화순위

5. 종합적인 평가

지금까지 각국의 실체적 규제 내용을 살펴보았다. 이상의 비교 내용을 정리하면 아래 표와

같다.

규제완화 순위 평가대상 개인정보보호법 정보통신망법 EU 일본

일반 개인정보 수집 ·

이용의 허용 사유3 4 2 1

민감정보의 수집 ·

이용의 허용 사유3 4 1 2

목적 외 이용의

허용 사유3 4 1 2

제공의 허용 사유 3 4 1 2

위탁의 절차 3 4 1 1

국외 이전 허용 사유 4 3 1 2

파기 사유 3 4 1 2

개인정보의

유효기간 제도1 4 1 1

상대적 규제 총점 23 31 9 13

<표 17> 개인정보에 대한 실체적 규제 내용 비교

35

각 입법의 규제 완화의 순위를 더한 것을 ‘상대적 규제 총점’이라 정하고 각 사유에 대한

순위를 더하면, 상대적 규제 총점은 EU GDPR의 경우는 9, 일본 개인정보보호법은 13, 우리

나라의 개인정보보호법은 23, 우리나라의 정보통신망법은 31의 수치가 나온다.

따라서 상대적 규제 총점에 따르면, 우리나라 정보통신망법이 가장 실체적 규제가 강한 입

법이며 EU GDPR이 실체적 규제가 가장 낮은 입법에 해당한다.

상대적 규제 총점에 의하여 단순 비교하면, EU GDPR은 우리나라 개인정보보호법에 비하

여 규제가 9/23 = 39%밖에 되지 않고, 우리나라 정보통신망법에 비하면 규제가 9/31 =

29%밖에 되지 않는다.

일본 개인정보보호법과 비교하더라도, 일본 개인정보보호법은 우리나라 개인정보보호법에

비하여 규제가 13/23 = 56%, 우리나라 정보통신망법에 비하여 규제가 13/31 = 42%밖에

되지 않는다.

EU GDPR을 기준으로 하여 상대적 규제 총점을 비교하면, 일본 개인정보보호법은 1.4배

의 규제가 더 있는 셈이고, 우리나라 개인정보보호법은 2.6배, 우리나라 정보통신망법은 3.4

배의 규제가 더 존재하는 것이다. EU의 정보처리자가 개인정보 처리를 할 때 받는 규제보다

우리나라 정보처리자가 받는 규제가 2.6배 ~ 3.4배 정도 더 많다는 의미이다.

그리고 일본 개인정보보호법을 기준으로 상대적 규제 총점을 비교하면, 우리나라 개인정보

보호법은 1.8배, 우리나라 정보통신망법은 2.4배의 규제가 더 존재하는 것으로 나타났다. 일

본의 정보처리자가 개인정보 처리를 할 때 받는 규제보다 우리나라 정보처리자가 받는 규제

가 1.8배 ~ 2.4배 정도 더 많다는 의미이다.

상대적 규제 총점 기준 개인정보보호법 정보통신망법 EU 일본

EU 기준 2.6배 3.4배 1 1.4배

일본 기준 1.8배 2.4배 0.7배 1

<표 18> 상대적 규제 총점 비교

36

6. 결어

그간 우리나라 개인정보 법령의 규제가 일본이나 EU보다 더 강하고 엄격하다는 평가가 많

았다. 하지만 그 구체적인 통계 자료는 제시하지 못하였다.

이번 연구로 그간의 평가가 틀리지 않았음을 알 수 있었고, 본 연구에서 제시한 상대적 규

제 총점을 기준으로 하면, EU GDPR을 기준으로 우리나라 개인정보보호법은 2.6배, 우리나라

정보통신망법은 무려 3.4배의 실체적 규제가 존재함을 밝혔다. 그 만큼 정보처리자 입장에서

는 개인정보의 처리가 쉽지 않다는 것을 의미한다.

물론 정당한 사유가 존재하면 실체적 규제가 더 강해질 수 있다. 하지만 우리나라 개인정

보 환경이 EU나 일본의 개인정보 환경에 비하여 그 규제가 더 강해야 하는 사유는 특별하게

발견되지 않는다.

무거운 실체적 규제는 기업의 규제 비용을 증가시키고 개인정보의 활용이나 산업에도 부정적

영향을 줄 수밖에 없다. 정보주체의 자기결정권을 보호한다는 원래적 취지는 감소할 수밖에 없다.

정당한 사유가 없음에도 무거운 개인정보 규제를 가지는 점에 대한 진지한 재검토와 고민

을 해야 할 것이고, 적어도 다른 나라와 유사한 규제 수준을 유지함으로써 우리 기업의 개인

정보 활용의 길을 만들어 주고, 나아가 개인정보의 보호와 활용이라는 개인정보 영역에서의

영원한 숙제를 현명하게 해결해 갈 수 있는 실마리를 제공하는 것이 필요하다고 본다.

37

개인정보보호 법령 및 지침 · 고시 해설, 행정안전부, 2016.

박노형 외 8인, EU 개인정보보호법, 박영사, 2017.

정보통신서비스 제공자를 위한 개인정보보호 법령 해설서, 방송통신위윈회, 2012.

한은영, “일본 개인정보보호법의 개정 내용 및 평가”, 「정보통신정책동향」 제27권 17호

통권 608호, 2016.

참고문헌

김경환

법무법인 민후 대표변호사

과학기술정보통신부 고문변호사

방송통신위원회 법령자문위원

공공데이터제공분쟁조정위원회 조정위원

온라인광고분쟁조정위원회 조정위원

방송통신위원회 자율주행차 관련 개인·위치정보 보호제도 개선 연구반 연구위원

비금융분야 블록체인 기술 적용 확산을 위한 법제도 연구 전문가 위원회 위원

공정거래위원회 기업거래정책 자문위원

개인정보보호법학회 국제학술이사

개인정보분쟁조정위원회 조정위원

개인정보보호협의회 자문위원

산업기술분쟁조정위원회 조정위원

한국인터넷진흥원 개인정보침해신고센터 법률자문위원

고려대학교 법학전문대학원 사이버법센터 자문위원

한국인터넷진흥원 민원처리심사위원회 위원

한국포스트휴먼학회 대외협력이사

저자소개

Documents

규제 측면에서의 한국 ・EU・일본의 개인정보보호 법령의 비교 · •개인정보 보호책임자의 지정 의무 •안전성 확보조치 기준의 준수