애스크로AIPublic Preview
← 학술논문 검색
학술논문법학논총2019.03 발행KCI 피인용 10

세이프하버협정 무효판결 이후 EU 일반개인정보보호규정(GDPR)의 내용과 우리 개인정보보호법제상 시사점- 개인정보의 국외이전에 관한 비교법적 연구를 중심으로 -

After the Max Schrems case(CJEU), the contents of the EU General Data Protection Regulation (GDPR) and Its Implications for the Personal Information Protection Acts in Korea - focusing on A Comparative Study of Transferring Personal Data to Third Parties Abroad -

차상육(경북대학교)

36권 1호, 211~249쪽

AI이 논문 주제로 AI 상담원문 보기 (KCI)

초록

EU사법재판소(Court of Justice of the EU, CJEU)는 2015년 10월 6일 막스 슈렘스 사건(Maximillian Schrems Case)에서 EU집행위원회가 미국과 체결한 세이프 하버(safe-harbor) 협정은 무효라고 판결을 내렸다. 이 판결 이후, 유럽위원회와 미국 상무부는 세이프하버협정에 갈음하여, 2016년 7월 12일 EU와 미국의 ‘개인정보보호 쉴드’(EU-US Privacy Shield) 협정을 새로 체결하고, 2016년 8월 1일부터 시행하고 있다. 또 유럽연합은 2016년 5월 24일 EU의 ‘일반개인정보보호규정’(GDPR)을 제정하였고, 2년 후 2018년 5월 25일부터 시행하고 있다(GDPR 제99조). EU역외에서 제3국으로 개인데이터를 이전하기 위하여 채택할 수 있는 선택지로서는 다음과 같이 6가지가 있다. 즉 ① 제3국의 적정성(adequacy) 결정, ②표준계약조항을 포함한 계약의 체결, ③ 구속적 기업규칙의 설정, ④인증제도(認證制度), ⑤행동규약, ⑥정보주체의 동의 등의 예외가 있다. 위 각 제도는 EU역내 개인정보주체의 데이터를 역외로 이전하는 경우 데이터와 함께 그 정보주체의 보호도 함께 이동하는 것을 확보하는 데에 주된 목적이 있다는 점을 염두에 두어야 한다. 이런 EU GDPR의 규정에 비추어 우리 개인정보보호법제에서도 동의 이외에도 개인정보를 국외이전하는 방식을 명문으로 입법화 할 필요가 있다. 요컨대 막스 슈렘스 사건 판결의 영향을 받은 EU GDPR의 내용 및 EU와 미국 사이의 개인정보보호 쉴드 협정 등에서 시사점을 도출하면, 우리의 개인정보보호법제상 관련규정이 오로지 사전 동의만에 의한 개인정보 국외이전을 합법화 하고 있어서 입법적 개선이 필요하다고 본다. 따라서 글로벌 수준의 개인정보 국외이전제도로서 실효성을 갖추기 위해서는 예외적 허용기준을 확대하여 입법화하는 방향으로 개선할 필요가 있다. 나아가 EU와 역외 제3국 정부 사이에 ‘적정성(adequacy) 결정’이 바로 EU의 GDPR에 대응하는 모든 문제를 해결하는 것은 아니다. 가까운 장래로 예견되지만 유럽위원회가 한국에 대해 개인정보보호의 적정성(adequacy) 결정을 하는 효과는 EEA내에서 한국으로의 개인데이터 이전만이 적법하게 될 뿐이다. 결국 유럽연합에서 비즈니스를 하는 한국기업 등은 역외이전 이외의 쟁점에 대해서도 GDPR에 여전히 대응할 필요가 있다.

Abstract

The Max Schrems case led the Court of Justice of the European Union on October 6, 2015, to invalidate the Safe Harbor arrangement, which governed data transfers between the EU and the US. And replacing Safe Harbor arrangement, the ‘EU-US Privacy Shield’ agreement has applied from 1. August, 2016. Furthermore, The General Data Protection Regulation (GDPR) of the EU has enacted in 24. May, 2016, and It has applied since 25. May, 2018. There are six options that can be adopted to transfer personal data from outside the EU to third countries: (1) Acquisition of adequacy recognition of third countries, (2) Contracts including standard contract provisions(SCC), (3) formulation of binding corporate rules (BCR), (4) the approved certification mechanism, (5) the approved code of conduct, and (6) the consent of the data subject, etc. In this paper, it is suggested that our Personal Information Protection Act needs legislative improvement in order to expand the exceptional acceptance standards in order to be effective as the transfer system of personal information abroad. Because our Personal Information Protection Act concerning the transfer of personal information to foreign countries are regulated mainly on the transfer of personal information based on prior consent.

발행기관:
법학연구소
DOI:
http://dx.doi.org/10.18018/HYLR.2019.36.1.211
분류:
법학

AI 법률 상담

이 논문의 주제에 대해 더 알고 싶으신가요?

460만+ 법률 자료에서 관련 판례·법령·해석례를 찾아 답변합니다

AI 상담 시작
세이프하버협정 무효판결 이후 EU 일반개인정보보호규정(GDPR)의 내용과 우리 개인정보보호법제상 시사점- 개인정보의 국외이전에 관한 비교법적 연구를 중심으로 - | 법학논총 2019 | AskLaw | 애스크로 AI