영국 데이터보호법상 출입국목적 면제조항과 개인정보보호
Immigration Exemptions Provision of UK Data Protection Act and Personal Information Protection
박지현(영산대학교); Dodik Setiawan Nur Heriyanto(Universitas Islam Indonesia(UII) 법학과)
23권 3호, 391~417쪽
초록
2021년 5월 영국항소법원은 2018년 개정 영국 데이터보호법(DPA) 별첨에 편재되어 있는 면제조항 내용 중 출입국면제조항이 EU GDPR 데이터보호의 일반원칙에 대한 면제사항을 규정한 제23조 제2항과 이를 영국국내법화한 영국 GDPR 제23조 제2항의 구체적인내용을 반영하지 못하며, 적정한 입법적 조치없이 현재처럼 제2항 적용시 법에 반한다고주장한 원고의 손을 들어주었다. EU GDPR은 데이터주체에게 주어지는 보호의 원칙과 예외에 대한 내용을 다루고 있으며, 2018년부터 유럽연합국가들에 적용되었다. 영국이 Brexit 로 유럽연합에서 탈퇴하면서 국내법개정이 다수 있었고, 이 과정에서 과거에 있었던 1998 데이터보호법도 개정이 되었는데 EU GDPR, UK GDPR, UK DPA을 통한 개인정보보호의최소기준이 새로운 시대적 과제에 맞추어 실질적인 이슈가 된 것으로 보인다. 원고가 주장한 내용은 데이터주체에게 주어지는 보호를 면제함에 있어서는 명확하고 정확하게 (clear and precise) 예측가능성이 기대되어야 하는데 그렇지 못하며, 현재의 명확하지도 정확하지 않은 조항을 근거로 운영의 자율성을 최대한 부여받아서 면제조항을 이용하면서 이민청의 행정오류의 정도가 10%나 되었다는 증거를 제출하였다. 1심법원의 결정을 뒤집은 항소법원은 제23조 제2항에서 요구하는 보호장치(safe guard)를 마련하여 법령에 도입하라고명령하였다. 2022년 1월 상하원의 승인으로 통과된 개정조항에 대하여도 데이터주체를 보호하기 위한 장치가 충분한지 여부에 대하여는 여전히 의견이 나뉘는데 그 이유는 면제의조건을 정하는 보호장치는 법의 본질적인 부분(part and parcel)으로 규정하여야 하는데 법적인 강제력이 없는 장관의 정책문서(policy document)를 가이드라인과 판단 출처로 규정한 것은 적절하지 않다는 것이다. 해당 판례는 출입국면제조항을 화두로 하여 어떠한 입법적 조치를 취하는 것이 데이터보호법과 개인정보보호에 합당한 내용적, 절차적 조치인지생각해보게하는 계기가 되었으며 이 판례가 다른 나라에 시사하는 바도 크다고 본다. 공공안전이라는 중요한 이해관계가 관계되어 있다하더라도 명확하고 투명하게 개인정보보호에 대한 보호망의 내용적, 절차적 기준을 제정하고 유지해야 할 것으로 본다.
Abstract
In 2021, the United Kingdom’s Court of Appeals ruled in favor of the plaintiff saying that there was an unlawful incompatibility between provisions in the U.K. Data Protection Act of 2018 (DPA) Schedule 2 Part 1, paragraph 4 and Article 23(2) and UK GEPR which is the implementatin of the European Unions’ General Data Protection Regulation of 2016 (GDPR) Article 23(2) due to lack of legislative measure required by UK GDPR 23(2). EU GDPR covers principles and exemptions of personal information protection and it was enforced since 2018 to EU member states. This case occurred in the middle of the Brexit process. After Brexit, the judgement came out and the UK paliament remanded the 1998 data protection law which went into effect on January 1, 2021. Among the changes that resulted were modifications to personal data protection. In the court case, the plaintiff claimed that the Schedule 2 part 1 paragraph 4 did not provide predictability with clear and precise phrases when it applies exemption to the protection given to the data subject. In addition, the plaintiff provided evidence that the degree of administrative error of the Immigration office operating the migrant service was as high as 10% even with the current easy excess of the documents. The Court of Appeals ordered the amendment of the article to comply with a legislative measure to accord to Article 23(2). After the court decision, Parliament revised the DPA immigration provision providing additional safeguards with clear authority in place. However, opinions are divided on whether a safeguard given by the amendment is sufficient. Some lawyers and legal activists are still not satisfied with the revision. They claim the revisions still lack appropriate safeguards which are considered to be the part and parcel of the court’s decision to fix since the Immigration Exemption Policy Document (IEPD) provides guideline and judgment source which is not legally enforceable. This precedent served as an opportunity to think about appropriate legislative measures to take with the immigration exemption clause in terms of subjective and procedural measures and great implications for other countries as well. Even with important stake such as public safety and maintaining effective immigration control, it is necessary to clearly and transparently establish and maintain the subjective and procedural standards of the protection net for personal information protection.
- 발행기관:
- 법학연구소
- 분류:
- 법학