2017.08.10

영국, ‘잊혀질 권리’ 등 개인 권한 강화한 새로운 개인정보보호법 추진

Tamlin Magee | Computerworld UK
유럽 의회가 채택한 유럽 개인정보데이터보호법 GDPR(General Data Protection Regulation)에 맞춰 영국 정부도 새로운 개인 데이터 보호 법안에 대한 성명을 발표했다.

성명에서 영국 디지털문화부 장관 맷 행콕은 영국 데이터 보호법을 새롭게 갱신하고 데이터 활용 동의에 대한 규칙을 더 엄격하게 적용하며, 데이터 액세스, 이전, 삭제 권한을 강화하겠다고 발표했다.

영국 정부의 데이터 보호에 대한 움직임은 영국 형법상에도 “의도적으로나 무단으로 익명화, 또는 유사 익명화된 데이터에서 개인을 재식별하는 행위”에 최대 한도의 벌금을 매기는 변화를 가져올 것으로 보인다.

이번 법안은 또한, 기업이나 조직 데이터에 대한 액세스 요청을 거부하기 위해 기록을 변경하는 행위를 새로운 범죄로 규정할 것이다. 해당 행위는 영국과 웨일즈에서 최고 무제한 벌금, 스코틀랜드와 북아일랜드에서는 5급 벌금을 받을 수 있다.

동시에 영국 정보감독원(Information Commissioner's Office)은 벌금을 높일 수 있는 권한을 갖게 된다. 현재는 최대 50만 파운드 벌금을 기업 등 조직에 부과할 수 있지만, 새로운 법안에 따르면 벌금 액수는 1,700만 파운드 또는 전 세계 매출의 4% 해당 금액으로 대폭 늘어난다. 중대한 데이터 규정 위반에 2.000만 유로나 전 세계 매출 4% 금액의 벌금을 매기는 GDPR 규정과 일치하는 움직임이다.

영국 정부는 데이터 동의 규정 역시 강화된다고 밝혔다. 기업이 개인 정보를 관리할 때는 사용자 동의 규정이 분명하고 확실하며, 정보 철회 과정도 쉬워야 한다는 것이다. 또한, 개인이 기업이나 조직이 관리하는 개인 데이터를 요청하는 과정과 서비스 업체 간 데이터 이전 역시 더 쉽게 개선할 것이라고 밝혔다.

새로운 ‘잊혀질 권리’에서는 사용자가 유년기에 생성한 소셜 미디어 데이터를 전부 삭제하도록 요청할 권리와 개인 데이터 삭제 요청 권리를 인정한다. 성명서는 개인이 소셜 미디어 기업에 모든 게시물 삭제를 요청할 수 있다고 덧붙였다.

성명서에 따르면 자동화된 절차에 기반한 결정에 대해 개인 사용자가 “컴퓨터가 아닌 사람이 감독하고 검토할 것을 요청할 수 있다”는 규정도 추가된다. 카스퍼스키 랩의 수석 보안 연구자 데이비드 엠은 개인 사용자 권리에 대한 이같은 변화가 “유례 없는 것”이라고 단언했다. 엠은 “유럽 연합에서 시행될 예정인 GDPR에 발맞추어 영국 기업이 데이터를 수집하고 처리하는 방식에도 많은 변화가 일어날 것”이라며, “일반 대중과 사이버 범죄자 모두가 새로운 권리 확대와 개인 데이터의 가치를 새롭게 인식하는 것이 중요하다”고 강조했다.

영국 정부가 내놓은 새 규정과 유럽 연합의 GDPR은 아동이 데이터 처리에 동의하는 방식에서 차이를 보인다. 유럽 연합 GDPR은 개인 정보 동의 연령을 16세로 지정했으나 영국 정부는 13세부터 개인 정보 처리에 동의할 수 있도록 했다. 또한, 정부 기관이 아닌 서드파티 기업이나 조직도 범죄 기록 등 관련 데이터에 액세스할 수 있도록 허용했다.

GDPR 개정 발표 이후 기업들은 2018년 5월까지 데이터 규정을 새롭게 재정비하라는 요구를 받아왔다. 그러나 국민 투표 결과 유럽 연합을 탈퇴하게 된 영국은 정보감독원을 통해 별도의 데이터 보호 법안을 손질했다.

새로운 데이터 보호 법안으로 유럽 연합 GDPR 규정과 영국 데이터 정책은 같은 방향으로 나아가게 되었지만, 영국 정부가 유럽과 적절한 합의점을 찾을 수 있을 것인지는 아직 불투명하다. 적절한 합의점이란 영국 데이터 법에 대한 유럽 연합의 승인, 그리고 유럽과 영국 간 단절이나 불일치를 최소화한 매끄러운 데이터 이전을 의미한다. 그러나 올해 초 영국 정보감독원은 이 과정에 최소 2년 이상이 소요될 것으로 전망한 바 있다. editor@itworld.co.kr 

2017.08.10

영국, ‘잊혀질 권리’ 등 개인 권한 강화한 새로운 개인정보보호법 추진

Tamlin Magee | Computerworld UK
유럽 의회가 채택한 유럽 개인정보데이터보호법 GDPR(General Data Protection Regulation)에 맞춰 영국 정부도 새로운 개인 데이터 보호 법안에 대한 성명을 발표했다.

성명에서 영국 디지털문화부 장관 맷 행콕은 영국 데이터 보호법을 새롭게 갱신하고 데이터 활용 동의에 대한 규칙을 더 엄격하게 적용하며, 데이터 액세스, 이전, 삭제 권한을 강화하겠다고 발표했다.

영국 정부의 데이터 보호에 대한 움직임은 영국 형법상에도 “의도적으로나 무단으로 익명화, 또는 유사 익명화된 데이터에서 개인을 재식별하는 행위”에 최대 한도의 벌금을 매기는 변화를 가져올 것으로 보인다.

이번 법안은 또한, 기업이나 조직 데이터에 대한 액세스 요청을 거부하기 위해 기록을 변경하는 행위를 새로운 범죄로 규정할 것이다. 해당 행위는 영국과 웨일즈에서 최고 무제한 벌금, 스코틀랜드와 북아일랜드에서는 5급 벌금을 받을 수 있다.

동시에 영국 정보감독원(Information Commissioner's Office)은 벌금을 높일 수 있는 권한을 갖게 된다. 현재는 최대 50만 파운드 벌금을 기업 등 조직에 부과할 수 있지만, 새로운 법안에 따르면 벌금 액수는 1,700만 파운드 또는 전 세계 매출의 4% 해당 금액으로 대폭 늘어난다. 중대한 데이터 규정 위반에 2.000만 유로나 전 세계 매출 4% 금액의 벌금을 매기는 GDPR 규정과 일치하는 움직임이다.

영국 정부는 데이터 동의 규정 역시 강화된다고 밝혔다. 기업이 개인 정보를 관리할 때는 사용자 동의 규정이 분명하고 확실하며, 정보 철회 과정도 쉬워야 한다는 것이다. 또한, 개인이 기업이나 조직이 관리하는 개인 데이터를 요청하는 과정과 서비스 업체 간 데이터 이전 역시 더 쉽게 개선할 것이라고 밝혔다.

새로운 ‘잊혀질 권리’에서는 사용자가 유년기에 생성한 소셜 미디어 데이터를 전부 삭제하도록 요청할 권리와 개인 데이터 삭제 요청 권리를 인정한다. 성명서는 개인이 소셜 미디어 기업에 모든 게시물 삭제를 요청할 수 있다고 덧붙였다.

성명서에 따르면 자동화된 절차에 기반한 결정에 대해 개인 사용자가 “컴퓨터가 아닌 사람이 감독하고 검토할 것을 요청할 수 있다”는 규정도 추가된다. 카스퍼스키 랩의 수석 보안 연구자 데이비드 엠은 개인 사용자 권리에 대한 이같은 변화가 “유례 없는 것”이라고 단언했다. 엠은 “유럽 연합에서 시행될 예정인 GDPR에 발맞추어 영국 기업이 데이터를 수집하고 처리하는 방식에도 많은 변화가 일어날 것”이라며, “일반 대중과 사이버 범죄자 모두가 새로운 권리 확대와 개인 데이터의 가치를 새롭게 인식하는 것이 중요하다”고 강조했다.

영국 정부가 내놓은 새 규정과 유럽 연합의 GDPR은 아동이 데이터 처리에 동의하는 방식에서 차이를 보인다. 유럽 연합 GDPR은 개인 정보 동의 연령을 16세로 지정했으나 영국 정부는 13세부터 개인 정보 처리에 동의할 수 있도록 했다. 또한, 정부 기관이 아닌 서드파티 기업이나 조직도 범죄 기록 등 관련 데이터에 액세스할 수 있도록 허용했다.

GDPR 개정 발표 이후 기업들은 2018년 5월까지 데이터 규정을 새롭게 재정비하라는 요구를 받아왔다. 그러나 국민 투표 결과 유럽 연합을 탈퇴하게 된 영국은 정보감독원을 통해 별도의 데이터 보호 법안을 손질했다.

새로운 데이터 보호 법안으로 유럽 연합 GDPR 규정과 영국 데이터 정책은 같은 방향으로 나아가게 되었지만, 영국 정부가 유럽과 적절한 합의점을 찾을 수 있을 것인지는 아직 불투명하다. 적절한 합의점이란 영국 데이터 법에 대한 유럽 연합의 승인, 그리고 유럽과 영국 간 단절이나 불일치를 최소화한 매끄러운 데이터 이전을 의미한다. 그러나 올해 초 영국 정보감독원은 이 과정에 최소 2년 이상이 소요될 것으로 전망한 바 있다. editor@itworld.co.kr 

X