미국과 EU의 개인정보보호에 관한 법제 비교분석

• Published in: Tonga pŏphak no. 83; pp. 269 - 309
• Main Author: 박선욱(Park, Seon-Uk)
• Format: Journal Article
• Language: Korean
• Published: 동아대학교 법학연구소 01.05.2019; 법학연구소
• Subjects: 법학; Fourth Amendment of US Constitution; extraterritorial application; reasonable expectation of privacy; 미국 연방 수정헌법 제4조; EU 일반개인정보보호규정; 역외적용; data privacy; General Data Protection Regulation(GDPR); 개인정보보호; 개인의 사생활보호 권리에 대한 합리적인 기대
• ISSN: 1225-3405; 2713-5470
• DOI: 10.31839/DALR.2019.05.83.269

현재 미국과 EU는 개인의 사생활보호 및 개인정보보호에 관한 법제를 마련함에 있어 여러 논의를 이어가고 있다. 이는 급속한 기술의 발전으로 기업및 정부는 방대한 양의 개인정보를 수집, 저장하게 되었기 때문이다. 기업거래 측면에 있어서는 빅 데이터(big data) 또는 메타데이터(metadata)라는 용어를 사용하며 시장의 효율성 및 거래에 있어 낮은 장벽을 강조하고, 국가안보 측면에서 정부는 메타데이터를 이용하여 범죄수사를 하고 테러리즘 및 국제범죄로 야기되는 사회에 대한 중대한 위협에 대응하고 있다. 하지만 이와동시에 정보수집으로 인한 개인정보보호 및 개인의 사생활보호 권리 보호 문제도 점차 심각해지고 있다. 2014년 4월 유럽사법재판소(European Court of Justice)는 놀랄만한 판결을 하였다. Digital Rights Ireland에서 유럽사법재판소는 통신서비스사업자가 모든 EU시민의 이메일, 휴대전화 문자, 전화통화를 최대 2년까지 보관할수 있게 하였던 EU 1995년 개인정보보호지침(1995년 지침)을 무효화하면서, 동 지침이 EU법에 따른 비례원칙을 충족하지 않았다고 하였다. 2015년 10월에는 Schrems v. Data Protection Commissioner에서 유럽사법재판소는 미국 정부가 적절한 보호 조치없이 인터넷서비스사업자로 하여금 EU시민에 관한 메타데이터를 제출하도록 한 것은 EU의 1995년 지침을 위반한 것이라고하면서 EU와 미국 간 세이프 하버 프레임워크는 무효라고 하였다. EU 및 EU회원국들은 개인의 사생활권리 및 개인정보를 미국의 경우보다강력하게 보호하고 있으며 개인정보를 EU비회원국으로 전송하는 것을 제한하고 있다. EU는 1995년 개인정보보호지침을 제정하였고 동 지침에서는 개인의 사생활보호 권리를 기본적 권리 및 자유로 기술하고 있는 데, 이는 인권과기본적 자유의 보호를 위한 협약(Convention for the Protection of Human Rights and Fundamental Freedoms; 유럽인권보호조약)193)에서 기초한 것이다. 비록 미국과 EU가 개인의 사생활권리 보호에 대해 상이한 접근을 하고 있지만 개인들은 이름, IP주소, 건강 정보 등 자신의 정보를 다른 국가로 빠르게전송하는 시대에 살고 있다. 따라서 개인정보보호에 관한 기준은 정보의 수집, 처리, 교환 등을 상세하게 규율하고 목적제한과 같은 실질적인 법원칙을발전시키면서, 정보의 주체를 위해 권리 침해에 대한 법적 구제방법을 확립하여 절차 공정성(procedural justice) 문제를 강조하여 개인정보보호에 관한 법발전에 기여하여야 한다. Disputes highlighting the tension between American and EU laws regarding privacy and Personal Information Protection are on the rise. This is largely due to rapid changes in technology over recent decades that allow businesses and governments to aggregate and store massive quantities of data that can reveal personal information. In the commercial context, businesses use big data and metadata, to increase market efficiency and lower barriers to trade. In the national security context, governments rely on metadata to conduct criminal investigations and combat grave threats to society, such as those posed by terrorism and transnational crimes. At the same time, the proliferation of data collection jeopardizes important privacy rights. On April 2014, in Digital Rights Ireland, the European Court of Justice(ECJ) struck down the Data Retention Directive, an EU legislative act that allowed telecommunications service providers to retain metadata from every EU citizen's emails, text messages, and telephone calls for up to two years, finding that it failed to meet the proportionality requirement under EU law. Similarly, on October 2015, in Maximillian Schrems v. Data Protection Commissioner, the ECJ struck down safe harbor agreements between the US and EU, finding that the US Government's ability to require third-party ISPs to turn over metadata of EU citizens to the US Government without “adequate protection” violated rights protected by the EU Data Protection Directive. These decisions were the result of European courts balancing domestic privacy rights against global security concerns and market interests. As a similar balancing test, in Microsoft Corp. v. United States, the US Second Circuit decided that it is unlawful for a US magistrate judge to issue a warrant, pursuant to the Stored Communications Act(SCA), a domestic statute, to attain data exclusively stored abroad, and that it constitutes an unlawful extraterritorial application of the statute. The priorities of EU member nations stand in stark contrast to those of the US. The EU takes a much stronger stance on privacy and data protection and restricts how companies transfer data to non-EU nations. In the EU's Data Protection Directive(“Directive”), the right to privacy is described as a “fundamental right and freedom.” This sentiment is echoed in other landmark EU documents such as the Convention for the Protection of Human Rights and Fundamental Freedoms. Despite the very different treatment of the right to privacy in the US and EU, individuals live in an era of lightning-quick information transfers and an interconnected global economy in which the sharing of private data across borders is essential. Therefore, the standards for personal information protection establish legal remedies for infringement of rights for data subject and contribute to the development of law on personal information protection by emphasizing procedural justice, while dealing with the collection, processing, and exchange of information and developing practical legal principles such as object limitation. KCI Citation Count: 1