대한민국의 개인정보보호법에 대해서는 개인정보 보호법 문서를 참조하십시오.
1 개요
유럽연합의 유럽 의회에서 2016년 4월에 채택한 법. 1995년 인터넷 시대가 막 도래할 때 만들어진 정보보호명령을 대체하는 새로운 법이다. GDPR 조항에 따라 유럽에서 장사하는 회사들은 유럽 시민의 사생활 정보를 보호하는 것이 의무가 되며, 개인정보 유출도 규제된다.[1] 데이터 주권 관련 법안#
각 기업들은 2018년 5월 25일까지 GDPR이 규정하고 있는 보호 조치를 마련해야 한다.
구글, 페이스북, 애플, 아마존[2]과 같은 미국 IT 공룡기업들에게 직격탄이 되었다. 빅데이터와 머신러닝 시대가 도래하면서, 이들은 사용자들의 개인정보를 빅데이터로 인식해 무작위로 모으고 있었는데, 법의 규제를 받게 된 것이다.[3] 사실 유럽이 먼저 신호탄을 날렸지만, 개인 정보 유출에 대한 심각성은 전세계적으로 공감하고 있다. 따라서 GDPR은 더 정교화 될 가능성이 높고 전 세계적으로 채택하는 국가가 많아질 것으로 보인다.[4]
2017년 12월 19일에는 독일 정부가 페이스북이 소비자의 사생활 정보를 수집하고 있는 점을 지적하며, GDPR을 어기지 말라고 경고했다.
EU 각국 당국에 개인정보 위반 신고와 제보가 늘고 있지만 처리는 EU 각국 정부가 담당하고 있고 인력 및 제도의 미비로 인해 처리 속도가 느린 편이다.
기업 보안 책임을 강화하다. 위반 정도가 낮은 경우에는 해당 기업 및 기관의 연관 매출의 2% 또는 1천만유로 중 높은 금액이 과징금으로 부과되며, 심각한 위반의 경우 연간 매출 4% 또는 2천만유로 중 높은 금액이 부과된다.#
실제로 "2018년 영국 브리티시 항공사가 고객 개인정보 50만건을 유출하면서 매출액의 1.5%에 해당하는 2700억원의 벌금형을 받았다"# "한국에서 개인정보 유출 사고로 부과된 최고 벌금 44억보다 60배 많다"
GAFA를 비롯한 세계 IT 공룡 기업들은 GDPR에 대처하기 위해 데이터보호 담당자(DPO, Data Protection Officer) 직을 신설하고 발빠르게 인재들을 모으고 있다. 돈 많으니까
GDPR 적용 첫 사례로 개인정보 대해서 투명성·포괄적 동의금지 위반있다.
구글, 프랑스서 642억원 벌금…"개인정보 보호 위반" - ZDnet Korea
2 여담
- 이 법을 한국어로 뭐라고 번역할 것인가에 관해 아직 정설이 없다. '일반정보보호규칙'이라고 번역하는 이가 있는가 하면(함인선 전남대학교 법학전문대학원 교수), 그냥 GDPR이라고만 지칭하는 이도 있다(박노형 외. EU 개인정보보호법: GDPR을 중심으로 (서울: 박영사, 2017)). '법률신문'에서는 '유럽 일반 개인정보 보호법'이라는 표현을 사용한 바 있다.
- 한국인터넷진흥원에서 2017년 4월에 우리 기업을 위한 GDPR 안내서라는 책자를 간행한 바 있다. 해당 규칙의 원문과 이에 대한 설명을 수록한, 꽤 상세한 해설서이다.
- 본 법으로 인해 Tunngle은 2018년 4월 30일부로 서비스를 종료했다. 이를 피하기 위해 최선을 다했지만 현재 법률에서 요구하는 변경을 구현하는 데 필요한 자원과 투자가 부족했다고 한다.
- 각국의 데이터 주권 관련 법안은 미국은 클라우드법, 중국은 인터넷안전법, 유럽은 GDPR, 호주는 AAA, 러시아는 독자 인터넷망 구출 법안, 베트남은 사이버보안법 등이 있다. #
- ↑ 유럽 대상으로 사업하지 않더라도 EU 구성원의 개인정보를 처리하려면 비유럽 국가도 GDPR를 따라야 한다. 예를 들어, EU 구성원이 네이버에 회원가입하여 이용한다면 네이버는 GDPR에 따른 보호 조치를 적용해야 한다.
- ↑ 흔히 GAFA (Google Amazon Facebook Apple)이라고 한다.
- ↑ 미국 IT 공룡기업들을 타겟으로 하였지만 2018년 10월 현재 생각보다 파급력이 크진 않다. 오히려 GDPR 적용 이후 GAFA의 매출은 증가했는데 광고주들은 GAFA 정도 되어야 GDPR를 준수할 수 있을꺼라 판단했다고.
- ↑ 비유럽국가 중 인터넷이 꽤 활성화된 대한민국, 일본, 캐나다 등의 경우 일부 기업을 제외하고는 GDPR를 관망하는 추세다. 주 타겟은 미국의 IT 기업이고 EU 이용자의 유입이 크지 않아 미국과 남미의 GDPR 적용을 보고 서서히 적용할 가능성이 크다.