[260405] gdpr_v_pipa_may_2023_update (p.12-16)

[단어뜻 탐색]

(GDPR)

filling system: 특정 기준에 따라 접근 가능한 개인정보의 구조화된 집합을 의미하며, 중앙 집중식, 분산식 또는 기능적/지리적 기반의 분산 여부와 관계없이 적용됩니다

radio frequency identification tags: (RFID 태그): GDPR에서 IP 주소, 쿠키 식별자와 함께 개인 데이터로 간주될 수 있는 온라인 식별자의 예시로 언급됩니다

(PIPA)

reasonably(합리적으로): 특정 정보를 통해 개인을 식별할 수 있는지 판단할 때, 식별에 소요되는 시간, 비용, 기술 등을 상식적이고 타당한 수준에서 고려해야 한다는 의미입니다

procured: (입수/획득된): 다른 정보와 결합하여 개인을 식별할 가능성을 따질 때, 그 '다른 정보'를 얻을 수 있는(입수할 수 있는) 가능성을 의미합니다

resident (거주자/주민): 소스에서는 주로 주민등록번호(resident registration number)라는 용어로 등장하며, 주민등록번호는 PIPA에서 고유식별정보(UID) 중 하나로 분류됩니다

 

(GDPR)

organisational(조직적): 개인정보 보호를 위해 기술적 조치와 함께 병행해야 하는 조치로, 내부 정책 수립이나 직원 교육 등 조직 차원의 관리 방식을 뜻합니다

 

 

terminology: 각 법률에서 사용하는 전문 용어 체계

obligations: 법률에 따라 데이터 처리자나 컨트롤러가 반드시 지켜야 하는 법적 책임이나 수행 과제

 

(GDPR)

behalf(대신하여): 주로 처리자가 컨트롤러를 대신하여 개인 데이터를 처리한다는 맥락에서 사용됨.

(PIPA)

pursuant(따라/의거하여): 특정 규칙에 따라 체계적으로 구성된 또는 법령에 의거하여 부과된 임무와 같이 법이나 규칙을 따르는 상황에서 사용됨. 

outsourced(위탁된): 데이터 처리 업무를 외부 제3자에게 맡기는 것을 '위탁'이라 하며, 그 업무를 맡아 처리하는 사람이나 기관을 수탁자라고 부른다. 

outsourcee: 수탁자

domestic representative(국내 대리인): 국내에 사업장이 없는 정보통신서비스 제공자 등이 국내 이용자 보호를 위해 지정해야 하는 국내 거주 대리인

amendments(개정): 시간이 지남에 따라 법률의 내용을 수정하거나 보완하는 행위

 

(GDPR)

shall(~해야 한다): 법적 조항에서 의무적인 사항을 나타낼 때 사용되는 표현

engage(고용/선임하다): 처리자가 컨트롤러의 서면 승인 없이 다른 하위 처리자를 선임하거나 업무에 관여시키지 않아야 한다는 맥락에서 사용됨

authorisation: 컨트롤러가 처리자에게 하위 처리자 선임 등에 대해 내리는 공식적인 서면 허가를 의미

(PIPA)

statutorily-prescribed: 법률(Statute)에 의해 구체적으로 규정되거나 명시된 상황을 의미

liability(책임): 개인정보 유출 등으로 인해 손해가 발생했을 때 지게 되는 법적 배상 책임

managerial(관리적): 개인정보 안전한 처리를 위해 수립하는 내부 관리 계획 등 행정적.관리적 측면의 보안 조치를 의미

personal data is not lost, stolen, leaked, forged, altered, or damaged(개인정보가 분실.도난.유출.위조.변조 또는 훼손되지 아니하도록): 개인정보처리자가 확보해야 할 안전성 확보의 구체적인 목표를 정의하는 정형화된 문구

 

(GDPR)

concise(간결한): 정보 주체(특히 아동)에게 정보를 제공할 때 이해하기 쉽도록 군더더기 없이 명확하게 전달해야 함을 의미

intelligible(이해하기 쉬운): 제공되는 정보가 복잡하지 않고 누구나 쉽게 그 내용을 파악할 수 있는 형태여야 함.

(PIPA)

plain language: 아동 등이 개인정보 처리 관련 내용을 명확히 이해할 수 있도록 사용하는 평이하고 일상적인 용어를 뜻함

 

 

1)

해당 페이지 범위의 제목, 소제목, 표/차트/키워드만 먼저 훑어보기

Scope: 전체적인 법적 적용 범위를 다룸.

-personal scope

-territorial scope

 

(인적 범위)

living individuals

data controller

data processor

data subject

public bodies

 

(지리적 범위)

extraterritorial scope(역외 적용 범위)

nationality/place of residence(국적/거주지)

EU presence(EU 내 사업장)

 

유사점: 두 법 모두 살아있는 자연인을 보호 대상으로 하여, 공공 및 민간 부문에 모두 적용된다는 점이 같다.

차이점: GDPR은 정보주체의 국적이나 거주지에 상관없이 적용된다고 명시하고 있으나, PIPA는 거주지 등에 따른 적용 범위를 명시적으로 규정하고 있지 않음. 또한, GDPR은 명확한 역외 적용 기준이 있는 반면 PIPA는 실무적인 여러 요소를 고려하여 판단한다.

 

 

2)

문단별로 빠르게 훑으며 주요 결론/차이점만 한국어로 적기

표 형식 부분은 GDPR/PIPA/Differences 열을 먼저 한국어로 요약

 

한국의 개인정보 보호법은 EU의 적정성 결정을 받기 위해 2020년 주요 개정을 거치며 GDPR가 상당히 유사해짐.

그러나 개인정보보호법은 명시적인 역외 적용 규정이 부족하고, 기록 보관의무나 영향평가 대상 등에서 차이가 있으며,

특히 GDPR과 달리 형사 처벌(징역형) 규정을 두고 있다는 점이 큰 특징이다.

 

(인적범위)

구분	GDPR	PIPA	차이점
보호대상	살아있는 자연인(데이터 주체)	살아있는 자연인(정보 주체)	GDPR은 국적이나 거주지에 상관없이 보호함을 명시하나, PIPA는 이에 대한 명시적 언급 없음.
책임주체	데이터 컨트롤러 및 처리자	개인정보처리자 및 수탁자	용어의 차이는 있으나 공공 및 민간 기구 모두를 포함하는 개념적 정의는 유사함

 

(지리적 범위)

구분	GDPR	PIPA	차이점
역내적용	EU 내 사업장이 있는 경우 적용	한국 내의 모든 처리자에게 적용	두 법 모두 자국 영토 내 사업장에 적용되는 점은 동일함
역외적용	EU 밖이라도 EU 내 개인에게 상품.서비스 제공 또는 행동 모니터링 시 적용	명시적 규정은 없으나 한국 서비스 타겟 여부, 수익 발생 등을 고려해 판단	GDPR은 명확한 역외 적용 기준이 있으나 PIPA는 법률에 명시되어 있지 않음

 

(물적범위)

구분	GDPR	PIPA	차이점
개인정보정의	식별 가능하거나 식별된 자연인에 관한 모든 정보	성명, 주민번호, 영상 등을 통해 특정 개인을 알아볼 수 있는 정보	PIPA: 쉽게 결합하여 식별할 수 있는 정보를 판단할 때 합리적 비용, 시간 등을 고려함
적용제외	순수하게 개인적.가정적 활동, 국가 안보, 법 집행 등	동창회.동호회 등 친목 기구 관리, 언론.종교.정당의 고유 목적 활동 등	GDPR: 개인적 용도의 처리를 명시적으로 제외 PIPA: 친목 목적 등에 대해 일부 조항만 적용 제외함
처리방식	자동화된 처리 또는 파일링 시스템의 일부인 비자동화 처리	자동화 여부를 구분하지 않고 모든 처리 행위에 적용	GDPR: 파일링 시스템 개념을 중시 PIPA: 처리 방식의 자동화 여부를 차별하지 않음

 

 

 

3)

핵심 문장 2~3개는 직접 영어로 요약해서 노트에 쓰기

-While GDPR and PIPA are fairly consistent in their fundamental goal of protecting personal data, PIPA is uniquely characterized by its inclusion of criminal sanctions, such as imprisonment, which are absent in the GDPR.

-A significant procedural divergence exists in accountability measures, where the GDPR mandates comprehensive record-keeping for most organizations, whereas PIPA focuses on managing log-in records and specific requirements for public institutions.

 

4)

페이지에서 나온 중요한 법률 영어 단어 선택

간단하게 영어로 정의 작성, 한국어로 정의 작성

 

1. Data Controller(GDPR)/Data Handler(PIPA)

A natural or legal person, public authority, or other body whicn, alone or jointly, determines the purposes and means of processing personal data.

-개인정보 처리 목적과 수단을 스스로 또는 타인과 공동으로 결정하는 자연인, 법인, 공공기관 또는 기타 단체를 의미

 

2. Data Processor/Outsourcee

A person or body that processes personal data on behalf of the controller or data handler.

-컨트롤러 또는 개인정보처리자를 대신하여 개인정보를 처리하는 자를 의미

(GDPR의 처리자, PIPA의 수탁자에 해당)

 

3. Data Subject

An identified or identifiable natural person who is the subject of the handled data.

-처리되는 정보에 의해 식별되거나 식별될 수 있는 살아있는 자연인을 의미

 

4. Pseudonymisation

The processing of personal data such that it can no longer be attributed to a specific subject without the use of additional information kept separately.

-추가 정보 없이는 특정 개인을 식별할 수 없도록 개인정보의 일부를 삭제하거나 대체하여 처리하는 것을 의미

 

5. Adequacy Decision

A formal determination by the European Commission that a country outside the EU ensures an adequate level of data protection.

-EU 집행위원회가 제3국(비EU 국가)의 개인정보 보호 수준이 EU GDPR 수준과 동등하다고 공식적으로 인정하는 결정을 의미(적정성 결정)

 

 

5)

한글로 3문장 요약→영어로 3문장 요약 바꿔쓰기

스스로에게 공부한 내용 관련해서 1개의 질문을 영어로 해보기

그리고, 스스로 답변 작성

 

한국의 개인정보 보호법은 EU의 적정성 결정을 받기 위해 GDPR과 유사하게 개정되었으나, 세부적인 정의와 요구 사항에서 몇 가지 핵심적인 차이가 존재한다.

-Although South Korea's PIPA was amended to align closely with the GDPR to secure an adequacy decision, several key distinctions remain in their specific definitions and requirements.

 

두 법 모두 살아있는 자연인을 보호 대상으로 하지만, GDPR은 명확한 역외 적용 규정을 두고 있는 반면 PIPA는 이에 대한 명시적 언급 없이 실무적 요소를 고려하여 판단한다.

-While both laws protect living individuals, the GDPR has explicit extraterritorial scope provisions, whereas PIPA does not explicitly specify such scope and instead considers various practical factors.

 

집행 측면에서 두 법 모두 과징금을 부과할 수 있으나, PIPA는 GDPR과 달리 징역형을 포함한 형사 처벌 규정을 명시하고 있다는 점이 가장 큰 차이점 중 하나이다.

-In terms of enforcement, both frameworks allow for monetary penalties, but a major divergence is that PIPA provides for criminal sanctions, including imprisonment, which are not established under the GDPR.

 

Q. What is primary difference between the GDPR and PIPA regarding the obligation to conduct a Data Protection Impact Assessment?

A. Under the GDPR, the obligation to conduct a DPIA applies to both private and public entities whenever a processing activity is likely to result in a high risk to the rights and freedoms of individuals.

In contrast, under PIPA, only public institutions are statutorily mandated to conduct a Privacy Impact Assessment in certain circumstances.