[260406] gdpr_v_pipa_may_2023_update (p.17-21)

단어 뜻 풀이

 

[GDPR]

shall:~해야 한다, 법적 조항에서 반드시 이행해야 하는 의무

-컨트롤러는 충분한 보장 조치를 제공하는 처리자만을 사용해야 한다는 규정 등에서 사용됨.

proportionate:비례하는, 균형잡힌. 특정 목적을 위해 데이터를 처리할 때 그 수단이 추구하는 목적에 비해 과도하지 않고 적절한 균형을 이루어야 함을 의미함.

-과학적 연구 등을 위한 민감 정보 처리 시 그 목적에 비례해야 한다고 명시함.

essence: 본질/핵심. 권리나 규정의 가장 근본적인 성질

-연구 목적의 데이터 처리 시에도 '데이터 보호 권리의 본질'을 존중해야 한다는 맥락으로 등장

Member States to derogate from some data subjects' rights: 회원국이 정보주체의 일부 권리를 예외로 하는 것. EU 회원국이 특정 목적을 위해 필요한 경우, 정보주체의 권리 적용을 법적으로 배제하거나 제한할 수 있도록 허용하는 것을 의미함.

rectification: 정정, 정보주체가 자신에 관한 부정확한 개인정보를 올바르게 수정하도록 요구할 수 있는 권리를 뜻함

render: ~하게 만들다, 어떤 상태가 되게 하는 것을 의미. 정보주체의 권리 행사가 특정 연구 목적의 달성을 불가능하게 만드는 상황을 설명할 때 사용되었음

impair: 저해하다/손상시키다, 가치나 능력을 약화시키거나 방해하는 것을 의미. 정보주체의 권리가 연구 목적의 성취를 심각하게 저해할 경우 예외(derogation)가 인정될 수 있음

derogation: 예외/법규의 부분적 폐지, 일반적인 법적 의무나 권리로부터의 예외적 허용 또는 적용 배제를 의미. 특히 연구 목적으로 특정 권리를 제한해야 할 때 이 용어를 사용함.

fulfilment: 이행/달성. 설정된 목적을 완수하거나 의무를 다하는 것을 의미함, 특정 목적의 달성을 위해 예외 규정이 필요한 경우 등에 사용됨

affirmative: 긍정적인/능동적인. GDPR에서 '동의'를 정의할 때 사용되며, 정보주체가 진술이나 명확한 능동적 행동을 통해 동의의 의사를 표시해야 함을 강조함.

adequate level of protection: 적절한 보호 수준, EU 집행위원회가 비EU 국가의 개인정보 보호 체계가 GDPR 수준과 동등하게 적절하다고 판단했을 때 사용하는 용어(적정성 결정 관련)

inadequate safeguards: 불충분한 안전 조치, 데이터 이전 시 정보주체의 권리를 보호하기 위한 법적.기술적 장치가 충분하지 않은 상태를 의미함. 정보주체가 이러한 위험을 인지한 상태에서 명시적으로 동의했을 때만 데이터를 이전할 수 있음

 

 

 

[PIPA]

demonstration: 실증, 과학적 연구의 범주에 포함되는 개념으로, 기술 개발과 함께 새로운 기술이나 방법론을 실제로 증명해 보이는 과정을 의미함.

is entitled to: ~할 권리가 있다, 정보주체가 개인정보처리자에게 자신의 개인정보 처리 정지를 요청할 수 있는 법적 권한을 가지고 있음을 나타낼 때 사용됨

suspension of the processing: 처리 정지, 정보주체의 요청에 따라 개인정보처리자가 데이터의 수집, 저장, 사용 등 모든 처리 행위를 지체 없이 중단하는 것을 의미함.

improper: 부당한, 제3자의 재산이나 기타 이익을 부당하게 침해할 우려가 있는 경우, 예외적으로 정보주체의 처리 정지 요청을 거부할 수 있는 근거가 됨

prescribed: 규정된, 다른 법령에 의해 구체적으로 정해진 업무를 수행하는 상황을 설명할 때 주로 사용됨.

terminate: 해지하다, 정보주체가 서비스 이용 계약 등을 명시적으로 종료하는 행위를 의미함

contract: 계약, 개인정보 처리의 주요 법적 근거 중 하나로, 정보주체와 체결한 '계약'의 이행을 위해 데이터 처리가 필요한 경우를 의미함.

impractible: 실행 불가능한, 특정 개인정보를 처리하지 않고는 서비스 제공 등 계약 내용을 이행하는 것이 사실상 불가능한 상태를 의미함

compiling: 작성/집계, 통계 작성 등 특정 목적을 위해 데이터를 모으고 정리하는 행위를 말함

contemplated: 의도된/계획된, 데이터의 사용이나 제3자 제공이 원래 수집 목적과 관련이 있는지 판단할 때, 그 의도된 처리가 예층 가능한지를 따지는 맥락에서 쓰임

customary: 관행적인, 개인정보의 처리가 일반적인 취급 관행에 비추어 볼 때 정보주체가 충분히 예상할 수 있는 범위 내에 있는지를 설명함

definitive conclusion: 확정적인 결론, 연구 목적의 추가 처리가 동의 없이 가능한지에 대해 사안별로 판단이 다르므로 '단정적인 결론'을 내리기 어렵다는 맥락에서 사용됨

informed consent: 고지된 동의, 법에서 정한 필수 사항들을 정보주체에게 충분히 알린 후에 얻는 동의를 뜻하며, PIPA의 가장 핵심적인 처리 근거이다.

applicable laws: 적용 법률/관련 법령, 처리자가 준수해야 하거나 처리를 허용하는 근거가 되는 모든 '관련 법규'를 의미

permissible: 허용되는, 다른 법령에 따라 개인정보 수집이나 이용이 구체적으로 허용되는 경우를 의미

public institution: 공공기관, 법령에서 정한 소관 업무를 수행하기 위해 개인정보를 처리할 의무와 권한이 있는 국가 및 지방자치단체 등을 의미함

substantially: 실질적으로, 개인정보 처리가 처리자의 정당한 이익 달성과 실질적으로 관련이 있어야 한다는 요건을 설명할 때 쓰임

urgently: 긴급하게, 정보주체나 제3자의 생명, 신체, 경제적 이익을 보호하기 위해, 또는 공공의 안전을 위해 급박하게 데이터 처리가 필요한 상황을 말함

stipulates: 규정하다/명시하다, PIPA 법령이 동의를 받는 방식이나 절차에 대해 구체적인 내용을 명문화하고 있음을 의미함.

statutorily-prescribed: 법률로 정해진. 법률에 의해 반드시 고지해야 하거나 계약서에 포함해야 한다고 '구체적으로 명시된' 사항들을 뜻함.

 

 

 

1)

해당 페이지 범위의 제목, 소제목, 표/차트/키워드만 먼저 훑어보기

Research(연구): 과학적 연구 목적의 데이터 처리 규정

Legal Basis(법적근거): 개인정보 처리를 정당화하는 법적 근거

Controller and processor obligations(컨트롤러 및 처리자의 의무): 데이터 국외 이전 관련 의무 시작

 

Data transfers(데이터 이전): 제3자 제공 및 국외 이전에 관한 규정

 

[핵심 키워드]

Secientific researh: 과학적 연구

Public interest: 공공의 이익

Explicit informed consent: 명시적 고지된 동의

Legitimate interest: 정당한 이익

Cross-border transfers: 국외 이전

Provision vs Outsourcing: 제공과 위탁의 구분

 

 

2)

문단별로 빠르게 훑으며 주요 결론/차이점만 한국어로 적기

표 형식 부분은 GDPR/PIPA/Differences 열을 먼저 한국어로 요약

 

연구 목적 처리(Research): GDPR은 공익 또는 과학적 연구를 위한 저치를 초기 목적과 호환되는 것으로 간주하여 폭넓게 허용하지만, PIPA는 원칙적으로 동의가 필요하며 가명정보 처리에 한해서만 예외를 인정하는 경향이 강함.

법적 근거: GDPR는 6가지 대등한 법적 근거를 제시하는 반면, PIPA는 원칙적으로 '명시적 동의'를 가장 우선시하며 다른 법적 근거(계약 이행, 정당한 이익 등)는 제한된 범위 내에서만 인정한다.

데이터 국외 이전: 두 법 모두 적정성 결정이나 동의를 통한 이전을 인정한다. 특히 PIPA는 컨트롤러 간의 이전을 의미하는 '제공'과 컨트롤러-처리자 간의 이전을 의미하는 '위탁'을 엄격히 구분하여 규정한다.

 

구분	GDPR	PIPA	주요 차이점
연구 목적 처리	과학적 연구를 위한 처리는 초기 수집 목적과 호환되는 것으로 간주	원칙적으로 동의필요 -다만, 통계 작성.과학적 연구 등을 위한 가명정보 처리는 동의 없이 가능	PIPA는 연구 목적의 추가 처리에 대해 GDPR보다 더 엄격한 동의 요건을 적용함
법적근거	6가지 근거(동의, 계약, 법적 의무, 생명 보호, 공익, 정당한 이익)가 대등함	명시적 동의가 원칙, 계약이행이나 정당한 이익 등은 매우 제한적으로만 인정됨	PIPA는 법령에 명시된 사항을 고지한 후 얻는 '명시적 동의'를 핵심 기반으로 함
국외이전	적정성 결정, 적절한 안전조치, 예외적 동의 등을 활용	PIPC(개인정보보호위원회)의 적정성 결정, 개별 동의, 또는 인증(인증 모델) 등을 통해 이전	PIPA는 국내 이전 시 수탁자에 대한 동의 의무가 없는 등 국내와 국외 이전을 차별화함.

 

 

3)

핵심 문장 2~3개는 직접 영어로 요약해서 노트에 쓰기

• Whiel the GDPR considers further processing for scientific research to be compatible with original purposes, PIPA generally requires explicit consent unless the data is pseudonymised for such research.
• PIPA prioritizes exlicit informed consent as the primary legal basis for processing, whereas the GDPR provides six equally valid grounds including legitimate interests and public tasks.

 

4)

페이지에서 나온 중요한 법률 영어 단어 선택

간단하게 영어로 정의 작성, 한국어로 정의 작성

• Scientific Research: Research that applies scientific methods, including technological development, fundamental research, and privately funded research.
  • 기술 개발 및 실증, 기초 연구, 응용 연구 및 민간 투자 연구 등을 포함하여 과학적 방법을 적용하는 연구
• Legitimate Interest: A legal basis for processing data when the controller's interests do not override the fundamental rights and freedoms of the data subject.
  • 컨트롤러의 이익이 정보주체의 기본권보다 우선할 때 인정되는 법적 근거(정당한 이익)
• Cross-border Transfer: The movement or transmission of personal data to a recipient in a third country or international organisation.
  • 개인정보를 제3국이나 국제기구에 있는 수취인에게 이동하거나 전송하는 것(국외 이전)
• Provision(of personal information): A data transfer conducted for the benefit and business purpose of the transferee, similar to a controller-to-controller transfer.
  • 수취인의 이익과 사업 목적을 위해 이루어지는 데이터 이전으로, GDPR의 컨트롤러 간 이전과 유사한 개념
• Outsourcing(of processing): A data transfer conducted for the benefit and business purpose of the transferor, similar to a controller-to-processor transfer.
  • 위탁자의 이익과 사업 목적을 위해 이루어지는 데이터 이전으로, GDPR의 컨트롤러와 처리자 간 이전과 유사한 개념

 

5)

한글로 3문장 요약→영어로 3문장 요약 바꿔쓰기

스스로에게 공부한 내용 관련해서 1개의 질문을 영어로 해보기

그리고, 스스로 답변 작성

 

1. PIPA는 연구 목적의 데이터 처리 시 가명정보가 아닌 한 정보주체의 명시적 동의를 얻을 것을 GDPR보다 엄격하게 요구한다.

2. GDPR는 다양한 법적 근거를 동등하게 인정하지만, PIPA는 동의를 원칙으로 하되 정당한 이익 등은 보조적으로만 인정하는 구조적 차이가 있다.

3. 국외 이전 시 PIPA는 수취인의 목적에 따른 '제공'과 '위탁'을 구분하며, 특정 요건 하에 별도의 동의 절차를 거쳐야 한다.

 

1. PIPA mandates explicit consent for research data processing more strictly than the GDPR, unless the information is psudonymised.

2. A structural difference exists where the GDPR treats six legal bases equally, while PIPA establishes consent as the primary rule with others being supplementary.

3. Regarding cross-border transfers, PIPA distinguishes between 'provision' and 'outsourcing' based on the recipient's purpose and requies specific consent under certain conditions.

 

Q. How does PIPA's definition of "Provision" differ from "Outsourcing" in the context of data transfers?

A. According to the sources, "Provision" refers to data transfers conducted for the benefit and business purpose of the transferee(similar to controller-to-controller), whiel "Outsourcing" refers to transfers that are consistent with the original purpose and conducted for the benefit of the transferor(similar to controller-to-processor).