2주차 동향 스터디

1. 사전 워밍업 : 전체 흐름 파악

• 해당 페이지 범위의 제목, 소제목, 표/차트/키워드만 먼저 훑어보기

 

• 2.1 Personal data — GDPR과 PIPA의 개인정보 정의 비교
• 2.2 Pseudonymisation — 가명정보의 정의 및 취급 비교
• 2.3 Controllers and processors — 컨트롤러/처리자 개념 및 의무 비교
• 2.4 Children — 아동 개인정보 보호 규정 비교

 

대부분 GDPR과 PIPA를 Consistent / Fairly consistent 등급으로 평가하며 비교

 

2. 첫 번째 읽기: 스키밍+한국어 번역 의존

• 문단별로 빠르게 훑으며 주요 결론/차이점만 한국어로 적기
• 표 형식 부분은 GDPR/PIPA/Differences 열을 먼저 한국어로 요약

GDPR : EU의 통합 개인정보 보호법. 식별되거나 식별 가능한 자연인과 관련된 모든 정보를 개인정보로 정의하며, 특별 범주 데이터(민감정보)에 대해 별도 처리 요건을 규정함.

PIPA : 대한민국 개인정보 보호법. 생존하는 자연인과 관련된 정보로서, 이름·등록번호·이미지 등으로 특정 개인을 식별하거나, 다른 정보와 결합해 식별 가능한 정보 및 가명처리된 정보를 개인정보로 정의함.

2.1 Personal Data(개인정보) - Consistent

1) 유사점

GDPR	PIPA
식별된 또는 식별 가능한 자연인과 관련된 모든 정보를 개인정보로 정의	생존하는 자연인과 관련된 정보로, 이름·주민등록번호·이미지 등으로 특정인을 식별하거나, 결합으로 식별 가능한 정보 및 가명처리 정보 포함
특별 범주 데이터(민감정보) : 인종·민족, 정치적 견해, 종교, 노동조합 가입, 유전자·생체 정보, 건강, 성생활/성적 지향	민감정보 : 이념·신앙, 노동조합/정당 가입, 정치적 견해, 건강, 성적 지향 등 + 유전 정보, 범죄기록, 생체특성 정보, 인종/민족 데이터
가명처리된 정보도 추가 정보 결합 시 개인 식별 가능하면 GDPR 적용 대상	가명처리된 정보도 복원을 위한 추가 정보 결합 없이는 특정인을 식별할 수 없는 경우 PIPA 적용 대상에 포함
익명 정보는 적용 제외 (더 이상 개인 식별 불가한 정보)	개인을 합리적으로 식별할 수 없는 정보에는 PIPA 미적용 (명시적 정의는 없음)
파일링 시스템: 특정 기준에 따라 체계적으로 접근 가능한 개인정보 집합	개인정보 파일: 일정한 규칙에 따라 조직화된 개인정보 집합

2) 차이점

GDPR	PIPA
IP 주소, 쿠키 식별자, 무선 주파수 태그 등 온라인 식별자를 개인정보로 명시	온라인 식별자를 개인정보로 명시하지 않음. 다만 상황에 따라 개인정보로 볼 수 있음
고유 식별자(UID)에 대한 별도 정의 없음	UID(고유 식별 정보) 별도 규정 : 주민등록번호, 운전면허번호, 여권번호, 외국인등록번호

2.2 Pseudonymisation(가명처리) - Consistent

1) 유사점

GDPR	PIPA
추가 정보 없이는 특정 정보주체에게 귀속될 수 없도록 처리된 개인정보. 추가 정보는 별도 보관하고 기술적·관리적 조치 적용	추가 정보의 사용 또는 결합 없이는 특정 개인을 식별할 수 없는 정보로 정의
(별도 정의 없음)	가명처리 : 개인정보의 일부를 삭제하거나 대체하는 등의 방법으로 특정 개인을 식별할 수 없도록 처리하는 것

2) 차이점

해당 사항 없음 (두 법 모두 가명정보에 관한 규정을 포함하며 개념이 일치함)

2.3 Controllers and Processors(컨트롤러와 처리자) - Fairly Consistent

1) 유사점

GDPR	PIPA
Data Controller : 개인정보 처리의 목적과 수단을 단독 또는 공동으로 결정하는 자연인 또는 법인, 공공기관, 대행사 등	Data Handler(개인정보처리자) : 업무 목적으로 개인정보 파일을 직접 또는 제3자를 통해 처리하는 공공기관, 법인, 단체, 개인
Data Processor : 컨트롤러를 대신하여 개인정보를 처리하는 자	Outsourcee(수탁자) : 개인정보처리자가 위탁한 개인정보 처리를 수행하는 자
DPO(개인정보 보호책임자) 지정 의무 규정	개인정보 보호책임자(Privacy Officer) 지정 의무 규정
처리자와의 계약 또는 법적 행위에 의해 처리 규율	개인정보처리자는 수탁자와 위탁 계약 체결 의무 (처리 목적 및 범위, 책임 사항, 기술·관리적 보호조치 등 포함)
컨트롤러는 적절한 기술적·관리적 조치를 이행할 수 있는 처리자만 이용	개인정보처리자는 수탁자가 안전하게 처리하도록 교육하고 감독 의무 부담
처리자는 컨트롤러의 사전 승인 없이 하위 처리자를 지정할 수 없음	처리자는 컨트롤러의 사전 승인 없이 하위 처리자를 지정할 수 없음

2) 차이점

GDPR	PIPA
데이터 컨트롤러와 처리자 모두 특정 상황에서 DPIA(개인정보 영향평가) 실시 의무	공공기관만 DPIA(개인정보 영향평가) 실시 의무

2.4 Children(아동) - Fairly Consistent

1) 유사점

GDPR	PIPA
'아동' 또는 '어린이'에 대한 별도 정의 없음	'아동' 또는 '어린이'에 대한 별도 정의 없음
아동을 대상으로 한 정보 제공 시 간결하고 평이한 언어로 제공해야 함	정보통신서비스 제공자인 개인정보처리자는 아동에게 처리 관련 사항을 쉽게 이해할 수 있는 형식과 언어로 알려야 함
컨트롤러는 부모 또는 법정대리인의 동의를 확인하기 위한 합리적인 노력 기울여야 함	정보통신서비스 제공자는 법정대리인이 동의했는지 확인 의무 부담

2) 차이점

GDPR	PIPA
동의 기반 처리 시 만 16세 미만 아동은 부모/보호자의 동의 필요 (회원국이 만 13세까지 하향 가능)	동의가 필요한 경우 만 14세 미만 아동의 처리는 법정대리인의 동의 필요
법정대리인 동의를 구하기 위한 정보를 아동으로부터 직접 수집하는 규정 없음	법정대리인 동의를 구하기 위해 필요한 최소한의 정보를 아동으로부터 직접 수집 가능
아동 데이터가 마케팅 또는 정보사회서비스에 이용될 때 특별 보호 규정 적용	아동 데이터의 마케팅 이용 또는 정보사회서비스 제공 시 특별 보호 규정 없음

3. 두 번째 읽기: 영어 중심 정독

• 이제 영어 문장 그대로 읽으면서
  • 어려운 문장 1개씩 소리 내어 읽기
  • 핵심 문장 2~3개는 직접 영어로 요약해서 노트에 쓰기

Save for some difference in terminology, both the GDPR and PIPA share similar concepts of 'personal data' and 'personal information.'
→ 용어의 차이를 제외하면, GDPR과 PIPA는 '개인정보'에 대해 유사한 개념을 공유한다.

Both the GDPR and PIPA provide a definition for pseudonymised data and state that such data is subject to the obligations of the GDPR and PIPA, respectively.
→ GDPR과 PIPA 모두 가명정보에 대한 정의를 제공하며, 해당 정보가 각 법의 의무 대상임을 명시한다.

While the GDPR specifically provides that a data controller or data processor must conduct a DPIA in certain circumstances, PIPA provides that only public organisations must conduct DPIAs in certain circumstances.
→ GDPR은 컨트롤러와 처리자 모두에게 특정 상황에서 DPIA를 요구하지만, PIPA는 공공기관에게만 이를 요구한다.

 

나만의 언어로 오늘 내용 요약!

GDPR과 PIPA는 개인정보·가명정보의 정의에서 높은 일치성을 보이지만, DPIA 의무 대상(공공기관 한정)과 아동 동의 연령 기준(14세 vs 16세), UID 별도 규정 등 세부 적용에서 차이가 존재한다.

-> Although GDPR and PIPA show a high degree of alignment in their definitions of personal data and pseudonymised information, differences exist in specific applications, such as the scope of DPIA obligations (limited to public institutions under PIPA), the age threshold for children's consent (14 under PIPA vs. 16 under GDPR), and the separate regulation of Unique Identification Data (UID).

4. 어휘&표현 정리

• 페이지에서 나온 중요한 법률 영어 단어 선택
• 각 단어에 대해
  간단하게 영어로 정의 작성, 한국어로 정의 작성

Pseudonymisation	가명처리	추가 정보 없이 개인을 식별할 수 없도록 일부를 삭제하거나 대체하는 처리 방식
Data Handler	개인정보처리자	PIPA에서 사용하는 용어로, 업무 목적으로 개인정보를 처리하는 주체
Outsourcee	수탁자	개인정보처리자로부터 처리를 위탁받아 수행하는 자
DPIA	개인정보 영향평가	고위험 처리 전 권리·자유에 대한 영향을 사전 평가하는 절차
Privacy Officer	개인정보 보호책임자	PIPA에서 개인정보 관련 업무 전반을 관리·감독하는 책임자
Special Category Data	특별 범주 데이터(민감정보)	인종, 건강, 종교 등 특별한 보호가 필요한 민감한 개인정보
UID	고유 식별 정보	주민등록번호 등 특정 개인을 고유하게 식별하는 정보 (PIPA 고유 개념)
Legal Representative	법정대리인	아동 등 법적 행위 능력이 제한된 자를 대신해 동의 등을 행사하는 자
Anonymised Information	익명 정보	개인을 더 이상 식별할 수 없도록 완전히 처리된 정보로, 양 법 모두 적용 제외
Filing System	파일링 시스템	특정 기준에 따라 체계적으로 접근 가능한 개인정보의 구조화된 집합 (GDPR 용어)

5. 마무리: 복습

• 한글로 3문장 요약→영어로 3문장 요약 바꿔쓰기
• 스스로에게 공부한 내용 관련해서 1개의 질문을 영어로 해보기
  • 그리고, 스스로 답변 작성

 

• GDPR과 PIPA는 개인정보와 가명정보의 정의에서 높은 일치성을 보이며, 두 법 모두 추가 정보 결합 시 식별 가능한 가명정보를 보호 대상으로 포함한다.
• 컨트롤러/처리자 개념은 유사하나, DPIA 의무는 GDPR은 민간·공공 모두에, PIPA는 공공기관에만 적용된다는 중요한 차이가 있다.
• 아동 개인정보 보호에서 두 법 모두 법정대리인 동의를 요구하지만, 기준 연령(GDPR 16세, PIPA 14세)과 세부 적용 범위에 차이가 있다.

• Both GDPR and PIPA define personal data broadly, including pseudonymised information that can be re-identified with additional data.
• While both laws recognize the roles of data controllers and processors, DPIA obligations apply to all organizations under GDPR but only to public institutions under PIPA.
• Both laws require parental/guardian consent for processing children's data, but differ on the age threshold — 16 under GDPR (minimum 13) and 14 under PIPA.

 

스스로에게 던지는 질문

Question: Why does PIPA require DPIAs only for public institutions, while GDPR applies it to all organizations?

Answer: PIPA was designed with a strong focus on protecting individuals from government misuse of data, so public institutions handling large-scale data face stricter assessment requirements. Private sector organizations under PIPA are still subject to security obligations, but the formal impact assessment process was initially limited to the public sector. GDPR, by contrast, takes a risk-based approach applicable to any organization whose processing poses a high risk to individuals' rights.