3주차 동향스터디

1. 사전 워밍업 : 전체 흐름 파악

• 해당 페이지 범위의 제목, 소제목, 표/차트/키워드만 먼저 훑어보기

 

• 2.5 Research — 연구 목적 개인정보 처리에 대한 GDPR과 PIPA 비교
• 3. Legal basis — 개인정보 처리의 법적 근거 비교
• 4.1 Data transfers — 제3자 및 국외 데이터 이전 규정 비교

 

대부분 GDPR과 PIPA를 Consistent / Fairly consistent 등급으로 평가하며 비교

 

2. 첫 번째 읽기: 스키밍+한국어 번역 의존

• 문단별로 빠르게 훑으며 주요 결론/차이점만 한국어로 적기
• 표 형식 부분은 GDPR/PIPA/Differences 열을 먼저 한국어로 요약

GDPR : EU의 통합 개인정보 보호법. 식별되거나 식별 가능한 자연인과 관련된 모든 정보를 개인정보로 정의하며, 특별 범주 데이터(민감정보)에 대해 별도 처리 요건을 규정함.

PIPA : 대한민국 개인정보 보호법. 생존하는 자연인과 관련된 정보로서, 이름·등록번호·이미지 등으로 특정 개인을 식별하거나, 다른 정보와 결합해 식별 가능한 정보 및 가명처리된 정보를 개인정보로 정의함.

2.5 Research(연구)

1) 유사점

GDPR	PIPA
과학적 연구의 정의 : 기술 개발 및 실증, 기초연구, 응용연구, 민간 투자 연구 등을 포괄하는 광범위한 개념	과학적 연구 정의 : 기술 개발 및 실증, 기초연구, 응용연구, 민간 투자 연구 등을 적용하는 연구
정보주체는 공익 목적의 연구가 아닌 경우 자신의 개인정보가 연구 목적으로 처리되는 것에 이의를 제기할 권리 보유	연구 목적 처리에 대한 명시적 이의 제기권은 없으나, 정보주체는 처리 정지 요청권 보유. 단, 법적 의무 준수, 제3자 피해 우려, 공공기관 업무 수행 필요, 계약 이행 불가 등 예외 존재

2) 차이점

GDPR	PIPA
민감정보도 공익적 기록 보존, 과학·역사적 연구, 통계 목적의 처리는 금지되지 않음 (비례 원칙 및 적절한 보호 조치 전제)	민감정보는 원칙적으로 정보주체의 동의 또는 법령에 근거한 경우에만 처리 가능. 가명정보는 동의 없이 통계·연구·공익 기록 목적으로 처리 가능
공익적 기록 보존, 과학·역사적 연구, 통계 목적의 추가 처리는 최초 수집 목적과 불일치하지 않는 것으로 간주	PIPA는 해당 목적을 위한 추가 처리를 명시적으로 규정하지 않음. 다만 수집 목적과 합리적으로 관련된 범위 내에서 동의 없는 이용·제공 가능 여부를 개별적으로 판단
연구 목적 처리 시 회원국은 정보주체의 접근권, 정정권, 이의 제기권, 처리 제한권의 일부를 제한할 수 있음	PIPA에서는 해당 사항 없음

3. Legal Basis (법적 근거)

1) 유사점

GDPR	PIPA
동의를 법적 근거로 인정하며, 동의 획득 및 철회 방법에 관한 구체적 규정 포함	동의를 주된 법적 근거로 인정하며, 동의 획득 및 철회 방법에 관한 구체적 규정 포함
법적 근거 : ① 동의 ② 계약 이행 ③ 법적 의무 준수 ④ 정보주체 또는 제3자의 중대한 이익 보호 ⑤ 공익 또는 공적 권한 행사 ⑥ 컨트롤러 또는 제3자의 정당한 이익	법적 근거(예외) : ① 법적 의무 준수 ② 공공기관의 법령상 업무 수행 ③ 계약 이행 또는 계약 체결 전 조치 ④ 정보주체 또는 제3자의 생명·신체·경제적 이익 긴급 보호 ⑤ 정당한 이익 (정보처리자 또는 제3자의 이익이 정보주체의 권리보다 명백히 우선하는 경우) ⑥ 공중 보건 등 공공 안전 긴급 필요
민감정보 처리에는 명시적 동의 등 별도의 법적 근거 필요	민감정보 처리에는 동의 등 별도의 법적 근거 필요
주민등록번호(RRN)는 법령에 근거하거나 긴급한 생명·신체·경제적 이익 보호가 필요한 경우가 아니면 동의만으로 처리 불가	(GDPR과 동일)

2) 차이점

GDPR	PIPA
동의를 "자유롭게 제공된, 구체적이고, 정보에 기반한, 명확한 의사 표시" 로 명시적으로 정의	동의에 대한 별도 정의 없음. 다만 동의 항목을 명확하게 구분하여 제시해야 하며, 대법원 판례를 통해 유효한 동의 기준을 해석

4.1 Data Transfers(데이터 이전)

1) 유사점

GDPR	PIPA
정보주체의 사전 동의가 있는 경우 국외 이전 가능. 정보주체 또는 제3자의 중대한 이익 보호를 위해 필요한 경우도 이전 가능	제3자 제공 시 법령상 규정된 사항을 고지한 후 정보주체의 명시적 사전 동의 필요. 생명·신체·경제적 이익의 긴급 보호 시 동의 없이 제공 가능. 국내 제3자 위탁 처리는 동의 불요
계약 이행 또는 체결을 위해 필요한 경우 이전 가능	위탁 처리 시 법령상 규정된 사항을 포함한 위탁 계약 체결 의무
EU 집행위원회가 적정 보호 수준을 인정한 국가·국제기구로의 이전 가능	PIPC가 PIPA와 동등한 수준의 보호 수준을 갖춘 것으로 인정한 국가·국제기구로의 이전 가능
정보주체가 부적절한 보호 조치의 위험을 인지하고 명시적으로 동의한 경우 이전 가능	정보주체가 별도의 동의를 제공한 경우 국외 이전 가능
사법 협력 등에 관한 국제 협약에 근거한 이전 가능	법률, 조약, 국제 협약에 특별 규정이 있는 경우 이전 가능
감독기관의 시정 명령에 따라 국외 이전 중단 가능	PIPC의 명령에 따라 국외 이전 중단 가능

2) 차이점

GDPR	PIPA
공익 목적, 법적 청구의 설정·행사·방어, 정보주체 또는 제3자의 중대한 이익 보호를 위한 국외 이전 가능	유사한 국외 이전 법적 근거 없음
적정 보호 결정 부재 시 적절한 안전장치 제공 조건으로 이전 가능 (구속력 있는 기업 규칙, 표준 계약 조항, 승인된 행동 강령, 인증 메커니즘 등)	해외 수신자가 PIPC가 지정한 개인정보 보호 인증을 취득하고 필요한 조치를 이행한 경우 이전 가능
공개 등록부에서의 이전이 법적 근거가 될 수 있음	계약 이행 또는 체결을 위해 위탁·보관이 필요한 경우, 동의 획득 시 고지해야 할 사항을 개인정보 처리방침에 공개하거나 개별 통지한 경우 이전 가능

3. 두 번째 읽기: 영어 중심 정독

• 이제 영어 문장 그대로 읽으면서
  • 어려운 문장 1개씩 소리 내어 읽기
  • 핵심 문장 2~3개는 직접 영어로 요약해서 노트에 쓰기

Unlike the GDPR, PIPA does not allow for the processing of personal data for research purposes without consent with limited exceptions.
→ GDPR과 달리 PIPA는 제한적인 예외를 제외하고는 동의 없이 연구 목적으로 개인정보를 처리하는 것을 허용하지 않는다.

PIPA, in principle, requires explicit informed consent to be obtained for the collection and usage of personal information.
→ PIPA는 원칙적으로 개인정보의 수집 및 이용을 위해 명시적인 고지에 기반한 동의를 받을 것을 요구한다.

PIPA does not define 'consent'. However, PIPA stipulates that in order to obtain consent, the data handler shall present the request to the data subject in a clearly recognisable manner where each matter requiring consent is distinctly presented.
→ PIPA는 '동의'를 정의하지 않는다. 다만 동의를 받기 위해서는 동의가 필요한 각 항목을 명확하게 구분하여 알아보기 쉬운 방식으로 제시해야 한다고 규정한다.

 

나만의 언어로 오늘 내용 요약!

GDPR은 연구·공익 목적의 처리에 유연한 예외를 인정하고 동의 외 다양한 법적 근거를 폭넓게 허용하는 반면, PIPA는 동의를 원칙으로 삼고 나머지 근거는 매우 제한적으로만 인정하는 동의 중심 체계를 취한다.

-> While the GDPR allows flexible exceptions for research and public interest purposes and broadly accepts various legal bases beyond consent, PIPA adopts a consent-centered framework where consent is the primary principle and other legal bases are recognized only in very limited circumstances.

4. 어휘&표현 정리

• 페이지에서 나온 중요한 법률 영어 단어 선택
• 각 단어에 대해
  간단하게 영어로 정의 작성, 한국어로 정의 작성

Legal Basis	법적 근거	개인정보를 적법하게 처리하기 위한 법률상 정당한 이유
Legitimate Interest	정당한 이익	정보주체의 권리보다 컨트롤러 또는 제3자의 이익이 우선하는 경우 처리를 허용하는 근거
Cross-border Transfer	국외 이전	개인정보를 다른 국가의 제3자 또는 국제기구로 이전하는 행위
Adequacy Decision	적정성 결정	EU 집행위원회 또는 PIPC가 특정 국가의 개인정보 보호 수준을 동등하게 인정하는 결정
Binding Corporate Rules	구속력 있는 기업 규칙	다국적 기업 그룹 내 국외 이전을 위한 내부 개인정보 보호 규정
Standard Contractual Clauses	표준 계약 조항	감독기관 또는 집행위원회가 승인한 국외 이전용 표준 계약서
Provision	제공	PIPA에서 수신자의 이익과 목적을 위해 개인정보를 이전하는 행위 (컨트롤러 간 이전과 유사)
Outsourcing	위탁	PIPA에서 위탁자의 이익과 목적을 위해 처리를 외부에 맡기는 행위 (컨트롤러-처리자 간 이전과 유사)
PIPC	개인정보 보호위원회	PIPA에서 개인정보 보호 업무를 독립적으로 수행하는 중앙 행정기관
Derogation	이탈(예외 적용)	특정 조건 하에 일반 원칙에서 벗어나 처리를 허용하는 예외 규정

5. 마무리: 복습

• 한글로 3문장 요약→영어로 3문장 요약 바꿔쓰기
• 스스로에게 공부한 내용 관련해서 1개의 질문을 영어로 해보기
  • 그리고, 스스로 답변 작성

• PIPA는 연구 목적의 처리에 원칙적으로 동의를 요구하며, 가명정보에 한해 통계·연구·공익 기록 목적의 동의 없는 처리를 허용한다.
• GDPR은 동의 외에도 계약, 법적 의무, 정당한 이익 등 6가지 법적 근거를 폭넓게 인정하지만, PIPA는 동의를 원칙으로 하고 나머지는 매우 제한적으로만 허용한다.
• 국외 데이터 이전에서 두 법 모두 동의, 적정성 결정, 국제 협약을 공통 근거로 인정하나, GDPR의 표준 계약 조항이나 구속력 있는 기업 규칙과 같은 안전장치 메커니즘은 PIPA에 존재하지 않는다.

 

• PIPA generally requires consent for research purposes, allowing consent-free processing only for pseudonymised data in the context of statistics, scientific research, or public interest records.
• While GDPR recognizes six legal bases for processing — including legitimate interest — PIPA treats consent as the primary basis and recognizes others only in very limited circumstances.
• Both laws permit cross-border transfers based on consent, adequacy decisions, and international agreements, but PIPA lacks equivalent safeguard mechanisms such as standard contractual clauses or binding corporate rules.

 

스스로에게 던지는 질문

Question: Why does PIPA treat consent as the primary legal basis, while GDPR gives equal weight to multiple legal bases?

Answer: PIPA was developed in a context where informed consent was seen as the most direct way to protect individuals' autonomy over their personal data. The Korean legal tradition emphasizes explicit agreement before data use, reflecting a cultural and regulatory preference for transparency at the point of collection. GDPR, on the other hand, adopts a more flexible, risk-based approach, recognizing that consent is not always practical and that other legitimate grounds can provide sufficient protection when properly applied.