6주차 동향 스터디

1. 사전 워밍업 : 전체 흐름 파악

• 해당 페이지 범위의 제목, 소제목, 표/차트/키워드만 먼저 훑어보기

1. 5.1 Right to Erasure — 삭제권(잊힐 권리) 비교
2. 5.2 Right to be Informed — 정보 제공받을 권리 비교

2. 첫 번째 읽기: 스키밍 + 한국어 번역 의존

• 문단별로 빠르게 훑으며 주요 결론/차이점만 한국어로 정리

GDPR : 정보주체는 특정 조건 하에 개인정보 삭제를 요청할 권리를 가지며, 컨트롤러는 원칙적으로 1개월 이내(최대 3개월까지 연장 가능) 무료로 응답해야 함. 정보를 공개한 컨트롤러는 다른 컨트롤러에게도 삭제 요청 사실을 알려야 함. 정보 제공 의무를 별도의 독립적 권리로 명시하며, 수집 시점에 폭넓은 정보를 제공해야 함.

PIPA : 정보주체는 자신의 개인정보에 접근한 후 삭제를 요청할 수 있으며, 개인정보처리자는 10일 이내에 응답해야 함. 처리 수수료 및 우편 요금을 부과할 수 있으며, 공개된 개인정보의 삭제에 관한 별도 규정은 없음. 정보 제공 의무는 독립적 권리가 아닌 동의 획득 시 및 처리방침 공개를 통해 이행됨.

---

5.1 Right to Erasure (삭제권) 

1) 유사점

GDPR	PIPA
특정 조건 하에 삭제권 적용 : ① 동의 철회 후 다른 법적 근거 없는 경우 ② 개인정보가 수집 목적에 더 이상 필요하지 않은 경우	개인정보에 접근한 정보주체는 해당 개인정보처리자에게 삭제 요청권 보유
정보주체는 삭제 요청권이 있음을 고지받아야 하며, 삭제를 요청할 권리가 있음	개인정보처리자는 처리방침에 정보주체의 권리(삭제 요청권 포함)를 공개해야 함
컨트롤러는 삭제 대상 개인정보의 정보주체 본인 여부 확인 메커니즘 마련 의무. 서면, 구두, 전자적 수단 등으로 요청 가능	개인정보처리자는 필요한 경우 삭제 요청자가 정보주체 본인 또는 법정대리인임을 확인 가능. 서면, 전화, 이메일, 인터넷 등 정보주체에게 편리한 방법으로 요청 가능

2) 차이점

GDPR	PIPA
삭제권은 원칙적으로 무료 행사 가능. 단, 근거 없거나 과도하거나 반복적인 요청의 경우 수수료 부과 가능	개인정보처리자는 삭제 요청 정보주체에게 처리 수수료 및 우편 요금 부과 가능
요청 수신 후 지체 없이, 원칙적으로 1개월 이내 응답. 요청의 복잡성 및 건수에 따라 최대 2개월 추가 연장 가능. 연장 시 1개월 이내 사유 통보 의무	삭제 요청 수신 후 10일 이내 응답 의무. 삭제 완료 또는 거부 사유 및 불복 방법을 정보주체에게 통지
삭제권 예외 : ① 표현의 자유 및 정보의 자유 ② 공중 보건 분야 공익 목적 ③ 법적 청구의 설정·행사·방어 ④ 공익 목적 법적 의무 준수	다른 법령에 의해 해당 개인정보 수집이 요구되는 경우 삭제 불가
컨트롤러가 개인정보를 공개한 경우, 다른 컨트롤러에게 정보주체의 삭제 요청 사실을 알리기 위해 기술적 조치를 포함한 합리적 조치를 취해야 함	공개된 개인정보의 삭제에 관한 별도 규정 없음

---

5.2 Right to be Informed (정보 제공받을 권리) 

1) 유사점

GDPR	PIPA
수집 시점에 정보주체에게 제공해야 할 정보 : ① 컨트롤러 또는 대리인의 신원·연락처 ② DPO 연락처 ③ 처리 목적 및 법적 근거 ④ 정당한 이익(해당 시) ⑤ 수신자 또는 수신자 범주 ⑥ 제3국 이전 의도 및 관련 정보 ⑦ 보유 기간 또는 보유 기간 결정 기준 ⑧ 정보주체의 권리 ⑨ 개인정보 제공 의무 여부 ⑩ 자동화 의사결정(프로파일링 포함) 존재 여부	동의 획득 시 정보주체에게 고지해야 할 사항 : ① 수집 개인정보의 항목 ② 수집·이용 목적 ③ 보유·이용 기간 ④ 동의 거부 권리 및 거부 시 불이익
개인정보 처리와 관련한 정보(처리 목적, 정보주체 권리 등)는 수집 시점에 제공해야 함	처리방침에 공개해야 할 사항 : ① 수집·이용 목적 및 항목 ② 제3자 제공 현황(수신자, 목적, 항목) ③ 보유·이용 기간 및 파기 방법 ④ 처리 위탁 현황 ⑤ 민감정보 공개 가능성 및 거부 방법 ⑥ 가명정보 처리 관련 사항 ⑦ 정보주체 권리 및 행사 방법 ⑧ 자동 수집 장치 설치·운영 및 거부 방법 ⑨ 보호책임자 연락처 ⑩ 보안 조치 이행 사항
자동화 의사결정(프로파일링 포함)의 존재를 수집 시점에 고지 의무	정보주체는 자동화 의사결정에 대해 개인정보처리자에게 설명 요청권 보유 (2024년 3월 15일 시행 예정)
정보주체는 자동화 처리(프로파일링 포함)에만 기반한, 법적 효력이나 이와 유사한 중대한 영향을 미치는 결정의 적용을 받지 않을 권리 보유	정보주체는 자신의 권리·의무에 중대한 영향을 미치거나 미칠 가능성이 있는 경우 자동화 의사결정의 적용을 거부할 권리 보유 (단, 동의, 법령, 계약 이행에 기반한 경우 예외. 2024년 3월 15일 시행 예정)

2) 차이점

GDPR	PIPA
정보는 서면 및 이메일 등 전자적 형태로 제공 가능	처리방침은 원칙적으로 개인정보처리자의 웹사이트에 게시. 웹사이트 운영이 불가한 경우 사업장 내 잘 보이는 장소에 게시 등 대체 방법 허용. 처리방침은 반드시 서면으로 제공
컨트롤러는 추가 정보를 제공하지 않는 한 고지된 목적 외로 개인정보를 수집·처리할 수 없음. 관련 정보는 수집 시점에 제공해야 함	개인정보처리자는 동의받은 목적 외로 처리 불가. 단, 추가 목적에 대한 동의 획득 또는 수집 목적과 합리적으로 관련된 범위 내에서 추가 동의 없이 처리 가능 (암호화 등 안전 조치 이행 여부 등 고려). 수집·이용 및 제3자 제공은 법령상 규정된 정보를 고지하고 동의를 받은 후에만 가능
컨트롤러는 적정성 결정의 존재·부재 또는 적절한 안전장치에 관한 정보를 정보주체에게 고지 의무	유사한 고지 의무 없음
간접 수집 시 합리적 기간 내(최대 1개월 이내), 정보주체와의 첫 연락 시점 또는 제3자에게 처음 공개하는 시점에 정보 제공 의무	일정 기준에 해당하는 개인정보처리자는 제3자로부터 데이터를 수신한 후 3개월 이내에 정보주체의 요청이 없더라도 관련 정보 제공 의무
정보는 구두로도 제공 가능 (서면 및 전자적 수단 외)	처리방침에 포함된 정보는 반드시 서면으로 제공
GDPR은 정당한 이익의 예시를 제공	PIPA는 정당한 이익을 매우 제한적인 범위에서만 인정

3. 두 번째 읽기 : 영어 중심 정독

핵심 문장 영어로 요약 + 한국어 번역

Like the GDPR, PIPA also recognises the right to erasure, however there are some differences. Under PIPA, data handlers must respond to requests within 10 days, whereas under the GDPR data controllers must respond without undue delay and within one month from receiving a request. → GDPR과 마찬가지로 PIPA도 삭제권을 인정하나 차이가 있다. PIPA에서는 개인정보처리자가 10일 이내에 응답해야 하는 반면, GDPR에서는 컨트롤러가 지체 없이, 원칙적으로 요청 수신 후 1개월 이내에 응답해야 한다.

Unlike the GDPR which recognises the right to be informed as a separate right, PIPA imposes an obligation on data handlers to disclose information regarding the processing of personal information to data subjects when obtaining consent as well as in a privacy policy accessible to the public. → 정보 제공받을 권리를 별도의 독립적 권리로 인정하는 GDPR과 달리, PIPA는 개인정보처리자에게 동의 획득 시 및 공개된 처리방침을 통해 정보주체에게 개인정보 처리 관련 정보를 공개할 의무를 부과한다.

Under the GDPR, if the data controller has made personal data public and is obliged to erase the personal data, the data controller shall take reasonable steps, including technical measures, to inform controllers processing the personal data that the data subject has requested the erasure. → GDPR에 따르면, 컨트롤러가 개인정보를 공개하였고 이를 삭제할 의무가 있는 경우, 해당 데이터를 처리하는 다른 컨트롤러에게 정보주체의 삭제 요청 사실을 알리기 위해 기술적 조치를 포함한 합리적 조치를 취해야 한다.

 

나만의 언어로 오늘 내용 요약!

GDPR과 PIPA는 삭제권과 정보 제공 의무 측면에서 전반적으로 유사한 구조를 갖추고 있으나, 응답 기한(1개월 vs 10일), 수수료 부과 가능 여부, 공개된 개인정보 삭제 규정의 존재 여부, 정보 제공 방식(구두 가능 vs 서면 원칙) 등 세부 적용에서 차이가 두드러진다.

 

While GDPR and PIPA share a broadly similar structure regarding the right to erasure and the obligation to inform data subjects, notable differences exist in the details — including response timelines (one month vs. ten days), the possibility of charging processing fees, the absence of provisions for erasing publicly disclosed data under PIPA, and the format of information delivery (oral permitted under GDPR vs. written required under PIPA).

---

4. 어휘 & 표현 정리

단어	한국어	정의
Right to Erasure	삭제권 (잊힐 권리)	정보주체가 자신의 개인정보 삭제를 요청할 수 있는 권리
Right to be Informed	정보 제공받을 권리	정보주체가 자신의 개인정보가 어떻게 처리되는지 알 권리
Automated Decision-making	자동화 의사결정	인간의 개입 없이 알고리즘·AI 등 자동화 수단만으로 내려지는 결정
Profiling	프로파일링	자동화 수단으로 개인의 특성·행동·선호를 분석·예측하는 처리 행위
Undue Delay	부당한 지체	합리적인 이유 없이 의무 이행을 미루는 것으로, GDPR에서 응답 기한의 기준으로 사용
Legitimate Interest	정당한 이익	컨트롤러 또는 제3자의 이익이 정보주체의 권리보다 우선하는 경우 처리를 허용하는 근거
Rectification	정정	부정확하거나 불완전한 개인정보를 올바르게 수정하는 것
Restriction of Processing	처리 제한	개인정보의 처리를 일시적으로 중단하거나 제한하는 것
Third-party Recipient	제3자 수신자	컨트롤러 또는 처리자 외에 개인정보를 제공받는 외부 자연인·법인·기관
Indirect Collection	간접 수집	정보주체가 아닌 제3자로부터 개인정보를 수집하는 방식
Transparency	투명성	개인정보 처리 방식과 목적을 정보주체가 명확히 알 수 있도록 공개하는 원칙
Consent Withdrawal	동의 철회	정보주체가 이전에 제공한 동의를 취소하는 행위
Adequacy Decision	적정성 결정	EU 집행위원회가 특정 국가의 개인정보 보호 수준을 동등하게 인정하는 공식 결정
Disproportionate	불균형한 / 과도한	목적에 비해 수단이나 노력이 지나치게 크거나 과한 상태
Safeguard	안전장치 / 보호 조치	위험이나 피해를 방지하기 위해 마련된 기술적·관리적 보호 수단
Obligation	의무	법적 또는 계약상 반드시 이행해야 하는 사항
Accessible	접근 가능한	정보나 서비스를 쉽게 이용하거나 열람할 수 있는 상태
Disclosure	공개 / 공시	개인정보나 특정 사실을 외부에 알리거나 제공하는 행위
Concise	간결한	불필요한 내용 없이 핵심만을 명확하게 전달하는 성질
Intelligible	이해하기 쉬운	복잡한 내용을 누구나 쉽게 이해할 수 있도록 표현된 상태
Replication	복제	데이터나 콘텐츠를 동일하게 복사하거나 재현하는 것
Foreseeable	예측 가능한	어떤 결과나 상황이 합리적으로 예상될 수 있는 상태
Recipient	수신자	개인정보를 제공받는 제3자 또는 기관
Implication	함의 / 영향	어떤 행위나 결정이 직접적으로 드러나지 않지만 간접적으로 미치는 영향이나 의미
Proportionate	비례하는	목적에 비해 수단이 과도하지 않고 적절한 수준임을 나타내는 표현

---

5. 마무리: 복습

• 한국어 3문장 요약
  1. 삭제권은 두 법 모두 인정하지만, GDPR은 원칙적으로 1개월 이내 무료 응답을 요구하는 반면 PIPA는 10일 이내 응답을 요구하며 처리 수수료 및 우편 요금을 부과할 수 있다는 점에서 차이가 있다.
  2. 정보 제공 의무와 관련하여 GDPR은 이를 독립적 권리로 명시하고 수집 시점에 폭넓은 정보를 제공할 것을 요구하는 반면, PIPA는 동의 획득 시 고지와 처리방침 공개를 통해 이를 이행하도록 규정한다.
  3. 자동화 의사결정에 관해 두 법 모두 정보주체의 보호 규정을 두고 있으나, GDPR은 이미 시행 중인 반면 PIPA의 관련 조항은 2024년 3월 15일 이후 시행 예정으로 시행 시기에서도 차이가 있다.
• 영어 3문장 요약
  1. Both laws recognize the right to erasure, but differ in response timelines and fees — GDPR requires a response within one month free of charge (with limited exceptions), while PIPA mandates a response within ten days and allows data handlers to charge processing fees and postage.
  2. Regarding the right to be informed, GDPR treats it as a standalone right and requires broad information disclosure at the point of collection, whereas PIPA fulfills this obligation through notification at the time of consent and public disclosure via a privacy policy.
  3. Both laws provide protections regarding automated decision-making, but while GDPR provisions are already in effect, PIPA's relevant articles are scheduled to come into force after March 15, 2024, reflecting a difference in implementation timelines as well.

스스로에게 던지는 질문

Question: Why does PIPA allow data handlers to charge a fee for erasure requests, while GDPR generally requires this to be free of charge?

Answer: The difference likely reflects the distinct regulatory philosophies behind each law. GDPR was designed to make it as easy as possible for individuals to exercise their rights, treating data protection as a fundamental right that should not be conditioned on payment. PIPA, on the other hand, takes a more practical approach that acknowledges the administrative burden on data handlers, allowing them to recover reasonable costs associated with processing requests. This does not mean that PIPA offers weaker protection overall, but it does reflect a different balance between the rights of individuals and the operational realities of organizations.