EU 디지털 종합규정이 GDPR의 개인정보 정의에 미치는 영향

11월 19일, 유럽집행위원회는 EU 내 다양한 디지털 법률을 단순화하고 통합하기 위한 '디지털 종합규정(Omnibus Regulation)' 초안을 발표했습니다. 제안된 주요 변경 사항 중 하나는 EU 일반개인정보보호법(GDPR) 제4조 제1항의 개인정보 정의와 관련된 내용입니다.

옴니버스 규정 초안은 GDPR상 개인정보 정의에 세 문장을 추가할 것을 제안하고 있다. 제안된 세 문장은 GDPR 서문에 이미 포함된 원칙과, GDPR상 개인정보에 해당하지 않는 사항(따라서 GDPR 적용 범위에서 제외되는 사항)에 관한 유럽연합 사법재판소의 판례를 강화하는 내용을 담고 있다. 

제안된 세 개의 추가 문장은 다음과 같습니다:

• “자연인과 관련된 정보가 다른 주체가 해당 자연인을 식별할 수 있다는 이유만으로 반드시 다른 모든 개인이나 단체에게 개인 데이터가 되는 것은 아니다.” 이 변경 사항은 지구상 어디선가 누군가가 데이터 주체를 식별할 수 있다는 사실만으로는 해당 정보가 개인정보로 간주되기에는 충분하지 않음을 명확히 합니다. 대신, 개인정보를 실제로 처리하는 주체(관리자 또는 처리자)가 데이터 주체를 식별할 수 있을 때에만 해당 정보는 개인정보로 간주됩니다. 다른 사람들이 개인을 식별하기 위해 할 수 있는 일은 관련이 없습니다.
• “정보는 해당 주체가 합리적으로 사용될 가능성이 있는 수단을 고려하여 해당 정보와 관련된 자연인을 식별할 수 없는 경우, 해당 주체에 대하여 개인 정보로 간주되지 아니한다.” 이 문장은 첫 번째 추가 조항에서 자연스럽게 이어지며, 정보가 개인 데이터인지 여부는 해당 주체가 보유할 가능성이 있는 다른 정보와 합리적으로 사용할 가능성이 있는 다른 수단에 근거하여 결정된다는 점을 명시합니다. 다시 말해, 해당 주체가 극단적인 조치를 통해 개인을 식별할 수 있다는 이유만으로 정보가 개인 데이터가 되는 것은 아니다. 오히려 정보를 처리하는 주체가 추가 정보에 접근할 수단을 보유하고 있으며, 해당 수단을 합리적으로 사용할 가능성이 있을 때에만 개인 데이터로 간주된다. 이 기준이 어디까지 적용될지는 아직 불분명하나, 계약상 제한만으로도 충분할 수 있음을 시사한다. 예를 들어, 기관이 개인 데이터를 가명화하고 재식별을 위한 키나 기타 정보 제공을 계약상 금지하는 경우, 가명화된 데이터를 받는 당사자는 이를 비개인정보로 간주할 수 있습니다. 주목할 점은 이 개념이 항상 GDPR의 서문 26항에 명시되어 있었으나, 데이터 보호 및 유사 계약에서 계약 당사자들이 종종 이를 간과해왔다는 사실입니다.
• “해당 정보가 단순히 잠재적 후속 수령인이 해당 정보와 관련된 자연인을 식별하는 데 합리적으로 사용될 가능성이 있는 수단을 보유하고 있다는 이유만으로 해당 기관에 대해 개인 정보가 되는 것은 아니다.” 이는 개인 데이터가 속담처럼 '보는 이의 눈'(혹은 데이터 보유자의 눈이라고 해야 할까요)에 달려 있음을 명확히 하는 또 다른 변경 사항입니다. 간단히 말해, 한 주체가 보유한 정보로는 데이터 주체를 식별할 수 없지만, 이를 식별 가능한 제3자에게 제공할 경우 해당 정보는 최초 주체에게는 개인 데이터가 아니지만 수신 주체에게는 개인 데이터가 된다. 이는 개인 데이터가 누가 보유하느냐에 따라 개인 데이터에서 비개인 정보로, 다시 개인 데이터로 전환될 수 있음을 시사한다. 

기업에 미치는 영향

제안된 변경 사항은 대부분 GDPR의 서문에서 이미 언급된 내용을 재확인하는 것이지만, 채택될 경우 GDPR 적용 대상이 되는 데이터 전송자와 수신자 간의 계약 협상에 여전히 영향을 미칠 가능성이 있다. 많은 기관들이 적절히 익명화되거나 가명화된 정보도 수신자의 손에 있으면 여전히 개인 데이터라고 주장해 왔지만 ( 이러한 견해는 서문에 반하는 것이지만 ), 이 문구는 수신자가 데이터 주체를 식별할 수 없고 그러한 식별을 가능하게 할 합리적인 수단이나 정보 접근 권한이 없다면 해당 정보가 개인 데이터가 아닐 수 있음을 명확히 할 것입니다. 또한 정보 보유자가 비개인 데이터를 재식별하여 개인 데이터로 전환할 수 있는 자에게 전달하더라도, 이를 전송한 주체에게는 여전히 개인 데이터로 간주되지 않습니다. 

실질적으로, 해당 변경안이 채택될 경우 익명화 및 가명화된 정보와 관련된 의무는 개인 식별이 합리적으로 불가능한 조직의 경우 GDPR 하의 개인 데이터에 요구되는 의무보다 낮음을 명확히 하며, 현재 명백히 비개인 데이터로 분류될 수 있는 정보에 한정된 자원을 투입할 필요성을 줄이는 데 기여할 수 있다. 

해당 변경 사항이 채택될 경우, 더 광범위한 영향을 미칠 수 있습니다. 이는 익명화되거나 가명화된 정보(수신자가 합리적으로 개인을 식별할 수 없다고 가정할 때)가 제한 없이(예: AI 훈련용) 사용되거나, 데이터 수입자가 여전히 개인을 식별할 수 없는 경우 표준 계약 조항이나 기타 데이터 보호 조치 없이도 EU 외부로 수출될 수 있음을 시사하기 때문입니다. 

11월 19일, 유럽집행위원회는 다양한 EU 디지털 법률을 단순화하고 통합하기 위한 이른바 '디지털 종합규정(Digital Omnibus Regulation)' 초안을 발표했다. 가장 중대한 개정안 중 하나는 EU 일반 데이터 보호 규정(GDPR) 제4조 제1항의 개인정보 정의와 관련된다. 개인정보의 개념은 GDPR의 적용 범위를 규정할 뿐만 아니라 인공지능법(Artificial Intelligence Act)이나 데이터법(Data Act) 등 EU 디지털 규칙집의 다른 법률에도 실질적 영향을 미친다.

참조 문서 보기