법률체계
개요
• 영국에는 개인의 프라이버시권을 부여하는 헌법 1)
이 없으며, 그 대신 개인정보보호 일반법에 해당하는 영국 일반 개인정보보호법(UK GDPR) 및 개인정보보호법 2018(Data Protection Act 2018)을 필두로 각 영역별 필요에 따라 도입된 개별 법률 등으로 개인정보보호 법제가 구성
• 개별 법률에는 ,공공기관이 다루는 개인정보에 대한 영국 국민들의 알권리를 보장하는 정보자유법 ,정보통신 분야의 개인정보보호를 특별히 다루는 프라이버시 전자통신규정 ,의료·보건 분야의 건강기록에 대한 열람권을 규율하는 건강기록접근법 등이 있음
영국 일반 개인정보보호법(UK General Data Protection Regulation, 이하 UK GDPR)
• 영국은 유럽연합 탈퇴(브렉시트) 선언 이후 ‘19년 2월 제정된 ’개인정보보호, 프라이버시, 전자 커뮤니케이션 수정법 2)‘을 근거로 EU GDPR을 UK GDPR로 명명(‘21.1월 발효)
- ‘18년 5월부터 유럽연합 일반 개인정보보호법(EU General Data Protection Regulation, 이하 EU GDPR)이 영국에서도 직접 적용되고 있었으나, 영국의 유럽연합 탈퇴로 인해 유럽연합 법률이 더 이상 영국 내에 적용되지 않는 법적 공백 야기
- 영국은 유럽연합 탈퇴법(European Union (Withdrawal) Act 2018)을 제정하여 EU 법령이 그대로 영국 국내법으로서 기능할 수 있도록 노력 3)
- 그 과정에서 이전대로 EU GDPR과 영국 개인정보보호법(Data Protection Act 2018)이 그대로 적용될 경우 변화한 법적 상황을 반영하지 못하게 되는 것을 이유로, 영국은 개인정보보호, 프라이버시, 전자 커뮤니케이션 수정법을 제정하여 개인정보 관련 법률에 수정을 가하는 등 개인정보보호 법제 전반을 정비
• 동법은 실질적으로 EU GDPR과 동일한 내용을 담고 있고 단지 일부 조문이나 단어를 대체, 추가, 제거하는 등 최소한의 변경만을 가한 것으로 후술하는 개인정보보호법 2018(Data Protection Act 2018)과 더불어 영국 개인정보보호 법제를 이루는 큰 축 중 하나
개인정보보호법 2018(Data Protection Act 2018, 이하 DPA 2018)
• ’84년 최초 제정되어 한 차례 개정을 거쳐 오늘날에 이른 DPA 2018은 EU GDPR 시행에 따라 동법의 영국 내 적용을 위해 ’18년 개정 발효 됨
- EU 회원국 내 동일한 법률을 적용하기 위해 제정된 EU GDPR은 일부 조항에 대해 회원국별 상황을 반영할 수 있도록 재량권을 부여
- 이에, 영국은 DPA 2018을 통해 아동 연령 및 개인정보 식별자에 대한 범위 등을 영국 상황에 맞게 ‘18년 5월 25일 개정‧발효
• 현재 시행 중인 DPA 2018은 영국의 유럽연합 탈퇴로 인해 전술한 개인정보보호, 프라이버시, 전자 커뮤니케이션 수정법 제정을 계기로 한 차례 더 수정을 거침
- EU GDPR과 마찬가지로, UK GDPR과 전체적으로 같은 맥락을 유지하고 있으며 UK GDPR이 규정하지 않는 범위에서는 재량에 따라 확대 규정
• 총 7장 215개 조항으로 이루어져 있고 ,UK GDPR 등에 따른 개인정보 처리(제2장) ,사법 당국의 법 집행을 위한 개인정보 처리(제3장) ,정보기관(Intelligence services)에 의한 개인정보 처리(제4장) ,정보커미셔너(ICO 커미셔너)의 역할(제5장) ,법 집행절차(제6장) 등으로 구성
- DPA 2018 제5장을 통해 UK GDPR과 DPA 2018을 집행하는 ICO의 집행 권한을 명명
정보자유법(Freedom of Information Act 2000, FOIA)
• 국가 정책의 투명성과 국민의 알권리를 보장하기 위해 ‘00년 제정 후 ’05년 시행된 법
• 동 법에서는 공공기관이 보유하고 있는 정보에 대한 국민의 접근 권한을 명시함으로써 공공기관은 수행활동에 대한 정보를 공개해야 하고 일반 대중은 공공기관에 정보를 요청할 권리를 지니게 됨
프라이버시 전자통신 규정(Privacy and Electronic Communications Regulation 2003, PECR)
• EU의 개인정보 및 전자통신 지침(Privacy and Electronic Communications Directive 2002, e-Privacy Directive)의 제정에 따라 ‘03년 도입되었으며, 개인정보보호 일반법을 보완하여 전자통신에 대한 구체적인 개인정보 관련 권한을 규정
• 동 규정에 따라 전자적 수단을 통한 마케팅이나 쿠키 등 이용 정보를 추적하는 경우, 공공 전자통신 서비스의 보안 영역이나 통신 네트워크나 서비스를 이용하는 이용자의 프라이버시에 대해 규율
건강기록접근법(Access to Health Records Act 1990, AHRA)
• 건강기록에 접근하는 권리를 규정하기 위하여 1990년 제정된 법률
• 동법에 따라 개인은 해당 개인을 치료한 의료기관이 보유한 의료기록에 접근하거나 개인의 전담의(General Practitioner, GP)가 작성한 요약 관리기록(Summary Care Record, SCR)에 접근할 권리를 가짐
한편 영국의 개인정보 감독기구인 Information Commissioner‘ Office(이하, ICO)는 위 법률 중 일부와 기타 법률을 포함하여 총 10개의 법률을 소관하고 있음 4)
| 구분 | 주요 내용 |
개인정보보호법 2018 (Data Protection Act 2018) | • 일반 개인정보보호(UK GDPR) 및 사법 당국, 정보기관에서의 개인정보 처리 등 포괄적인 개인정보보호를 규정 • UK GDPR에서 규정하지 않는 부분을 보충 |
정보자유법 (Freedom of Information Act) | • 공공기관이 보유하는 정보에 대해 국민의 알 권리를 보장하는 규정 |
프라이버시 전자통신 규정 (Privacy and Electronic Communications Regulations) | • 개인정보보호 일반법을 보완하여 전자통신에 대한 개인정보 관련 권한을 규율하는 규정 |
영국 일반 개인정보보호법 (UK General Data Protection Regulation) | • 유럽연합 회원국에 직접 적용되는 EU 일반 개인정보보호법을 모태로 하고 있으며 브렉시트 상황에 맞게 일부 수정을 가한 영국식 GDPR |
환경정보 규정 (Environmental Information Regulations) | • 공공기관이 보유하는 환경 관련 정보공개에 대한 규정 |
공간정보 규정 (INSPIRE Regulations) | • 공간정보를 보유하는 공공기관, 또는 공공기관을 대신하여 해당 정보를 보유하는 조직이나 개인에 특정 의무를 부여하는 규정 |
전자 신원확인 및 인증 서비스 규정 (eIDAS Regulation) | • 전자 신원확인 서비스와 신탁 서비스라는 두 가지 영역에서 개인, 기업 및 공공 행정을 위한 온라인 거래의 진행을 보장하는 규정 |
공공부문 정보 재사용 규정 (Re-use of Public Sector Information Regulations) | • 공공기관의 공공부문의 정보 재사용을 독려하고 권장하는 규정 |
네트워크·정보시스템 규정 (NIS Regulations) | • 주요기반서비스 운영자와 디지털서비스 제공자에 대한 네트워크 및 정보보호 준수 가이드라인을 제공하는 규정 |
수사권법 (Investigatory Powers Act) | • 영국 정보기관 및 경찰 등에 전자적 감시 권한을 확대하는 규정 |
1) 다른 국가와 달리 영국은 성문 헌법이 없음
2) The Data Protection, Privacy and Electronic Communications (Amendments etc) (EU Exit) Regulations 2019
3) 동법 제3조에서는 영국에 직접 적용되어 오던 EU 법령(regulation)·결정(decision)·하위입법(tertiary legislation)의 경우, 영국이 유럽연합을 탈퇴하더라도 그대로 영국의 국내법을 이룬다고 규정
4) https://ico.org.uk/about-the-ico/what-we-do/legislation-we-cover/
이 누리집은 대한민국 공식 전자정부 누리집입니다.
