I. 한국
한국의 개인정보 보호법은 목적 명확화, 최소 수집, 안전성 확보가 핵심 원칙으로 한다는 점을 특징으로 한다. 제3자 제공/위탁/파기/유출 대응을 비교적 상세하게 규율하고 있고 실무적 PIPC 가이드, 고시의 영향이 크다는 점을 명심해야 한다.
개정이 잦은 편이기 때문에 조문체계 및 번호가 개정에 따라 달라질 수 있다는 점을 주의하여야 한다. 동의 중심의 개인정보보호 체계로 이루어져 있으나, 법적 허용사유가 있다. 이용 범위, 제3자 제공, 위탁, 유출 대응이 실무의 뼈대이다.
감독기관인 개인정보 보호위원회이며 개인정보 보호위원회의 조사/처분 및 과징금 집행이 강화되는 흐름이기 때문에 내부통제와 위탁관리가 중요하다.
II. 일본
일본의 개인정보 보호법은 개인정보/개인식별부호/익명가공정보 등 개념을 세밀히 구분학ㅎ 있다. 제3자 제공과 국외 이전을 별도로 규율하고 있으며 원칙과 예외 구조를 특징으로 한다.
PPC가 가이드라인을 운영하고 있으며 Q&A로 운영의 세부사항을 채우고 있다.
일본의 개인정보보호법은 유럽에 비해 처리근거보다 제3자 제공/국외 이전/가공 정보 운용에 중점을 두고 있다.
법문 뿐 아니라 PPC 가이드라인을 함께 보아야 개인정보 보호를 위해 실제 준수요건이 명확해 진다.
III. EU
EU의 GDPR의 주요내용은 처리의 법적 근거를 반드시 갖추고 그에 맞게 고지 및 운영할 것과 정보주체 권리 처리 체계를 갖추고, 보안조치 및 침해 통치가 이루어질 것을 요한다. 특히 국와 이전과 책임성이 문제가 된다.
EU GDPR의 경우에도 처리 근거에 따라 개인정보를 처리해야 한다. 다른 국가와 비교되는 점은 정보주체 권리를 구체화하고 있다는 점이다.
특히 동의 뿐 아니라, 법적근거, 최소 수집, 목적 제한, 책임성 문서화를 중요시 하고 있으며, 감독기관의 집행이 강하다는 점의 특징이 있다. 또한 국외 이전, 벤더관리까지 규정되어 있다. 또한 개인정보 침해 사고가 발생하면 72시간 냐에 감독기관과 정보주체에 통지가 가능한 모데 개선이 이루어져야 한다.
IV. 미국 캘리포니아
미국의 경우 개인정보보호에 대한 연방 단일 일반법이 부재되어 있어 캘리포니아 주의 주법을 예로 든다.
미국 캘리포니아 주의 개인정보보호법은 처리 근거보다는 소비자 권리, 고지, 판매 등 옵트아웃을 중심으로 한다. 또한 데이터 판매, 공유 개념이 매우 실무적이다. 일부 사건의 경우에는 민사소송으로 해결한다.
상술한 바와 같이 연방 단일 일반법이 없어 ‘감독기관 단일 창구’보다 주별로 상이한 권리, 의무가 병졶고 있으며 법적 규제는 광고, 추적, 판매 개념이 핵심이 된다. 판매/공유 거부 링크 등 프런트 엔드 UX/배너 설계가 컴플라이언스의 일부가 된다.
V. 중국
중국의 개인정보 보호법은 처리자의 의무, 개인의 권리 외에 국외 이전과 별도 동의와 같은 강한 동의 요건을 특징으로 하고 있다. 특정 조직/처리에 대해 영향평가, 보안평가, 현지화 등 강한 요구를 받을 수 있다.
중국의 개인정보보호법도 처리의 법적 근거에 해당하여야만 개인정보를 처리할 수 있다. 또한 개인정보의 국외 이전 메커니즘/역외 적용 등이 논의의 중심이 되고 있고 개인정보 보호법 제38조는 국외이전을 위해서는 개인정보처리자가 사이버 공간 관리국이 실시하는 보안심사를 통과할 것, 개인정보보호를 보장하는 CAC 전문기관의 인증을 받을 것, 외국의 수령인과 사이버공간관리국이 정한 표준계약에 부합하는 계약을 체결할 것, 법률, 행정법규 또는 국가 인터넷 당국이 정한 기타 요건을 총족한 경우 중 하나에 해당할 것을 요구한다.
또한 개인정보보호법 제39조에서는 개인정보처리자가 개인정보를 해외로 이전하는 경우 정보주체에게 제공해야 할 사항으로 해외 수령인의 명칭, 연락처 정보, 처리 목적, 처리 방식, 처리되는 개인정보의 유형, 정보주체가 자신의 개인정보보호 권리를 행사할 수 있는 방법으로 정하고 있다.
이처럼 중국의 개인정보보호법은 개인정보보호와 데이터 거버넌스/국가안보형 규율이 결합된 성격이 강하기 때문에 국외 이전, 현지 저장, 정부 절차가 프로젝트의 일정과 비용에 직접 영향을 주는 경우가 많기 때문에 이 부분을 유의하여야 한다.
또한 법 조문의 문구만으로는 부족하고 행정규칙, 표준계약, 가이드, 집행 동향 확인이 필수적이다.
'변호사 > AIㆍITㆍSW법' 카테고리의 다른 글
| AI시대에 있어 동의 중심 개인정보보호 체계의 한계 (0) | 2026.06.02 |
|---|---|
| 전화와 이메일 매체 차이가 Do-Not-Call Act와 CAN-SPAM Act 규제 설계에 미친 영향 (0) | 2026.05.25 |
| CLOUD Act는 글로벌데이터거버넌스에서‘ 미국중심주의’를 강화하는지 EU와 중국법과 비교 (0) | 2026.05.18 |
| 사이버 보안에 대하여 기업 경영진의 책임을 강화하는 입법은 타당한가? (0) | 2026.05.11 |
| AI 법에 있어 미국과 중국의 접근 차이 (0) | 2026.05.04 |