[개인정보보호] 코로나 19 관련 해외 개인정보보호 동향 (1) (2020.03)

안녕하세요. 황컴플라이언스 입니다.

[개인정보보호] 코로나 19 관련 해외 개인정보보호 동향 (1) 입니다.

업무에 참고하시기 바랍니다.

 

○ 자료명 : 코로나 19 관련 해외 개인정보보호 동향 (1)

○ 발행일 : 2020년 03월

○ 주관부처 : 한국인터넷진흥원

---

[배경]

○ 배경

코로나19 확산 방지를 위해 전 세계가 총력을 기울이는 가운데 각국 개인정보보호 감독기구와 국제기구들은 이 과정에서 발생할 수 있는 개인정보보호 이슈들에 대한 지침과 의견을 제시

• 감염 통제를 위해 확진자의 이름, 주소, 직장, 여행 세부 사항, 동선(위치정보), 건강상태 등의 개인정보가 불가피하게 수집 및 공유되는 상황
• 스마트폰 위치 데이터를 통한 감염자 경로 파악과 사회적 거리두기의 실천 여부 확인부터 얼굴인식 기술을 동원한 확진자 감시에 이르기까지 다양한 침해 사례 발생
• 각국 개인정보보호 감독기구는 질병 통제의 목적과 개인정보보호의 원칙 사이의 균형점을 모색하고 있으며, 개인정보 침해 대응책 마련을 위한 시민단체의 요구 증가
• 이에 따라 본 보고서에서는 총 2회에 걸쳐 ①코로나19 대응 과정의 개인정보보호 관련 이슈에 대한 국가별·기관별 가이드라인 현황 및 주요 내용 ②개인정보 침해 사례와 개인정보보호 정책 및 법규에 대한 코로나19의 영향 및 전망에 대해 검토

---

(배포용) 코로나19 관련 해외 개인정보보호 동향(1)(2020.03).pdf

0.33MB

코로나 19 관련 해외 개인정보보호 동향 (1) (2020.03) : 한국인터넷진흥원

---

[국가별·기관별 가이드라인 현황 및 주요 내용]

○ EU

(EDPB) 코로나19 통제를 위한 데이터 처리 활동의 적법성 확인 및 해당 기간 중 개인정보 처리에 대한 의견을 담은 공식 성명을 채택 (‘20.3.19)

• 대규모 감염 사태라는 이례적인 상황에서도 개인정보의 적법한 처리가 요구되며, 이를 위해서는 개인정보보호 법규의 일반 원칙을 준수해야 한다는 점을 강조
• EDPB에 따르면, GDPR은 이를 위한 포괄적인 법률로서 △제6조(개인정보 처리의 적법성)1, △제9조(특별 범주의 데이터 처리)2 ⑥17조(삭제권) 등 개인 데이터 처리에 적용되는 규칙을 제시
• GDPR은 감염 방지라는 공익을 위해 고용주와 공중 보건 당국이 정보주체의 동의를 얻지 않고도 개인정보를 처리 할 수 있는 법적 근거를 제공
• 위치정보의 처리와 관련, △통신 기반의 위치정보 처리는 원칙적으로 익명화 혹은 정보주체의 동의에 의거하여 처리해야 하지만 불가피한 경우 ePrivacy Directive 제15조에 근거하여 공공 안전을 위한 법적 조치를 도입할 수 있으며 △이때 정보주체에게 사법적 구제권을 제공하는 등 적절한 보호 조치를 취하고 비례의 원칙을 준수하며 침습 범위를 최소화할 것을 권고
• 고용주가 요구 및 처리할 수 있는 건강 관련 정보 문제와 관련, △국가 법률이 허용하는 범위 내에서만 피고용인과 방문자의 건강 정보를 요구하고 △고용주의 법적 의무에 따라 직원에 대한 검진을 수행하며 △피고용인의 코로나19 감염 사실을 동료 직원이나 외부인에게 공개하고 보호 조치를 취하되 필요 이상의 정보를 전달하지 않도록 권고

(영국 ICO) 코로나19 관련 개인정보보호 준수 방침과 관련하여 데이터 처리 과정의 개인정보보호에 대한 지침을 공개한 데 이어3 (‘20.3.2), 정부가 코로나 바이러스 확산 억제를 위해 개인의 휴대폰을 통한 위치 추적 및 모니터링에 나설 수 있다는 입장을 제시4 (‘20.3.27)

• ① 제6조 1(d)항의 “개인정보주체 또는 제3자의 생명에 관한 이익을 보호하기 위해 개인정보 처리가 필요한 경우”에 해당
• ② 중대한 건강 위협으로부터 보호하는 등 공중보건 분야에서 공익상의 이유를 실현하고 고용주가 법적 의무를 준수하기 위해 개인정보를 처리해야 하는 경우에 적용
• ICO는 코로나19 확산 방지를 위한 데이터 처리 과정에서 영국 데이터보호법과 전자통신법이 공중 보건을 위한 활동을 막지 않는다는 점을 강조
• 코로나19의 확산 와중에 조직의 데이터 보호 관행이 일반적인 표준을 충족하지 못하거나 정보주체의 권리 요구 관련 요청에 대해 응답이 지연되는 경우 예외적인 사정을 인정하여 해당 조직에게 규제를 가하지 않겠다는 입장을 확인
• 의료 기관이 코로나19와 관련해 전화, 문자, 이메일 등으로 전송하는 내용은 직접 마케팅 메시지가 아니므로 사전 동의 없이도 발송 가능하며, 공중 보건에 대한 심각한 위협으로부터 시민들을 보호하기 위해 공공기관은 추가 개인정보 수집 및 공유가 필요할 수 있음을 인정
• 재택근무자 증가에 따라 직원 자신의 장비나 통신 기기를 사용하는 사례가 증가하는 가운데, 재택근무 시에도 일반적인 상황에서 사용하는 것과 동일한 종류의 보안 조치가 필요하다고 설명
• 직원이 코로나19 확진자와 접촉했거나 감염된 사실을 알릴 수 있지만 개인의 이름을 밝히거나 필요 이상의 더 많은 정보를 제공할 수는 없으며, 직원이나 방문자의 건강 데이터 수집은 필요한 범위에서만 제한적으로 진행하고 수집된 정보가 처리되는 동안 적절한 보호수단을 보장하도록 권고
• 직원의 건강 정보를 정부 당국과 공유해야 하는 경우는 흔하지 않겠지만 공중 보건 목적으로 공유하는 경우 데이터 보호법에 저촉되지 않는다고 해석
• 정부가 코로나19 확산 통제를 위해 휴대폰의 개인 데이터를 사용해 위치를 추적하고 활동을 모니터링하는 것은 합법적이라는 의견을 제시
• 영국 정부는 2020년 3월 중순 통신 사업자들과 협의를 통해 익명 처리된 위치 데이터와 휴대폰 사용 관련 데이터를 활용하여 12~24시간 지연된 이동 경로 맵을 제작하기로 결정
• 중국, 한국, 홍콩, 이스라엘, 스페인, 루마니아, 슬로바키아, 폴란드 등이 스마트폰 앱을 통해 확진자 동선을 관리하고 연락처를 확보하는 등 적극적인 모니터링 조치를 취하고 있는 가운데, 시민단체 등은 감시 강화에 대한 우려를 제기하고 있는 상황

(아일랜드 DPC) 코로나19와 같은 공중 보건 문제를 관리하기 위한 데이터 처리 활동이 개인정보 보호 법규에 저촉되지는 않으나, 개인의 건강 데이터 등 민감 정보를 처리할 경우 고려해야 할 중요한 사항들이 있다는 점을 지적 (‘20.3.6) 

• ① 개인정보 이용시 정보주체에게 알리고, 사법적인 감독 시스템이 적용되고, 감시 활동이 영구화될 수 없도록 “일몰” 조항이 있어야한다고 주장
• 처리의 적법성에 대한 근거로서 △GDPR 제6조와 제9조 △데이터보호법(Data Protection Act 2018) 제53항을 제시하고 적절한 안전 조치가 취해질 경우 건강정보를 비롯한 민감 정보 처리가 가능하다는 점을 확인
• 이와 함께, 고용주는 2005년 개정된 직장 안전, 보건 및 복지법(Safety, Health and Welfare at Work Act 2005)에 따라 직원을 보호할 법적 의무가 있다는 점도 기업과 조직의 코로나19 관련 개인정보 처리의 적법성 근거로 제시
• 코로나19 관련 개인정보 처리와 관련한 결정은 공중 보건 당국 또는 기타 관련 당국의 지침이나 지시에 따라 이루어져야 하며, 조직은 이에 대한 의무를 고려해야 한다고 강조
• 투명성, 기밀성, 데이터 최소화, 책임성의 원칙을 준수하고, 개인정보보호에 대한 일반 가이드라인을 참조하고 개인정보 처리의 적법성 근거를 확인하도록 권고
• 한편, DPC는 조직과 고용주가 코로나19와 관련하여 수행한 조치가 데이터 보호법을 준수하는지 확인하는 방법에 대한 질문과 대답 사례를 함께 제공

(프랑스 CNIL) 코로나19 확산 방지를 위한 개인정보 수집·처리·이용이 가능한 조건 및 코로나19 관련 개인정보보호를 위해 하지 말아야 할 일과 해야 할 일에 대한 공지를 발표9 (‘20.3.6)

• 고용주가 코로나19 감염 가능성 확인을 위한 수준 이상의 개인 건강정보를 수집함으로써 직원 또는 방문자의 개인정보보호 권리를 침해해서는 안 된다는 점을 강조
• 예컨대 고용주는 일반화되고 체계화된 방법을 통하거나 개별 요청 또는 설문 조사를 통해 직원 및 친인척의 잠재적 증상과 관련된 정보를 수집할 수 없음을 지적
• 프랑스 노동법(Code du travail)은 고용주에게 피고용인의 건강과 안전에 대한 책임을 부과하고 있으므로, 코로나19 관련 위험에 대한 예방·고지·교육을 위한 조치가 필요하다는 점을 설명
• 고용주는 이러한 조치로서 △피고용인 또는 관련 보건 당국에 코로나19에 대한 노출 가능성에 대한 직원들의 인식 제고 및 바이러스 노출 시 보고 독려 △코로나19 관련 정보의 전송을 용이하게 할 수 있는 전용 채널 구축 △원격근무 및 산업의학의 활용 장려 등을 제시
• 피고용인이 코로나19에 노출된 것으로 의심되는 경우 고용주에게 알려야 할 의무가 있으며, 고용인은 △노출이 의심되는 사람의 신원과 노출 추정 날짜 △고용주가 시행한 관리적 조치 내용을 기록하는 것이 가능
• 따라서 개별 직원 또는 방문자의 체온 측정값을 매일 관리자와 공유하거나 모든 직원으로부터 의료 관련 자료와 설문지를 수집하는 것은 불법
• 공중 보건 당국은 코로나19와 관련해 개인의 증상 및 이동 데이터를 수집하고 적절한 조치를 취할 권한이 있으며, 이 같은 정보의 평가 및 수집은 공공기관의 책임이라는 점을 확인

(독일 DPAs) 독일의 개인정보 감독기구들은 기업이 코로나19의 확산 방지를 위해 직원 또는 고객 데이터를 수집·공개·공유할 수 있는 경우와 허용범위 등에 대한 지침을 제시

• 코로나19와 관련하여 피고용인이 건강에 관한 민감 정보의 처리는 GDPR 제9조와 독일 연방 데이터보호법(German Federal Data Protection Act) 제26조 3항에 의거하여 적법성을 확보
• DSK(German Data Protection Conference)와 LfDI BaWü(Baden-Württemberg Commissioner for Data Protection and Freedom of Information)는 코로나19 확산 중 규제 준수와 관련한 의견을 제시하거나 자주 묻는 질문(FAQ)의 내용을 정리한 성명 자료를 발표 (‘20. 3.13)
• LfDI BaWü에 따르면, 고용주는 코로나19 증상이 발현된 직원과 접촉한 사람에 관한 정보를 수집할 수 있으며, 사업장 폐쇄 시 직원의 개인 휴대전화 번호를 수집하여 직원에게 집에 머물 것을 경고 또는 요청할 수 있으나 이러한 데이터는 직원과의 계약에 따라 일시적으로만 저장 가능
• LfDI RLP(Rhineland-Palatinate Commissioner for Data Protection and Freedom of Information)가 코로나19와 직원의 개인정보보호에 대한 정보를 온라인으로 게시(‘20. 3.16)
• LfDI RLP에 따르면, 고용주는 휴가에서 복귀하는 직원에게 위험 지역 방문 여부를 보고하도록 요청할 권리가 있으나 설문의 형태로 모든 직원에 대한 상세한 조사를 진행하거나 특정 목적지 또는 체류 기간에 대한 데이터를 요청하는 것은 불필요

(이탈리아 Garante) 코로나19 증상 등과 관련한 무단 데이터 수집을 금지하고 민간 및 공공 조직들은 보건부와 기타 관련 기관의 지시를 따라야 한다는 지침을 제시11 (‘20.3.2.)

• 최근 14일 동안 역학적 위험 지역을 방문한 이력이 있는 경우 지역 보건당국에 자진 신고해야 하며 해당 기관은 격리 조치를 포함한 필요한 검토를 수행할 책임이 있음을 확인
• 반면 고용주가 피고용인에 대한 특정한 요청이나 무단 조사를 통해 코로나19 증상 여부와 접촉자 및 사업장 외부에서의 활동에 대한 정보를 사전에 수집하는 것은 금지 
• 이는 코로나19의 증상과 각 개인의 최근 동선에 대한 정보 조사 및 수집은 공중 보건 규칙을 준수하는 의료 전문가 및 시민 보호 시스템의 책임이며 개별 고용주의 영역은 아니라는 지적
• 요컨대 고용주를 포함한 데이터 컨트롤러들이 법령에 의거하지 않거나 관할 기관의 명령이 없는 상태에서 피고용인이나 사용자의 건강 관한 데이터 수집을 목표로 자체적인 활동을 수행하지 않도록 강조

[목차]

Ⅰ. 배경

Ⅱ. 국가별·기관별 가이드라인 현황 및 주요 내용

• (1) EU
• (2) 미국 및 캐나다
• (3) 기타지역