Comparing privacy laws: GDPR v. PIPA (May 2023 LATEST EDITION) GDPR과 PIPA 비교: 적용 범위와 정의 중심 분석 1/6

1. Personal Scope: 보호 대상의 범위

 

GDPR과 PIPA는 모두 개인정보 보호의 대상이 되는 개인을 살아있는 자연인으로 한정하고 있다는 점에서 공통점을 가진다. 즉, 사망자의 개인정보는 원칙적으로 보호 대상에 포함되지 않으며, 두 법 모두 공공기관과 민간기업을 구분하지 않고 개인정보를 처리하는 모든 주체에 적용된다.

다만 개념 구조에서는 차이가 나타난다. GDPR은 개인정보 처리 주체를 data controller와 data processor로 구분하여, 누가 처리 목적과 수단을 결정하는지, 그리고 누가 이를 위탁받아 처리하는지를 명확히 나눈다. 반면 PIPA는 개인정보처리자라는 개념을 중심으로 규율하며, processor를 별도로 구분하기보다는 위탁 처리 개념으로 포함하여 다루고 있다. 이러한 차이는 책임 구조를 보다 세분화한 GDPR과, 실무 중심으로 단순화된 PIPA의 접근 방식 차이를 보여준다.

 

2. Territorial Scope: 적용되는 지역 범위

 

Territorial scope에서는 GDPR과 PIPA의 차이가 가장 뚜렷하게 드러난다. GDPR은 명확한 역외 적용 원칙을 가지고 있어, 기업이 EU 내에 물리적 거점을 두고 있지 않더라도 EU 거주자를 대상으로 서비스를 제공하거나 그들의 행동을 모니터링하는 경우에는 적용 대상이 된다. 이는 글로벌 기업에도 직접적인 영향을 미치는 규정으로, GDPR이 국제적 규범으로 작용하게 만드는 핵심 요소이다.

반면 PIPA는 적용되는 영토 범위에 대해 명확한 규정을 두고 있지 않으며, 기본적으로는 국내에서 개인정보를 처리하는 경우를 중심으로 적용된다. 다만 실무적으로는 한국인을 대상으로 서비스를 제공하는지, 국내에서 수익이 발생하는지 등의 요소를 종합적으로 고려하여 적용 여부를 판단하는 경우가 있다. 이러한 점에서 GDPR이 명확한 기준을 통해 글로벌 적용을 지향하는 반면, PIPA는 상대적으로 국내 중심의 규율 구조를 가진다고 볼 수 있다.

 

3. Material Scope: 개인정보와 처리 행위의 범위

 

Material scope에서는 두 법이 상당 부분 유사한 출발점을 가지고 있다. GDPR과 PIPA 모두 개인정보를 특정 개인을 식별하거나 식별 가능하게 하는 정보로 정의하며, 단일 정보뿐 아니라 다른 정보와 결합하여 식별 가능한 경우까지 포함한다. 또한 민감정보에 대해서 별도의 보호 규정을 두고 있다는 점에서도 공통적이다.

그러나 세부적인 규정에서는 차이가 존재한다. GDPR은 ‘processing’ 개념을 매우 넓게 정의하여 수집, 저장, 수정, 전송, 삭제 등 개인정보와 관련된 거의 모든 행위를 포함시키며, 자동화된 처리와 비자동화된 처리를 구분하는 등 기술적인 측면까지 고려한다. 반면 PIPA는 ‘처리’ 또는 ‘취급’ 개념을 사용하지만 이러한 구분을 별도로 두지 않고 비교적 단순한 구조를 유지하고 있다.

또한 GDPR은 익명화된 정보는 규제 대상에서 명확히 제외한다고 규정하는 반면, PIPA는 익명정보에 대한 명시적 정의는 없지만 개인을 식별할 수 없는 경우에는 적용되지 않는다는 방식으로 유사한 효과를 가진다. 예외 규정에서도 GDPR은 가정 내 활동, 언론, 학술, 예술 목적 등 다양한 상황을 구체적으로 규정하고 있는 반면, PIPA는 일부 상황에 대해서만 제한적으로 예외를 인정하고 있다.

4. Key Definitions: 개인정보와 민감정보 정의

 

개인정보의 정의 자체는 두 법이 매우 유사하다. GDPR은 개인정보를 식별되었거나 식별 가능한 자연인과 관련된 모든 정보로 정의하고 있으며, 이름, 식별번호, 위치정보, 온라인 식별자 등 다양한 요소를 포함한다. PIPA 역시 특정 개인을 식별할 수 있는 정보뿐 아니라 다른 정보와 쉽게 결합하여 식별 가능한 정보까지 포함하는 것으로 정의하고 있어, 실질적인 범위에서는 큰 차이가 없다.

민감정보의 경우 두 법 모두 별도의 보호가 필요하다는 점에는 동일한 입장을 취하지만, 구체적인 범위에서는 차이가 나타난다. GDPR은 인종, 정치적 견해, 종교, 건강정보, 생체정보 등 기본적인 민감정보 범주를 제시하는 반면, PIPA는 여기에 더해 주민등록번호, 범죄경력, 생체정보 및 행동정보 등 한국 사회에서 중요하게 다뤄지는 요소들을 보다 구체적으로 포함하고 있다.

또한 가명정보에 대해서도 두 법 모두 규정을 두고 있으며, 완전히 식별이 불가능한 익명정보와는 달리 추가 정보와 결합할 경우 개인 식별이 가능한 정보로 보고 일정한 보호 체계를 유지하고 있다는 점에서 공통된 방향성을 보인다.

 

5. 종합 정리

 

종합적으로 보면 GDPR과 PIPA는 개인정보 보호라는 동일한 목적 아래 유사한 개념 구조를 공유하고 있지만, 적용 범위와 규정의 정교함에서 차이를 보인다. GDPR은 역외 적용을 명확히 규정하고 처리 주체를 세분화하며 기술적 요소까지 반영한 체계적인 법제인 반면, PIPA는 국내 환경에 맞춰 실무적으로 적용하기 용이한 구조를 갖춘 법으로 볼 수 있다. 이러한 차이는 두 법이 지향하는 범위와 역할의 차이에서 비롯된 것으로, GDPR은 글로벌 기준을 제시하는 규범에 가깝고 PIPA는 국내 개인정보 보호 체계를 중심으로 기능한다고 정리할 수 있다.