해외콘텐츠 법령정보

프랑스의 게임 정책과 법제 VI
- 개인정보의 수집과 동의 (1)

1. 개인정보의 수집과 동의

1-1. 개인정보보호법 적용 대상

Q. 자국 내 사업장이 없는 해외사업자에게 해당 국가의 개인정보보호법률이 적용되는지?

A. GDPR 및 프랑스 정보 보호법은 유럽연합(EU) 또는 유럽경제지역(EEA) 내에 사업장이 없는 해외 사업 운영자에게도 적용될 수 있음.

    EU 또는 EEA 외부에 기반을 둔 조직이 (i) 프랑스에 위치한 개인에게 상품 또는 서비스를 제공하거나, (ii) 프랑스에 위치한 개인의 행동을

    모니터링하는 경우 GDPR이 적용됨

1-2. 해외 사업자의 국내 대리인 지정

Q. 해외사업자의 경우 국내 대리인을 지정해야 하는지, 지정해야 한다면 그 사실을 관계 당국에 보고해야 하는 의무가 있는지?

     개인정보처리방침에 공개만 해 두어도 되는지?

A.  해외사업자는 국내 대리인을 지정해야 하며 해외 조직이 GDPR의 적용을 받는 경우, EU 또는 EEA에 위치한 대리인을 서면으로

    지정해야 함. 대리인은 상품 또는 서비스 제공과 관련하여 개인 정보가 처리되거나 행동이 모니터링되는 정보주체가 있는 EU/EEA 국가 중

    하나에 설립되어야 함.

1-3. 개인정보 수집 방법 (동의, 고지 등)

Q. 개인정보를 적법하게 수집(처리)하기 위한 방법(근거)은 어떠한 것들이 있는지?

※ 동의, 고지, 정보주체와의 계약 처리 및 이행을 위한 경우 등

A. 부연 설명 참고.

    부연 설명

    1. 개인 정보

     EU에서 적용되는 것과 동일한 법적 근거가 프랑스에서도 적용됨. 여기에는 동의에 근거한 처리, 계약 이행에 필요한 처리, 관리자 또는

    제3자가 추구하는 정당한 이익을 위해 필요한 처리, 법적 의무를 준수하기 위해 필요한 처리, 누군가의 중대한 이익을 보호하기 위해

    필요한 처리, 공익을 위한 공식적인 기능 또는 업무 수행에 필요한 처리 등이 포함됨.

    2. 특수 범주 정보

    특수 범주 정보(건강, 인종 또는 민족, 정치적 견해, 종교 또는 철학적 신념, 노동조합 가입 여부, 유전자 정보, 생체 정보(개인 식별에

    사용되는 경우), 성생활 또는 성적 취향에 관한 정보 포함)의 경우, 개인정보처리자는 일반적인 개인정보 처리에 대한 근거 외에 특수 범주

    정보를 처리하기 위한 별도의 '조건'이 필요함.

    a. 명시적 동의

    b. 고용, 사회 보장 및 사회 보호(법률에 의해 승인된 경우)

    c. 중대한 이해관계

    d. 비영리 단체

    e. 정보주체에 의해 공개

    f. 법적 청구 또는 사법적 행위

    g. 중대한 공익상의 이유(법률에 근거가 있는 경우)

    h. 건강 또는 사회 복지(법률에 근거가 있는 경우)

    i. 공중 보건(법률에 근거가 있는 경우)

    j. 보관, 연구 및 통계(법률에 근거가 있는 경우).

    범죄 전과 및 범죄 정보

    프랑스 법률에 따른 일반 원칙은 후보자 또는 직원의 범죄 정보 수집은 불법이라는 것임(프랑 스 형사소송법 제777-3조; 프랑스 노동법

    제1221-6조 비례성 및 관련성 원칙, 프랑스 정보 보호법 제9조).

    의회의 특정 법률에서 허용하지 않는 한, 공공 또는 민간 기관(법무부를 제외한 프랑스 정부 포함)이 범죄 또는 유죄 판결에 관한

    개인 정보를 서류상으로라도 처리하는 것은 엄격히 금지되어 있음. 이를 위반할 경우 5년 형 또는 30만 유로의 벌금형에 처해질 수 있음

    (프랑스 형사소송법 제777-3조).

    또한 프랑스 최고 헌법재판소는 의회의 승인을 받아야 하는 CNIL이 이러한 정보 처리를 승인하는 것은 헌법에 위배된다는 판결을 내렸음

    (Decision du Conseil Constitutionnel n°2004-499 DC du 29 juillet 2004).

    개인은 특정 발췌본, 즉 자신의 범죄 기록("B3")의 "Bulletin n°3"(프랑스 형사소송법, 제777조) 만 입수할 수 있으며, 고용주는 필요한

    경우(예: 이러한 확인이 필요한 직책에 지원하는 경우) 개인에게 이를 요청할 수 있음.

1-4. 아동의 개인정보 수집

Q1. 한국의 경우처럼 아동(한국의 경우 만 14세 미만)의 개인정보를 수집ㆍ이용ㆍ제공하려면, 법정대리인의 동의를 받아야 하는 규제가

       존재하는지? 혹 동의가 불필요한 경우, 어떠한 방법을 적법 처리 근거로 활용할 수 있는지?

A.  프랑스에서는 아동이 만 15세 미만이고 해당 아동의 개인정보를 동의를 기반으로 처리하는 경우 해당 정보사회서비스 제공자

    (Information Society Services Provider, 이하 “ISS 제공자”)는 부모의 책임이 있는 사람으로부터 동의를 얻어야 하며 아동이

    15세 이상인 경우에는 아동 본인이 직접 동의할 수 있음.

프랑스는 온라인에서의 미성년자 보호를 강화하기 위한 CNIL의 권고사항 적용을 포함하여 아동 정보와 관련된 여러 가지 고려 사항이 있음.

예를 들어, CNIL은 소셜 네트워크 프로필의 공개/비공개 상태 설정 또는 앱의 선택적 위치 정보 활성화와 같은 추가 기능에 대한 동의는

이론적으로 아동과 친권자(들)의 공동 동의에 기반해야 한다고 강조하고 있음.

Q2. 법정대리인의 동의를 받아야 한다면, 그 방법이 구체적으로 규정되어 있는지(이메일 인증, 전사서명, 서면 동의, 전화 동의 등)?

A. 유럽연합(EU) 법률 7조에 따른 GDPR 수준의 동의가 필요함. 13세(벨기에), 14세(스페인), 15세(프랑스) 또는 16세(독일 및 네덜란드)

    미만의 아동에 대한 부모의 동의를 얻고 확인하기 위해 '합리적인 노력'을 기울여야 함. 부모 동의 확인(해당되는 경우 연령 확인 추가)은

    '개인정보 보호 친화적'인 방식으로 수행되어야 함. 즉, 최소한의 '고유 식별정보'(예: 여권 스캔 또는 신용카드 정보)만 수집해야 함.

    조직이 처리가 특히 영향이 적고 아동에게 중대한 위험을 초래하지 않는다는 것을 입증할 수 있는 경우, 자진 신고를 옵션으로 고려할

    수도 있음.

Q3. 개인정보보호법 상 아동의 연령은 어떻게 되는지?

A. 아동의 법적 연령은 18세 미만인 사람임. 아동법은 18세 미만의 모든 개인에게 적용됨.

Q4. 사업자는 아동의 개인정보 관련 권리를 어떻게 보장해야 하는지(법정 대리인이 권리행사를 대신할 수 있는지 여부 등)?

A. 어린이는 개인 정보와 관련하여 성인과 동일한 권리를 가지며 부모 또는 보호자가 자녀를 대신하여 이러한 권리를 행사할 수 있음.

Q5. 해당 법률을 위반 했을 때 벌칙 조항은 어떻게 구성되어 있는지?

A. GDPR을 준수하지 않을 경우 연간 글로벌 매출액의 최대 2% 또는 1천만 유로의 벌금이 부과될 수 있으며, 프랑스 정보 보호법 위반의 경우

    연간 글로벌 매출액의 4% 또는 최대 2천만 유로의 벌금이 부과될 수 있고 경고 또는 견책과 같은 기타 불이익이 부과될 수 있음.

위 규정의 집행은 CNIL이 수행하며 형사 범죄는 벌금이나 징역형에 처해질 수 있다. 예를 들어, 접근권 요청을 하는 사람에게 정보가

공개되지 않도록 할 목적으로 정보를 은폐하려고 시도하 는 것은 형사 범죄에 해당함.

프랑스에서는 개인이 정보 보호 권리가 침해된 경우 민사 소송을 제기하고 보상을 청구할 수 있는 권리도 있음.

1-5. 개인정보 제3자 제공 방법 (동의, 고지 등)

Q. 개인정보를 제3자에게 적법하게 제공하기 위한 방법(근거)은 어떠한 것들이 있는지(동의, 고지, 정보주체와의 계약 처리 및 이행을 위한

     경우 등)?

A. 여기서 '제3자'라는 용어는 다양한 의미를 가질 수 있음. 따라서 다양한 시나리오를 구분하는 것이 중요함

    • 최초에 개인 정보를 수집한 조직에서 근무하는 직원과 정보를 공유하는 경우: 이 경우 직원은 관리자 또는 처리자의 권한에 따라 행동하는

    사람임(영국/EU GDPR 제29조). 이 직원은 조직의 산하에 속하게 되며 해당 조직만이 정보를 처리하고 직원과 공유할 수 있는 합법적인

    근거를 가지고 있어야 함.

    • '독립 관리자'와 정보 공유: 이 경우 각 독립 관리자는 처리에 대한 법적 근거가 필요함. 각 관리자는 자체적으로 결정함.

     • '공동 관리자'와 정보 공유: 이 경우 공동 관리자는 일반적으로 공통적으로 식별되는 처리에 대한 법적 근거가 필요함.

1-6. 개인정보 처리 위탁 (동의, 고지, 수탁업체 계약방법)

Q1. 개인정보 처리를 외부 업체에게 위탁하려는 경우 정보 주체의 동의를 얻어야 하는지?

A. 이런 경우 정보주체의 동의를 얻어야 하는 것은 아니고 다른 법적 근거를 고려할 수 있음. 그러나 특정 처리 활동을 제3자에게 위탁한다고

    해서 정보 처리자가 애초에 관련 처리 활동에 대한 유효한 법적 근거를 확보해야 할 의무가 면제되는 것은 아니라는 점에 유의해야 함.

    이는 정보 처리자의 의무가 아님.

Q2. 동의를 얻지 않아도 된다면, 그 적법성을 어떻게 확보할 수 있는지(정보주체에게 고지, 개인정보처리방침 공개 등)?

A. 이는 원용하는 법적 근거에 따라 다른데 예를 들어, 정당한 이익에 따라 개인정보를 처리하는 경우 '정당한 이익 평가'를 수행해야 함.

    어떤 법적 근거에 의해 개인정보를 처리하는지 설명하는 개인정보 처리방침을 항상 정보 주체가 열람할 수 있도록 제공해야 함

Q3. 개인정보 처리를 위탁받아 수행하는 자(수탁업체)와 체결해야 하는 문서가 있는지?

A. 개인정보처리자 역할을 하는 제3자(즉, 관리자를 대신하여 개인 정보를 처리하도록 지시를 받은 법인, “수탁자”)를 고용하는 경우 '정보

    처리 계약'을 체결해야 함. 이 계약에는 EU GDPR 제28조에서 요구하는 모든 조항이 포함되어야 하고 이 맥락에서 수탁자는 EU GDPR

    용어에 따라 개인정보처리자로 간주됨.

Q4. 위탁업체가 수탁업체를 관리감독할 의무가 있는지? 있다면, 그 관리감독 방법은 무엇인지?

A. 위탁업체가 수탁업체를 관리감독할 의무가 있음. 관리자-처리자 관계의 경우 관리자는 처리자를 감독해야 함. 이는 주로 계약 조항과

    관리자의 처리자 감사 및 검사 권한을 통해 수행됨. 관리자-관리자 관계(독립 또는 공동)의 경우 이러한 의무가 없으나 관리자는 계약상

    이러한 의무에 동의할 수 있음.

Q5. 개인정보 수탁업체가 개인정보 관련 사고를 발생시킬 경우 그 책임은 누가 지는지? (수탁업체가 온전히 그 책임을 지는지 또는 위탁업체가

       그 책임을 지는지)?

A. 위 질문의 '사고'라는 용어가 영국/EU GDPR에 따른 '개인 정보 유출'을 의미한다고 가정하였을 때, 이 용어는 '전송, 저장 또는

    기타 방식으로 처리되는 개인 정보의 우발적 또는 불법적인 파괴, 손실, 변경, 무단 공개 또는 접근으로 이어지는 보안 위반'으로 정의됨.

    개인정보 유출 사고의 1차적 책임은 항상 개인정보처리자에게 있음. 그러나 이것이 반드시 그러한 경우 관리자가 현지 정보 보호 당국이나

    법원에 의해 항상 책임이 있는 것으로 간주된다는 것을 의미하지는 않음. 예를 들어, 개인 정보 침해가 처리자의 영국/EU GDPR 의무

    위반과 관련이 있거나 처리자가 관리자의 지시에 반하는 행동을 한 경우, 영국/EU GDPR 제82조는 처리자가 해당 침해에 대해 책임을 질 수

    있는 가능성을 제시함.

1-7. 쿠키 수집

Q1. 쿠키를 수집(동의 등) 및 이용과 관련하여 규제가 있는지?

A. 현재 쿠키 또는 이와 유사한 추적 기술의 사용에는 프랑스 정보 보호법이 적용됨.

Q2. 쿠키를 수집(동의 등) 및 이용과 관련하여 규제가 있다면, 해당 법을 만족시키기 위한 적법한 쿠키 수집(동의 등) 방법은 무엇인지?

A. 쿠키(또는 유사한 추적 기술)는 다음 두 가지 예외 사항 중 하나에 해당하지 않는 한 동의를 받아야 함. 동의를 수집하는 시장 표준 방법은

    개인에게 쿠키(또는 유사한 추적 기술) 사용에 대한 정보와 동의를 제공하거나 거부할 수 있는 기능을 제공하는 동의 배너를 사용하는 것임.

Q3. 만약 동의를 받아야 한다면, 쿠키 동의가 면제될 수 있는 조건은 무엇이 있는지?

A. 기본 분석 쿠키는 CNIL이 제공하는 9가지 누적 요건을 충족하는 경우 동의 요건이 면제 될 수 있음(특정 유형의 분석 쿠키에 대한 이러한

    동의 면제 조치는 조사 대상에 포함된 다른 국가에서는 동일하게 적용되지 않음)

1-8. 국외 이전 방법 (동의, 방법, 동의 시 고지사항)

Q. 해외 이용자의 개인정보를 국외로 이전하기 위한 방법은 무엇이 있는지(동의, 개인정보처리방침 공개, 특별한 규제 없이 자유롭게 이전

     가능 등)?

A. 개인 정보의 국제 전송은 다음 조치 중 하나에 따라 이루어질 수 있음:

    • 적정성 결정. 대한민국과 같은 국가가 이 목록에 포함되어 있음.

    • 적절한 안전장치:

    • 공공기관 또는 단체 간의 법적 구속력이 있고 집행 가능한 문서

    • 영국/유럽 연합 구속력 있는 기업 규칙(BCR)

    • 유럽연합 집행위원회(또는 영국 정부)에서 채택한 표준 정보 보호 조항

    • 감독 기관이 채택하고 유럽연합 집행위원회(영국 제외)가 승인한 표준 정보 보호 조항

    • 영국/EU GDPR 제40조에 따라 승인된 행동 강령과 제3국의 관리자 또는 처리자가 정보주체의 권리를 포함하여 적절한 보호 조치를

    적용하겠다는 구속력 있고 집행 가능한 약속을 함께 제공함.

    • 정보주체의 권리를 포함하여 적절한 보호 조치를 적용하겠다는 제3국 관리자 또는 처리자의 구속력 있고 집행 가능한 약속과 함께

    영국/EU GDPR 제42조에 따른 승인된 인증 메커니즘.

    • 관리자 또는 처리자와 제3국 또는 국제기구의 관리자, 처리자 또는 개인 정보 수신자 간의 계약 조항

    • 집행 가능하고 효과적인 정보주체 권리를 포함하는 공공기관 또는 단체 간의 관리 계약에 삽입할 조항

    위의 적절한 안전조치 단락에 열거된 수단에 의존하는 경우 이전 위험 평가(Transfer Risk Assessment, “TRA”)를 완료해야 함.

    예외

    영국/EU GDPR 제49조는 특정 상황에 대한 예외를 규정하고 있음. 여기에는 명시적 동의(실용적인 목적으로는 일반적으로 사용되지 않는

    경우, 즉 개인의 동의 철회 가능성), 개인과 관리자 간의 계약 이행을 위해 이전이 필요한 경우(또는 개인의 요청에 따라 취해진 계약 전

    조치의 이행을 위해 필요한 경우), 법적 청구권의 설정, 행사 또는 방어에 이전이 필요한지 또는 개인의 중대한 이익에 해당하는지 등의 기타

    사유가 포함됨.

1-9. 데이터 현지화

Q1. 특정 국가의 경우 자국민의 개인정보를 반드시 특정국가 현지에 저장해야 함을 법률로 규정하고 있음에 따라 유사한 규제가 있는지?

A. 비디오 게임 부문에서 프랑스에는 자국민의 개인정보를 영국에 저장해야 한다고 규정하는 법률이 없음.

Q2. 현지화 규제가 있다면, 그 대상이 되는 개인정보의 범위가 있는지(모든 개인정보, 특정 정보만 현지에 저장 등)?

A. 해당 없음.