해외콘텐츠 법령정보

 

 

프랑스의 게임 정책과 법제 VII
- 개인정보의 수집과 동의 (2)

 

 

 

 

1. 개인정보의 처리와 보호

1-1. 개인정보 이용 내역 통지

Q. 개인정보 이용을 이용자에게 알려야하는 규정이 있는지. 있다면 어떠한 방법으로 이용자에게 통지해야 하는지? 만약 통지 수단

     (이메일, 핸드폰 번호 등)이 없다면 이용 내역을 통지하지 않아도 되는지?

A. 영국/EU GDPR 제12조, 제13조 및 제14조는 개인정보가 사용될 때 정보주체에게 통지하도록 규정하고 있음. 정보 관리자는 간결하고

    투명하며 이해하기 쉽고 접근하기 쉬운 형태로, 특히 아동을 대상으로 하는 모든 정보에 대해 명확하고 쉬운 언어를 사용하여 정보주체에게

    개인 정보 처리에 대해 알려야 함.

 

    부연 설명

    제13조는 개인정보처리자가 개인으로부터 직접 개인 정보를 취득하는 경우에 적용됨. 이 경우 관리자는 개인 정보를 획득할 때 필요한

    모든 정보를 제공해야 함. 제14조는 개인이 아닌 다른 출처로부터 개인 정보를 취득한 경우 해당되며, 개인 정보를 취득한 후 합리적인

    기간 내에(단, 최소 1개월 이내) 개인에게 특정 정보를 제공해야 하거나 개인 정보가 개인과의 커뮤니케이션에 사용되는 경우 늦어도

    첫 번째 커뮤니케이션 시점까지, 다른 수신자에게 공개가 예정된 경우 늦어도 개인 정보가 처음 공개될 때 제공해야 함.

    제공해야 하는 정보(전체 목록이 아님)에는 관리자, 처리 목적, 개인 정보 수신자(있는 경우) 및 (해당되는 경우) 개인 정보가 '제3국'으로

    전송되는지 여부에 대한 세부 정보가 포함됨. 제14조의 경우, 개인 정보의 출처와 개인 정보의 범주에 대한 정보도 제공해야 함.

    이는 일반적으로 개인정보 처리방침을 통해 이루어짐. 이를 정보주체에게 제공하는 방법에 대한 구체적인 조치는 없음.

    개인에게 통지할 수단이 없고(예: 개인에게 컴퓨터 또는 모바일 장치가 없는 경우) 개인으로부터 직접 개인 정보를 수집한 경우,

    개인정보처리자는 이를 개인에게 알릴 수 있는 다른 방법을 찾아야 함(이상적으로는 개인으로부터 직접 정보를 수집한 것과 동일한

    수단을 통해).

    개인 정보가 개인 이외의 출처를 통해 수집된 경우, 제14조 제5항은 해당 정보의 제공이 불가능하거나 불균형적인 노력을 수반하는 것으로

    입증되는 경우 (제한적인) 면책을 제공함. 대부분의 조직과 관련이 적은 추가 면책 조항이 있음(관리자가 해당 개인 정보를 획득하거나

    공개할 수 있는 특정 법률의 적용을 받거나 직업적 기밀 유지 의무가 있는 경우).

 

1-2. 광고성 정보 (수신, 동의, 고지, 발송, 방법)

Q1. 한국의 정보통신망법과 같은 광고성 정보(이메일, 핸드폰 번호, 모바일 앱 푸쉬) 발송에 적용되는 규제가 있는지?

A. 프랑스에서는 프랑스 우편 및 전자 통신법 제34-5조와 GDPR이 적용됨.

홍보 전자 메시지(예: 이메일, SMS 등)는 (i) 조직이 개인의 동의를 받지 않은 경우 또는 (ii) '소프트 옵트인' 예외가 적용되는

경우(아래 3)항의 세부 사항)에는 전송해서는 안됨.

    통화를 원하지 않는다고 조직에 밝힌 개인에게 실시간 홍보 전화를 해서는 안됨.

또한, '블락텔 목록'에 등록된 개인에게 실시간 전화 통화를 해서는 안됨('전화 금지' 신호를 극복하기 위해 전화를 거는 회사의 이익을 위해

개인이 특별히 동의하지 않는 한). 특정 산업에는 추가 제한이 적용되지만 비디오 게임 분야의 회사에는 해당되지 않음.

 

Q2. 한국의 정보통신망법과 같은 광고성 정보(이메일, 핸드폰 번호, 모바일 앱 푸쉬) 발송에 적용되는 규제가 있다면, 광고성 정보를 보낼 때

       지켜야 하는 표기 의무가 있는지?

A. 현지 규정에는 홍보 커뮤니케이션과 관련된 몇 가지 의무사항이 포함되어 있음. 모든 전자 홍보 커뮤니케이션(예: 이메일, SMS)은 개인이

    수신 거부할 수 있는 기능을 제공해야 함. 발신자의 신원이 명확해야 함. 이러한 전자 홍보 커뮤니케이션을 홍보로 표시해야 하는 특별한

    요건은 없음.

 

Q3. 이용자에게 광고성 정보를 보내기 위한 조건은 어떻게 되는지(명시적인 사전 수신동의 등)?

A. 부연 설명 참고.

 

    부연 설명

    1. 조직이 연락처 정보를 입수한 경우: 조직이 전자 메시지를 홍보하려는 개인으로부터 직접 연락처 정보를 입수했어야 함.

    2. 조직이 유사한 제품 및 서비스를 홍보하는 경우: 조직은 유사한 제품 및 서비스에 대한 전자 메시지를 보내야 함.

    즉, 조직은 사람들이 해당 맥락에서 조직에 대해 합리적으로 기대하지 않는 것에 대한 메시지를 보낼 수 없으며 조직은 다른 조직의

    홍보를 보낼 수 없음.

    3. 조직이 세부 정보를 수집할 때 옵트아웃을 제공한 경우: 조직이 처음 세부 정보를 수집할 때 홍보 전자 메시지를 수신 거부할 수 있는

    명확하고 간단한 기회를 제공해야 함(예: 눈에 잘 띄는 옵트아웃 상자가 있는 온라인 양식).

    4. 또한 조직은 이후의 모든 커뮤니케이션에서 수신 거부 기회를 제공해야 함. 조직은 조직에서 발송하는 모든 후속 커뮤니케이션을 수신

    거부할 수 있는 기회를 제공해야 함. 수신 거부 절차는 간단하고 무료여야 함(메시지 전송에 드는 비용 제외).

 

1-3. 개인정보 파기

Q1. 개인정보를 파기해야 하는 의무가 있는지?

A. 있음.  영국/EU GDPR에는 정보 최소화 및 저장 제한이라는 '정보 보호 원칙'이 있음. 즉, 개인 정보는 처리 목적에 더 이상 필요하지 않은

    경우 삭제하거나 익명화해야함. 조건에 따라 개인은 영국/EU GDPR에서 제공하는 정보주체 권리(예: 삭제/정정 요청, 동의 철회

    (정보 처리의 법적 근거가 동의인 경우))를 사용하여 조직이 자신의 개인 정보를 삭제, 익명화 또는 수정하는 것을 확인할 수 있음.

 

Q2. 개인정보를 어떠한 경우에 파기해야 하는지?

A. 개인 정보는 처리되는 특정 목적이 달성되어 더 이상 보관할 이유가 없어지면 삭제(또는 익명화)해야 함. 또한 정보를 최신 상태로 유지하는

    것과 관련된 의무도 있음. 또한 조건에 따라 개인이 삭제/수정 요청 또는 동의 철회에 대한 유효한 권리를 행사하는 경우(정보 처리의 법적

    근거가 개인의 동의인 경우) 개인 정보를 삭제/수정해야 함.

 

Q3. 개인정보를 파기해야 한다면, 한국의 전자상거래법, 통신비밀보호법과 같이 별도의 정보를 보관하도록 하는 특별 규정이 있는지?

※ 접속기록 3개월, 표시/광고에 관한 기록 6개월, 계약 또는 청약철회 등에 관한 기록 5년, 대금 결제 및 재화공급등에 관한 기록 5년,

    소비자의 불만 또는 분쟁처리에 관한 기록 3년

A. 세금, 의료, 고용, 금융 서비스 및 기타 분야와 같은 특정 분야에서 개인 정보를 보관해야 하는 법적 의무가 있음. 이 경우 이러한 법적 의무에

    따라 조직에서 특정 개인 정보 요소를 보관하는 기간이 제한됨. 예를 들어, 노동 규정에 따라 기업은 급여 명세서를 비물질화 또는 디지털

    형식으로 50년간 보관해야 함..

 

1-4. 장기 미 접속 계정 휴면 처리 방법

Q. 한국의 개인정보보호법과 같이 1년간 서비스를 이용하지 않는 이용자의 개인정보를 파기 또는 분리보관 해야 하는 규제가 있는지?

A. 조사에 참여한 모든 국가에서는 위에서 설명한 정보 보호 원칙 외에 이러한 의무 요건이 존재하지 않음.

 

1-5. 개인정보 처리 방침

Q1. 국내의 경우 법령에 의해서 개인정보처리방침에 필수적으로 기재해야 하는 내용이 정해져 있음. 이와 유사하게 법적으로 필수적으로

       기재해야 하는 내용이 있는지? 그리고 필수는 아니지만 가이드라인 등을 통해 기재가 권장되는 내용이 있는지?

A.EU GDPR은 개인에게 어떤 정보를 제공해야 하는지 명시하고 있음.

 

    부연 설명

    제13조(개인으로부터 직접 개인 정보를 수집하는 경우)에서는 다음 정보를 제공하도록 규정하고 있음:

    • 관리자의 신원 및 연락처 정보, 해당되는 경우 관리자의 대리인의 연락처 정보;

    • 해당되는 경우 정보 보호 책임자의 연락처 정보;

    • 개인 정보의 처리 목적 및 처리의 법적 근거;

    • 처리가 정당한 이익에 근거하는 경우, 관리자 또는 제3자가 추구하는 정당한 이익;

    • 개인 정보의 수신자 또는 수신자 범주(있는 경우);

    • 해당되는 경우, 관리자가 개인 정보를 제3국으로 전송하려는 사실(세부 정보 포함).

    • 개인 정보가 저장될 기간 또는 이것이 불가능할 경우 해당 기간을 결정하는 데 사용된 기준;

    • 관리자에게 개인 정보에 대한 접근 및 수정 또는 삭제 또는 개인에 관한 처리 제한을 요청하거나 처리에 이의를 제기할 수 있는 권리와

    정보 이동성에 대한 권리의 존재 여부;

    • 처리가 동의(또는 특수 범주 정보의 경우 명시적 동의)에 기반하는 경우, 철회 전 동의에 기반한 처리의 적법성에 영향을 미치지 않고

    언제든지 동의를 철회할 수 있는 권리가 존재한다는 사실;

    • 감독 기관에 불만을 제기할 수 있는 권리;

    • 개인 정보 제공이 법적 또는 계약상 요구 사항인지 또는 계약 체결에 필요한 요구 사항인지 여부, 개인이 개인 정보를 제공할 의무가

    있는지 여부 및 해당 정보를 제공하지 않을 경우 발생할 수 있는 결과;

    • 제22조 제1항 및 제4항에 언급된 프로파일링을 포함한 자동화된 의사 결정의 존재, 그리고 적어도 그러한 경우 관련된 논리에 대한

    의미 있는 정보, 그리고 그러한 처리가 개인에게 미치는 중요성 및 예상되는 결과.

    제14조(즉, 개인이 아닌 다른 출처에서 개인 정보를 수집하는 경우)에는 위의 모든 사항이 필요함. 또한 개인 정보의 출처와 해당 개인

    정보의 범주에 대한 정보도 필요함.

 

    또한 프랑스에서는 개인에게 추가적인 권리를 부여하여 사망 시 개인 정보의 처리 방법에 대한 지시를 내릴 수 있도록 허용함.

    이러한 권리는 제13조 또는 제14조 요건을 충족하는 개인정보 처리방침에 언급되어야 함.

 

Q2. 개인정보 처리방침을 어떻게 공개해야 한다는 사실을 정한 규제가 있는지?

A. 개인정보 처리방침 공개 방법에 관한 규제는 없으나 이에 대한 자세한 내용을 명시한 제29조 작업자(즉, EDPB의 전신)가 발행한 투명성

    가이드라인이 있음.

 

    부연 설명

    일반적으로 개인정보 처리방침은 관련 대상(특히 아동을 대상으로 하는 정보의 경우)이 쉽게 이해할 수 있는 명확하고 쉽게 접근할 수 있는

    방식으로 제시되어야 하며 개인이 쉽게 접근할 수 있어야 함. 일부 국가에서는 현지 언어로 번역해야 함.

    가이드라인은 개인정보 처리방침을 공개해야 하는 시기, 포함해야 하는 내용, 개인정보 처리방침을 공개하는 방법 등 개인정보 처리방침의

    내용에 대한 다양한 세부 사항을 제공함. 후자의 경우 가이드라인 39항에서는 고지를 공개하는 '푸시' 또는 '풀' 방법을 명시하고 있음.

    푸시 방식은 개인에게 개인정보 처리방침을 제시하는 방식(예: 위에서 언급한 바와 같이 게임에 접속하기 전)이며, 풀 방식은 개인이

    개인정보 처리방침에 직접 접근할 수 있는 수단(예: 게임 인터페이스 메뉴의 일부 또는 개인정보 대시보드의 일부)을 제공하는 방식임.

    또한 제15항에 언급된 다른 방법에는 인쇄물, 전화, 화면이 없는 스마트 기술(예: QR코드) 사용, 직접 방문을 통한 개인정보 처리방침

    제공 등이 있음.

 

1-6. 이용자 개인정보 권익보호방법

Q1. 이용자에게 보장해 주어야 하는 개인정보 관련 권리가 있는지(열람권, 정정권, 이동권, 처리정지권, 삭제권)?

A. 부연 설명 참고.

 

    부연 설명

     EU GDPR은 정보주체에게 다음과 같은 권리를 부여함.

    • 알 권리(즉, EU GDPR 제13조 및 제14조에 따라 요구되는 정보 제공)

    • 접근권(즉, 개인이 자신의 개인 정보 사본을 요청할 수 있는 권리)

    • 정정권(즉, 개인이 관리자에 잘못된 개인 정보를 수정하도록 요청할 수 있는 권리)

    • 삭제할 권리(즉, 개인이 자신의 개인 정보를 삭제하도록 요청할 수 있는 권리)

    • 처리 제한 권리(즉, 개인이 자신의 개인 정보 처리를 제한하도록 요청할 수 있는 권리)

    • 정보 이동성 권리(즉, 개인이 자신의 개인 정보를 제3자에게 전송하도록 요청할 수 있는 권리)

    • 반대할 권리(즉, 개인이 자신의 개인 정보 처리에 반대할 수 있는 권리)

    • 자동화된 의사 결정의 대상이 되지 않을 권리

    • 관련 정보 보호 기관에 불만을 제기할 수 있는 권리

 

    유효한 요청을 받으면 관리자는 부당한 지체 없이(늦어도 1개월 이내에) 관련 정보를 제공하거나 필요한 조치를 취해야 함.

    이 기간은 복잡한 요청의 경우 2개월 더 연장될 수 있음(제한된 경우에만 가능). 영국에서는 정보 검색에 기술적 어려움이 있는지

    또는 전문 법률 자문을 구해야 하는지 등의 요소를 포함하여 복잡한 요청으로 간주될 수 있는 사항에 대한 지침이 있음.

    예외가 적용되지 않는 한, 개인은 이러한 권리를 무료로 행사할 수 있음. 이러한 권리는 절대적인 것이 아니며 위에 적용되는 제한 및 면제

    사항이 있음.

 

    또한 프랑스 정보 보호법 제85조에 따라 개인은 자신이 사망한 후 자신의 개인 정보가 어떻게 처리되어야 하는지에 대한 지침을 제공할

    권리가 있음. 같은 조항에 따라 온라인 공개 커뮤니 케이션 서비스를 제공하는 관리자는 다음을 수행해야 함: (i) 개인에게 사망 후 개인

    정보의 운 명에 대해 알리고, (ii) 개인이 원하는 경우 사망 후 개인 정보를 공개하고 제공할 제3자를 선택 할 수 있도록 해야 함.

 

    비디오 게임이 개인 간 커뮤니케이션 기능을 제공하는 경우, 비디오 게임 발행자는 온라인 공 개 커뮤니케이션 서비스를 제공하는 것으로

    간주될 가능성이 높음. 그러나 이러한 해석은 각 비디오 게임의 특성에 따라 달라질 수 있음.

 

Q2. 개인정보 관련 권리가 있다면, 각 권리를 행사하기 위한 조건이 있는지(무제한으로 행사가능, 사업자가 합리적인 이유가 있다면 제한

       가능 등)?

A. 개인의 권리는 절대적인 것이 아니며 예외가 적용될 수 있음.

 

    부연 설명

    각 권리를 행사하기 위한 조건은 GDPR 제12조 및 제15조 내지 제22조에 명시되어 있음. 프랑스 정보 보호법은 정보주체가 자신의 개인

    정보에 대한 접근을 요청하는 경우 특정 프랑스 법률 면책 등 이러한 규칙에 대한 국가별 추가 감면을 예정하고 있음.

 

1-7. 개인정보 침해에 대한 보상 보험 요건

Q1. 정보주체의 개인정보 관련 사고 (유출, 노출, 훼손, 분실 등)가 발생될 경우 정보 주체에게 고지해야 하는 의무가 있는지?

A. EU GDPR에 따른 ‘개인정보 유출’은 “전송, 저장 또는 기타 방식으로 처리되는 개인정보의 우발적 또는 불법적인 파괴, 분실, 변경,

    무단 공개 또는 접근으로 이어지는 보안 위반”을 의미함.

    1. 관리자에 대한 통지

    침해가 처리자와 관련된 경우, 영국/EU GDPR 제33조 제2항에 따라 처리자는 침해 사실을 인지한 경우 과도한 지체없이 관리자에게

    통지해야 함.

    2. 현지 정보 보호 기관에 대한 통지

    관리자가 침해 사실을 알게 되면(처리자로부터 통지를 받든 다른 방식으로 통지를 받든), 영국/EU GDPR 제33조 제1항에 따라 관리자는

    부당한 지체 없이, 가능한 경우 침해 사실을 알게 된 후 72시간 이내에 ICO에 통지해야 함. 개인정보처리자는 침해로 인해 영향을 받는

    개인의 권리와 자유에 위험이 발생할 가능성이 낮은 경우 현지 정보 보호 기관에 침해 사실을 알릴 필요가 없음.

    3. 영향을 받는 개인에 대한 통지

    예외가 적용되지 않는 한(예: 개인에게 연락하는데 과도한 노력이 필요하거나, 위반으로 인해 연락처 정보가 손실되었거나 애초에 알려지지

    않은 경우), 영국/EU GDPR 제34조는 위반이 개인의 권리와 자유에 높은 위험을 초래할 가능성이 있는 경우 관리자가 과도한 지체없이

    개인에게 통지하도록 규정하고 있음.

 

Q2. 정보주체에게 고지 의무가 있다면, 몇 명 이상의 개인정보 사고 시 그러한 의무가 부과되는지, 고지 방법이 규정되어 있는지[홈페이지에

       사고 사실 공개, 개별 연락 (이메일, 전화 등)]?

A. 통지 요건을 발동시키기 위한 최소 침해 건수 또는 영향을 받는 정보주체의 수는 따로 정해져 있지 않음.

 

    부연 설명

    현지 정보 보호 당국에 통지할 때는 개인 정보 및 개인 범주, 관련 개인 수, 관련 기록 수, 침해로 인해 발생할 수 있는 결과 및 침해 해결을

    위해 취한 조치에 대한 정보를 포함하여 침해 사실을 자세히 설명해야 함. 각 국가별 정보 보호 기관(프랑스의 경우 CNIL)은 자체적인

    개인정보 침해 통지 양식을 사용함.

 

    영향을 받은 개인에게 통지할 때는 명확하고 쉬운 언어로 (i) 침해의 성격에 대한 설명, (ii) 정보 보호 책임자 또는 기타 연락 담당자의

    이름과 연락처, (iii) 침해로 인해 발생할 수 있는 결과에 대한 설명, (iv) 침해 문제를 해결하기 위해 관리자가 취했거나 취할 예정인 조치에

    대한 설명(적절한 경우 가능한 부정적 영향을 완화하는 조치 포함)을 최소한 명시해야 함. 또한 (오직)네덜란드의 경우 현지 정보 보호

    당국은 관리자에게 영향을 받는 정보주체에게 스스로 취할 수 있는 조치에 대해 알리도록 권고함.

 

    제29조 작업자에 따르면 투명한 커뮤니케이션 방법의 예로는 직접 메시지(예: 이메일, SMS, 쪽지), 눈에 잘 띄는 웹사이트 배너 또는 알림,

    우편 커뮤니케이션 및 인쇄 매체의 눈에 잘 띄는 광고 등이 있음. 보도 자료나 기업 블로그에만 국한된 알림은 개인에게 위반 사실을 알리는

    효과적인 수단이 될 수 없음. 상황에 따라, 이는 관리자가 단일 연락 채널을 사용하는 대신 여러 가지 커뮤니케이션 방법을 사용한다는 것을

    의미할 수 있음.

 

Q3. 정보주체에게 고지해야 할 경우 고지 시간이 규정되어 있는지(사고 사실을 인지한 순간부터 1주일 이내 등)?

A. 영국/EU GDPR에 따르면 통지는 ‘부당한 지체없이’ 이루어져야 함.

 

Q4. 정보주체의 개인정보 관련 사고(유출, 노출, 훼손, 분실 등)가 발생될 경우 관계당국에 신고해야 하는 의무가 있는지?

A. 신고 의무가 있음.

 

Q5. 신고 의무가 있다면 몇 명 이상의 개인정보 사고 시 그러한 의무가 부과되는지? 신고 시간이 정해져 있는지(사고 사실을 인지한 순간부터

       1주일 이내 등)?

A. 이러한 최소 건수는 없음. 한 명의 개인이 영향을 받은 경우에도 통지 의무가 발동될 수 있음. 개인 정보 침해와 관련하여 유일하게 정해진

    통지 기간은 부당한 지체없이, 가능한 경우 침해 사실을 인지한 후 72시간 이내에 현지 정보 보호기관에 통지해야 한다는 의무임.

 

1-8. 데이터 침해에 대한 보상

Q. 한국은 개인정보보호법 제39조의9(손해배상의 보장)에 따라 손해배상책임의 이행을 위해 보험 또는 공제에 가입하거나 준비금을

     적립하는 등 필요한 조치를 하여야 함. 이와 유사한 규제가 있는지?

A. 조사 대상 국가 중 이와 유사한 조항이 있는 국가는 없음.

 

1-9. 개인정보 유출 손해 배상 보험 

Q. 개인정보 규제(법령)를 위반하거나 개인정보 사고가 발생된 경우 과태료, 과징금 등은 최대 얼마까지 부과되는지?

A. 부연 설명 참고.

 

    부연 설명

     EU GDPR을 준수하지 않을 경우, (i) 경미한 위반의 경우 연간 글로벌 매출액의 최대 2% 또는 1천만 유로 중 높은 금액의 벌금이 부과될 수

    있으며, (ii) 중대한 위반의 경우 연간 글로벌 매출액의 4% 또는 최대 2천만 유로 중 높은 금액의 벌금이 부과될 수 있음.