1. 개인정보보호

- 이름이나 연락처 같이 이를 통해 구체적 개인을 특정할 수 있는 정보를 개인정보(personally identifiable information, PII)라 한다. 이름, 나이, 주거 지역 같은 정보는 그것 하나만으로는 개인이 특정된다고 할 수 없으므로 그 자체로 개인정보의 정의에 포함되지는 않으나 이를 조합하면 개인을 특정할 수 있으므로 조합으로서 개인정보로 간주된다.

- 인터넷 기술이 발달하며 인터넷 업체들이 사용자 동의 없이 사용자의 개인정보를 수집하고 거래하는 등의 행태가 나타나자 미국-유럽을 중심으로 인터넷 사용자 개개인의 개인정보에 대한 권리 보호 요구가 나타나게 되었으며, 이에 따라 각국에서 국민의 개인정보에 대한 권리를 보장하고 보호하는 여러 법률이 제정되게 되었다.

2. EU 일반 개인정보보호법(general data protection regulation, GDPR)

- 2018년 5월 25일부터 모든 EU 회원국들에서 시행된 개인정보 보호 법률로서, EU 회원국 국민의 개인정보를 수집하는 모든 사업자에게 적용되는 강력한 개인정보 보호법이다.

- 위반한 사항의 수위에 따라 처벌 수위를 크게 2단계로 나누고 있다.

  • 레벨 1: 미성년자가 서비스 가입할 때 그가 대리인을 지정하도록 했는지, 개인정보 관련 처리를 했을 때 이를 제대로 기록했는지 등을 묻는다. 위반 시 해당 업체에게 전세계로부터 발생한 매출의 2% 또는 1천만 유로 중 높은 액수를 배상해야 한다.

  • 레벨 2: 외국으로 이전할 수 없는 개인정보를 외국으로 이전했는지, 사용자의 개인정보 관련 권리를 충분히 보장하는지 등을 묻는다. 위반 시 해당 업체에게 전세계로부터 발생한 매출의 4% 또는 2천만 유로 중 높은 액수를 배상해야 한다.

- GDPR이 보장하는 EU 회원국 국민의 개인정보 관련 권리는 다음과 같은 사항이 있으며, 사업자는 사용자가 다음 요청 시 30일 내 이행할 의무를 갖는다.

  • 사용자는 사업자에게 자신의 개인정보 삭제를 요청할 수 있다.

  • 사용자는 사업자가 자신의 개인정보를 처리하는 것을 그만두도록 요청할 수 있다.

  • 사용자는 사업자가 수집한 자신의 개인정보를 요청할 수 있다.

  • 사용자는 사업자가 그들이 수집한 사용자의 개인정보를 분석해 사용자에게 이에 맞춘 서비스를 제공하는 것(이를 개인정보보호 관련해서는 프로파일링이라 한다)을 거부할 수 있다.