EU 개인정보보호법

제1장 EU개인정보보호법 개설 / 13
제2장 EU개인정보보호법의 성립까지의 국제적 동향 / 23
제3장 EU개인정보보호법의 성립과정 / 37
제4장 1995년 정보보호지침의 성립 / 46
제5장 2016년 일반정보보호규칙(GDPR)의 성립 / 113
제6장 EU개인정보보호 특별법제-통신분야 / 209
제7장 EU개인정보보호법의 시사점과 전망 / 265

부록: 2016년 규칙(GDPR)의 원문(영어)과 국역 / 281
색인 / 395

제1장 EU개인정보보호법 개설

제1절 EU개인정보보호법의 법원(法源)과 입법목적

1. EU개인정보보호법의 법원(法源)
EU개인정보보호법을 기술함에 있어서는 우선 그 대상범위를 구체적으로 어떻게 파악할 것인지가 문제된다. EU법의 성문법원으로는 크게 제1차 EU법(primary EU law)과 제2차 EU법(secondary EU law)으로 나눌 수 있다. 주요한 제1차 EU법으로는 EU설립의 기본이 되는 조약들, 즉 유럽연합조약(The Treaty on European Union ; TEU)과 유럽연합운영조약(The Treaty on the Functioning of the European Union ; TFEU)이 있으며, 또한 유럽연합기본권헌장(The Charter of Fundamental Rights of the EU)도 제1차법으로 간주된다. 그리고, 이들 조약에 의해 입법권을 부여받은 EU기관들에 의해 채택된 것이 제2차 EU법이라고 할 수 있다. 제2차 EU법의 주요한 법형식으로는 규칙(Regulation), 지침(Directive)과 결정(Decision) 등이 있다.
EU개인정보보호법의 법원으로서는 제1차법으로서 유럽연합운영조약(TFEU) 제16조와 유럽연합기본권헌장 제8조를 들 수 있다. 전자는 제1항에서 “모든 사람은 자기에 관한 개인정보의 보호권을 가진다.”고 규정하고 있다. 또한 제2항에서는 “유럽의회와 이사회는 일반입법절차에 따라서, 연합 기관, 기구, 사무소와 에이전시에 의한, 그리고 EU법에 속하는 활동을 수행할 때의 회원국들에 의한 개인정보의 처리에 관하여 개인의 보호와 관련되는 규정과 그러한 정보의 자유로운 이동과 관련되는 규정들을 제정하여야 한다. 이들 규정의 준수는 독립적 기관들의 통제를 받아야 한다.”고 규정하고 있다. 그리고 후자도 제1항에서 “모든 사람은 자기에 관한 개인정보의 보호권을 가진다.”고 하여 유럽연합운영조약(TFEU) 제16조 제1항과 동일한 규정을 두고 있고, 제2항에서는 “그러한 정보는 특정된 목적을 위하여 그리고 관계인의 동의에 근거하여 또는 법률에 규정된 적법한 근거에 따라서 공정하게 처리되어야 한다. 모든 사람은 자기에 관해 수집된 정보에의 접근권과 그것을 정정할 권리를 가진다.”고 하고, 제3항에서는 “이들 규정의 준수는 독립적 기관에 의한 통제를 받아야 한다.”고 규정하여, 유럽연합운영조약(TFEU) 제16조 제2항과 유사한 규정을 두고 있다. 이들 조약이나 헌장의 관련조항이 EU개인정보보호법의 제1차법의 법원으로서 기능한다고 할 것이다.
한편, 제2차법으로서는 우선, 1995년 10월에 제정된 「개인정보의 처리에 관한 개인의 보호와 그러한 정보의 이동에 관한 유럽의회 및 이사회의 지침 95/46/EC」(1995년 정보보호지침)을 들 수 있다. 동 지침은 EU에서의 개인정보보호에 관한 일반법으로서 기능한 것으로서, EU개인정보보호법의 가장 중요한 지위를 차지하여 왔다고 할 수 있다. 그러나, 동 지침은 제정된 지 20년이 지난 것으로서 그 동안 급격히 변화된 개인정보 보호를 둘러싼 환경에 제대로 대응하지 못한다는 점을 들어 이에 대한 개정작업이 추진되어 온 결과, 2016년 4월 27일에 「개인정보의 처리에 관한 자연인의 보호와 그러한 정보의 자유로운 이동에 관한, 그리고 지침 95/46/EC를 폐지하는 2016년 4월 27일의 유럽의회 및 이사회의 규칙(EU)2016/679」(2016년 일반정보보호규칙(GDPR))이 성립되었다. 따라서, 현행 EU개인정보보호법에서 2016년 정보보호규칙이 가장 중요한 지위를 차지하고 있다고 할 수 있을 것이다.
또한, 전자통신분야에 있어서의 개인정보 보호와 관련하여서는 2002년 7월에 성립된 「전자통신분야에서의 개인정보의 처리와 프라이버시의 보호에 관한 유럽의회 및 이사회 지침 2002/58/EC」(2002년 전자통신분야지침)이 있다. 동 지침은 1995년 정보보호지침과 2016년 정보보호규칙의 특별법적 지위에 있는 것으로 볼 수 있다. 그밖에도, 형사사법분야에 관한 특별법적인 것으로서 「형사문제에서 경찰 및 사법공조의 구조에서 처리된 개인정보의 보호에 관한 2008년 11월 27일의 이사회구조결정 2008/977/JHA」(2008년 구조결정)이 있었으나, 동 결정은 2016년 4월 27일에 정보보호개혁패키지의 일환으로서 성립된 「범죄의 예방, 수사, 탐지나 기소 또는 형벌의 집행을 위하여 관할기관에 의한 개인정보의 처리와 관련한 자연인의 보호와 그러한 정보의 자유로운 이동에 관한, 그리고 이사회구조결정 2008/977/JHA를 폐지하는 2016년 4월 27일의 유럽의회 및 이사회의 지침(EU) 2016/680」(2016년 형사정보보호지침)에 의해 폐지되었고, 2016년 형사정보지침이 5월 5일부터 시행되었다. 또한, 1995년 정보보호지침이 EU회원국들을 그 대상으로 한 것이었기 때문에, EU기관 등에 의한 개인정보의 처리에 대한 규율을 위해 성립된 것으로서 「공동체기관 및 기구에 의한 개인정보의 처리에 관한 개인의 보호와 그러한 정보의 자유로운 이동에 관한 2000년 12월 18일 유럽의회 및 이사회의 규칙 (EC) No 45/2001」(2000년 EU기관등정보보호규칙)이 있다.
이상에서 살펴본 제1차법 및 제2차법이 성문법원이라고 한다면, 다른 법영역에서와 마찬가지로 EU개인정보보호법에서도 법의 일반원칙이나 관습법과 같은 불문법원이 성립할 여지가 있다. 특히 이들 불문법의 성립에는 EU사법재판소에 의한 해석ㆍ적용이 중요한 역할을 차지하고 있다고 할 수 있는바, 그러한 주요한 예로서 비례성의 원칙과 적정절차의 원칙 등의 법의 일반원칙을 들 수 있을 것이다.
본서에서 고찰하는 EU개인정보보호법의 대상입법으로서는 2016년 일반정보보호규칙을 중심으로 하여, 2002년 전자통신지침과 그밖에 위에서 언급한 EU법을 중심으로 다루되, 필요에 따라서는 다른 관련법령들도 다루도록 한다.

한편, EU개인정보보호법과는 별개의 법제이지만, EU개인정보보호법의 성립에 중요한 영향을 미친 것으로서 유럽평의회(Counci of Europe ; CoE)의 관련규범을 들 수 있다. CoE는 제2차 세계대전의 영향으로 유럽국가들이 법의 지배, 민주주의, 인권과 사회발전을 향상시키기 위하여 결성된 국제조직으로서, 개인정보 보호와 관련하여 EU개인정보보호법제에 중요한 영향을 미쳤다. 그 중에서도 1950년에 성립된 「유럽인권조약」(European Convention on Human Rights ; ECHR)과 1981년에 성립된 「개인정보의 자동처리와 관련한 개인의 보호를 위한 조약」(‘개인정보보호조약’)을 들 수 있다. 전자는, 개인정보의 보호와 관련하여 ‘사생활 및 가족생활의 존중권’(제8조)을 두고 있다. 즉, 동 조 제1항에서 “모든 사람은 사생활 및 가족생활과 가정 및 교신의 존중권을 가진다.”, 제2항에서 “이 권리의 행사는 법률의 규정에 의하고 민주사회에서 국가의 안전보장, 공공의 안전 또는 국가의 경제적 복지를 위하거나 무질서나 범죄의 예방 또는 건강이나 도덕의 보호 또는 다른 사람의 권리와 자유의 보호를 위하여 필요한 경우를 제외하고는 공권력에 의해 간섭을 받지 않는다.”고 규정하고 있다. 그리고, 후자는 개인정보 보호와 관련하여 최초의 법적 구속력을 가지는 국제규범으로서 나중에 EU의 1995년 정보보호지침의 성립에 중대한 영향을 미쳤다. 개인정보보호조약에 대해서는 나중에 보다 자세하게 살펴보도록 한다.

2. EU개인정보보호법의 입법목적
EU개인정보보호법의 입법목적이 무엇인지에 대해서는 그 일반법이라고 할 수 있는 2016년 일반정보보호규칙 제1조에서 명문의 규정을 두고 있다. 동 조 제2항은 “본 규칙은 자연인의 기본적 권리 및 자유와 특히 개인정보보호권을 보호한다.”고 규정하고 있으며, 또한 제3항에서는 “연합 역내에서의 개인정보의 자유로운 이동은 개인정보의 처리와 관련하여 자연인의 보호와 연결되었다는 이유로 제한되거나 금지되어서는 안된다.”고 규정하고 있다. 이러한 규정으로부터 2016년 일반정보보호규칙은 ‘자연인의 개인정보보호권의 보호’와 ‘개인정보의 자유로운 이동’을 그 목적으로 하고 있음을 알 수 있다. 따라서, EU개인정보보호법의 입법목적은 일반적으로 위 두 가지 가치, 즉, ‘자연인의 개인정보보호권의 보호’와 ‘개인정보의 자유로운 이동’이라고 할 수 있을 것이다. 그런데, 이들 양자는 자칫 상호충돌하기 쉬운 가치이지만, 2016년 정보보호규칙은 양 가치의 중요성이 동등함을 명시적으로 규정하고 있다. 이러한 점에서, EU개인정보보호법이 자칫 개인정보 ‘보호’만을 목적으로 한다고 간주하는 것은 입법목적을 제대로 파악하지 못한 것이 될 것이다. 따라서, EU개인정보보호법은 EU에서의 개인정보의 ‘보호’와 함께 그 ‘이동’, 즉 ‘유통=이용’도 또 다른 중요한 목적으로 삼고 있다고 할 수 있다. 다만, EU개인정보보호법에서의 개인정보의 자유로운 이동은 ‘EU 역내에서’(within the Union)의 범위로 제한되어 있음을 유의할 필요가 있다(2016년 규칙 제1조 제3항 참조).
그런데, 개인정보보호권은 절대적 권리가 아니며, 사회에서의 그 기능과 관련하여 비례성의 원칙에 따라서 다른 기본권과 형량되어야 한다. 2016년 일반정보보호규칙은 모든 기본적 권리와 자유를 존중하며, EU기본권헌장에서 인정된 원칙들, 특히 사생활 및 가족생활, 가정과 소통 존중권, 개인정보보호권, 사상, 양심 및 종교의 자유, 표현 및 정보의 자유, 사업을 영위할 자유, 실효적인 권리구제 및 공정한 재판, 그리고 문화적, 종교적 및 언어적 다양성에 대한 권리 등을 존중한다.
한편, EU개인정보보호법을 구성하는 것은 일반법으로서의 2016년 일반정보보호규칙 이외에도 여러 개별영역에서의 특별법적 성격을 가진 법령들이 존재하고, 그들 법령은 각각의 특별한 입법목적을 가진다고 할 수 있다. 예컨대, 2002년 전자통신분야지침은 “본 지침은 전자통신영역에서의 개인정보의 처리와 관련하여 기본적 권리 및 자유, 그리고 특히 프라이버시권의 동등한 수준의 보호를 보장하고, 공동체에서의 그러한 정보와 전자통신장비 및 설비의 자유로운 이동을 보장하기 위하여 요구되는 회원국들의 법조항을 조화시킨다.”(제1조 제1항)고 규정하고 있다. 따라서, 동 지침의 입법목적은 ‘전자통신영역’에서의 개인정보의 처리에 있어서의 ‘프라이버시권의 보호’와 ‘개인정보와 전자통신장비 및 설비의 자유로운 이동’을 그 기본 목적으로 하고 있다고 할 수 있다. 다시 말하자면, ‘전자통신영역’이라는 특수한 분야이지만, 거기에서의 ‘프라이버시권의 보호’와 ‘개인정보의 자유로운 이동’이라는 점에서 위의 2016년 일반정보보호규칙의 입법목적과 궤를 같이 한다고 할 수 있을 것이다.

제2절 EU개인정보보호법의 적용범위

EU개인정보보호법이 적용되는 범위와 관련하여서는 인적, 물적, 영토적(지역적) 범위로 나누어 살펴보기로 한다.

1. 인적 적용범위
(1) 2016년 일반정보보호규칙은 “개인정보의 처리에 대하여 자연인의 보호와 관련되는 규정들”(제1조 제1항)을 정하고, “자연인의 기본적 권리와 자유, 특히 개인정보보호권을 보호”(동 조 제2항)함을 명문으로 규정하고 있다. 따라서, 동 규칙은 자연인에 대해서만 그 보호의 대상으로 상정하고 있다고 할 수 있다. 이러한 자연인은 그 국적과 거주지에 관계없이 그 개인정보는 보호된다. 따라서, 사자(死者)나 법인 등 자연인이 아닌 자의 개인정보는 그 보호대상에서 제외된다. 또한, 자연인이면 그 적용대상이 되고, EU시민인지 여부는 묻지 않는다.
(2) 그러나, 특별법에서는 자연인이 아닌 법인에 대해서도 보호의 대상임을 명문의 규정을 두고 있는 경우가 있다. 예컨대, 2002년 전자통신분야지침은 “법인인 가입자들의 정당한 이익의 보호”(제1조 제2항)를 규정함을 명시하고 있는 것을 들 수 있다.

2. 물적 적용범위
(1) 2016년 일반정보보호규칙은 “전부 또는 부분적으로 자동화된 수단에 의한 개인정보의 처리와, 파일링시스템의 일부를 구성하거나 구성할 의도인 개인정보의 자동화된 수단 이외의 처리”에 적용된다. 동 규칙은 컴퓨터 등의 자동화된 수단에 의한 처리뿐만 아니라, 그 개인정보가 파일링시스템에 포함되거나 포함될 예정이라면, 개인의 보호는 자동화된 수단에 의한 개인정보의 처리뿐만 아니라 수작업에 의한 처리(manual processing)에도 적용됨을 규정하고 있다. 이는 법적용을 우회적으로 회피하는 것을 예방하기 위하여 그 사용된 기술이 자동화된 것인지 여부에 관계없이 동 규칙의 적용대상으로 하고자 하는 것이다. 따라서, 개인정보의 처리와 관련한 개인의 보호에 있어서는 그 처리에 사용되는 수단이 자동화된 것인지 여부와 관계없이 적용되는 것, 즉 기술적으로 중립적임을 나타낸 것이다.
(2) 그러나, 2016년 일반정보보호규칙은 다음의 개인정보의 처리에 대해서는 적용되지 않는다(제2조 제2-제4항).
① EU법의 적용범위에 속하지 않는 활동 중에 이루어진 개인정보의 처리.
2016년 규칙은 국가안보에 관한 활동과 같이 EU법의 범위에 속하지 않는 활동과 관련된 기본적 권리와 자유의 보호 또는 정보의 자유로운 유통의 문제를 그 적용대상으로 하지 않는다.
② EU조약(TEU) 제5편 제2장의 범위 내에 속하는 활동을 수행하는 회원국들에 의한 개인정보의 처리.
여기서 ‘TEU 제5편 제2장의 범위 내에 속하는 활동’이란 공통외교안보정책(common foreign and security policy)을 말한다. 2016년 규칙은 유럽연합의 공통외교안보정책과 관련된 활동을 수행할 때 회원국들에 의한 개인정보의 처리를 그 적용대상으로 하지 않는다.
③ 순전히 사적 활동이나 가사활동 중에 자연인에 의한 개인정보의 처리.
2016년 규칙은 순수한 사적 활동 또는 가사활동 중에 이루어진 개인정보의 처리, 따라서 직업적 또는 상업적 활동과 관련 없이 자연인에 의한 개인정보의 처리에는 적용되지 않는다. 사적 활동 및 가사활동은 교신(correspondence)과 주소의 보유, 또는 사적 활동 및 가사활동으로 이루어진 소셜네트워킹과 온라인 활동도 포함될 수 있다. 그러나, 동 규칙은 그러한 사적 활동 또는 가사활동을 위한 개인정보의 처리의 수단을 제공하는 관리자나 처리자에 대해서는 적용되어야 한다.
④ 관할기관이 공공의 안전에 대한 위협으로부터의 보호와 그 예방을 포함하여, 범죄의 예방, 수사, 탐지나 기소 또는 형벌의 집행을 위하여 관할기관에 의한 개인정보의 처리.
공공의 안전과 개인정보의 자유로운 이동에 대한 위협으로부터의 보호와 그 예방을 포함하여, 범죄의 예방, 수사, 탐지나 기소 또는 형벌의 집행을 위하여 관할기관에 의한 개인정보의 처리와 관련한 개인의 보호에 대해서는, 즉 형사사법분야에서의 개인정보의 처리에 대해서는 앞에서 기술한 바와 같이 특별법적 지위를 갖는 2016년 형사정보보호지침(DIRECTIVE (EU) 2016/680)이 적용된다.
⑤ 유럽연합 기관, 기구, 사무소 및 에이전시에 의한 개인정보의 처리.
이에 대해서는 앞에서 기술한 바와 같이 특별법적 지위를 갖는 2000년 EU기관정보보호규칙(REGULATION (EC) No 45/2001)이 적용되기 때문이다. 2016년 정보보호규칙은 EU회원국들만을 그 대상으로 하고 있기 때문에, EU의 기관들과 기구들에 의한 개인정보의 처리에 대한 보호와 관련하여서는 2000년 EU기관정보보호규칙이 적용된다.
⑥ 전자상거래지침(DIRECTIVE 2000/31/EC), 특히 동 지침 제12조에서 제15조까지의 중개서비스 제공자의 책임규정의 적용제외.
2016년 규칙은 전자상거래지침의 적용, 특히 동 지침 제12조부터 제15조까지의 중개서비스 제공자의 책임(Liability of intermediary service providers)규정의 적용을 침해하지 않아야 하도록 규정하고 있다. 이는 전자상거래지침이 회원국들 간의 정보사회서비스의 자유로운 이동을 보장함으로써 역내시장이 적정한 기능에 기여하도록 하기 위한 것이라고 할 수 있다.
(3) 2016년 일반정보보호규칙은 공적 영역 및 사적 영역에서의 개인정보의 처리에 대해서 적용된다. 공적ㆍ사적 영역을 구별하지 아니하는 EU개인정보보호법의 이러한 입장은 1995년 정보보호지침의 입법과정에서 명시적으로 취하여졌다. 그러나, 가령 예컨대, 처리의 적법성(2016년 규칙 제6조)을 판단하는 요소로서, ‘계약(contract)’이나 ‘정당한 이익(legitimate interests)’은 주로 사적 영역과, 그리고 ‘공익(public interest)’이나 ‘공권력의 행사(the exercise of official authority)’는 주로 공적 영역과 관련성이 클 것이다.

3. 영토적 적용범위
(1) 2016년 일반정보보호규칙은 자연인의 개인정보의 처리가 EU 역내에서 이루어지는지 여부에 관계없이, EU에 있는 관리자나 처리자의 설립체(establishment)의 활동으로 이루어지는 개인정보의 처리에 적용된다(제3조 제1항).
EU내의 관리자나 처리자의 설립체의 활동으로 이루어지는 개인정보의 처리는 그 처리가 EU 역내에서 이루어지는지 여부에 관계없이 2016년 규칙이 적용된다. 여기서의 설립체는 안정적인 약정에 의한 활동이 효과적이며 실제로 수행되는 것을 의미한다. 지사나 법인격을 가진 자회사를 통하여 약정을 하는지는 이러한 약정의 법적 형태의 결정에 있어서 결정적 요인이 아니다.
(2) 2016년 일반정보보호규칙은 유럽연합에서 설립되지 않은 관리자나 처리자에 의해 유럽연합에 있는 정보주체의 개인정보의 처리가 다음과 같은 경우에 적용된다(제3조 제2항).
① 정보주체의 지불이 요구되는지와 관계없이, EU 역내의 정보주체에 대한 물품이나 서비스의 제공과 관련된 개인정보의 처리.
EU에 설립되지 않은 관리자나 처리자에 의한 EU에 있는 정보주체의 개인정보의 처리는 그 처리에 있어서 자연인이 돈을 지불하는지 여부와 관계없이 그에의 재화 또는 서비스의 제공과 관련되는 경우, 자연인들이 2016년 규칙에 의한 보호를 박탈당하지 않도록 보장하기 위하여 2016년 규칙이 적용된다. 관리자나 처리자가 EU에 있는 정보주체에게 재화나 서비스를 제공하고 있는지 여부는 그 관리자가 EU내의 하나 이상의 회원국의 정보주체에게 서비스의 제공을 예상하고 있는 것이 명백한지 여부로 결정되어야 한다. 예컨대, 관리자나 중개자가 EU내의 웹사이트나 이메일주소 기타 다른 연락처에 단순히 접근가능하다는 것이나 또는 관리자가 설립된 제3국에서 일반적으로 사용되는 언어의 사용만으로는 그러한 명백성을 인정하기에 불충분하다고 할 수 있지만, 그 다른 언어로 재화와 서비스를 주문할 수 있는 가능성을 가지고 하나 이상의 회원국에서 일반적으로 사용되는 언어 또는 통화의 이용과 같은 요인은 관리자가 EU에서 그러한 정보주체에게 재화나 서비스의 제공을 예상하는 것의 명백성을 인정할 수 있을 것이다.
② 정보주체의 행동이 EU 역내에서 이루지는 한 그들 행동의 모니터링과 관련되는 개인정보의 처리
EU에서 설립되지 않은 관리자나 처리자에 의한 EU에 있는 정보주체의 개인정보의 처리는 그것이 그러한 정보주체의 행동의 모니터링과 관련될 때, 그 행동이 EU내에서 이루어질 때는 2016년 규칙이 적용된다. 개인정보의 처리활동이 정보주체의 행동을 모니터하는 것으로 생각될 수 있는지를 결정하기 위하여서는 자연인을 프로파일링하는 것으로 구성된 정보처리기술의 후속적 이용을 포함하여 인터넷상에서 자연인이 추적되는지가 확인되어야 한다.
(3) 2016년 일반정보보호규칙은 국제공법에 의하여 회원국법이 적용되는 지역이지만, EU에서 설립되지 않은 관리자에 의한 개인정보의 처리에 적용된다(제3조 제3항).
국제공법에 의해 회원국법이 적용되는 경우, 2016년 규칙은 또한 회원국의 외교업무나 영사업무에서와 같이 EU에서 설립되지 않은 관리자에게 적용되어야 한다.
(4) 또한, 2016년 일반정보보호규칙은 EU 회원국들에 대해서는 물론, 유럽경제지역(European Economic Area ; EEA)의 일부인 EU 비회원국들인 아이슬란드, 리히텐슈타인과 노르웨이에도 적용된다.

머리말

2016년 5월에 드디어 EU 일반정보보호규칙(이하 ‘2016년 규칙’)이 제정되었다. 동 규칙은 EU의 개인정보보호법제에서 일반법적 지위를 누리던 1995년 정보보호지침을 대체하는 것으로서, 2012년 1월에 유럽위원회가 일반정보보호규칙안을 EU의 입법기관인 유럽의회와 이사회에 제출한 이래 4년여만에 성립된 것이다. 2016년 규칙과 1995년 지침의 입법목적은 ‘자연인의 개인정보보호권(프라이버시권)의 보호’와 ‘개인정보의 자유로운 이동(유통)’에 있는 점에서 공통된다고 할 수 있다. 2016년 규칙은 1995년 지침에 비하여, 조문수에 있어서도 34개조에서 99개조로 대폭 증가한 데에서 알 수 있듯이 많은 부분에 있어서 변경이 이루어졌다. 특히 전자의 입법목적과 관련하여서는, ‘잊혀질 권리’가 명시적으로 규정되었고, ‘정보이동권’이나 ‘처리제한권’ 등이 신설되었다. ‘잊혀질 권리’와 관련하여서는 그간 미디어를 통하여 그 도입의 당부를 둘러싼 많은 논란이 소개되었고, 또한 2014년 5월의 Google Spain Case에서 EU사법재판소에 의하여 동 권리가 인정된 사실도 널리 알려지게 되었다. 또한, 후자의 입법목적과 관련하여서는 현대정보사회에서 그 필요성이 널리 인식되고 있으며, 2016년 규칙에서는 “EU 역내에서의 개인정보의 자유로운 이동은 개인정보의 처리에 대한 개인의 보호와 관련되었다는 이유로 제한되거나 금지되어서는 안된다”(1조 3항)고 규정하고 있다. 그러나, 여기에서 유념해야 할 것은 ‘개인정보의 자유로운 이동’에는 ‘EU 역내에서’라는 제한이 붙는다는 점이다. 2016년 규칙은 ‘개인정보의 제3국으로의 이전’에 대해서는 유럽위원회의 적합성결정 등에 의해 통제를 강화하고 있다. 현대정보사회에서의 정보는 종래의 산업사회에서 석탄, 석유, 가스 등의 화석연료가 차지하였던 위상을 대체하고 있다고 말하여진다. 2016년 규칙은 그러한 정보에 대한 통제력을 강화하겠다는 입장을 명확히 드러낸 것이라고 할 수 있을 것이다. 개인정보의 국외이전과 관련하여, 미국과 EU간에 체결된 세이프하버협정을 무효화시킨 2015년 10월의 Maximillian Schrems Case는 이러한 EU의 입장의 예고편이라고 할 수 있을지 모른다. 2016년 규칙이 2018년 5월 25일부터 적용되기 시작하면, 현대정보사회에서 어떠한 변화가 발생하게 될지 자못 궁금해지지 않을 수 없다.
본서를 집필함에 있어서, 독자들이 ‘EU개인정보보호법’을 보다 잘 이해할 수 있도록 하기 위하여 그 구성에 나름대로 고심을 하였다. 먼저, EU개인정보보호법의 법원(法源)과 입법목적, 적용범위를 다루어 그 기초에 대한 이해를 돕고자 하였으며(제1장), EU개인정보보호법이 성립되기 전에 개인정보 보호와 관련하여 이루어졌던 국제적 동향에 대해서 살펴본 다음(제2장), EU개인정보보호법을 그 일반법적 지위를 갖는 것과 특별법적 지위를 갖는 것으로 나누어, 전자에 대해서는 그 성립과정과 제정법의 구체적 내용을 EU사법재판소의 관련 판례와 함께 기술하였고(제3장∼제5장), 후자와 관련하여서는 각 개별영역별로 다수의 특별법이 존재하지만 그 중 가장 대표적이라고 생각되는 통신분야를 선택하여 관련법안의 성립과정과 제정법의 구체적 내용을 EU사법재판소의 관련 판례와 함께 기술하였다(제6장). 마지막으로, 이상의 고찰을 토대로 하여, EU개인정보보호법이 우리에게 주는 시사점과 앞으로의 전망에 대해서 저자 나름의 생각을 기술하였다(제7장).
저자는 2011년 12월의 학회에서 한 ‘잊혀질 권리’의 발표를 계기로, EU개인정보보호법을 주된 연구테마로 할 것을 결심하였다. 그 이후, 그와 관련하여, 여러 편의 관련논문을 발표하였고, 저ㆍ역서를 출판하였다. 그 동안 출판한 저ㆍ역서들로서는 <정보사회와 법>(2012.2 ; 개정판, 2013.2), <EU법 입문>(역서, 2014.2), <EU개인정보판례>(2015.1.), <유럽정보보호법>(역서, 2015.10)을 들 수 있다. 이러한 저ㆍ역서 목록을 살펴보면서, 그동안 저자가 크게 게으름 피우지 않고 나름대로 초지를 지키려 하였으며, EU개인정보보호법이라는 목적지를 설정한 이래 순로를 따라서 꾸준히 여정을 밟아온 것이 아닌가 생각해본다. 돌이켜 보면, EU개인정보보호법에로의 연구의 여정은 기대와 설렘의 연속이었으며, 따라서 행복한 시간이었다. 이제 목적지에 이르러 여장을 풀어야 하는 지금, 이런저런 생각들이 교차하지만 모두 내려놓고자 한다. 그리고, 내 자신을 위해 혼술을 해야겠다.

2016년 8월 15일
함 인 선