한국 PIPA vs EU GDPR 비교 가이드

한국 시장만 대상으로 하던 기업이 EU로 진출하거나, 반대로 유럽 기업이 한국에 서비스를 제공할 때 두 법의 차이를 이해하는 것이 필수입니다. 한국의 **개인정보보호법(PIPA)**과 EU의 **GDPR(General Data Protection Regulation)**을 핵심 항목별로 비교합니다.

1. 적용 범위

속지주의 vs 역외 적용

| 구분 | PIPA | GDPR | |------|------|------| | 기본 원칙 | 국내 설립 사업자 + 역외 적용 | 역외 적용 (EU 거주자 대상 서비스) | | 역외 적용 기준 | 국내 정보 주체 대상 서비스 제공 | EU 거주자 대상 서비스 제공 또는 행동 모니터링 | | 국내 대리인 | 일정 규모 이상 해외 사업자 의무 | DPO(데이터 보호 담당자) 또는 EU 대리인 의무 |

실무 영향: 한국 앱이 EU 앱스토어에 출시되면 GDPR 적용. EU 앱이 한국 앱스토어에 출시되면 PIPA 적용.

2. 처리 근거 (Legal Basis)

가장 중요한 차이 중 하나입니다.

PIPA — 동의 중심

PIPA는 동의가 기본 원칙입니다. 법령 근거 없이는 거의 모든 처리에 동의가 필요합니다.

PIPA 처리 근거:
1. 정보 주체 동의
2. 법률에 특별한 규정
3. 공공기관의 소관 업무 수행
4. 정보 주체와의 계약 이행
5. 명백히 정보 주체의 이익을 위한 긴급 상황
6. 정당한 이익 (PIPA 개정으로 2023년 추가, 제한적)

GDPR — 6가지 법적 근거

GDPR은 동의 외에도 정당한 이익(Legitimate Interest) 등 다양한 근거를 인정합니다.

GDPR 처리 근거 (제6조):
1. 동의 (Consent)
2. 계약 이행 (Contract)
3. 법적 의무 (Legal Obligation)
4. 생명 보호 (Vital Interests)
5. 공익적 직무 (Public Task)
6. 정당한 이익 (Legitimate Interests) ← PIPA보다 넓음

실무 영향: GDPR에서는 정당한 이익으로 처리하던 데이터가 PIPA에서는 동의가 필요할 수 있습니다.

3. 동의 요건

동의 유효 요건 비교

| 요건 | PIPA | GDPR | |------|------|------| | 자유롭게 부여 | 필수 | 필수 | | 구체적·명확 | 필수 | 필수 | | 고지 후 동의 | 필수 (4가지 고지 항목) | 필수 | | 철회 가능성 | 필수 | 필수 | | 선택적 동의 분리 | 명시 요건 (필수/선택 구분) | 필수 | | 묵시적 동의 | 금지 | 금지 | | 사전 체크박스 | 금지 | 금지 |

민감정보 동의

| 구분 | PIPA | GDPR | |------|------|------| | 민감정보 범위 | 건강, 유전, 정신건강, 성생활, 신념 등 | 동일하나 노동조합 가입, 형사 유죄 추가 | | 동의 방식 | 별도 명시적 동의 | 명시적 동의 (별도 서식 명시 없음) | | 예외 근거 | 법령, 안전보호 등 | GDPR 제9조 10가지 예외 |

4. 정보 주체 권리

권리 비교표

| 권리 | PIPA | GDPR | |------|------|------| | 열람권 | ✅ 10일 이내 | ✅ 1개월 이내 | | 정정권 | ✅ | ✅ | | 삭제권 | ✅ | ✅ (잊혀질 권리) | | 처리 정지권 | ✅ | ✅ | | 이동권 | ✅ (2024 신설, 단계적) | ✅ (2018년부터 전면 시행) | | 반대권 | ❌ (정당한 이익 처리 시 반대권 미포함) | ✅ (정당한 이익 처리에 반대 가능) | | 자동화 결정 거부권 | 제한적 | ✅ (프로파일링 포함) |

실무 영향: GDPR의 반대권은 PIPA보다 강력합니다. EU 서비스에서는 마케팅 목적 처리에 대한 반대권 행사 즉시 처리 의무가 있습니다.

5. 개인정보 보호책임자

| 구분 | PIPA | GDPR | |------|------|------| | 명칭 | 개인정보 보호책임자 (CPO) | 데이터 보호 담당자 (DPO) | | 지정 의무 | 모든 개인정보처리자 | 공공기관, 대규모 처리, 민감정보 처리 사업자 | | 자격 요건 | 법령상 특별 규정 없음 | 전문 지식 보유자 | | 독립성 | 규정 없음 | 독립적 수행 보장 의무 | | 신고 의무 | 일부 공공기관 | 감독기관에 등록 (일부 국가) |

6. 국외 이전

이전 요건 비교

| 구분 | PIPA | GDPR | |------|------|------| | 기본 원칙 | 동의 또는 안전조치 | 적정성 결정 또는 안전조치 | | 적정성 결정 국가 | 개인정보보호위원회 인정 국가 | 유럽위원회 결정 국가 | | 표준 계약 조항 | SCC 사용 가능 | EU SCC 사용 | | 구속력 있는 기업 규칙 | 명시 없음 | BCR (Binding Corporate Rules) | | 동의 기반 이전 | 허용 | 허용 (반복 이전에는 제한) |

한국 ↔ EU 상호 적정성

2021년 EU가 한국을 적정성 결정 국가로 인정했습니다. 이는 EU → 한국 개인정보 이전이 별도 안전조치 없이 가능함을 의미합니다. 단, 역방향(한국 → EU)은 PIPA의 국외 이전 절차를 따릅니다.

7. 과징금·제재

제재 수준 비교

| 구분 | PIPA | GDPR | |------|------|------| | 과징금 상한 | 전년도 매출액의 3% (2023년 개정) | 전 세계 연간 매출액의 4% 또는 2,000만 유로 | | 과태료 | 최대 3,000만 원 | 최대 1,000만 유로 또는 매출 2% | | 형사처벌 | 5년 이하 징역 또는 5천만 원 이하 벌금 | 회원국별 형사처벌 (국가마다 다름) | | 집단 소송 | 제한적 (단체소송 제도) | NGO 등 단체 소송 허용 |

실무 영향: GDPR 과징금이 PIPA보다 훨씬 높습니다. META는 GDPR 위반으로 수천억 원 과징금을 받았습니다.

8. 개인정보 영향평가 (DPIA)

| 구분 | PIPA | GDPR | |------|------|------| | 명칭 | 개인정보 영향평가 | DPIA (Data Protection Impact Assessment) | | 의무 주체 | 공공기관 (일정 규모 이상) | 고위험 처리 시 모든 처리자 의무 | | 고위험 처리 예시 | 공공기관 대규모 시스템 | 프로파일링, 생체인식, 취약계층 대규모 처리 등 | | 감독기관 사전 협의 | 결과 제출 | 고위험 시 DPA 사전 협의 의무 |

9. 침해 신고

| 구분 | PIPA | GDPR | |------|------|------| | 신고 기한 | 72시간 이내 (1,000명 이상) | 72시간 이내 | | 신고 기관 | 개인정보보호위원회 | 각국 DPA (감독기관) | | 정보 주체 통지 | 1,000명 이상 유출 시 | 고위험 유출 시 | | 기록 보관 | 명시 없음 | 모든 침해 기록 의무 |

10. 글로벌 서비스 운영 전략

한국과 EU 동시 서비스를 운영하는 기업의 실무 접근:

공통 기준 설계

두 법을 각각 만족시키려면 복잡합니다. 더 엄격한 GDPR 기준을 전 세계 기본값으로 설계하면 PIPA도 자연스럽게 충족됩니다.

GDPR 기준 설계 시 PIPA 자동 충족되는 항목:
✅ 동의 유효 요건 (사전 체크박스 금지)
✅ 정보 주체 권리 행사 절차
✅ 침해 72시간 신고
✅ 개인정보처리방침 투명성
✅ 민감정보 처리 제한

PIPA에서 추가 확인 필요한 항목:
⚠️ 국내 개인정보 보호책임자 지정
⚠️ 한국어 개인정보처리방침 게시
⚠️ 국내 대리인 지정 (해외 사업자)
⚠️ 고유식별정보(주민번호) 처리 근거

11. PipaGuard 글로벌 서비스 지원

PipaGuard는 PIPA와 GDPR을 동시에 준수하는 서비스 설계를 지원합니다.

• PIPA·GDPR 갭 분석 체크리스트: 현재 처리 방식의 두 법 대응 현황 점검
• 이중 언어 처리방침 생성기: 한국어·영어 동시 처리방침 초안
• 동의 관리 가이드: 두 법 공통 충족하는 동의 구조 설계
• 국외 이전 절차 가이드: PIPA·GDPR 이중 요건 체크리스트

👉 pipaguard.vercel.app에서 무료로 시작하세요.

마치며

PIPA와 GDPR은 기본 철학(개인정보 보호)은 같지만 세부 기준이 다릅니다. 글로벌 서비스를 운영하거나 계획 중이라면 더 엄격한 GDPR을 기본값으로 설계하는 것이 가장 효율적입니다. 한국 고유 요건(주민번호 처리, 국내 대리인, 한국어 방침)은 별도로 추가하면 됩니다.