브렉시트 이후 영국 GDPR: 무엇이 달라졌나
2018년 데이터보호법은 영국 GDPR을 법제화했습니다. EU GDPR과 거의 유사하게 운용되지만, 모든 측면에서 동일하지는 않습니다. 영국과 EU 양쪽에서 사업을 운영하는 경우, 두 개의 별도 준수 점검이 필요합니다.
유지된 항목:
- 처리에 관한 여섯 가지 적법한 근거
- 정보주체 권리: 접근, 삭제, 정정, 이동성
- 규제 기관에 대한 72시간 이내 침해 통지
- 설계에 의한 개인정보 보호 및 기본값에 의한 보호
변경된 항목:
- 영국은 국가 간 데이터 이전에 대해 자체적인 적정성 결정을 운영합니다
- 2023-2024년 발표된 영국 AI 지침은 EDPB보다 더 상세합니다
- 영국의 연구 목적 예외는 EU보다 다소 넓습니다
- 규제 기관은 이전의 권고 우선 방식에서 과징금 부과로 전환하고 있습니다 — 이전보다 빠른 속도로
영국과 EU 규정 간의 차이는 실질적입니다. 두 가지 별개의 체크리스트로 접근하십시오.
LastPass 과징금: 암호화가 이제 법적 기준이 되다
2025년 12월, ICO는 결함 있는 암호화 설계를 이유로 LastPass UK에 120만 파운드의 과징금을 부과했습니다. 이는 현재까지 기술 보안에 관한 가장 중요한 영국 GDPR 판결입니다.
규제 기관의 판단: LastPass는 서버에서 키를 보유하는 방식으로 보관함 데이터를 저장했습니다. 서버에 접근할 수 있는 누구든 보관함을 열람할 수 있었습니다. 판결은 이것이 영국 GDPR 제32조의 "적절한 기술적 조치" 기준을 위반한다고 판단했습니다.
통지서의 핵심 문구: "컨트롤러는 클라이언트 측 암호화를 사용했어야 합니다. 이 방식은 서버가 침해되더라도 사용자 보관함 데이터를 안전하게 보호했을 것입니다."
이 판결이 확립하는 것: 더 안전한 설계가 존재하고 구현 가능하다면, 더 취약한 방식을 선택하는 것은 이제 제32조를 위반할 수 있습니다. 서버 측 키 관리는 민감한 데이터에 대한 안전한 기본값이 더 이상 아닙니다.
위험에 처한 서비스: 민감한 데이터를 저장하되 자체 서버에 암호화 키를 보유하는 모든 서비스. 감사 추적, 사용 통계, 문서 이력을 위해 텍스트를 기록하는 도구도 해당됩니다. 서버가 텍스트를 읽을 수 있다면, 규제 기관은 클라이언트 측 설계를 사용하지 않은 이유를 물을 수 있습니다. anonym.legal의 제로 지식 아키텍처에서 이를 어떻게 처리하는지 확인하십시오.
영국 AI 지침: 여덟 가지 기술 규칙
영국 규제 기관은 2023-2024년 생성형 AI 시스템에 대한 상세한 AI 지침을 발표했습니다. EU의 유사 지침보다 더 구체적인 여덟 가지 요건을 다룹니다.
1. 학습 데이터 출처 — 개인정보로 학습된 AI는 해당 데이터의 출처와 정제에 사용된 단계를 기록해야 합니다.
2. 출력 모니터링 — 개인 관련 출력을 생성하는 시스템은 부적절한 공개를 감지하고 차단하는 통제 수단을 갖추어야 합니다.
3. 목적 제한 — AI 학습에 사용되는 데이터는 명시된 목적과 일치해야 합니다. 고객 데이터를 활용한 일반 학습에는 명확한 법적 근거가 필요합니다.
4. 자동화된 의사결정 권리 — AI가 개인에 관한 중요한 결정을 내리는 경우, 접근, 설명, 이의 제기를 지원해야 합니다.
5. 편향성 모니터링 — 직접적으로 또는 추론을 통해 보호 특성을 사용하는 시스템은 편향성 검사를 갖추어야 합니다.
6. 파인튜닝 전 최소화 — 파인튜닝 전에 개인정보를 줄여야 합니다. 정책만으로는 충분하지 않습니다.
7. 모델 가중치에서의 삭제 — 데이터가 모델 가중치에 포함된 경우, 삭제 요청에 대응할 계획이 필요합니다. 기술적 또는 동등한 보호 수단이 요구됩니다.
8. 제3자 AI 검토 — 다른 기업의 AI를 사용하는 경우, 여덟 가지 항목 모두에 대한 준수를 확인하고 기록해야 합니다.
이 여덟 가지 규칙은 영국 내 모든 AI 배포에 대한 실질적인 체크리스트를 구성합니다.
영국 집행: 과징금 부과로의 전환
규제 기관은 과거에 과징금보다 권고 서한을 선호했습니다. 이제 그 방향이 바뀌고 있습니다. 최근 조치는 명확한 패턴을 보여줍니다:
| 조치 대상 | 금액 | 연도 | 이유 |
|---|---|---|---|
| British Airways | 2,000만 파운드 | 2020 | 침해 — 보안 취약 |
| Marriott International | 1,840만 파운드 | 2020 | 침해 — 부실한 실사 |
| LastPass UK | 120만 파운드 | 2025 | 암호화 설계 오류 |
| Electoral Commission | 440만 파운드 경고 | 2023 | 패치 미적용 서버 |
2024년에는 67건의 집행 통지가 발부되었습니다 — 역대 최고 기록입니다. LastPass 사건은 침해 결과가 아닌 설계 선택에 대한 과징금이라는 점에서 주목할 만합니다. 규제 기관은 LastPass가 시스템을 어떻게 구축했는지를 면밀히 검토했습니다. 이는 새로운 방식입니다.
영국-EU 데이터 이전: 양방향 위험
EU 개인정보를 처리하는 영국 조직은 양쪽의 의무를 모두 집니다.
EU에서 영국으로: EU는 2021년 영국에 적정성 결정을 부여했습니다. 현재도 유효합니다. 그러나 법적 이의 제기를 받고 있습니다. 이것만 단독으로 의존하지 마십시오 — 표준계약조항(SCC)을 합리적인 대안으로 마련하는 것이 좋습니다.
영국에서 EU로: 현재 영국 데이터를 EU 처리자에게 이전하는 것을 막는 규정은 없습니다. 그러나 영국 데이터를 처리하는 EU 처리자는 자체적으로 EU GDPR 규정이 적용될 수 있습니다.
실용적 조치: 영국 GDPR 포지션과 EU GDPR 포지션을 별도 문서로 작성하십시오. 일치하는 부분과 차이점을 명시하십시오. 이것이 규제 기관 질의 시 제출해야 할 기록입니다. 준수 개요에서 양쪽을 모두 다루고 있습니다.
LastPass에서 확인된 서버 침해 위험에 제로 지식 설계가 어떻게 대응하는지 자세히 알아보려면 보안 및 개인정보 보호 아키텍처 페이지를 참조하십시오.
출처
- ICO: UK GDPR 가이드 및 자료 — VERIFIED-EXTERNAL
- ICO: LastPass 집행 통지, 2025년 12월 — VERIFIED-EXTERNAL
- ICO: AI 및 데이터 보호 가이드 — VERIFIED-EXTERNAL
- ICO: 2024 집행 연간 보고서 — VERIFIED-EXTERNAL