브렉시트 이후 UK GDPR: 무엇이 달라졌나
영국의 데이터보호 및 디지털 정보(DPDI)법 2025는 EU GDPR 규정에서 14가지 변경을 도입합니다. 이로써 브렉시트 이후 EU와 영국 개인정보 보호법 사이에 최초의 실질적 분리가 생겨났습니다. EU-영국 적정성 결정은 검토 중입니다. 그 결과는 두 지역 사이에서 개인 데이터를 이전하는 모든 기업에 영향을 미칩니다.
LastPass 제재: 새로운 기술적 기준
ICO는 2025년 12월 LastPass UK에 £120만 제재금을 부과했습니다. 영국에서 기술 보안 분야 최대 사례입니다.
ICO는 두 가지 핵심 결함을 발견했습니다.
취약한 암호화: LastPass는 구형 암호화로 고객 비밀번호 볼트를 저장했습니다. ICO는 UK GDPR 제32조상 "부적절하다"고 판단했습니다. 일부 볼트에는 PBKDF2-SHA256을 단 한 번의 반복으로만 사용했습니다. 영국 NCSC는 패스워드 키에 최소 60만 번의 반복을 요구합니다.
법이 현재 요구하는 것: UK GDPR 제32조는 "기술의 현재 수준"에 맞는 "적절한 기술적 조치"를 요구합니다. ICO는 2022년 기준 키 파생에 LastPass가 적용한 것보다 훨씬 높은 수준이 필요하다고 판단했습니다. 2015년에 괜찮았던 것이 2022년에는 더 이상 괜찮지 않습니다.
결과: 벤더 암호화는 이제 감사 가능한 컴플라이언스 항목이 되었습니다. 개인 데이터를 처리하는 도구가 최신 파라미터를 사용하는지, 과거 기준에 머물러 있지는 않은지 확인해야 합니다. 저희가 이를 어떻게 처리하는지는 보안 및 컴플라이언스 개요를 참조하세요.
DPDI법 2025: 6가지 주요 변경 사항
이 법은 영국 데이터법에서 14가지 변경을 도입합니다. 그 중 6가지가 일상적인 운영에 직접적인 영향을 미칩니다.
1. 정당한 이익. 이 법은 "인정된 정당한 이익" 목록을 제시합니다. EU법에서 여전히 요구하는 균형 테스트를 거치지 않아도 됩니다. 영국 기업에게 이 근거를 사용하기가 더 쉬워졌습니다.
2. 연구와 통계. 연구 예외 범위가 확대되었습니다. 연구 목적의 개인정보 2차 이용에 EU법보다 적은 동의가 필요합니다.
3. 자동화된 결정. EU 제22조를 대체합니다. 새 규정은 더 완화되었습니다. 일부 자동화 결정은 더 이상 실질적인 인간 검토가 필요하지 않습니다.
4. 기록 보관. 250명 미만의 직원을 보유하고 "체계적" 처리가 없는 기업에 대해 처리 기록(ROPA) 의무가 삭제되었습니다. EU 규정은 처리가 일시적이지 않은 모든 기업에 ROPA를 요구합니다.
5. 쿠키 동의. 분석 쿠키에 대한 동의 규정이 완화되었습니다. "쿠키 없는" 옵션을 지원합니다. EU ePrivacy 규정은 여전히 추적 쿠키에 대한 동의를 요구합니다.
6. 국제 이전. 영국 국무장관은 적정성 결정을 부여할 더 넓은 권한을 갖게 됩니다. 영국은 EU가 승인하지 않은 국가를 승인할 수 있습니다. 이로써 양측의 이전 프레임워크가 분리됩니다.
적정성 위험
유럽 집행위원회는 영국법이 EU 규정과 "본질적으로 동등한" 보호를 제공하는지 확인할 것입니다.
EU 감독기관은 세 가지 영역을 우려합니다.
DPDI법의 넓어진 정당한 이익 조항은 집행위원회가 부적절하다고 볼 수 있는 공백을 남길 수 있습니다. 영국의 수사권법(Investigatory Powers Act) 2016은 CJEU 판례와 관련된 우려를 여전히 제기합니다. CLOUD법에 따른 영국-미국 협정은 EU 데이터를 미국 법 집행에 노출시킬 수 있습니다.
적정성이 정지되면 10,000개 이상의 영국-EU 표준계약조항(SCC)이 즉시 활성화되어야 합니다. 영국-EU 이전에 오직 적정성에만 의존하는 기업은 즉각적인 공백에 직면하게 됩니다. 노출 여부를 점검하려면 컴플라이언스 가이드를 참조하세요.
두 체제를 동시에 운영하기
EU와 영국 법률 모두 적용받는 기업의 방향은 명확합니다.
더 엄격한 기준을 기본선으로 삼으세요. EU 제32조, EU 정당한 이익 테스트, EU 자동화 결정 규정은 모두 영국 DPDI법에 상응하는 조항보다 엄격합니다. EU 규정을 충족하면 영국 규정도 충족되며, 일부 영국 고유 추가 사항만 남습니다.
두 가지 법적 근거를 문서화하세요. 정당한 이익의 경우, EU 균형 테스트 결과와 처리가 영국 인정 범주에 해당한다는 증거를 모두 기록하세요. 이중 기록은 규정이 더 벌어질 경우 보호책이 됩니다.
SCC를 준비 상태로 유지하세요. 2026년 적정성 검토가 별도의 이전 도구 필요 여부를 결정할 것입니다. 적정성을 사용하는 동안에도 표준계약조항을 백업으로 유지하세요.
벤더 암호화를 점검하세요. LastPass 사례로 인해 벤더 암호화는 현실적인 컴플라이언스 항목이 되었습니다. 개인 데이터를 처리하는 도구가 현재 설정을 사용하는지 확인하세요: 저장 시 AES-256-GCM, 키 파생에 argon2id 또는 현재 반복 횟수를 갖춘 PBKDF2. 일반적인 감사 질문은 FAQ를 참조하세요.
영국의 분리는 EU 개인정보 보호 모델에서 최초의 실질적 이탈입니다. 두 지역에서 운영하는 기업에게 가장 안전한 방법은 여전히 더 엄격한 기준인 EU 프레임워크에 맞게 설계하는 것입니다.
anonym.legal은 제로 지식 설계로 EU 소재 Hetzner 데이터센터에서 문서를 처리합니다. 서버는 평문 텍스트를 볼 수 없습니다. 완전한 서버 침해 시에도 AES-256-GCM 암호문만 노출됩니다. 로컬 처리가 필요하신가요? 데스크톱 앱은 외부 연결 없이 기기에서 실행됩니다.