"EU 시행 GDPR, 국내 기업도 예외 아냐"

박노형 교수, '빅데이터 시대 이용자의 권리'서 주장

인터넷입력 :2017/08/17 15:19    수정: 2017/09/05 11:09

유럽연합(EU) 28개 회원국에 적용되는 일반개인정보보호규칙(General Data Protection Regulation, GDPR)이 내년 5월 25일 시행될 예정인 가운데, 한국을 비롯한 글로벌 기업들도 EU 역내외에서 경제활동을 하는 경우 GDPR을 준수해야 해 이를 대비하는 정부 차원의 준비가 필요하다는 의견이 제시됐다.

개인정보보호법을 더 큰 틀에서 들여다 보고, 개인정보보호 가이드라인에 명확한 법적 근거와 규정을 제시해야 한다는 주장도 나왔다.

17일 국회서 열린 '빅데이터 시대 이용자의 권리' 세미나에서 박노형 고려대학교 법학전문대학원 교수는 발제를 통해 내년 시행되는 EU GDPR을 면밀히 살피고, 시시비비를 가려 국내 개인정보보호법 개선에 참고할 필요가 있다고 말했다.

GDPR은 2016년 5월 24일에 발효해 내년 5월 25일부터 EU 전 회원국에서 시행될 예정이다. 한국을 비롯한 글로벌 기업들도 EU 역내외에서 경제활동을 하는 경우엔, 강화된 GDPR을 준수해야 하기 때문에 개인정보를 처리하는 기업은 프로파일링 규정 등에 큰 영향을 받을 것으로 예상된다.

프로파일링은 성별이나 나이, 취미, 경제활동 등 개인정보를 통해 그 사람이 어떤 부류의 사람인지, 혹은 어떻게 행동하는지 확인하는 것을 의미한다. 프로파일링은 의사결정이 이뤄질 수 있도록 하는 개인정보의 자동화된 처리라고 할 수 있다.

개인정보를 처리하는 기업이나 기관의 입장에서 프로파일링은 해당 정보주체에 관련한 자동적인 예측과 평가의 혜택을 주지만, 정보주체의 입장에서는 자신의 개인정보 처리에 관한 권리의 행사에 있어서 위험을 준다.

GDPR은 프로파일링을 명시적으로 정의하면서 정보주체를 보호하기 위한 장치들을 마련하고 있다.

예를 들어 GDPR에서는 정보를 처리하는 주체를 뜻하는 컨트롤러의 프로파일링에 관해 정보주체에게 '공정한 처리에 관한 정보'를 제공하도록 요구한다.

또한 정보주체는 컨트롤러부터 자신의 개인정보가 처리되고 있는지 확인을 요구할 권리도 가지고, 개인정보 처리에 대한 반대권도 행사할 수 있다.

박 교수는 "우리 기업도 GDPR의 규정을 받을 수 있다"며 "EU내 소비자에게 서비스를 제공하거나 판매하지 않는다고 해도, EU내 개인 활동을 인터넷상에서 모니터링 하면 GDPR 적용을 받는다"고 말했다.

만약 프로파일링을 포함한 자동화된 의사결정에 관해 정보주체의 권리가 침해되면, 2천만유로(약 267억원) 이하 또는 사업체인 경우 직전 회계연도의 전세계 연간 총매출액의 4% 이하 중 높은 금액의 과징금이 추가로 부과된다.

관련기사

박 교수는 "다 따라가아 한다는 것은 아니지만, 어느정도 GDPR이 개인정보보호에 앞장서 나가고 있기 때문에 정부가 받아들일 것은 받아들여야 한다고 생각한다"고 말했다.

또한 박 교수는 "현재 정부가 마련한 개인정보보호 관련 가이드라인은 어떠한 법을 기반으로 내용이 제시돼 있는지 명확한 규정이 돼 있지 않다"며 "가이드라인 내용 하나하나에 어떤 법에 근거가 돼 이런 가이드라인이 만들어지고, 어떠한 행위를 금지하고 있는지 설명해 개인 혹은 기업이 명확히 이해할 수 있도록 만들어야 한다"고 강조했다.