유럽 GDPR, 한국 개인정보보호법과 어떻게 다른가

동국대학교 이창범 교수 KISA EU GDPR 대응 포럼 강연

컴퓨팅입력 :2018/04/17 17:11    수정: 2018/04/19 09:49

유럽연합(EU) 진출 기업들에게 다음달부터 전면 시행되는 일반개인정보보호법(GDPR) 대응 필요성이 대두됐다. 기업이 EU 회원국 시장에 사업장을 뒀거나 현지 이용자를 대상으로 온라인서비스를 제공하면 적용 대상이 된다. 법 위반 기업은 세계 연매출 4% 또는 2천만유로 중 큰 금액을 과징금으로 부과받을 수 있다.

GDPR은 2016년 5월 제정됐고 2018년 5월 25일 시행된다. 서문 173항, 총 11장 99조로 구성됐다. 시행일부로 기존 '1995년 개인정보보호지침(Data Protection Directive 95/46/EC, 이하 지침)'은 폐지된다. 지침은 총 7장 34조로 구성됐다. GDPR은 그보다 조문수가 크게 늘었다. 또 지침과 달리 GDPR은 법적 구속력을 가지며 모든 EU 회원국에 직접 적용된다.

일반개인정보보호법(GDPR)은 2018년 5월 25일 유예기간을 끝내고 전면시행되는 법이다.

지난 11일 서울 코엑스서 열린 'EU GDPR 대응 포럼'에서 GDPR을 피상적으로 이해해선 위험하다는 경고가 나왔다. GDPR 조문 자체는 한국 기업들이 지켜온 개인정보보호법 등 국내법과 비슷한 형태로 보이지만 실무적으로는 전혀 다른 의미로 해석, 적용될 것이라는 지적이다. 'GDPR, 한국법과 어떻게 다른가?'라는 주제로 발표를 진행한 동국대학교 이창범 교수가 이를 설명했다.

■ "한국에선 폭넓은 적법성 인정 요건, EU GDPR에선 좁게 해석"

이 교수는 개인정보보호법에 익숙한 국내 기업의 GDPR 관련 오해를 열거하고 이를 바로잡았다. 그는 서두에 "우리 법과 EU 법 사이에는 굵직한 것만 살펴도 스무가지 이상 차이점이 있고, GDPR 자체만 아니라 그 가이드라인과 기존 지침 적용 시절 나온 100여가지 가이드라인을 함께 봐야 GDPR의 의미와 적용방식을 이해할 수 있다"고 말했다. 주요 발표 내용을 아래에 정리했다.

일단 개인정보보호법만큼 GDPR도 폭넓게 개인정보의 정의와 범위를 규정하고 있다. 즉 한국의 개인정보보호법상 개인정보 범위가 GDPR보다 넓다는 인식은 사실과 다르다. GDPR의 개인정보 범위가 개인정보보호법상 범위보다 좁지 않다. 1995년 지침 제정 당시 없었던 'IP주소'같은 개념도 판례를 통해 개인정보로 인정됐다. 그 결과 GDPR 조문에는 예시로 이런 개념도 추가됐다.

개인정보 처리 원칙은 비슷하지만 EU는 개인정보를 수집, 이용, 제공하는 행위를 구별하지 않고 모두 적법성 처리 원칙을 적용한다. 적법성 요건으로 조문상 유사한 '계약 체결 및 이행' 여부, '컨트롤러 또는 제3자의 정당한 이익' 해석이 한국과 전혀 다르다. EU에서 인정되려면 구체적 허용 사례 20여가지를 참고해야 한다. 다만 EU에선 컨트롤러 또는 제3자의 정당한 이익 개념이 오히려 한국보다 넓게 해석된다.

2018년 4월 11일 진행된 EU GDPR 대응 포럼 현장

개인정보 처리를 위한 정보주체 '동의' 유효 요건도 조문상 비슷하지만 적용 방식은 크게 다르다. EU에서 동의는 필요할 때만 받게 돼 있고, 개인정보 주체는 그 동의를 언제든 철회할 수 있다. 또 유효 요건이 하나라도 빠질 경우 동의의 효력도 인정되지 않는다. 그래서 EU에서는 동의에 근거한 활용을 잘 하지 않는다. 동의를 거의 개인정보처리 기본 원칙처럼 다루는 한국과 상반된다.

아동 개인정보 처리 기준을 보면 GDPR은 만 16세 미만으로 잡고 있지만 회원국마다 별도 법으로 이 범위를 만 13세까지 축소할 수 있다. 즉 각국 문화적 차이를 인정하도록 돼 있다. 아동의 개인정보처리방법은 부모 책임 보유자의 동의를 필요로 한다. 합리적 노력을 통한 동의 입증책임과 회원국 일반 계약법에 영향을 주지 않는 동의 효력도 언급하고 있다.

■ "프라이버시 바이 디자인·디폴트 원칙을 지향한 내부 절차 갖춰야"

EU에서 민감정보는 인종, 민족적 기원, 생체인식정보를 포함한다. 민감정보는 처리금지가 원칙이다. 정보주체의 명시적 동의, 중대한 이익 보호, 일정 목적의 재단, 협회, 비영리단체가 적법한 활동과정에서 처리한 경우, 정보주체가 명백하게 공개한 경우, 법에 따른 공적기록 보존, 연구와 통계목적 처리 등을 허용한다. 이와 별개로 범죄경력자료는 법에 근거해서만 처리되는 게 한국과 다르다.

GDPR은 개인정보 직접 수집 또는 제3자 수집시 고지사항 12가지를 법정화했다. 컨트롤러의 신원과 연락처, DPO의 연락처, 처리 목적과 법적 근거, 컨트롤러가 추구하는 정당한 이익, 수령자의 범주, 국외이전 사실과 적정성 결정 유무, 보관기간, 열람권 등 정보주체 권리, 동의 철회권, 감독당국 민원신청권, 제공 의무 여부와 부동의 결과, 자동화된 의사결정 여부 정보를 정보주체에 고지해야 한다.

한국 법은 정보주체 권리로 열람권, 정정권, 삭제권, 처리정지요구권을 담았다. GDPR은 정정권을 '정정요구권'과 '정보보충권'으로 나눴다. '잊힐권리'로 불리는 삭제권은 기업이 고객의 개인정보를 링크한 타 서비스 업체에 '내 고객이 정보 삭제를 요구했다'고 알려야 한다고 규정했다. GDPR엔 자동화된 의사결정 거부권이라는, 시스템 기반의 자동화된 처리를 거부하는 권리도 담고 있다.

GDPR은 '프라이버시 바이 디자인'과 '프라이버시 바이 디폴트'라는 개념을 제시하고 있다. 전자는 서비스, 앱, 제품을 만드는 최초 시점부터 개인정보보호를 고려해 이를 설계에 반영하고 개발해야 한다는 원칙이다. 후자는 서비스 제공에 필요한 최소 개인정보만 공개되도록 설정해야 한다는 원칙이다. 한국 법에도 '개인정보 최소수집원칙'이나 정보보호관련 인증제도로 요구되는 원칙이다.

2018년 4월 11일 EU GDPR 대응 포럼 마지막 순서로 진행된 패널 토의.

이 교수는 그러나 "이 원칙을 반영했는지 판단하긴 쉽지 않다"며 "반영 여부 자체가 중요한 게 아니라 조직이 그걸 지키기 위한 과정, 내부 절차를 갖췄느냐가 중요하다"고 말했다. 이어 "한국에도 유사한 원칙과 인증제도와 기준 등이 있지만 그 접근 방식이 문제에 대응한 결과에 치중할 뿐, 그 과정을 무시하는 경향이 있다"고 지적했다.

■ "개인정보처리 관련 책임·의무, 위험 수준 비례해 부과"

GDPR은 컨트롤러와 프로세서를 '안전조치' 의무주체로 규정했다. 개인정보를 보호하는 가명화, 암호화, 처리 시스템의 기밀성, 무결성, 가용성, 복원력 보장, 사고시 개인정보 접근성, 가용성 보장 등 '기술적, 관리적 조치'를 하게끔 돼 있다. 이 책임과 의무는 위험 수준에 비례해 발생한다. 특정한 조치 요건을 상세히 규정하고 있는 한국 법과 두드러진 차이점이다.

GDPR은 프로파일 등 자동화된 처리기술로 자연인에 대한 평가, 민감정보 대규모 처리, 공개장소 체계적 모니터링 등을 수행하는 민간기업과 공공기관이 '영향평가'를 시행케 한다. 컨트롤러의 정당한 이익 등 처리 작업과 목적 리스트, 처리작업 필요성과 비례성 평가, 정보주체 권리 위험 평가, 안전조치와 보안조치 방법이 포함돼야 한다. 공공기관만 영향평가를 하게 한 한국 법과 차이가 있다.

GDPR 규정상 개인정보 유출시 조치는 '선 신고 후 통지'다. 인지시점 72시간 이내에 감독당국에 신고해야 하지만, 자연인의 권리에 위험 초래 가능성이 낮다면 의무가 면제된다. 위험이 높다면 신고하고 그 내용을 정보주체에 통지해야 한다. 통지 방식은 기관과 협의 가능하다. 이는 한국 법이 '선 통지 후 신고' 의무를 두고 정보주체 개별 통지를 요구하는 것보다 완화된 성격을 띤다.

이 교수는 GDPR 조항을 인용해 "컨트롤러가 적절한 기술적, 관리적 조치 의무를 이행했고 개인정보에 접근할 수 없는 암호화 등 조치를 적용했다면 통지 의무가 면제된다"며 정보 주체의 자유와 권리를 침해할 위험이 높은데도 통지를 하지 않을 경우 감독 당국이 통지를 요구한다"고 설명했다.

유럽과 한국에서 법이 개인정보 처리 주체를 규정하고 의무를 부과하는 방식에 차이가 있다. GDPR의 '프로세서'는 개인정보보호법상 '수탁자'에 가까운 개념이다. 그런데 한국 법은 수탁자가 '위탁자' 업무와 책임을 대부분 대신하게끔 돼있다. 반면 GDPR은 컨트롤러만의 의무, 프로세서만의 의무, 양측의 의무가 모두 규정돼 있다. 즉 모든 법적 책임은 행위의 주체에 있는 것으로 해석된다.

■ "GDPR DPO와 개인정보보호법 CPO 법적 지위, 역할 판이"

GDPR 데이터보호책임자(DPO)는 역할과 지위면에서 한국 법의 '개인정보보호책임자(CPO)'와 판이하다. CPO는 개인정보 관련업무를 총괄하는 조직내 임직원으로 지정된다. 즉 외부 전문가가 지정될 수 없다. DPO는 지정요건 해당 조직이 직원뿐아니라 외부전문가로도 둘 수 있다. 지시를 받지 않고 독립적으로 직무를 수행한다. 해고 및 징계 금지로 신분을 보장받는다. 조언자, 감독자 성격이다.

유럽의 개인정보 국외이전 허용 기준은 적정성 결정, 적절한 안전장치, 예외 인정, 3가지 범주로 나뉜다. 적정성 결정은 국가나 기업을 이전 허용 목록에 넣고 관리하는 방식이다. 안전장치는 '구속력있는 기업규칙(BCR)'이나 유럽위원회 표준 개인정보보호조항 등이다. 예외 인정 상황은 계약상 또는 중요한 공익상 필요 등이다. 한국은 정보통신망법상 정보주체 동의 및 보호조치로 허용한다.

관련기사

GDPR은 최소처리 원칙을 보장하는 적절한 안전조치를 통해 과학, 연구, 통계 목적에 개인정보를 활용할 수 있다. 이 때 접근권, 정정권, 처리제한권, 반대권 적용 예외가 될 수 있다. 삭제권, 통지의무, 정보이동권, 자동의사결정 거부권 적용 예외는 될 수 없다. 특정 정보를 추가 정보 사용 없이 해당 정보주체에 속한다고 볼 수 없게 만드는 '가명화(pseudonymisation)'가 안전조치 중 하나다.

이 교수는 "우리나라는 가명화한 개인정보조차 활용할지말지 고민하지만, 유럽에서는 지침 시절부터 과학, 연구, 통계 목적 개인정보처리를 할 수 있었다"며 "일부 전문가들조차 유럽에서 공익 목적으로만 이를 할 수 있다고 오해하고 있는데, 민간에서 상업 목적으로도 가능하다"고 설명했다.