"유럽연합(EU) GDPR은 법이다. 국경을 넘어 적용되는 기술 표준이 아니다. 법은 각국 문화와 정서를 반영하고 있다. 어느 국가 법을 그대로 따를 이유는 없다. GDPR 대응은 기업, 개인, 정부가 각자 다른 입장에서 고민해야 한다. 할 때 문화적 다양성, 가치 차별성 인식 필요하다."
국제 온라인 프라이버시 및 개인정보보호 제도를 연구해 온 연세대학교 정보대학원 김범수 교수가 29일 서울 한국과학기술회관 '프라이버시글로벌엣지2018'에서 '아시아 각국의 GDPR 대응 현황'이란 주제로 기조강연을 진행하며 이같이 말했다. 행사에 참석한 기업 및 기관의 개인정보보호책임자(CPO) 등 개인정보보호 업무 담당자를 대상으로 한 메시지였다.
그는 강연을 통해 EU 일반개인정보보호법(GDPR) 시행의 의미와 그 영향권에 놓인 일본, 홍콩, 싱가폴, 말레이시아, 필리핀, 대만, 태국 등 아시아 각국이 최근까지 어떻게 대응해 왔는지를 개괄적으로 소개했다. 각국 현황 소개에 이어 향후 국내 GDPR 대응 시사점을 제시했다.
■ "일본 GDPR 적정성평가, 정치적 사안으로"
일본은 2005년 개인정보보호법을 만들고 2015년 개정했다. 2016년엔 개인정보보호위원회를 설립했다. 전체적으로 유럽과 유사해지도록 자국 법 체계를 조정했다. GDPR 관련 번역문, 요약문, 안내서를 많이 발간했고 현재 부분 적정성평가를 추진 중이다. 담당자와 전문가인 교수를 통해 유럽 각국을 돌며 개인정보보호위원회 소속 위원들을 만나 일본의 제도를 설명하고 설득하는 활동을 진행해 왔다.
김 교수는 "EU는 GDPR 제정 전 개인정보보호지침(Data Protection Directive 95/46/EC) 때부터 EU지역 밖으로 개인정보를 이전할 때 해당 국가를 대상으로 적정성평가를 하고 있었다"며 "적정성평가는 해당국이 유럽수준으로 보호하고 있으면 개인정보 이전시 추가 동의, 개인과 협약을 요구하지 않는, 마치 EU지역 안에 있는 것처럼 대우해 주는 것"이라고 설명했다.
그는 "일본에선 관련 문서 발간과 제도 개선뿐아니라 외교적 노력도 기울이는 등 GDPR 대응이 적극적이고, 부분 적정성평가 통과여부가 정치적으로도 민감한 사항이 돼 있다"며 "과거 OECD와 APEC에서 고민을 드러내고 토론도 많이 했는데, 지난달 GDPR 집행을 앞두고부터는 부분 적정성평가가 얼마나 추진되고 있는지 말하지 않기 시작했다"고 지적했다.
홍콩도 영국의 영향으로 개인정보보호법 제정이 오래전 이뤄졌다. 현재 GDPR 관련 대응 가이드라인을 책자로 만들고 배포하며 현지 기업 대상 안내를 하고 있다. 홍콩은 규모로는 중소기업, 업종으로는 무역회사와 금융사가 많은 나라다. 가이드라인은 이 특성에 따라 그런 기업이 어떻게 GDPR을 준비할지, 현지 개인정보보호법과 GDPR의 차이점이 뭔지 등을 설명하고 있다.
김 교수는 "또 한국CPO포럼같은 조직으로 데이터보호책임자클럽(DPOC)을 운영하면서 관련 정보 공유, 확산 활동을 벌이고 있고 2018년 6월자 변호사협회지 특집을 만들거나 언론에 보도자료를 배포하는 등 여러 사람들의 이해를 돕는 노력을 하고 있다"고 덧붙였다.
싱가폴 역시 개인정보보호법 체계를 갖췄고 개인정보보호위원회를 운영하고 있다. 홍콩처럼 현지 기업은 중소기업, 무역회사 비중이 크다. 현지 정부 차원에서 '아세안국가 대상 리더십 확보'와 국제무역 활성화 일환으로 국제협력에 투자를 많이 하고 있다.
김 교수는 "미국의 국제개인정보보호전문가협회(IAPP)가 싱가폴에 아시아사무국을 두고 있고, 현지에서 다음달 IAPP '아시아프라이버시포럼'을 개최한다"며 "정부 주도로 대학에 엄청난 예산을 써서 아시아 국가간 프라이버시 제도의 차이를 연구하고, (제도적) 대안을 만들고 있다"고 설명했다.
■ "말레이시아, 개인정보국외이전 화이트리스트 운영…한국도 고려해봐야"
말레이시아는 개인정보보호법을 비교적 최근 만든 나라다. 말레이지아 현지 법과 GDPR의 여러 규정이 맞지 않는 측면이 있다. 다만 대응 차원에서 교육이 강조되고 있다. 온라인 자격증 강의나 교육활동을 통해 현지 전문가 양성 노력을 기울이고 있다. 영어권 국가로 언어적 격차가 덜하다는 점을 바탕으로 영국과 동남아시아 대상 영어권의 교육매체 활동이 활발하다.
김 교수는 "EU가 적정성평가에 따라 개인정보를 특별한 허가 없이 승인된 대상국으로 국외이전을 허용하듯이, 말레이시아는 (유럽과 별개로) 개인정보 국외이전 화이트리스트를 운영하고 있다는 것이 특징이고 여기에 한국이 포함돼 있다"며 "우리도 국내 개인정보를 국외이전하려는 기업들에게 허용할 수 있는 화이트리스트 또는 블랙리스트를 운영하는게 좋지 않을까 의견을 내고 있다"고 언급했다.
필리핀은 비교적 최근 개인정보보호위원회를 만들었다. 자국민에게 개인정보보호 관련 지식 교육과 유출통지 훈련과 정보공유 등 행사를 적극 추진 중이다. 필리핀의 레이문드 리보로 개인정보보호위원회 위원장이 직접 스마트폰 사용자들에게 수상한 앱 다운로드, 피싱 문자의 위험성을 경고하고 대응방안을 알리는 동영상에 출연하는 등 대중에게 정보를 쉽고 편안하게 전달할 수 있는 노력을 기울여 돋보인다.
김 교수는 "개인정보보호는 기술과 제도에 한정돼선 안 되고 프로세스, 시민들의 마음, 문화가 함께 따라줘야 한다고 생각한다"며 "국제행사에서 리보로 위원장 발표를 보고 '저렇게 무게없이 하느냐'는 분도 있고 '저렇게 사람들에게 다가갈 수 있는 정부 관료가 우리나라에도 있느냐' 묻는 분도 있는데, 익숙하고 친해지게 해서 사람들의 이해를 우선하는 게 효과적으로 목표를 달성하는 것"이라고 평했다.
대만은 개인정보보호법을 집행할 독립기구가 없었다. 총통 지시로 그런 기구를 만들도록 해서 변화가 나타나고 있는 정도다. 다만 트렌드마이크로나 미국계 대형 IT업체들이 현지서 GDPR관련 홍보를 많이 해 놓은 상태다.
■ "GDPR, 마음대로 국경 넘어 적용할 수 없어…문화 다양성 고려해야"
태국은 개인정보보호법이 없다가 제정됐고 지난해 발효해 현재 시행중이다. 갓 만들어진 제도를 안착시키는 과정에서 인포그래픽과 중소기업의 GDPR 대응방안 등 자료를 만들고 있다.
김 교수는 "태국에선 현지 부총리가 'EU GDPR은 해외 기업과 기관에 EU 법을 적용하려는 것같다, 태국은 EU법을 따라선 안 된다, 처벌하려면 태국 법을 따라 처벌해야지 왜 EU법으로 처벌하느냐'고 발언한 적이 있는데 EU GDPR 내용 다른 지역 국가와의 갈등 소지를 극명하게 보여준 것"이라고 봤다.
그는 이어 "선진국은 속내에 이런 생각을 갖고 있어도 공식적으로 말하지는 않는데, 여긴 아직 개인정보보호법 관련 경험이 없어 그대로 드러낸 것 같다"면서 "하지만 다른 EU 바깥의 다른나라들도 실은 이런 생각을 많이 갖고 있을 것"이라고 덧붙였다.
한국에서도 행정안전부, 과학기술정보통신부, 방송통신위원회가 개인정보보호 관련 활동과 GDPR 대응 차원의 여러 활동을 하고 있는 걸로 소개됐다. 제도 안내서, 가이드, 원문 요약 소개와 번역 작업 등 많은 문서를 만들었고, 현재는 일본처럼 EU 적정성평가 심의를 받는 중이다.
김 교수는 "GDPR은 국경을 넘어 마음대로 적용할 수 있는 기술적 표준이 아니라는 점을 헷갈리지 않았으면 한다"며 "법은 각국 문화와 정서를 반영하고 있고, 어느 국가에 무슨 법이 있다고 (다른 나라가) 그걸 그대로 따를 이유는 없다"고 말했다.
이어 "(그럼에도) 과거 법은 국가 영토에만 적용됐지만 지금은 사람들이 온라인 활동을 하고 (국외) 여행도 많이 다녀 국경이 허물어지고 있다"면서 "법이 자기 시민을 보호하겠다는 측면에서 해외 서비스에 영향을 주는 것처럼 EU도 다른나라에서 GDPR 적용 대상이 되는 기관을 관리하겠다는 측면이 있다"고 덧붙였다.
관련기사
- 이효성 "정보통신망법 개정돼야 연내 GDPR 적정성 통과 가능"2018.06.29
- 구글-페북은 왜 GDPR 첫날 제소당했나2018.06.29
- 유럽 GDPR 시행...국내 중소게임사 매출에 직격탄2018.06.29
- 전세계 IT업계, 유럽 GDPR '비상'2018.06.29
또 "5월 25일부터 GDPR이 집행되고 있는데 큰 사고가 없다는 생각을 하겠지만, 법은 원래 위반사례를 조사, 수사, 처벌하는 것에 몇 년 씩 걸리기에 앞으로 계속 어떤 이슈가 생길지 지켜보는 것이 좋다"며 "기업, 개인, 정부 각자 다른 입장에서 고민해봐야 하고 문화적 다양성, 가치 차별성, 이런 인식을 갖고 아시아 국가간 실질적인 개인정보보호방안을 고민해야 한다"고 강조했다.
김 교수는 경제협력개발기구(OECD) 산하 정보보호 및 프라이버시(SPDE) 실무 작업반 부의장으로 활동 중이다. 작업반은 회원국의 온라인 정보보호 정책 검토, 가이드라인 제정, 국제규범 마련을 주도하는 조직이다. 그는 또 아시아태평양경제협력체(APEC) 전자상거래운영그룹(ECSG) 산하 개인정보보호분과(DPS) 한국대표다. DPS는 전자상거래 촉진 목적으로 개인정보보호관련 사항을 논의하는 조직이다.