GDPR 적정성 평가, 코로나19에 발목 잡혀 '올스톱'

KISA "유럽 현지 상황 진정되면 3개월 소요 예상"

컴퓨팅입력 :2020/03/29 12:00    수정: 2020/03/30 06:42

"원래는 상반기 내로 완료될 것으로 생각했다. 유럽연합(EU)에서 코로나19가 확산되기 전 진영 행정안전부 장관이 유럽에 방문해 조기 타결을 도모하려 했다. 저희 예상에는 코로나19만 진정되면 3개월 내 타결이 될 것으로 생각하고 있다. 코로나19가 가장 큰 문제다."

오용석 KISA 개인정보정책단장은 우리나라의 EU 일반 개인정보보호법(GDPR) 적정성 평가 진행 상황에 대해 27일 온라인 간담회에서 이같이 설명했다.

우리나라는 지난 2017년부터 EU GDPR 적정성 평가 절차를 밟고 있다. 이는 적정성 결정 국가로 지정되기 위한 협의다. EU는 개인정보 보호 및 활용에 대한 제도 현황을 검토해 GDPR의 규제 내용과 어느 정도 부합하는지를 살펴 적정성 결정 국가 여부를 평가하게 된다.

적정성 결정 국가로 지정되는 국가의 기업들은 EU 지역 국민의 개인정보를 활용할 수 있게 된다. 즉 EU 지역 국민을 대상으로 사업을 펼치고 있던 국내 기업들이 제각기 GDPR 준수 여부를 평가받아야 할 필요가 없어지는 것이다.

그 동안 GDPR 적정성 평가의 가장 큰 걸림돌은 개인정보 감독 기구의 독립성 부재였다. 지난 1월 개인정보보호법·신용정보법·정보통신망법에 따라 분산돼 있던 개인정보 거버넌스와 법제를 통합하는 '데이터 3법'이 통과되면서 개인정보보호위원회로 거버넌스가 통합됨에 따라 이 문제가 해소됐다.

오용석 KISA 단장은 "현재 GDPR 적정성 결정 국가는 총 13개국으로, 지난해 초 추가된 일본이 제일 마지막이었다"며 "주로 경제 교류가 많은 국가들이 적정성 결정 국가에 포함돼 있으며, EU는 우리나라와의 경제 교역 규모가 세 번째로 큰 만큼 국내 기업 상당수가 진출해 있는 시장"이라고 설명했다.

이어 "데이터 3법 논의가 1년여 동안 이어지면서 적정성 결정도 지연됐다"며 "그러나 다행히 EU 집행위원회에서 개보위가 독립성을 확보됐다고 판단하고 있어 조만간 적정성 결정이 이뤄질 것으로 전망하고 있다"고 덧붙였다.

현재까지는 올 상반기 내로 적정성 결정 국가 지정이 이뤄질 것으로 점쳐진다. 그러나 코로나19로 인해 유럽 지역이 정상화되지 않고 있어 이 시점 또한 유동적이라는 설명이다.

적정성 결정 국가로 지정될 경우 국내 기업에 비관세 장벽으로 작용해오던 개인정보 역외이 전 규제 준수 부담이 해소된다. 이에 따라 KISA는 EU 경제 권역에 진출 또는 진출 예정인 모든 기업에 전반적으로 영향을 미칠 것으로 예상했다. 특히, 개인정보 처리량이 많은 ICT 플랫폼 서비스 산업의 자유로운 정보 이전 촉진을 통해 데이터 경제가 활성화될 것으로 기대했다.

관련기사

이날 오 단장은 오는 8월5일 시행 예정인 데이터 3법 개정 이후 후속 작업 일정도 소개했다. 시행령의 경우 오는 30일 입법예고된다. 고시 등 행정규칙은 다음달 중 입안을 완료해 5월 중 행정예고가 추진될 예정이다. 행정규칙에서는 데이터 결합의 세부 절차 등을 담은 고시 1종 및 행안부와 방송통신위원회의 안전성 확보 조치 기준 고시를 통합적으로 정비하는 절차가 병행된다.

개정된 법안의 이해를 돕기 위한 해설서와 가이드라인 제·개정도 추진된다. 가이드라인은 의료, 복지, 금융, 고용, 교육 등 정보 특성을 고려한 분야별 개인정보 처리 가이드라인 마련하는 것으로, 총 42개 개인정보 관련 가이드라인 제·개정이 이뤄질 예정이다. 해설서는 법 개정으로 새롭게 도입된 개념이나 내용이 구체적 예시나 사례를 통해 이해될 수 있도록 개정된다.