유럽이 개인정보 보호 강화를 위해 마련한 '일반 개인정보보호법(GDPR)'이 지난 2018년 5월25일 시행된 이후 2년이 지났다. 유럽 국민의 개인정보 역외 이전을 위한 조건, 강력한 과징금 제도 등 유럽 외 사업자에게도 적용되는 엄격한 규제가 도입되면서 글로벌 기업들은 대응을 위해 분주히 움직였다.
GDPR은 기업이 유럽 내에서 발생하는 개인정보를 수집하는 것에 제약을 둔다. 적절한 수준의 보호조치를 갖춰야 하며, 목적과 연관되는 정보만 수집해야 한다.
개별 기업이 이를 허가받을 수도 있으나, 국가 단위로 허가를 얻는 방법도 존재한다. 적정성 결정 국가 지위를 획득하는 것이다. 해당 지위를 획득한 국가의 기업은 EU 지역 시민의 개인정보를 역외로 전송할 수 있게 된다.
우리나라는 GDPR이 시행되기 전인 2017년부터 적정성 결정 국가가 되기 위한 협상을 EU 집행위원회와 지속해왔다. 가장 큰 숙제였던 개인정보보호법 개정도 올초 이뤄지는 등 진전이 있었다. 다만 유럽 현지 코로나 대응 문제로 협상 마무리는 지연되고 있다.
각 기업들의 대응 상황은 제각각이다. 유럽 현지에 사업장을 뒀거나, 지리적 제한 없이 서비스를 제공하는 ICT 기업 중 사업 규모가 상당한 곳들은 규제 준수 대비를 일찌감치 마쳤다. 그러나 현지 사업 규모가 작거나, ICT 스타트업 등은 GDPR 대응 문제를 두고 부담을 느낀다는 게 법조계, 정부 관계자의 의견이다.
■개보법도 개정되는데…'적정성 결정 국가' 협상 걸림돌 된 코로나
우리나라는 일본과 함께 지난 2017년 적정성 결정 국가 우선 협상국으로 지정됐다. 이후 일본은 약 2년 뒤인 작년 1월 협상을 완료했다. 반면 우리나라는 GDPR이 시행된 지 2년이 지난 현재도 협상을 마무리하지 못한 상태다.
지난해까지만 해도 가장 큰 문제는 GDPR과 국내법 간 괴리였다. EU 집행위에서는 적정성 결정 국가 지정에 앞서 국내 개인정보 감독 기구의 독립성 확보를 요구해왔다. 개인정보 감독 권한이 여러 부처로 나뉘어 있는 상황을 문제삼은 것이다.
이같은 문제를 해결하기 위해 2018년 11월 개인정보보호법·정보통신망법 개정안이 발의됐다. 행정안전부와 방송통신위원회로 나뉘어 있던 개인정보 감독 권한을 개인정보보호위원회로 통합하는 내용이 담겼다. 그러나 국회 정쟁으로 법안 처리가 지연되면서 올해 1월 들어 국회 본회의를 통과했다.
개정안 통과 당시 행정안전부는 GDPR 적정성 평가 절차에도 청신호가 켜졌다고 전망했다. EU 측으로부터 법 개정 시 적정성 결정 관련 문제 유무를 평가해 실시하는 '초기결정'을 할 수 있다는 답변을 받았다는 것. 일본의 경우 초기결정 이후 6개월 뒤 최종적으로 적정성 결정 국가 승인을 받았다.
그러나 28일 현재 한국인터넷진흥원(KISA) 관계자는 "협상 완료 시기를 전망하기 어렵다"고 밝혔다. 개정안 통과 이후 EU 집행위와 초기결정을 위한 협의를 진행해왔으나, 유럽 내 코로나19 확산이 계속 진정될 기미를 보이지 않고 있어 EU 집행위원회와의 협상 추진이 제대로 이뤄지지 못하고 있다는 게 이유다. 다만 "코로나 19라는 예상치 못한 변수로 계획한 일정에 차질이 있었으나, 오랜 기간 지속해 오고 있는 협의가 결실을 맺을 수 있도록 더욱 긴밀한 협의할 방침"이라고 강조했다.
적정성 결정 국가 협상이 아직 마무리되진 못했으나, 결과적으로 GDPR의 시행은 개인정보 거버넌스 개편에 기여한 것으로 보인다.
당장 도입이 시급하진 않지만, 장기적인 관점에서 참고할 만한 내용도 있다. 최경진 가천대 법학과 교수는 GDPR 내용 중 ▲국외로의 정보 이전 관련 조항 ▲자동화된 의사결정에 대해 정보 주체가 거부할 수 있는 권리 ▲개인정보보호책임자(DPO)의 독립성과 강한 감독 권한 등을 긍정적으로 평가했다.
최경진 교수는 "국내법은 해외로의 정보 이전이 강력히 통제돼 있는데, 이를 원천적으론 막기 어렵기 때문에 국가 간 정보 이전에 대한 합리적 조항을 도입할 필요가 있다"고 말했다.
이어 "자동화된 의사결정에 대한 거부권 조항은 인공지능(AI)이 활발히 도입되는 시대를 앞두고 국내에서도 고려돼야 할 부분"이라며, "국내 최고정보보호책임자(CISO) 제도도 유럽에서 실시하는 DPO 제도를 참고해 독립성을 충분히 가지게 되는 방향으로 수정하는 것이 바람직할 것"이라고 덧붙였다.
■"중소·IT 기업이 문제"…GDPR 준비 여부 놓고 고심
개인정보 보호 관련 법제는 각국마다 존재한다. 그럼에도 GDPR이 특히 글로벌 산업계의 긴장을 불러일으킨 이유는 강력한 처벌 조항에 있다. GDPR은 위반 시 연 매출의 4% 또는 2천만 유로(약 272억원) 중 더 높은 금액의 과징금을 부과한다는 내용을 담고 있다.
해외 기업 중에는 유럽 사업을 일시적으로 중단한 사례도 있다. GDPR이 시행된 이후 시카고 트리뷴, LA타임스 등은 GDPR 위반 가능성을 우려해 유럽 서비스를 일시 중지했다.
법조계에 따르면 유럽을 포함한 글로벌 지역에서 사업을 운영하는 국내 대기업들은 GDPR 규정에 부합하는 개인정보 보호 조치 마련이 어느 정도 마무리된 상황이다. 반면 중소기업에겐 GDPR이 유럽 시장 진출에 따르는 과제 중 하나로 작용하고 있다.
국내 기업의 GDPR 대응 현황에 대해 김선희 법무법인 율촌 변호사는 "GDPR이 시행된 2018년에 일찍부터 신경을 쓴 기업들은 비교적 잘 준비가 돼 있다"면서도 "유럽에 사무소를 뒀거나 현지 비즈니스 규모가 상당한 기업들은 대응을 서둘렀지만, 이런 경우가 아닌 기업들은 제대로 준비가 안 돼 있는 경우가 많다"고 말했다.
이어서 "유럽 비즈니스를 하고 있더라도, 사업 규모가 작은 기업들은 GDPR 준수를 위해 그만큼의 자원을 투자할 가치가 있는 건지 고심하게 된다"며 "게임 등 온라인 서비스를 기반으로 하는 회사들은 서비스 특성 상 전세계를 대상으로 서비스를 내놓게 되는데, GDPR을 포함한 글로벌 규제를 얼마나 고려해야 할지 어려워 한다"고 설명했다.
관련기사
- GDPR 적정성 평가, 코로나19에 발목 잡혀 '올스톱'2020.05.28
- 브레이브, 또 구글 고소…"GDPR 위반"2020.05.28
- GDPR 발효 1년6개월…누적벌금 1천473억원2020.05.28
- "IoT 활용 1번지 '아태 지역', 사이버위협 대비해야"2020.05.28
국내 기업이 GDPR에 대해 느끼는 부담은 적정성 결정 국가 소재 기업보다 큰 편이다.
정부 관계자는 "EU에서 수집한 개인정보를 국내로 이전하길 희망하는 기업에게, EU 집행위가 승인한 표준 정보 이전 계약서 '표준계약조항(SCC)'으로 정보 주체의 동의를 받아야 한다고 안내한다"며 "그런데 SCC도 계약서인 만큼 법적 컨설팅 등이 필요할테고, 이는 중소기업이나 앱 서비스를 제공하는 스타트업 등은 부담으로 다가올 수 있는 부분"이라고 언급했다.
