국내 기업이 유럽 시민의 정보를 한국으로 이전해 활용할 수 있게 될 전망이다. 한국이 유럽 일반 개인정보보호법(GDPR) 적정성 결정 국가 협상 절차의 8부능선으로 여겨지는 '초기결정'을 완료함에 따른 분석이다.
적정성 결정은 유럽연합(EU) 집행위원회가 타국의 법령과 법제 운영 현황 등을 종합적으로 검토해 개인정보 보호 수준이 적정한 국가인지 여부를 판단하는 것이다. GDPR에서는 적정성 결정 국가 지위를 얻은 국가에 한해 EU 내에서 수집된 개인정보의 이전을 허용하고 있다.
초기결정은 적정성 결정의 첫 단계이자 법령 및 법제에 대한 검토를 살펴 문제 유무를 확인하는 절차다. EU 집행위가 초기결정을 채택했다는 것은 한국이 적정성 결정을 받는 데 법제 상의 문제가 없는 것으로 간주했다는 뜻이 된다. 개인정보보호위원회는 EU 회원국 대상 의견수렴 및 최종 집행위 의결 등 남은 절차를 최대한 신속히 마무리하겠다는 방침이다.
윤종인 개인정보위 위원장과 디디에 레인더스 EU 집행위 사법총국 장관은 30일 이와 관련해 공동언론발표문을 공개했다.
■통합 개인정보위 출범으로 협의 급진전…"빠르면 상반기 절차 마무리"
한국은 지난 2017년 1월 EU와 적정성 결정 국가 논의를 공식 개시했다. 그러나 개인정보 감독기구가 여러 부처로 분산돼 있는 등 독립성 요건을 충족하지 못하고 있는 점이 걸림돌로 작용했다. 이 때문에 한-EU 간 협의가 두 차례 중단되기도 했다.
이같은 문제는 지난해 데이터3법 개정으로 개인정보위가 개인정보 관련 부처 기능을 통합해 확대 출범함에 따라 해소돼 협의가 급물살을 탔다. 양측은 지난 4년여 기간 동안 대면·비대면 총 53회의 회의를 거쳐 초기결정을 채택키로 했다.
이번 공동 발표문에서 양측은 “개인정보 보호 분야에 있어 한국과 EU 간 높은 수준의 동등성, 특히 최근 시행된 한국의 개정 개인정보보호법에 따라 개인정보위의 권한이 강화돼 그러한 동등성이 한층 더 향상됐음을 확인했다"고 밝혔다.
이어 "한국은 개인정보 보호에 있어 EU 회원국에 준하는 지위를 부여받게 돼 EU로부터 한국으로의 자유롭고 안전한 정보의 흐름이 가능하게 되고, 한-EU 자유무역협정(FTA)을 보완해 디지털 역량을 선도하는 EU와 한국 간 협력이 강화될 것"이라고 평가했다.
이후 EU 집행위는 바로 초기결정 다음 단계인 의사결정 절차에 착수할 방침이다.
윤종인 개인정보위 위원장은 브리핑을 통해 "초기결정 이후 의사결정 및 최종 의결 단계는 통상 6개월 정도 걸리지만, 초기결정에 상당한 시간을 들인 만큼, 남은 절차에 걸리는 시간을 단축할 수 있을 것이라는 게 실무진 의견"이라며 "이에 따라 상반기 또는 늦어도 올해 하반기까지는 GDPR 적정성 평가를 마무리할 것으로 전망한다"고 말했다.
■개별 계약 필요 없이 국내로 EU 공공·민간 정보 이전 가능…금융은 제외
GDPR 적정성 결정을 받지 못한 국가의 법을 적용받는 기업은 EU에서 수집한 개인정보를 국외로 이전하기 위해 개별 프로젝트 단위로 '표준계약조항(SCC)'을 활용해 계약을 체결하는 것이 일반적이었다. SCC는 EU 집행위 또는 회원국 감독기구가 승인한 개인정보 보호 원칙으로, 내부 규율과 피해보상 등 필수 조항들을 계약서 형식으로 표준화한 것이다.
한국이 적정성 결정 국가 자격을 획득하면 국내 기업들이 SCC 등 기존의 절차를 거치지 않아도 된다. 개인정보위는 이로 인해 국내 기업이 EU 진출이 늘어나고, 시간 및 비용 등 자원도 절감할 수 있을 것으로 봤다.
적정성 결정 국가 협상은 민간과 공공 분야를 포함해 추진된다. 지난 2019년 1월 적정성 결정 국가 지위를 획득한 일본이 민간 분야에 한해서만 적정성 결정을 받은 것과 다른 부분이다. 이에 대해 개인정보위는 규제 협력 등 EU와의 정부 간 협력이 강화될 수 있을 것으로 전망했다. 윤종인 위원장은 "EU와 아직 협의된 바는 없지만, 규제 협력에 관한 사항을 논의할 수 있을 것이란 실무진 간 의견 공유가 있었다"고 첨언했다.
관련기사
- 정부, GDPR처럼 개인정보 유출 과징금 확 늘린다2020.12.23
- 개인정보 보호 강화로 유럽 진출 장벽 높아졌다2020.05.28
- GDPR 적정성 평가, 코로나19에 발목 잡혀 '올스톱'2020.03.29
- 국내 기업, GDPR 과징금 철퇴 걱정 덜었다2021.03.30
금융 분야는 이번 적정성 결정 대상에서 제외됐다. 윤종인 위원장은 "금융 분야가 제외된 것은 EU 측 결정에 따른 것으로, 신용정보법 상 금융위원회가 개인 신용정보 조회 및 감독과 동시에 금융 정책 및 산업 진흥을 담당하고 있어 금융시장 감독 기구로서의 위상이 다소 부족하다고 판단한 것"이라고 답했다.
이에 현재 SCC를 이용해 EU에서 수집한 개인정보를 국내로 이전하고 있는 약 10개 금융기관은 기존처럼 SCC를 이용해야 한다.