#프랑스 파리에 소재하는 A사(지사)는 EU 고객을 대상으로 맞춤형 쇼핑 대행업(특히 한국 상품)을 하고 있다. 고객이 선호할 것으로 예상되는 상품을 선정하기 위해 수집한 고객 개인정보를 자체 분석하는데 어려움이 있어 한국 본사에 분석을 의뢰하려 했다. 그러나 EU 고객 정보를 한국으로 이전하기 위해 필요한 '표준계약조항(SCC)' 준비에 따르는 시간·비용에 부담을 느꼈다. 아울러 프랑스 개인정보감독기관(CNIL)으로부터 GDPR 위반 여부 조사 및 과태료를 받을지 모른다는 우려로 인해 소극적으로 영업 활동을 했다.
#독일 소재 B사는 고객 개인정보를 활용해 새로운 마케팅 전략 수립이 필요한 상황이었다. 그러나 이에 특화된, 전문성 있는 데이터 연구 기업을 EU 내에서는 찾기 어려웠다. 한국 데이터 연구 기업에 데이터를 이전해 처리하고자 했으나, SCC로 인한 부담이 있어 제한적인 연구만 가능했다.
앞으로는 기업들이 이같은 문제로 곤란을 겪을 일은 없을 것으로 예상된다. 30일 한국이 유럽 일반 개인정보보호법(GDPR) 적정성 결정 국가가 되기 위한 실무 절차인 '초기결정'을 완료함에 따라 늦어도 올해까지 적정성 결정 국가 지위를 획득할 것으로 전망되기 때문이다.
GDPR 적정성 결정 국가가 되면 해당 국가의 법제가 GDPR과 동등한 수준으로 개인정보 보호 제도를 갖췄으며, EU 시민의 개인정보가 안전하게 유통될 수 있는 곳으로 간주된다. 국내법을 준수하는 이상 GDPR에 따른 제재를 받지 않을 수 있는 것이다.
산업계는 특히 GDPR의 강력한 과징금 규정을 우려해왔다. GDPR은 심각한 법 위반을 저지른 기업에 전세계 연간 매출의 4%까지 과징금을 매길 수 있다고 규정하고 있다. 유럽연합(EU) 지역에서 활동하는 기업들은 이런 제재를 피하기 위해 지금까지 많은 시간과 비용을 투입해왔다. 한국이 적정성 결정 국가 지위를 획득하면 이런 부담을 덜 수 있다.
■"프로젝트 당 1억~2억원 소요"…조만간 EU 개인정보 옮기기 편해진다
LG, SK텔레콤, 네이버 등 EU에 진출한 국내 기업들은 EU 시민의 개인정보를 국내로 이전하기 위해 개별 프로젝트 단위로 표준계약(SCC) 기반의 계약을 체결해왔다. SCC는 EU 집행위 또는 회원국 감독기구가 승인한 개인정보 보호 원칙이다.
기업 입장에선 프로젝트마다 SCC를 체결해 정보를 이전하는 과정이 상당한 부담으로 작용해왔다. 이 기업들 설명에 따르면 SCC를 이용한 계약 체결을 위해서는 GDPR 및 해당 회원국의 법제에 대한 면밀한 법률 검토, 현지 실사, 기타 행정절차 등으로 인해 3개월에서 1년 정도의 시간이 소요된다. 또 프로젝트별로 약 1억~2억원의 비용이 투입된다.
이런 점 때문에 여력이 부족한 중소기업의 경우 EU 진출을 포기하는 사례도 여럿 발생했다.
시간과 비용을 투입해 EU 내 개인정보의 국외 이전 계약을 체결하더라도, 리스크가 완전히 해소된다고 볼 수 없었다. 이를 알 수 있는 대표적인 사례가 EU와 미국 간 데이터 전송 합의인 '프라이버시 쉴드'다. 이는 지난 2016년부터 적용돼왔으나, 작년 7월 EU 최고법원인 유럽사법재판소(ECJ)는 프라이버시 쉴드가 무효라는 판결을 내렸다. 프라이버시 쉴드가 EU 법제가 요구하는 만큼의 개인정보 보호 수준을 충족하지 못한다고 본 것이다.
여상수 개인정보위 국제협력담당관은 "SCC에 의거해 EU 시민의 개인정보를 이전하더라도, 이전받는 나라가 적정성 결정 국가 자격이 없다면 안전성을 따져 보고, 문제가 발견되면 정보 이전이 중지될 수 있다는 게 EU 입장"이라고 말했다.
국가 간 법제 협의를 거치는 적정성 결정 국가 협상이 완료되면, 기업들이 지금처럼 GDPR에 개별적으로 대응할 필요 없이, 안정적으로 EU 내 데이터를 한국으로 이전할 수 있게 된다.
EU에서 한국으로의 개인정보 이전이 간편해지면서 EU 기업과 한국 데이터 기업 간의 제휴도 활성화될 것이란 전망도 제기된다.
■신용정보 빠졌지만…"금융기관, EU 태클 걱정 안 해도 돼"
이번 한국-EU 간 적정성 결정 국가 협상 과정에서는 공공, 민간 분야가 포함됐고, 신용정보법에 의거해 금융위원회가 감독하는 영역이 제외됐다. 쉽게 말해 EU 시민의 신용정보는 GDPR에 근거해 한국으로 이전할 수 없다는 뜻이다. 이에 따라 개인정보위는 현재 SCC 기반 계약을 통해 EU 시민의 개인정보를 한국으로 이전하고 있는 10곳 이하 금융기관들이 계속 SCC를 이용해야 한다고 밝혔다.
한창 성장 중인 금융·핀테크 업계만 GDPR 적정성 결정 국가 지위 획득에 따른 혜택을 받지 못하는 게 아니냔 우려가 제기될 수 있다. 그러나 일반법인 개인정보보호법이 GDPR과 동등한 수준의 개인정보 보호 수준을 갖춘 것으로 간주됨에 따라, GDPR에 따른 제재 우려를 덜게 된다는 게 개인정보위 설명이다.
윤종인 위원장은 "SCC를 사용하는 곳들에 대해, EU에서 검토 결과에 따라 국외 이전을 중단시키는 사례들이 있었다"며 "금융기관들은 SCC를 사용하더라도 우리나라가 적정성 결정 국가 지위를 획득하게 되는 만큼 이런 불확실성을 해소할 수 있게 되는 것"이라고 언급했다.
아울러 "금융기관이라 하더라도 신용정보 외 EU 시민의 개인정보는 GDPR에 따른 이전이 가능하다"고 덧붙였다.
적정성 결정 국가 지위를 획득하고 나면 4년 단위로 자격 갱신 여부를 협의하게 된다. 윤종인 위원장은 "4년 후 재협상 과정에서 금융 분야를 포함하는 것에 대한 논의도 할 수 있을 것으로 본다"고 답했다.
■우리나라 국민 정보도…안전한 '국외 이전' 절차 만든다
현재 개인정보보호법 상에는 EU GDPR 적정성 결정 국가 협상처럼, 특정 국가에 대해 국민 개인정보의 이전을 허용하는 제도가 없다. 개인정보위는 현재 입법예고가 끝난 개인정보보호법 2차 개정안에 이 부분을 보완하는 내용을 담았다. 개정안에 따르면 개인정보 보호 수준이 실질적으로 동등하다고 개인정보위가 인정한 국가 또는 국제기구에 대해 국외 이전을 허용한다는 조항이 포함돼 있다.
개인정보, 즉 데이터가 산업 경쟁력의 핵심 가치로 떠오르는 상황에서 상호주의적 제도 마련으로 활용할 수 있는 데이터의 범위와 양을 늘릴 필요가 있다는 입장이다.
관련기사
- 한국 기업, 유럽 시민 정보 활용할 길 열린다2021.03.30
- 정부, GDPR처럼 개인정보 유출 과징금 확 늘린다2020.12.23
- 내 정보 유출한 기업, 과징금 258원 냈다2020.10.08
- 美·EU, '데이터전송 합의' 무효…우회경로는 남아2020.07.17
윤종인 위원장은 "개인정보는 보호만큼 활용을 위한 정보의 영역 확대도 굉장히 중요한 국가 이해관계가 달린 일"이라며 "EU 관점에서 놓고 보면 적정성 결정 국가 협상은 정보의 이동성과 관련된 영역 확장이란 측면을 배제할 수 없다"고 설명했다.
이어 "저희도 그런 측면에서 적격성, 표준계약 조항이나 내부 기업 준칙 등 다양한 제도의 도입을 검토할 필요성이 있다고 본다"고 덧붙였다.