개인정보보호 강화 시대 발 빠른 대응이 필요한 이유 | 나라경제

세계는 지금

개인정보보호 강화 시대 발 빠른 대응이 필요한 이유

신형철 주벨기에·유럽연합대사관 서기관 2019년 08월호

세계는지금 EU-신형철.pdf

지난 6월 28일, 아베 신조 일본 총리는 G20 정상회의에서 데이터의 자유로운 이동 및 개인정보보호 강화 등 디지털경제의 국제 규범을 논의하기 위한 ‘오사카 트랙’의 공식 출범을 선언했다. 오사카 트랙 출범을 주요 내용으로 하는 ‘디지털경제에 관한 오사카 선언’에는 인도, 남아프리카공화국, 인도네시아를 제외한 G20 회원국·초청국 24개국 정상이 서명했다. 미국, 중국, EU, 러시아 등 사실상 세계경제의 주요 리더들이 모두 일본이 주도하는 국제 디지털 규범 논의에 힘을 실어준 것이다. 일본은 어떻게 이런 합의를 이끌어냈을까? 여러 가지 노력이 있었겠지만, 일본의 EU 「일반개인정보보호법(GDPR; General Data Protection Regulation)」 적정성 평가 통과가 큰 밑거름이 됐음을 부인하기 어렵다.

GDPR로 강력한 개인정보보호 규범 마련한 EU
EU GDPR은 개인정보보호 분야에서 국제적으로 가장 앞서나가는 규범으로 알려져 있다. EU는 이미 1995년부터 각 회원국 입법에 대한 가이드라인이라고 할 수 있는 ‘지침(directive)’ 형태로 개인정보보호를 법제화했다. 이후 변화된 인터넷 기술·환경을 반영해 정보주체의 권리 및 관리자의 의무를 확대하고 각 EU 회원국의 이행 입법 필요 없이 통일적으로 적용되도록 ‘규정(regulation)’을 제정한 것이 바로 GDPR이다. 또한 GDPR은 과징금 부과의 상한을 매우 높게 설정했는데, 심각한 의무 위반의 경우 2천만유로 또는 전 세계 매출액의 4% 중 높은 금액으로 과징금을 부과할 수 있다.
올해 1월 이러한 과징금 규정에 따라 프랑스 개인정보보호위원회가 구글에 5천만유로(약 660억원)의 과징금을 부과한 사례는 GDPR의 엄격함을 잘 보여준다. 프랑스 당국은 구글이 개인정보 처리와 관련해 투명한 정보제공 의무와 정보주체의 동의 요건 충족 의무를 위반했다고 판정했다. 우선 투명성과 관련해, 구글이 데이터 처리 목적 및 저장 기간, 광고 개인화에 사용되는 개인정보 유형 등 필수 정보를 여러 문서에 분산시켜놨기 때문에 사용자가 개인정보 처리와 관련해 정확한 정보를 얻기 어려웠다고 봤다. 또한 프랑스 당국은 구글이 정보주체의 동의가 유효하기 위한 요건 중 세 가지를 충족시키지 못했다고 판정했다. 첫째, 동의는 구체적이어야(specific) 한다. 개인정보 처리 목적을 명시하고 각각의 목적에 대해 동의를 받아야 하지만 구글은 사생활보호정책상의 모든 개인정보 처리에 일괄 동의를 받는 식이었다. 둘째, 동의 여부를 판단하기 위한 충분한 정보가 제공돼야(informed) 하는데, 구글의 경우 광고 개인화를 위해 어떠한 개인정보 처리가 이뤄지는지가 여러 문서에 산재해 있어 그 범위를 파악하기 어려웠다. 셋째, 동의는 명확해야(unambiguous) 하는데 이는 사용자의 동의에 대한 명확한 긍정 행위를 필요로 한다. 구글은 사전에 긍정 표시된 체크박스를 통해 사용자의 명확한 행위 없이도 동의가 기본으로 선택되도록 했다.

GDPR 적정성 평가 통과한 국가의 기업에만 개인정보 역외 이전 허용
이러한 EU GDPR이 특히 우리 기업에 영향을 주는 부분 중 하나는 역외로의 개인정보 이전 관련 규정이다. GDPR은 개인정보를 EU 밖으로 이전하는 것을 원칙적으로 금지하되, 역외 국가에 대해 GDPR상 요구되는 적정한 수준으로 개인정보를 보호하는지 평가해 이를 통과하는 경우 해당 국가로의 개인정보 이전을 허용하고 있다. 지침 시기에도 이러한 적정성 평가가 있었으나 GDPR 도입과 함께 적정성 평가가 매우 까다로워져서 2018년 5월 GDPR 발효 이후 적정성 평가를 통과한 나라는 일본이 유일하다. GDPR 발효 이전에 적정성 결정을 받은 11개국도 그 유효성이 인정되고 있다. EU의 GDPR 적정성 결정이 내려진 국가의 기업들은 EU 내에서 수집한 정보를 별도의 비용 부담 없이 자국으로 가져와 마케팅이나 제품 개발에 활용할 수 있지만, 아직 적정성 평가를 통과하지 못한 우리나라의 각 기업들은 EU가 요구하는 개인정보 이전 절차를 준비하는 비용을 치러야 한다.
우리나라는 2016년에 이미 GDPR 적정성 평가 신청서를 제출하고 EU 측과 협의를 이어오고 있다. 2017년 1월에는 EU 집행위원회가 한국과 일본을 적정성 평가 우선 협상국으로 지정한 바 있으며, 당시 일각에서는 한국이 일본보다 개인정보보호 제도가 앞서 있다는 평가도 있었다. 다만 이후 일본이 앞서나가게 된 것은 개인정보보호위원회 중심으로 조직을 대폭 개편하는 등 EU 측이 중시하는 ‘개인정보보호 감독기구의 독립성’ 요건을 충족하기 위한 노력에 기인하는 바가 크다. 우리나라 역시 「개인정보보호법」상 개인정보보호위원회를 두고 있으나 행정위원회로서 심의·의결 기능만 있고, 행정안전부·방송통신위원회·금융위원회 등 정부부처가 조사, 과징금 부과 등의 집행 기능을 나눠 맡고 있다. 이에 따라 지난해 11월 개인정보보호위원회를 중앙 행정기관으로 격상하고 개인정보보호 관련 업무를 일원화해 담당하도록 하는 「개인정보보호법」 개정안이 국회에 발의된 상태다.

기업의 비용 절감과 경쟁력 증대 위해 GDPR 적정성 결정 조속히 추진을
관련 법 개정 등을 통해 EU GDPR 적정성 평가를 가속해야 할 필요성을 기업의 비용 절감, 기업의 경쟁력 증대, 국제규범 형성 과정에 대한 참여라는 세 가지 측면에서 생각해볼 수 있다.
첫째, 무엇보다 GDPR 적정성 결정을 통해 우리 기업이 빅데이터 분석을 위해 EU로부터 우리나라로 개인정보를 이전하는 비용을 줄여줘야 한다. GDPR은 적정성 결정이 없는 경우 개별 기업에 개인정보 역외 이전을 위한 특정 절차를 요구한다. 가장 대표적인 것이 ‘표준 개인정보보호 조항(standard data protection clauses)’인데 EU 집행위원회가 채택한 표준 개인정보보호 조항을 포함한 개인정보 역외 이전 계약을 체결하는 방식이다. 이 방법은 기업이 개인정보 이전이 필요한 경우마다 일일이 계약을 체결해야 하는 비용이 발생한다. 이 외에도 다국적 기업에서 ‘구속력 있는 기업 규칙(binding corporate rules)’을 채택하고 기업 내부에서의 개인정보 이전에 적용하는 방식이 있는데, 사전에 규칙에 대해 EU 내 관할 감독기구의 승인을 얻어야 하는 부담이 따른다.
둘째, 개인정보보호 강화가 피할 수 없는 추세라고 볼 때, GDPR 적정성 평가를 계기로 관련 제도를 선제적으로 정비해 우리 기업의 국제적 경쟁력을 높이고 관련 신규 산업의 성장을 촉진할 수 있다. 국내 제도가 국제적으로 통용되는 기준을 만족시킨다면 국내 기업들의 해외 진출 시 별도의 적응을 위한 시간과 비용이 줄어들 것이다. 또한 EU 관계자들은 GDPR 발효의 효과 중 하나로 신규 산업의 등장을 들고 있다. 기업들이 GDPR의 엄격한 개인정보보호 기준을 준수할 수 있도록 돕는 컨설팅업, 각 개인의 스마트폰 사용 시 개인정보 유출을 차단하거나 저장된 개인정보를 관리해주는 앱의 등장 등이 그 사례다.
셋째, 개인정보보호 분야의 선진국 그룹에 합류함으로써 이 분야의 국제규범 형성에 참여할 수 있다. 올해 1월 23일 EU의 일본에 대한 GDPR 적정성 결정이 발표된 바로 그날, 아베 총리는 다보스 포럼에서 오사카 트랙의 중심 구상이라고 할 수 있는 ‘신뢰를 통한 자유로운 정보 이동(DFFT; Data Free Flow with Trust)’ 구상을 발표했다. 개인정보와 지식재산권, 국가안보 관련 정보 등은 보호하되 의료·산업·교통 등과 관련된 익명 정보는 국경 없이 자유롭게 이동할 수 있도록 해 혁신과 성장의 새로운 동력으로 삼자는 제안이다. EU와 일본은 GDPR 적정성 결정을 통해 동등한 수준의 개인정보보호 규범을 공유하고 있기 때문에, 일본의 DFFT 구상을 가장 적극적으로 지지하고 있는 게 EU라는 것은 자연스러운 일이다. EU 행정부 수장이라고 할 수 있는 장 클로드 융커 EU 집행위원장은 여러 차례 DFFT를 공개 지지했다. 개인정보보호 분야와 관련된 국제규범은 아직 형성되고 있는 단계이기 때문에 우리나라도 이 분야를 선도하고 있는 EU와 손잡고 구체적인 부분에서 우리에게 유리한 방향으로 논의를 끌고 나갈 필요가 있다.
국제적으로 개인정보보호 규범의 강화는 이미 거스르기 어려운 추세로 보인다. 규제보다 자유로운 기업활동을 중시하는 문화를 가진 미국에서도 캘리포니아주가 GDPR과 유사한 법률을 채택하는 등 유럽식 규제를 향해 선회하는 움직임이 나타나고 있다. 우리나라에 대한 EU GDPR 적정성 결정을 조속히 추진해 선제적으로 대응해야 할 시점이다.