GDPR 시행이 코앞에 다가오면서 관련 컨설팅과 서비스, IT 솔루션을 제공하는 기업들이 고객의 GDPR 대응 현황에 대한 보고서를 발표하면서 관심을 환기시키고 있다. 대부분의 내용은 기업/기관의 GDPR 대응이 미흡하며, 자칫 잘못하면 비즈니스에 큰 피해를 입게 될 것이라는 경고의 메시지를 담고 있다.
SAS는 4월 GDPR 대응 완료 기업이 7%에 불과하다는 조사 결과를 발표했으며, 25일 GDPR 시행일까지 대비를 마칠 것으로 예상하는 기업은 절반에도 미치지 못하는 46% 뿐이라고 지적했다. 특히 조사에 참여한 유럽연합(EU) 기업의 53%, 미국 기업의 30%만이 GDPR 시행일까지 준비를 끝낼 것으로 예상했다. 상당수의 기업이 GDPR 대응에 대한 낮은 자신감을 보였으나, 93%는 GDPR을 준수하기 위해 노력하고 있는 것으로 조사됐다. 이중 58%는 체계적인 계획을 세우는 중이며, 35%는 계획을 수립할 예정이라고 답했다.
GDPR의 긍정적인 영향에 주목하는 보고서도 있다. SAS 보고서에서는 전체 응답자의 84%, EU 응답자의 91%가 GDPR이 데이터 거버넌스를 향상시킬 것이라고 내다봤으며, 응답자의 68%는 GDPR이 기업과 고객 간 신뢰를 높일 것으로 예상했다.
젬알토의 연례 데이터 유출 조사 보고서 ‘BLI(Breach Level Index)’에서도 세계 각국의 데이터 프라이버시 관련 규제가 데이터 보안의 기폭제가 될 것이라고 전망했다. BLI는 GDPR과 호주 NDB(Notifiable Data Breaches)를 지목하며, “세계 각국에서 데이터 프라이버시 관련 규제가 시행되고 있어 데이터 유출 사고는 더욱 심각한 문제가 될 것이다. 이러한 규제가 데이터 보안의 기폭제가 될 것”이라고 내다봤다.
한편 BLI에서는 지난해 전 세계에서 유출된 개인정보는 26억개로, 전년대비 88% 증가했다. 그러나 암호화로 보호된 데이터는 단 4% 뿐이다. BLI는 올해도 세간의 주목을 받는 데이터 침해 사고가 다수 발생해 올해에도 심각한 사고가 발생할 것이라고 경고했다. 유출사고 원인의 69%는 신원도용이었으며, 전체 사고 중 외부 해킹에 의한 것이 72%를 차지했다.
“광고ID도 개인정보 될 수 있어”
GDPR 대응을 위해 가장 먼저 할 일은, 자사 비즈니스가 GDPR에 해당되는지 파악하는 것이고, 그 다음으로 GDPR 적용을 받는 개인정보가 무엇인지 확인하는 것이다. 우리나라 개인정보보호법에서는 주민등록번호, 운전면허번호, 여권번호 등 개인정보가 구체적으로 정의돼 있지만, GDPR에서는 명확하게 어떤 것이 개인정보인지 정하지 않았으며, 유출 시 개인의 자유를 침해하는 것이라고 설명한다.
예를 들어 기업의 광고담당자가 사용하는 ad@abc.com이라는 ID도 개인정보가 될 수 있다. 이 ID가 담당자 개인을 특정할 수 있기 때문이다. 개인의 성적 지향, 종교, 인종 등 차별을 받을 수 있는 내용 등은 개인정보에 포함된다. 사망한 사람의 정보는 개인정보에 포함되지 않으며, 아동의 경우 연령이나 개인정보 항목 등이 다르게 규정돼 있다.
개인정보 제공에 동의했다 해도 프로파일링으로 개인에게 과다한 마케팅 활동을 하는 것은 정보주체가 거부할 수 있다. 여러가지 비식별정보를 결합해 개인을 특정할 수 있다면 개인정보로 인정받기 때문에 주의해야 한다. 비식별정보가 식별가능한 정보로 되는 과정에 대해서는 논란의 여지가 있다. 고급 딥러닝 기술이나 데이터 마이닝 기술을 이용한다면 대부분의 비식별정보는 식별가능한 정보가 된다.
EU 집행위원회는 합리적인 시간과 비용을 들였을 때 식별이 되지 않으면 익명정보라고 해석하고 있다. 개인정보를 제 3자에게 제공하거나 프로파일링으로 개인의 특징을 분석하는 것도 거부할 수 있다. 신용정보를 분석해 대출 광고를 무분별하게 하는 등의 불편을 없애고 개인의 피해를 차단하도록 할 수 있다.
‘개인정보 제공 동의’ 구체적 행위 있어야 인정
개인정보 제공 동의 방식을 규정하는 것에 있어서도, ‘본인이 확실하게 개인정보 제공에 동의했다’는 사실을 증빙할 명확한 자료가 있어야 한다는 것만이 확정된 상황이다. 우리나라에서처럼 개인정보 동의란에 체크하는 것만으로는 부족하며, 개인정보 주체가 적극적인 행동이나 진술이 있어야 동의로 간주하게 된다.
개인정보보호위원회가 EU 집행위원회 ‘동의에 관한 가이드라인’을 번역해 설명한 바에 따르면 스크린을 밀거나, 스마트 카메라 앞에서 손을 흔드는 것, 스마트폰을 시계방향으로 돌리는 것, 8자 모양으로 동작하는 것 등이 동의를 표시하는 옵션이 될 수 있다. 명확하게 정보가 제공되어야 하고, 해당 동작이 특정한 요청에 대한 동의를 나타내는 것이 분명할 때에 인정된다.
권현준 한국인터넷진흥원 개인정보정책단 단장은 “개인정보 제공 동의 시, 개인정보 제공 내용에 대해 상세한 설명이 있어야 하며, 정보주체가 분명하게 알 수 있도록 밝혀야 한다. 또한 개인정보 제공에 동의했다는 명시적인 행위가 있어야 한다”며 “개인정보 제공에 동의했다는 사실을 입증하지 못한다면 모든 비즈니스를 중단해야 하는 일이 생길 수 있으므로, 개인정보 동의를 어떠한 방법으로 확보하는지는 중요하게 판단해야 할 것”이라고 말했다.
