유럽 일반개인정보보호법(EU GDPR)의 민감한 이슈 중 하나로 적정성 결정이 있다. 적정성 결정은 EU 집행위원회가 제 3국의 법령과 접제 운영 현황 등을 종합적으로 검토해 보호 수준이 적정하다고 판단하면 결정하는 것으로, 적정성 결정 국가로 인정받으면 EU 역내에서 수집된 개인정보의 역외 이전이 가능하게 된다.
GDPR 시행 전 유럽과 미국 등 13개국이 적정성 결정 국가로 인정받았으며, GDPR 발효 후 우리나라와 일본이 우선평가대상국가였으나 올해 초 일본만 적정성 결정을 받았다. 우리나라는 아직 검토단계에 머물러 있으며, EU는 우리나라 개인정보 관련 감독기관인 개인정보보호위원회의 독립성이 부족하다는 점과 정보통신망법 등이 온라인에 국한된다는 점 등을 문제 삼고 있다. 또한 테러방지법 등 다른 법안이 정보주체의 자기결정권을 침해하는 등의 문제가 지적될 가능성도 배제할 수 없다.
현재 국회에 계류 중인 개정 개인정보보호법이 EU의 지적을 수용하고 적정성 결정 국가 지정 기회가 될 것으로 기대되고 있지만, 복잡한 국내 정치 환경으로 인해 답보 상태에 머무르고 있다.
적정성 결정을 받지 못하면 EU 시민의 개인정보 역외이전이 불가하다. 대상이 되는 정보주체의 명시적인 동의를 받거나, EU 내에서 서비스하는 기업들과 개별적으로 협의를 해야 한다. 서비스별로 각각 협의를 진행해야 하기때문에 EU 비즈니스를 전개하는데 많은 제약을 받게 된다.
최광희 한국인터넷진흥원진흥원 개인정보정책단장은 “일본을 비롯한 적정성 결정 국가의 개인정보 보호 관련 법안과 비교해 봤을 때, 개정 개인정보보호법을 통해 EU 요구조건을 만족할 수 있을 것으로 기대하고 있다. 이를 위해 반드시 개정 개인정보보호법이 통과되어야 한다”고 말했다.
그는 이어 “EU에서 지적한 문제가 해결되지 않으면 우선평가대상국가 자격을 상실하게 될 것이다. 현재 인도와 브라질이 적정성 결정을 기다리고 있으며, 이들은 최근 개인정보 보호 관련 정책과 법안을 개정 완료했다”며 “적정성 결정을 받지 못하면 EU 개인정보 역외 반출에 제약을 받게 돼, 우리 기업들이 EU 대상 비즈니스를 수행하거나 EU 시민을 채용하는 것, 글로벌 클라우드 서비스를 제공하는 것 등 다양한 분야에서 제약을 받게 된다”고 덧붙였다.
정부의 개인정보보호법 개정안은 인재근 더불어민주당 의원이 대표발의한 것으로, ▲개인정보 판단 기준 명확화 ▲개인정보 보호 추진체계 효율화 ▲데이터 활용을 위한 가명정보 제도화 등의 내용을 담고 있으며, 지난해 11월 정식 발의됐다.
“GDPR 시행으로 글로벌 ICT 기업 영향력 높아져”
GDPR은 심각한 위반 시 전 세계 매출의 4%에 해당하는 막대한 과징금을 받게 된다는 사실 때문에 많은 기업들이 민감하게 받아들이고 있지만, ‘심각한 위반’에 해당하는 판결을 받는 것도 쉬운 일은 아니다. 개인정보 보호와 관련된 문제를 의도적으로 장기간 해결하지 않고 EU 집행위원회의 권고를 받아들이지 않는 경우 가장 심각한 과징금을 매기게 되는 것으로 정의하고 있다.
또한 우리나라 개인정보 보호 관련 규제처럼, 보유하고 있는 개인정보의 숫자나 침해 규모 등을 기준으로 삼는 것이 아니라 개인정보 침해로 인한 피해 수준에 따라 처벌 규정이 달라진다. 개인정보 보호와 관련한 기업의 자율성과 함께 책임도 강화되는 규제라는 뜻이다.
GDPR 시행 후 EU 시민단체들이 구글, 페이스북 등 글로벌 ICT 기업을 대거 고발했는데, 현재까지 부과된 벌금 중 최고 금액은 구글이 지난 1월 프랑스로부터 받은 5000만유로(약 650억원)다. 구글이 이에 항소 의사를 밝힌 바 있으며, 페이스북 등 다른 기업들은 조사 중이다.
GDPR 시행 전, 글로벌 ICT 사업자들이 천문학적인 과징금을 받게 될 것이며 글로벌 영향력을 잃게 될 것이라는 전망이 지배적이었다. 그러나 GDPR 시행 후 1년의 변화를 살펴보면, 이와는 전혀 다른 결과가 나타나는 것이 눈에 띈다.
지난해 블룸버그 통신 조사에 따르면 GDPR 시행으로 인해 대형 글로벌 ICT 서비스의 시장 지배력이 확대된 것으로 나타났다. 대형 ICT 기업은 GDPR 대응을 위한 법적 조치를 완료했으며, 글로벌 법률자문 서비스와 EU 현지 법인을 통한 대응 등 만반의 조치를 취했다.
그러나 중소규모 기업들은 이 처럼 충분한 대응 준비를 완료했다고 보기 어려우며, GDPR 위반 소송이 진행됐을 때 현지 법률 전문 조직의 조력을 받지 못할 수도 있다. 대형 플랫폼 기업들은 ‘GDPR 위반 소송 시 법률 지원까지 제공한다’며 광고주를 끌어모았지만, 중소규모 플랫폼 기업들은 그렇게 하지 못하는 상황이다. 그 결과 글로벌 기업의 영향력이 커지게 됐다는 뜻이다.
“DPO 수요 증가로 고급 보안 전문가 일자리 늘 것”
GDPR 우려로 EU 진출을 포기하거나 사업을 축소하는 사례도 잇따르고 있다. 일부 온라인 서비스는 EU로부터의 접속을 차단하는 경우도 있다, GDPR의 리스크를 상쇄할 만큼 충분한 수익이 보장되지 않는다면 EU 사업을 전개할 필요가 없다고 판단할 수 있다.
GDPR로 인한 부작용만 있는 것은 아니며, 새로운 시장을 만들어가고 있기도 하다. 특히 개인정보보호 책임자(DPO)를 의무적으로 지정하도록 되어 있어 새로운 고급 전문가 수요가 크게 늘어날 것으로 기대된다. 이에 KISA는 DPO 자격증을 신설해 DPO 전문성을 높이는 한편, DPO 지정 법제화를 추진할 계획이다. 이와 관련한 법안도 현재 국회에 계류중이다.
최광희 단장은 “유럽 시민의 개인정보를 취급하는 모든 기업들이 DPO를 지정해야 하는데, DPO는 강력한 업무 독립성을 가지며 업무로 인한 불이익을 받지 않아야 하고, 국가별 관련 법 준수 여부를 모니터링하는 높은 전문성을 가져야 한다. 이러한 조건을 만족시키는 전문가의 수요가 앞으로 크게 늘어날 것”이라고 밝혔다.
한편 정부는 우리 기업의 GDPR 준수를 지원하기 위해 중소·영세기업을 대상으로 한 맞춤형 컨설팅 제공과 함께 관련 귱과 자가진단 지원, 최신 정보 제공, 수시 상담 등을 지원한다. 또한 적정성 결정국으로 지정받기 위한 노력도 꾸준히 진행할 예정이다.
최 단장은 “KOTRA 통계에 따르면 EU에 진출한 우리나라 기업은 700여개에 이른다. 한국에서 EU 대상 비즈니스를 전개하거나 EU 시민을 고용하는 기업을 고려하면 GDPR은 우리 기업에게 큰 리스크가 될 수 있는 규제인 것은 사실이다”라며 “우리 기업의 GDPR 준수를 지원하고 EU 비즈니스를 활성화하기 위해 적극 노력하겠다”고 말했다.
