EU GDPR 시행 1년, 한국 적정성 심사 제자리…‘개인정보보호법’ 개정안 처리 시급
유럽연합(EU) 일반개인정보보호법(GDPR) 시행 1주년을 앞두고 우리나라가 GDPR 적정성 결정을 받기 위해서는 국회 계류돼 있는 개인정보보호법 개정안 처리가 시급하다는 지적이다.
GDPR 적정성 결정은 GDPR 적용을 받는 국내 사업자들이 EU 지역 개인정보의 역외 반출을 위한 추가 보완조치에 대한 부담을 단 번에 해소할 수 있는 방안이다.
GDPR은 EU 역내에서 수집된 개인정보의 역외 이전을 원칙적으로 허용하지 않고 있다. 다만 EU 집행위원회가 안전하다고 판단 내린 국가에 개인정보를 이전하는 경우는 별도의 보호조치가 필요 없다. 이를 위해선 해당 국가의 법체계와 운영 현황을 토대로 적정성 결정을 받아야 한다.
한국은 당초 일본과 함께 EU 적정성 우선 협상국으로 지정됐지만 개인정보 감독기구인 개인정보보호위원회의 독립성 부족 등을 이유로 적정성 결정을 받지 못하고 검토단계에서 발목이 잡힌 상황이다.
한국과 함께 우선국으로 지정된 일본은 올해 1월 적정성 결정을 받았다.
개인정보보호위원회의 독립성 강화 등의 내용을 포함하는 개인정보보호법 개정안은 지난해 11월 인재근 더불어민주당 의원이 대표발의했지만 국회 파행으로 제대로 논의하지 못한 채 계류 중이다. 이 법 외에도 국회 발의된 개인정보보호법 개정안은 40건이 넘는다.
정부안으로 마련된 개인정보보호법 개정안에는 개인정보보호위원회를 국무총리 소속 중앙행정기관으로 격상하고, 현행법상 행정안전부의 기능을 위원회로 이관하며, 공동조사 및 처분 등에 대한 의견 제시권을 부여해 개인정보보호 컨트롤타워 기능을 강화하도록 하는 내용 등이 담겨있다.
국내법 개정이 계속 지연될 경우 대기 중인 인도, 브라질 등 제3국으로 적정성 검토 순서가 넘어갈 수 있다는 점이다. 이렇게 되면 한국은 적절성 검토 우선순위를 상실해 처음부터 다시 적정성 평가 단계를 밟아야 한다.
최광희 한국인터넷진흥원(KISA) 개인정보보호본부 개인정보정책단장은 “국내법 개정이 지연되면 적정성 검토 우선순위를 상실할 수 있다”라면서 “인도, 브라질 등 대기하고 있는 제3국에 검토순서가 넘어갈 수 있다. 이렇게 되면 정적성 심사 기간이 더 지연될 소지가 크다”고 말했다.
최 단장은 “EU 집행위에 개인정보보호법 개정안과 정보통신망법 등을 바탕으로 협의를 계속 이어가고 있긴 하지만 정보통신망법은 온라인 사업자 위주로 적용범위가 제한적이라는 점 때문에 역부족인 상황”이라고 덧붙였다. 결국 방안은 개인정보보호법의 조속한 개정이다.
개정안이 올해 국회를 통과하더라도 공표 후 6개월이 지나야 시행할 수 있어 해를 넘길 가능성이 크다.
적정성 결정을 받지 못하는 상황에서 유럽 등에서 사업을 벌이는 국내 기업들은 개별적으로 EU 집행위가 승인하는 보호조치를 마련해야 한다. 유럽 거주 정보주체가 행사할 수 있는 권리와 유효한 법적 구제가 제공되는 장치를 법적 구속력이 있는 기업 규칙으로 만들어놓거나 EU 집행위가 만든 표준계약서를 준용해 EU 사업자와 계약을 체결해야 한다.
KISA가 파악한 결과 삼성, LG 등 대기업의 경우 표준계약서 방식으로 이 문제를 해결하고 있다.
현재 코트라(KOTRA)에 등록돼 있는 기업을 기준으로 EU에 진출한 국내 기업은 700여개사다.
적정성 결정이 지연돼 개별 기업이 적절한 조치를 취하지 못할 경우 GDPR 위반에 따른 과징금이 부과될 수 있다.
최 단장은 “아직까지 GDPR 관련해 국내 기업에 벌금이 부과된 사례는 없었지만 (EU 역내 감독기구에) 민원이 제기됐는지 알 수는 없다”라면서 “삼성, LG 등 대기업은 법무팀에서 GDPR에 대응하고 있으나 중견·중소기업들을 포함해 EU에 진출한 모든 기업의 대응 현황을 파악하기 어려운 상황”이라며 국내 기업이 피해를 입는 일이 발생하는 것을 막기 위해서라도 법 개정과 적정성 심사 통과가 조속히 필요하다는 점을 강조했다.
GDPR 시행 이후 2019년 1월 현재 EU 역대 감독기구에 접수된 민원은 9만5000건 이상, 유출 통지는 5만9000건이다.
대표적으로 구글이 투명성, 유효한 동의 획득 미비 등 개인정보 처리원칙과처리 적법성 위반으로 지난 1월 프랑스에서 과징금 5000만유로(약 653억원) 처분을 받았다. 독일·포르투갈·폴란드·덴마크에서 소셜미디어네트워크서비스사업자·의료기관·온라인광고업체·택시사업자에 GDPR 위반으로 과징금 2만유로(약 2600만원)에서 최대 40만유로(약 5억원)의 과징금이 내려지기도 했다.
GDPR은 28개 EU 회원국 간 개인정보의 자유로운 이동을 보장하는 동시에 정보주체의 개인정보보호 권리를 강화하기 위해 제정한 통합 규정으로, 지난해 5월 25일 발효됐다.
EU 내에 사업장을 운영하며 EU 시민의 개인정보를 처리하는 기업뿐 아니라 인터넷·전자상거래 등을 통해 EU 거주자에게 재화나 서비스를 제공하는 기업, EU 거주자의 행동을 모니터링하는 경우 모두 의무적으로 적용된다.
GDPR을 심각히 위반할 경우 최대 2000만유로(245억원) 또는 전세계 연간 매출액의 4% 가운데 높은 금액의 과징금이 부과될 수 있다.
글. 바이라인네트워크
<이유지 기자>yjlee@byline.network
안녕하세요 이유지 기자님, 평소 바이라인네트워크 기사 잘 보고 있습니다.
쓰신 기사를 읽다보니 유럽은 GDPR로 자국 국민의 개인정보의 역외 반출을 제한하며 개인정보보호 활동을 하고 있는데
우리나라는 어떤지 궁금하네요
일례로 이케아 같은 해외 기업의 웹사이트/앱에 회원 가입을 할때 보면 저의 개인정보의 국외반출을 ‘선택’동의로 하고 있지만 사실 상, 동의하지 않으면 해당 서비스를 이용할 수 없거든요.
이런 부분도 혹시 문제가 없는지 추후에 시간되실 때 다뤄주시면 좋을 것 같습니다.
항상 좋은 기사 감사합니다.
안녕하세요. 관심있게 봐주셔서 감사합니다.
국내법에서는 사전 동의 없는 개인정보 해외 이전은 원칙적으로 금지하고 있는 것으로 알고 있습니다. 정보통신망법 제63조 ‘국외 이전 개인정보 보호 조항’ 국외 이전 개인정보 보호 조항이란 ‘정보통신서비스 제공자’가 이용자들의 개인정보를 국외에 제공(조회)·처리위탁·보관하려면 반드시 동의를 받아야 한다.
① 정보통신서비스 제공자등은 이용자의 개인정보에 관하여 이 법을 위반하는 사항을 내용으로 하는 국제계약을 체결하여서는 아니 된다.
② 정보통신서비스 제공자등은 이용자의 개인정보를 국외에 제공(조회되는 경우를 포함한다)ㆍ처리위탁ㆍ보관(이하 이 조에서 “이전”이라 한다)하려면 이용자의 동의를 받아야 한다. 다만, 정보통신서비스의 제공에 관한 계약을 이행하고 이용자 편의 증진 등을 위하여 필요한 경우로서 제3항 각 호의 사항 모두를 제27조의2제1항에 따라 공개하거나 전자우편 등 대통령령으로 정하는 방법에 따라 이용자에게 알린 경우에는 개인정보 처리위탁ㆍ보관에 따른 동의절차를 거치지 아니할 수 차있다.
찾아보니 단 27조 2항 단서가 있긴 하네요. 한 번 알아보겠습니다!