EU, ‘데이터 경찰’ 자처…싱가포르·중국 등 개인정보 보호 강화는 세계적인 추세
유럽연합(EU)의 새 ‘개인정보 보호법(GDPR)’이 25일(현지시간) 전면적으로 시행된다. 그동안 EU 회원국들은 각자 별도로 개인정보 보호 규정을 실시하고 있었지만 이제 GDPR이라는 단일 법규 체제에서 IT 기업들에 강력한 규제를 적용할 수 있게 됐다.
EU는 개인정보 보호가 ‘기본적 인권’에 해당한다며 ‘글로벌 데이터 경찰’을 자처하고 있다. 그러나 이런 개인정보 보호 강화 움직임은 이미 전 세계적인 추세로 자리 잡았으며 사실상 각국이 ‘데이터 보호전쟁’을 벌이고 있다고 최근 영국 파이낸셜타임스(FT)와 일본 니혼게이자이신문(닛케이) 등 주요 외신이 보도했다.
GDPR가 시행되면 기업들은 사용자들로부터 개인 데이터 처리에 대해 명확한 동의를 받아야 한다. 데이터 유출이 일어나면 72시간 이내에 당국에 보고해야 한다. 고객은 또 회사가 보유한 데이터를 보거나 일부 삭제하도록 요청할 권리가 있다.
페이스북과 구글 등 실리콘밸리 기업들도 유럽에 막대한 사용자가 있어서 GDPR를 준수해야 한다. 이를 위반하면 최대 2000만 유로(약 254억 원)나 전 세계 매출액의 4% 중 큰 금액을 과징금으로 내야 한다. IT 기업들이 GDPR를 심각하게 생각하는 이유다.
베라 요로바 EU 사법담당 집행위원은 GDPR에 대해 “규제 당국이 ‘장전된 총’을 손에 쥐게 됐다”며 “이 규정은 EU와 다른 국가 기관들이 개인정보를 취급하는 방법을 극적으로 개선할 것”이라고 강조했다.
많은 기업과 정부기관은 GDPR가 EU는 물론 지금까지 개인정보 보호가 미흡했던 다른 국가의 행동 기준을 설정하는 세계적인 표준이 될 수 있다고 내다봤다. 호주 뉴사우스웨일즈대학의 그레이엄 그린리프 법학과 교수는 FT에 “지난해 기준 전 세계 120개국에 데이터 보호법이 있지만 GDPR가 가장 광범위하고 엄격하다”고 설명했다.
유럽은 물론 아시아에서도 데이터 보호를 이유로 규제를 강화하는 추세가 확산하고 있다고 닛케이는 전했다. 동남아시아 최대 인구국인 인도네시아는 오는 12월 개인정보 보호법을 시행한다. IT 기업들은 정보 보호 책임자를 반드시 둬야 하며 해외로의 데이터 이전에 대해 별도 지침을 마련해 규제할 예정이다.
싱가포르는 이미 지난 2014년 GDPR와 비슷한 보호법이 발효됐다. 말레이시아와 필리핀도 수년 전 보호법을 도입해 인도네시아를 끝으로 동남아 주요국이 모두 개인정보 보호 체제를 구축하게 된다.
일본은 지난해 개인정보 개정 보호법을 시행, 취급하는 개인정보가 5000명 이하인 사업자들까지 규제 적용 범위를 넓혔으며 데이터를 제삼자에게 제공할 때 반드시 날짜와 항목 등을 기록하고 일정 기간 의무적으로 저장하도록 했다. 같은 해 중국은 자국에서 모은 데이터의 해외 반출을 원칙적으로 금지하는 인터넷 안전법을 시행했다.
미국은 개인정보에 관한 포괄적인 규정은 없지만 금융, 의료 등 분야별로 규제가 존재한다. 또 최근에는 기업 정보관리에 문제가 있으면 연방거래위원회(FTC)가 조사해 거액의 벌금을 부과하는 사례가 나타나고 있다고 닛케이는 전했다.
![[컬처콕] 보이넥스트도어, 라이즈와 닮은 듯 다른 점](https://img.etoday.co.kr/crop/320/200/2014561.jpg)