유럽에서 시행 중인 강력한 개인정보 보호 정책이 국내 사업자의 해외 진출에 걸림돌로 작용할 수 있다는 주장이 제기됐다. 유럽연합(EU)은 지난해 5월 25일부터 개별국가의 별도 입법 없이도 회원 내 사업자를 규제할 수 있는 '개인정보 보호정책(GDPR)'을 시행 중으로 이 기준을 맞출 수 없는 국내 기업의 현지 진출에 걸림돌이 될 수 있다는 지적이다.
최광희 한국인터넷진흥원 개인정보보호본부 개인정보정책단장은 10일 "EU 역내 개인정보 관련 민원이 급증하고 있다"며 "대처하지 못하는 우리나라 기업이 벌금 피해가 우려된다"고 말했다.
최 단장은 "유럽에서 1995년부터 시행돼 온 기존 정보보호 기준(DPD)은 국가별로 지침을 따로 마련해야 했지만, GDPR은 EU국가에 자동으로 적용된다"며 "유럽 EU국가 내 서비스 중이거나 진출 계획이 있는 국내 기업들은 이 기준을 지켜야할 것"이라고 강조했다.
GDPR은 EU내 국가에서 사업하는 기업에게 적용되는 강화된 개인정보보호규정으로 시행 1년간 글로벌 기업들의 위반 사례도 심심치 않게 발생하고 있다. 올해 1월 구글은 프랑스에서 일반적이고 모호한 개인정보 처리범위 설명으로 투명성 조항을 위반해 5000만 유로(약 643억 원)의 벌금이 부과되기도 했다.
GPDR이 중요한 이유는 원칙상 EU 국가에서 사업 중 수집한 정보를 EU국가 밖으로 이전이 불가능하기 때문이다. EU는 글로벌 기업의 애로사항을 해결하기 위해 개인정보 관련 규정이 정비된 국가를 상대로 적정성을 부여하고 있다.
예컨대 미국과 캐나다, 스위스, 이스라엘 등 총 13개국은 EU의 역외 개인정보 이전 적정성 결정을 받은 국가로, 이들 국가의 기업은 EU국가에서 얻은 개인정보를 자국으로 이전할 수 있다.
일본은 올해 1월 적정성 결정을 받은 반면, 우리나라는 아직 적정성 결정을 받지 못한 상태다.
EU는 우리나라의 개인정보보호법 감독기관의 독립성이 부족한 것을 문제로 지적했다. 우리나라 감독위원회가 정부로부터 간섭에서 영향을 받을 수 있다고 판단한 셈이다. 강력한 개인정보 보호 기준인 정보통신망법의 경우엔 온라인에서만 제한적으로 작용한다는 점이 취약점으로 지적됐다.
최 단장은 "적정성 결정을 위해선 개인정보보호위원회의 독립성을 강화하고, 온라인에만 제한적으로 적용되는 개인정보보호법의 개정안이 통과돼야 한다"고 강조했다.
현재 개인정보보호법 개정안은 국회 계류 중이며, 국회 통과가 이뤄져야만 EU와 재논의가 가능하다.