EU의 GDPR 초기 결정, 중지 명령권ㆍ금융 분야는 숙제로

입력 2021-03-30 18:00

  • 작게보기

  • 기본크기

  • 크게보기

한국-유럽연합(EU) 간 개인정보 이동 편도 티켓이 발급됐다.

개인정보보호위원회는 30일 EU와 한국 간 적정성 논의가 성공적으로 마무리됐다고 밝혔다. EU 시민의 개인정보를 국내로 자유롭게 이전ㆍ처리할 수 있는 장이 열린 것이다. 다만 한국 시민의 개인정보를 제대로 보호하지 않는 국가로 이전될 경우, 이를 막을 수단은 아직 없다.

▲개인정보보호위원회는 30일 EU GDPR의 초기결정이 채택됐다고 밝혔다. 1단계에 해당하는 절차다. 지금까지 후속절차에서 초기결정이 번복된 사례는 없다. (사진제공=개인정보보호위원회)

◇ 이번 결정에서 빠진 ‘중지 명령권’, 추후 과제로
EU GDPR(일반 개인정보보호법, General Data Protection Regulation)의 힘은 중지 명령권에서 나온다.

지난해 7월 유럽 사법재판소(CJEU)는 EU와 미국 간 프라이버시 쉴드가 무효라 판결했다. EU와 미국 간 개인정보 이전 근거인 해당 협정이 더는 유효하지 않다고 선언한 것이다. EU GDPR에서 규정하고 있는 적정성 결정의 핵심 요건을 미국이 충족하지 못하고 있고, 연방정부 차원의 개인정보 보호 법률이 없다는 것이 이유로 꼽혔다.

프라이버시 쉴드가 무효화된 이후 페이스북은 집중 공격 대상이 됐다. 페이스북은 EU 이용자의 개인정보를 가져오기 위해 EU 집행위의 승인을 받은 계약서에 따라 정보 이전 계약을 맺어야 했다. 표준계약(SCC, Standard Contractual Clauses) 방식이다. 그마저도 지난해 9월 아일랜드 데이터보호위원회(DPC)가 페이스북이 EU 이용자의 개인정보를 미국으로 이전하지 못하도록 예비명령을 내려 길이 막혔다.

이번 적정성 결정을 통해 EU에서 활동하는 한국 기업들은 페이스북과 같은 리스크에서 벗어났다. 한국의 개인정보 보호법이 GDPR과 동등한 수준의 개인정보보호 제도를 운영하고 있다 인정을 받아서다. EU 시민의 개인정보를 이전하는 국내 기업들은 표준계약 방식을 채택할 필요 없이 자유롭게 정보를 가져올 수 있다.

다만 한국에서 EU로 반출하는 정보에 대한 제재 권한은 없다. 현재 한국 이용자들의 개인정보는 개인정보보호법 17조 3에 따라 정보 주체의 동의를 받고 이전하고 있다. 충분한 개인정보 보호 조치가 갖춰지지 않은 국가가 한국 이용자들의 개인정보를 가져간다 하더라도 이를 막을 조치가 없는 셈이다.

이와 같은 문제의식에 따라 개인정보위는 지난 1월 개인정보 보호법 2차 개정안을 발의했다. 제28조의9를 통해 개인정보를 적정하게 보호하고 있지 않다고 판단할 경우 추가 이전에 대한 중지 명령권을 신설했다.

개인정보위 관계자는 “EU에서도 양방향으로 (체결)하는게 좋겠다고 얘기했으나 데이터 3법에 담아가지 못했다”라며 “(이전된 국가에서) 침해된 개인정보 내용의 조사나 위반 내용 제재에 대해서는 시행령에서 다뤄야 할 것으로 보인다”라고 설명했다.

2017년부터 시작된 적정성 협의 과정에서 중지 명령권에 대한 논의가 있었지만 데이터 3법에 반영하지 못했고, 차후 개인정보 보호법 2차 개정안을 통해 보완하겠다는 구상이다.

◇ 금융 분야는 빠졌지만, EU 공공분야 데이터 확보는 성과
이번 적정성 결정에 일부 금융 분야는 포함되지 않았다. 29일 진행한 브리핑에서도 관련 질문이 쇄도했다. 개인정보위가 아닌 금융위원회가 감독하는 개인신용정보는 여전히 표준계약 절차를 따라야 한다는 것이다.

개인정보위와 금융위원회는 개인신용분야가 배제돼도 큰 영향이 없을 것이란 입장이다. 이번 적정성 결정은 EU에서 한국으로 이전하는 개인정보에 국한된 것이고, EU에서는 개인정보와 개인신용정보의 구분이 없어 개인정보 이전에 난항을 겪지 않는다는 것.

금융위원회 관계자는 “EU 주민을 상대로 영업을 하는 금융회사도 드물고, EU 법인 임직원의 인사고과나 승진 등 업무를 위해 개인정보를 이전하는 경우가 대부분”이라며 “적정성 결정이 아닌 표준계약을 진행한다 하더라도 코스트(비용)가 그렇게 크지 않다”라고 설명했다.

다만 EU 이용자를 대상으로 한 핀테크 산업이 활성화될 경우, 해당 리스크를 해소해야 한다는 지적도 있었다.

▲한·EU 공동성명 사전 브리핑을 진행하고 있는 윤종인 개인정보위 위원장의 모습이다. (사진제공=개인정보보호위원회)

윤종인 개인정보위 위원장은 29일 브리핑에서 “EU집행위의 4년 뒤 적정성 결정 후속 검토 과정에서 논의할 수 있을 것”이라고 말했다.

더불어 이번 결정에서 공공분야까지 포함됐다는 점이 성과로 꼽힌다. 한국을 제외하고 EU의 적정성 결정을 받은 국가는 일본이 유일하다. 일본의 경우 공공분야가 배제돼있는데, 한국은 EU 27개국이 가지고 있는 개인정보뿐 아니라 EU 자체 기구들이 보유한 개인정보에도 접근할 수 있어서다.

개인정보위 관계자는 “공공이 가지고 있는 개인정보들이 한국으로 넘어올 수 있는 길이 열렸다”라며 “어떤 나라, 어떤 기관의 정보가 넘어올 수 있을지 고민해 베스트 프랙티스(모범사례)를 만들 것”이라고 말했다.

  • 좋아요0
  • 화나요0
  • 슬퍼요0
  • 추가취재 원해요0
주요뉴스
댓글
0 / 300
e스튜디오
많이 본 뉴스
뉴스발전소