네이버 AI연구벨트 날개…첫 발 뗀 GDPR, 금융기관 숙제 남아

[이데일리 이후섭 기자]

글로벌 인공지능(AI) 연구벨트를 구축 중인 네이버는 앞으로 유럽 AI연구소에서 별도 절차없이 유럽연합(EU)의 쇼핑정보도 자유롭게 가져올 수 있게 된다. 일반개인정보보호법(GDPR) 적정성 결정이 1차 관문을 통과하면서 이르면 올해 상반기 발효될 예정이기 때문이다.

네이버·SK텔레콤 등 EU에 진출한 기업들은 시간과 비용을 줄일 수 있고, 앞으로 더욱 활성화될 데이터 시장에서 우리 기업들이 글로벌로 확장하는데 제도적인 기초를 튼튼히 했다는 의미가 있다.

다만 이번 결정에는 금융기관이 제외돼 앞으로 풀어야 할 숙제로 남았다. 금융기관도 포함하려면 흩어져 있는 개인정보 관련 법·규정의 해석에 있어 일관성 체계를 확립할 필요가 있으며, 외교적 노력도 뒷받침돼야 한다.

윤종인 개인정보보호위원회 위원장(왼쪽)이 30일 오후 정부청사에서 디디에 레인더스 커미셔너 EU 사법총국 장관과 한-EU 적정성결정 담당장관 화상회의를 진행하고 있다.(사진=개인정보보호위원회 제공)

법률검토 비용 2억원 절감…“글로벌 데이터 시장 향한 발판 마련”

개인정보보호위원회는 30일 EU 집행위원회와 공동으로 GDPR 적정성 결정을 위한 초기결정 채택을 공식화했다. EU 집행위는 초기결정 발표 직후 27개 회원국의 의견수렴 절차에 착수했고, 이를 거쳐 EU 집행위 국무회의에서 최종 의결된다.

윤종인 개인정보보호위원회 위원장은 “한국은 법제 검토에 오랜 기간이 걸려 후속 절차를 2~3개월 내로 단축할 수 있다고 EU 측이 밝힌 점을 고려하면 올해 상반기나 늦어도 하반기에는 최종 결정이 발효될 것”이라며 “지난 2018년 GDPR 시행 이후 일본에 이어 사실상 두 번째로 채택받은 것으로, 한국이 글로벌 선진국 수준의 개인정보보호 국가로서의 위상을 높이게 된다”고 강조했다.

GDPR 적정성 결정이 이뤄지면 국내 기업이 EU의 개인정보를 가져오는 데 필요한 시간과 비용을 줄인다. 그간 EU에 진출한 국내 기업들은 주로 표준계약조항(SCC)을 통해 개인정보를 국내로 이전했는데, LG·SK텔레콤·네이버 등은 GDPR에 대한 법률검토, 현지 실사, 행정절차로 인해 3개월에서 1년 정도의 기간과 프로젝트별 1억~2억 원의 비용을 내야 했다.

또 `최대 전 세계 매출 4%`라는 법 위반시 과징금 부담으로 위축됐던 기업들의 영업 활동도 적극적으로 바뀔 수 있고, 표준계약절차가 어려워 EU 진출을 포기했던 기업들에도 도움이 될 전망이다. 한 대기업 관계자는 “현재 유럽 관련 사업을 진행하지 않지만, 향후 사업 진행 시 적정성 결정이 사업 활성화에 큰 도움이 될 것”이라고 기대했다.

EU 기업이 데이터 연구 및 마케팅 전략 수립을 위해 한국 데이터 전문기업과 제휴하는 것도 가능해져 국내 데이터 산업 활성화에도 도움이 된다. 최경진 가천대 교수는 “현재는 국내 기업 중 EU의 개인정보를 가져올 기업은 그리 많지 않다”면서도 “하지만 앞으로는 결국 전 세계가 하나의 데이터 시장으로 갈 것이기에 미래에 미치는 영향은 크다”고 진단했다.

금융기관은 대상에서 빠져…쇼핑내역 가져오는 건 `OK`

다만 이번 결정은 개인정보위가 감독하는 영역만 대상으로 해서 금융위원회의 신용정보법에 해당하는 금융기관은 적용 대상에서 제외됐다. 현재 은행, 전자금융업자 등을 포함해 9개 업체가 EU의 개인정보를 국내로 이전 중인데, 이들은 기존대로 표준계약조항을 이용해야 한다.

윤 위원장은 “EU 집행위는 신용정보법상 금융위가 감독기구로서 위상이 다소 부족하다고 판단했는데, 금융위도 EU와의 논의 과정에 참여해 이해하고 있다”며 “금융기관이 신용도 판단을 위해 개인정보를 이전하는 경우만 빠진 것으로, 일반 상거래 기업이나 법인이 쇼핑 내역 등을 가져오는 경우는 가능하다”고 설명했다.

네이버의 유럽지사나 AI 연구소에서 쇼핑정보를 한국의 본사로 가져오면 적정성 결정을 통해 가능하나, 내용에 신용정보가 포함됐거나 전자금융업자로 등록된 네이버파이낸셜이 쇼핑정보를 받는다면 문제가 생길 소지가 있어 기존의 표준계약조항을 이용해야 한다는 의미다.

개인정보위는 금융기관도 포함하기 위한 추가 협의는 아직 없다고 했다. 통상 4년마다 GDPR 적정성 결정 관련 리뷰를 진행하는데, 이에 대비해 실무적으로 EU와 금융위가 계속 협의해 나갈 것으로 보인다.

“개인정보 관련 법체계 일관성 확립해야…외교적 노력도 필요”

금융은 대부분 규제산업이라 국내 금융기관이 EU에 진출하기 쉽지 않은 상황이라 금융기관이 EU의 개인정보를 가져오는 사례는 많지 않을 것으로 보인다. 하지만 신용정보는 가장 양질의 데이터이기에 미래 시장을 고려하면 반드시 금융기관도 포함할 필요가 있다.

최 교수는 “이번 결정에 금융기관이 제외된 것은 미래 시장의 가능성을 분명히 제한하는 것으로, 데이터 활성화 차원에서라도 금융기관도 꼭 포함시켜야 한다”고 강조했다.

그럼에도 정부는 EU의 기준을 충족시키기 위해 금융위의 신용정보 관리 권한을 분리하는 방안은 검토하고 있지 않다고 선을 그었다. 4년 뒤에 있을 리뷰에서는 어떻게 금융기관을 합류시킬 수 있을까?

최 교수는 “일차적으로는 금융위, 보건복지부가 개인정보 관련 법을 해석해 적용할 수 있지만, 그러한 해석이 개인정보보호법의 큰 기본원칙에 따라야 하고 어긋난다면 개인정보위가 제동을 걸 수 있는 체계를 갖춰야 한다”며 “일본의 개인정보보호법 수준은 우리보다 뒤떨어지지만 2019년 당시 경제동반자협정을 맺으면서 같이 GDPR 적정서 결정을 받았다는 분석이 있다. 우리도 대통령까지 나서는 외교적인 노력을 통해 EU를 설득해야 한다”고 제안했다.