[GDPR D-46]②걸면 걸리는 '데이터 주권法'…수집 동의 없으면 취향분석·원격제어도 위법

4차산업 발목잡는 EU發 규제
자율주행차·스마트팩토리·이메일
개념 모호하고 적용범위 광범위해
EU 거주자 연관 있으면 포함될 듯

등록 2018-04-10 오전 6:00:00

수정 2018-04-10 오후 3:03:16
가 가

[이데일리 문승용 기자]

[이데일리 이재운 기자] 스마트TV를 통해 모은 데이터를 연구에 활용하려던 중소기업의 A 대표는 고민에 빠졌다. EU가 실시 예정인 개인정보보호 규제안을 검토해 본 결과, 연구 목적으로 사용할 경우 수집과 이용이 허용되지만 동의를 구하는 과정이 잘못됐다는 법률자문 결과를 받았기 때문이다. 개인정보에 대한 정의도 우리나라와 달랐던 탓에, 사전에 제대로 검토를 하지 않은 자신을 탓해야 했다. 연구를 바탕으로 추진하려던 중요한 신규사업도 시기를 미뤘다.

EU의 개인정보보호 규제(GDPR; General Data Protection Regulation) 시행이 코앞으로 다가왔지만, 여전히 우리 기업들의 대비는 부족하다. 5월 25일 시행되는 이 규제는 기업에 대한 규제를 넘어 정치·외교적인 긴장관계가 작용하고 있다. 빅데이터 시대에 국제적인 주권과 주도권 갈등이 동시에 얽혀있는 문제다. 범위도 자율주행차나 소비자 행동 분석, 이메일 보관, 스마트팩토리 운영 등 IT 시대 경영활동 전반을 아우르고 있어 문제 소지도 사방에서 터질 수 있다는 게 전문가들 지적이다.

독과점 제재 버금가는 규제안..“한국 기업들 늑장대응”

“EU는 독과점 문제 수준의 페널티(제재)를 가하겠다는 생각을 갖고 이 법을 발효했다”

국제 법률자문사무소 디엘에이 파이퍼 서울사무소장인 이원조 변호사는 최근 GDPR 관련 세미나에서 이렇게 말했다. 그는 “EU에 지사가 있는지, 현지에 근거 기반이 있는지 여부에 관계없이 EU 거주자의 개인정보와 연관이 있으면 무조건 적용된다”고 강조했다.

GDPR은 쉽게 말해 EU 시민권자의 개인정보를 외부로 유출하는 것을 차단하는데 기초를 두고 있다. 다만 현실적으로 그것이 불가능하기 때문에, 이를 역외로 이전하거나 활용하는 경우에 대한 규정들을 두고 있다. 총 99개 조항으로 구성된 규정를 살펴보면 직접 고용한 임직원은 물론, 협력업체나 거래선의 임직원 정보, 고객 정보 등 모든 것이 대상이다. 법인이나 지사가 아니라도 위탁 사무소가 관리하는 전화번호도 대상이 된다. 일각에서 ‘걸면 걸리는 법’이라고 부르는 이유가 여기에 있다.

주요 내용을 보면 △사용자가 본인의 데이터 처리 사항을 제공받을 권리 △정정요청·삭제권리 등 개인정보에 대한 당사자의 권리 강화에 초점을 맞추고 있다. 여기에다 전담 개인정보 보호 책임자(DPO)를 지정하고 개인정보에 대한 암호화 체계를 필수로 갖추는 등의 규정도 담겼다.

이 제도는 이미 2016년 5월 유럽 의회를 통과했다. 구글, 페이스북, 아마존처럼 주로 미국 IT 대기업이 개인정보를 이용하는 데 따른 유럽의 반발 정서가 작용했다. 여기에 EU가 추진하는 온라인상의 통합 정책 ‘디지털 단일 시장(Digital Single Market)’ 기조가 겹쳤다. EU 전체의 단일화된 규제를 강력하게 적용하자는 기조다. 이후 2년간의 유예기간을 줬지만, 여전히 국내 기업들의 대응은 미진하다. 디엘에이 파이퍼 브뤼셀사무소의 패트릭 반 에이케 변호사는 “GDPR은 한국의 개인정보보호법과 비교할 때 자세한 사항이 상당 부분 다르다”며 “미국이나 일본 기업은 빠르게 대응에 나섰지만, 한국 기업은 이들에 비해 상대적으로 준비가 늦어 위험한 상황”이라고 강조했다.

GDPR을 위반한 사실이 적발되면 최대 글로벌 매출의 4%, 혹은 2000만유로(약 260억원) 중 높은 금액을 과징금으로 내야 한다. 나아가 규정 위반이 불거지면 유럽이나 미국 등지에서 이에 대한 집단 소송이 제기되며 추가 피해가 발생할 수도 있다. 에이케 변호사는 “GDPR 규정이 매우 광범위하기 때문에 체계적으로 준비해야 한다”며 “직접 해당 대상이 아니더라도, 유럽 거래선에서 GDPR 기준 준수 요구를 할 가능성도 크다”고 말했다.

특히 커넥티드카, 소비자 행동 분석 소프트웨어 등을 통해 수집한 정보가 해당될 가능성을 강조했다. EU가 규정한 개인정보에는 단순히 이름이나 전화번호 같은 내용뿐 아니라, 개인의 취향을 알 수 있는 정보도 포함하고 있기 때문이다. 향후 자율주행차나 스마트팩토리 가동 정보 등도 대상이 될 수 있다고 전문가들은 해석한다.

광범위한 적용 대상, 부족한 시간 속 선택과 집중 필요

“우리나라 관련 법은 (과징금 등)규제가 높지만 보호는 약한데 비해, EU 관련 법은 규제는 낮지만 보호 수준이 강하다”

이창범 동국대 교수는 GDPR이 우리에게 주는 함의에 대해 이렇게 설명했다. 우리나라 법·제도와 달리 실질적인 보호에 초점을 맞추고 있다는 설명이다.

이 교수는 “사물인터넷(IoT) 등 새로운 IT 환경 속에서 데이터 주권을 확보하고자 등장했다는 속성을 생각해야 한다”며 “일각에서 우리나라 법만 지켜도 충분하다는 잘못된 정보를 내놓고 있는데, 실제로는 동의 방법 등 여러 부분에서 차이가 있기 때문에 주의해야 한다”고 덧붙였다.

성경원 SK인포섹 서비스사업혁신팀장은 “우리의 정보통신망법보다 요구하는 수준이 전반적으로 높다”며 “규정 위반 시 위반의 성격, 의도성, 태만 여부, 추가조치 등 과징금에 대해 감경해주는 부분도 있기 때문에 짧은 기간 안에 선택과 집중을 해 대응해야 한다”고 말했다.

예를 들어 주요 상황에 대한 시나리오를 마련해 규정에 위배되지 않도록 하는 등 자구책을 사전에 준비해 대응하고, 위반 시에도 충분한 소명을 통해 EU 당국을 납득시켜야 피해를 줄일 수 있다는 조언이다.

[GDPR D-46] 기획

①‘매출 4% 과징금’ EU 개인정보보호 규정에…韓 기업 ‘비상’

②걸면 걸리는 ‘데이터 주권法’…수집 동의 없으면 취향분석·원격제어도 위법

③삼성·현대차 빼곤 무방비..中企 과감한 선택과 집중

④‘자국민 개인정보 지키기’ 나선 지구촌…우리는