[일문일답]윤종인 “공공분야까지 GDPR 포함…이르면 상반기 발효 기대”

윤종인 개인정보보호위원회 위원장이 지난 29일 오전 서울 종로구 정부청사 합동브리핑룸에서 유럽연합(EU) 일반개인정보보호법(GDPR) 적정성 결정 관련 사전 브리핑을 하고 있다.(사진=개인정보보호위원회 제공)

[이데일리 이후섭 기자] 유럽연합(EU)의 일반개인정보보호법(GDPR) 적정성 결정을 위한 초기결정 채택이 30일 공식화됐다. EU 집행위원회 국무회의에서 최종 의결을 거쳐 이르면 올해 상반기 정식 발효될 예정이다. GDPR 적정성 결정이 채택되면 국내 기업이 EU의 개인정보를 가져오는 데 필요한 시간과 비용을 대폭 줄일 수 있을 것으로 기대된다.

윤종인 개인정보보호위원회 위원장은 사전브리핑을 통해 “한국은 개인정보 보호에 있어 EU 회원국에 준하는 지위를 부여받게 되면서 EU로부터 한국으로의 자유롭고 안전한 정보 흐름이 가능하게 된다”며 “한-EU 자유무역협정(FTA)을 보완해 디지털 역량을 선도하는 유럽연합과 한국 간 협력이 강화될 것”이라고 평가했다.

한국은 지난 2018년 GDPR 시행 이후 일본에 이어 사실상 2번째로 채택받는 것으로, 그간 EU에 진출한 국내 기업들이 GDPR 관련 법률검토 등에 들였던 최대 1년의 기간 및 2억원에 달하는 비용을 절감할 수 있을 것으로 기대된다.

일본과 달리 이번 결정에는 공공분야도 포함돼 규제협력 등 EU와의 정부 간 협력도 강화될 것으로 기대되고, 가명정보 활용에 대한 부분도 실무적으로 논의됐다.

다음은 이날 윤 위원장과의 일문일답이다.

-1단계 초기결정 채택이 공식화됐는데, 향후 절차는 어떻게 되는지.

△EU 집행위원에서 우리와 초기결정 합의를 완료했는데, 1단계가 전체 과정의 80~90% 비중을 차지한다. 이후 EU정보보호이사회(EDPB)라는 27개 EU 회원국의 개인정보위원장 협의체에서 의견수렴 절차를 거치게 된다. 다음으로 EU집행위 전원회의(국무회의) 의결을 거치게 되는데, 1단계 이후 최종 결정까지 통상 6개월이 예상된다. 다만 실무적으로 논의하는 과정에서 우리는 범제 검토를 상당히 오래 진행한 만큼 2~3개월로 단출될 수 있다는 EU 측의 입장을 공유받았기에 상반기 내 늦어도 하반기에 최종 결정이 완료될 것으로 예상하고 있다.

-GDPR 시행 이후 일본에 이어 2번째로 채택을 받는 것은 어떤 의미가 있는지. 일본이 받은 적정성 결정과의 차이점은?

△지난 2018년 5월 GDPR이 시행된 이후 일본이 2019년 1월에 적정성 결정을 받았고 그 다음 우리나라가 두 번째에 해당된다. GDPR 시행 전에 EU 개인정보보호지침을 받았던 스위스·캐나다·아르헨티나 등 11개국은 GDPR이 발효되면서 자동적으로 지위가 승계된 것이다. 최근 영국이 적정성 결정 초기결정을 받았는데, 영국은 EU 회원국이었다가 탈퇴를 하면서 적정성 결정 단계를 밟고 있는 것이라 우리와는 다른 경우로 보인다.

△우리는 앞서 일본과 달리 민간분야 뿐만 아니라 공공분야까지 포함됐다. 공공기관이 가지고 있는 개인정보를 가지고 어떤 일을 할 수 있을까에 대해서는 EU와 협의된 바는 없지만, 논의 과정에서 규제협력에 관한 사항들을 서로 논의할 수 있다는 실무적인 협의가 있었다. 공공부문의 개인정보 이전에 대해서는 향후 논의해 나가도록 하겠다.

가명정보의 활용에 관한 부분도 적정성 결정에 포함됐다. 일본은 EU 개인정보를 이전해도 가명정보 처리해 활용할 수 없지만, 우리의 개인정보보호법에 포함된 가명정보 활용에 대해서는 EU가 문제제기를 하지 않았다. 가명정보를 연구 등의 목적으로 활용 가능한지 여부에 대해서는 실무적으로 얘기가 있었는데, 세부적인 부분은 더 논의를 해봐야 할거 같다.

-이번 결정에서 금융기관이 제외된 이유는? 금융기관은 아무런 혜택을 받을 수 없는 건가?

△EU는 적정성 결정에서 금융기관 등을 제외한 이유로 신용정보법상 금융위원회가 개인 신용정보 관리를 하고 있지만, 그에 못지않게 금융정책, 산업진흥을 담당하고 있어 금융시장 감독기구로서 위상이 다소 부족하다고 판단했다. 금융위원회도 EU와의 논의에 참여해 그 과정은 이해하고 있다.

금융기관 등은 기존대로 표준계약조항 절차를 밟아 EU의 개인정보를 이전해야 한다. 다만 이번 적정성 결정으로 두 가지 혜택이 가능할 것으로 보인다. 우선 표준계약조항을 이용하면서 부담할 법적 리스크에서 상당히 자유로워질 것이다. 지난해 유럽사법재판소에서 미국 프라이버시 실드를 무효화하는 판결을 내렸는데, 표준계약조항을 이용하더라도 정보를 이전받는 국가에 대한 적정성 인증이 없다면 정보 이전을 중지할 수 있다는 것이다. 우리가 적정성 결정을 받으면 이런 부분에 있어 기업의 불확실성을 해소할 수 있을 것이다. 또 금융기관이라 하더라도 신용정보가 아닌 일반 개인정보는 개인정보보호법의 적용을 받아 자유롭게 이전 가능하다.

-금융기관이 제외됐다는 것이 정확히 어떤 범위를 의미하는지? EU 시민의 쇼핑정보도 이번 적정성 결정에 해당이 안 되는 것인가?

△금융기관은 신용정보법상 금융위원회의 감독을 받는 기관들을 의미하는 것으로, 전자금융업자도 포함된다. 금융기관들이 신용도 판단을 위해 이전하는 개인정보만 빠진 것으로, 유럽 지사의 임직원 정보 등 일반 정보는 적정성 결정에 해당된다. 쇼핑정보의 경우 정보를 받는 주체가 일반 상거래 기업이나 법인이면 적정성 결정 범위에 포함돼 자유롭게 이전 가능하다.

-향후 금융기관을 포함시키기 위한 추가 협의는 진행할 계획인지? 정부조직법 개정 등을 통해 금융위 기능을 분산시키거나 신용정보 관리 권한을 개인정보위로 이관시키는 방안 등에 대한 검토가 가능할까?

△추가 협의는 아직 없고, 이번 적정성 결정은 일단 EU와 협의한 대로 진행할 방침이다. 통상 4년마다 GDPR 적정성 결정 관련 리뷰를 진행하는데, 이에 대비해 실무적으로 EU와 금융위가 계속 협의해 나갈 것으로 보인다. (금융위가 신용정보 관리, 산업진흥을 모두 담당하고 있어 금융기관이 제외됐으니 향후 정부 차원에서 금융위 기능을 분산시킬 계획이 있는지에 대해)그런 건 없다. EU의 판단이기에 추가적으로 언급할 부분은 없다.

-국내 개인정보를 EU로 이전하는 내용에 대해 추후 협의할 계획이 있는지.

△현행 개인정보보호법에는 기업이 수집한 개인정보에 대해 동의 없이 해외라 나가는 것을 제한하고 있다. 개정을 추진하고 있는 2차 개정안에는 EU의 GDPR을 다수 반영해 개인정보 이전을 상호주의적 관점에서 허용할 수 있는 내용을 추가해 입법예고했다. 2차 개정안이 국회 심의를 거치게 되면 그때 한번 논의될 수 있을 것으로 보인다. 이번에 2차 개정안 초안도 함께 테이블에 올려 EU와 논의했는데, EU의 평가가 상당히 긍정적이었다. 개인정보보호법 2차 개정안이 통과되면 4년 후에 있을 리뷰에 긍정적 영향이 있을 것으로 예상된다.