GDPR 적정성 결정 1단계 통과…EU 진출기업 비용 부담 던다

윤종인 개인정보보호위원회 위원장이 지난 29일 오전 서울 종로구 정부청사 합동브리핑룸에서 유럽연합(EU) 일반개인정보보호법(GDPR) 적정성 결정 관련 사전 브리핑을 하고 있다.(사진=개인정보보호위원회 제공)

[이데일리 이후섭 기자] 유럽연합(EU)의 일반개인정보보호법(GDPR) 적정성 결정이 8부 능선을 넘었다. 개인정보보호위원회와 EU 집행위원회는 30일 공동발표문을 통해 한국이 개인정보 보호에 있어 EU와 동등한 수준에 있음을 확인했다. GDPR 적정성 결정이 이뤄지면 국내 기업이 EU의 개인정보를 가져오는 데 필요한 시간과 비용을 대폭 줄일 수 있다.

EU와 동등한 수준 확인…“이르면 상반기 최종 결정 나올 것”

윤종인 개인정보위 위원장은 이날 EU GDPR 초기결정 채택을 공식 발표하며 “한국은 개인정보 보호에 있어 EU 회원국에 준하는 지위를 부여받게 됐다”며 “한-EU 자유무역협정(FTA)을 보완해 디지털 역량을 선도하는 유럽연합과 한국 간 협력이 강화될 것”이라고 평가했다.

개인정보위는 지난 2017년 1월 EU와 적정성 논의를 공식 개시했고, 핵심 기준인 개인정보 감독기구의 독립성 요건 미충족으로 인해 2차례 협의가 중단되기도 했다.

지난해 데이터3법(개인정보보호법·정보통신망법·신용정보법) 개정으로 개인정보위가 독립 감독구기구로 출범하면서 이를 해소했고, 총 53회의 회의를 거쳐 이날 초기결정 채택을 공식화하기에 이르렀다.

EU 집행위는 초기결정 발표 직후 27개 회원국의 의견수렴 절차에 착수했고, 이를 거쳐 EU 집행위 국무회의에서 최종 의결된다. 초기결정 단계가 80~90%의 비중을 차지하고 이후에는 통상 6개월이 소요되는 점을 감안하면 올해 상반기나 늦어도 하반기에는 최종 결정이 발효될 예정이다.

윤 위원장은 “한국의 경우 법제 검토에 오랜 기간이 걸린 만큼 후속절차를 2~3개월 내로 단축할 수도 있다고 EU 측이 밝혔다”며 “지난 2018년 GDPR 시행 이후 일본에 이어 사실상 2번째로 채택을 받는 것으로, 한국이 글로벌 선진국 수준의 개인정보보호 국가로서의 위상을 제고하게 된다”고 강조했다.

EU GDPR 적정성 결정 진행절차(자료=개인정보보호위원회 제공)

법률검토 비용 2억원 절감…EU기업과 데이터 활용 제휴도 가능

적정성 결정이 이뤄지면 한국 기업들의 EU 진출이 늘고, 이를 위해 기업이 들여야 했던 시간 및 비용이 절감될 것으로 기대된다.

그간 EU에 진출한 국내 기업들은 주로 표준계약조항(SCC)을 통해 개인정보를 국내로 이전했는데, LG·SK텔레콤·네이버 등 주요 기업에 따르면 GDPR에 대한 법률검토, 현지 실사, 행정절차 등으로 인해 3개월에서 1년 정도의 기간과 프로젝트별 1억~2억원의 비용이 소요됐다.

GDPR 관련 규정 위반에 따른 과징금(최대 전세계 매출 4%) 등 부담과 더불어 중소기업은 표준계약절차 자체가 어려워 EU 진출을 포기하고 있는 것으로 파악됐다. 이제는 EU에 진출한 지사나 현지 기업으로부터 표준계약절차 없이 고객정보를 가져올 수 있고, 법적 불확실성이 해소되면서 적극적인 영업 활동도 가능해질 것으로 보인다. 또, EU 기업이 데이터 연구 및 마케팅 전략 수립을 위해 한국 데이터 전문기업과 제휴가 가능해져 국내 데이터 산업 활성화에 기여할 전망이다.

윤 위원장은 “한국의 개인정보 보호 법제에 대한 신뢰를 기반으로 국내 기업들이 데이터 경제 시대의 주역으로 성장할 수 있는 기반을 마련하게 됐다”고 말했다.

특히 우리나라는 앞서 일본과 달리 공공분야까지 포함돼 규제협력 등 EU와의 정부 간 협력도 강화될 것으로 예상되고, 가명정보 활용에 대한 부분도 실무적으로 논의됐다. 일본은 EU 개인정보를 이전해도 가명정보 처리해 활용할 수 없지만, 우리의 개인정보보호법에 포함된 가명정보 활용에 대해서는 EU가 문제를 제기하지 않아 연구 등의 목적으로 충분히 활용 가능할 것으로 보인다.

운 위원장은 “공공기관이 갖고 있는 개인정보를 가지고 어떤 일을 할 수 있을까에 대해서는 EU와 향후 논의해 나갈 것”이라며 “EU 개인정보를 가져와 우리 법제에 따라 처리하는 것에 대해 EU가 부정하지 않은 만큼 가명정보 활용에 대한 세부적인 부분도 좀 더 논의해 나갈 것”이라고 말했다.

금융기관은 대상에서 빠져…쇼핑내역 가져오는 건 `OK`

다만 이번 결정은 개인정보위가 감독하는 영역만 대상으로 함에 따라 금융위원회의 신용정보법에 해당하는 금융기관은 적용 대상에서 제외됐다. 현재 은행, 전자금융업자 등을 포함해 9개 업체가 EU의 개인정보를 국내로 이전 중인데, 이들은 기존대로 표준계약조항을 이용해야 한다.

윤 위원장은 “EU 집행위는 신용정보법상 금융위가 감독기구로서 위상이 다소 부족하다고 판단했는데, 금융위도 EU와의 논의 과정에 계속 참여해 그 과정은 이해하고 있다”며 “금융기관이 신용도 판단을 위해 개인정보를 이전하는 경우만 빠진 것으로, 일반 상거래 기업이나 법인이 쇼핑내역 등을 가져오는 경우는 적정성 결정을 통해 가능하다”고 설명했다.

GDPR 적정성 결정은 통상 4년마다 리뷰를 거치는데, 일단 이번에 금융기관을 제외한 채로 GDPR 적정성 결정을 채택하고 추후 금융기관에 대해서도 논의해 나갈 방침이다. 또, 개인정보보호법 2차 개정안이 통과되면 우리나라의 개인정보도 EU로 이전하는 것에 대해 논의할 수 있다.

윤 위원장은 “현행 개인정보보호법은 기업이 수집한 개인정보에 대해 동의없이 해외로 나가는 것을 제한하고 있는데, 2차 개정안에는 개인정보 이전을 상호주의적 관점에서 허용하는 내용이 포함돼 있다”며 “2차 개정안 초안에 대해 EU 측이 상당히 긍정적으로 평가한 만큼 4년 후에 있을 리뷰에도 긍정적인 영향을 미칠 것”이라고 내다봤다.