출처 : http://www.boannews.com/media/view.asp?idx=56326&page=1&kind=2
[보안뉴스= 정현철 한국인터넷진흥원 개인정보보호본부 본부장] 디지털 거래의 확대, 클라우드 컴퓨팅의 발전 등으로 개인정보의 국경 간 이동이 급증함에 따라 EU를 비롯한 각국은 자국민의 개인정보 및 산업 보호를 위한 국외이전 등의 개인정보보호 관련 규제를 강화하고 있다.
GDPR은 유럽연합 회원국 전체에 직접적인 법적 효력을 미칠 뿐 아니라, 유럽연합의 개인정보보호 법제가 세계 각국의 개인정보보호 법제의 구성과 방향성을 ‘현실적으로 구속’한다는 측면에서 큰 의의를 가지고 있다.
세계적으로 유명한 정보기술 시장 조사업체인 포레스터리서치는 지난 5년간의 ‘데이터 프라이버시’를 주제로 한 연구조사의 결과로 3가지의 주요 트렌드를 발표했는데, 그 중 첫 번째가 세계 각국이 유럽연합의 개인정보보호 법제를 기준으로 삼아 이동하고 있는 현상이며, 두 번째가 GDPR이 유럽연합 뿐만 아니라 여타 다른 지역 국가의 개인정보 법제 기준을 상향시키는 현상이라 지적하기도 했다.
EU Directive(1995년)와 GDPR(2015)
Directive와 GDPR의 입법목적은 ‘자연인의 개인정보보호권의 보호’와 ‘개인정보의 자유로운 이동(유통)’에 있다는 점에서는 공통된다고 할 수 있다. 다만 GDPR은 Directive에 비하여 조문수에 있어서도 34개조에서 99개조로 대폭 증가한 것에서 알 수 있듯이 많은 부분에 있어서 변경 및 강화됐다.
GDPR은 1995년 이래 운영된 EU의 개인정보보호 지침(Directive)을 형식과 내용 측면에서 모두 업그레이드해 대체한 것이다. 특히, 고려하지 못했던 새로운 디지털 시대에 적용될 수 있는 효과적인 개인정보보호 및 관리 프레임워크를 제공한다는 점에서 의미가 크다고 할 수 있다.
또한, 기존 Directive 상의 유럽연합 회원국의 개인정보보호 규율 체계는 유럽연합 회원국에 직접적인 법률효력을 갖지 않아 개별 회원국이 처한 상황에 따라 별도의 입법을 해야 했다. 이에 따라 유럽연합은 개별 회원국마다 상이한 개인정보보호 규정과 처벌기준을 갖게 되는 등 소위 ‘파편화(fragmentation)’된 개인정보보호 법제를 갖게 되었고, 그로 인해 유럽연합 전반에 걸친 일관성 있는 정책 수행에 부담이 되었다.
특히, 유럽연합이 디지털 주도권을 되찾기 위한 정책기조로 내세운 ‘디지털 단일시장(Digital Single Market)’의 성공을 위해서라도 GDPR을 통한 일관성 있는 개인정보보호 법제의 수립이 필요했던 배경도 GDPR 성립의 주요 원동력이 되었다.
EU GDPR 적용범위 및 우리나라와의 관계
GDPR은 유럽연합 내에 사업장(Establishment)을 운영하면서 유럽연합 시민의 개인정보를 처리하는 경우 적용되는 것이 일반적이지만, 유럽연합 외라도 유럽연합에 거주하는 정보주체에게 재화와 서비스를 제공하는 경우 적용되는 지리적 적용 범위를 갖는다.
또한, 유럽시민의 개인정보를 유럽연합 외의지역으로 전송(Transfer)하려는 경우, 사전에 정보주체로부터 명시적 동의를 받거나, 개인정보 이전과 관련하여 해당기업의 소속국가가 유럽연합으로부터 ‘적정성 평가(Adequacy)’를 받거나, 기타 감독기구의 승인이나 구속력 있는 기업규칙과 같은 ‘적절한 보호조치(Appropriate Safeguards)’를 제공해야 하는 등의 매우 엄격한 절차와 규정을 준수해야 한다.
이런 측면에서 유럽연합에 직접 사업장을 두고 유럽연합에 진출하는 또는 자국에서 유럽연합 시민을 대상으로 온라인 서비스를 제공하는 기업 등에 GDPR이 직접 적용되기 때문에 해당 법률이 발효가 되면 한국 기업에도 직접적으로 영향을 미치게 된다.
특히, GDPR 규정의 ‘심각한 위반’이 발생하는 경우 직전 회계연도의 전세계 연간 매출액의 4% 또는 2천만 유로(한화 약 250억 원) 가운데 높은 금액을 과징금으로 부과 받게 될 수도 있어 사전에 재화나 서비스의 제공방식 전반에 대한 컴플라이언스 관점의 검토가 필요하다.
GDPR이 유럽연합에 진출했거나 진출 예정인 기업에 법률 준수에 필요한 업무 절차의 변경이라는 숙제를 안겼다면, 정부에는 우리 개인정보보호 법제의 철학은 무엇이며 향후 어떤 방향으로 개선을 해야 할 것인가라는 화두를 던졌다 할 것이다.
EU GDPR 제정취지 및 주요내용
GDPR은 전문 제2조를 통해 “이 법은 자유, 안보 및 정의와 경제연합 분야의 성과, 경제 및 사회적 발전, 역내 시장 경제의 강화 및 통합, 그리고 개인의 복지 증진을 목적으로 한다”라고 하여 그 목적을 분명히 밝히고 있다. 개인정보보호에 대한 권리는 기본권으로 존중되어야 하며, 충분한 보호수준의 보장을 통한 ‘신뢰’ 형성을 GDPR은 중시하지만, 보호 일변도에 따라 개인정보의 활용을 무조건적으로 제한하는 것이 아니라 경제 및 사회적 발전, 유럽연합의 시장 경제 통합 및 강화를 위해 필요한 기준을 마련한다는 취지도 담고 있다.
추가적인 정보의 사용 없이는 특정 정보주체를 알아보기 어렵게 개인정보를 가명처리(Pseudonymization하는 경우, 수집당시 동의 받은 목적 외 개인정보 활용을 가능하도록 하는 내용이라 던지 정보주체로부터 명시적 동의를 받거나 또는 정보주체와의 계약 체결이나 이행을 위해 필요한 경우 프로파일링(Profiling)을 허용하고 있는 등의 내용에서 위와 같은 GDPR의 취지를 확인할 수 있다.
GDPR은 우리나라의 개인정보 법제에 반영을 고려해봄직한 규정들도 담고 있다. 대표적으로, 유럽연합 내에 컨트롤러나 프로세서(우리나라의 개인정보처리자 내지 수탁자와 유사 개념)가 설립되어 있지 않은 경우 서면에 의해 ‘대리인(Representative)’을 지정하여 그로 하여금 GDPR을 준수하기 위한 활동을 수행하도록 하는 내용이 있다.
해외 사업자가 국내에 서버를 두고 있지 않거나, 사업의 일부만을 수행하는 지사만 국내에 있고 개인정보처리는 모두 해외에서 진행하는 이유로 국내 규제기관이 실질적인 집행력을 행사하지 못하는 경우가 적지 않다. 대리인 제도를 도입하는 경우, 대리인을 매개로 하여 해외 사업자에 대해서도 국내 사업자와 동등한 수준으로 우리 국민의 개인정보를 보호할 수 있도록 요구하고, 그 결과를 확인할 수 있을 것이다.
또한, 데이터(개인정보)보호책임자(DPO: Data Protection Officer)를 지정하도록 하되, 반드시 내부에 DPO를 두지 않고 계약에 의해 외부 전문가를 DPO로 지정할 수 있도록 하며, 업무의 독립성을 보장하는 내용도 정책적으로 큰 의의를 담고 있다. 우리나라의 경우 관계 법령에 의해 일정 규모에 해당하는 개인정보처리자는 개인정보보호책임자를 지정하도록 하고 있으나, 내부에서만 책임자를 지정하도록 하고 있어 전문성 없는 자가 책임자로 지정되어 실질적인 개인정보보호 수준을 향상시키는데 별 다른 기여를 하지 못하는 경우가 적지 않다.
이와 함께 독립성 보장에 대한 규정이 없어 타 부서와의 업무 우선순위 조정에 있어 개인정보보호 업무가 뒤처지게 되는 경우도 있다. DPO를 외부에서 ‘아웃소싱’할 수 있도록 하면, 전문성 있는 인력을 ‘쉐어드 서비스(Shared Service)’로 확보할 수 있으며, 개인정보보호 산업의 활성화도 꾀할 수 있을 것이다. 또한, 개인정보보호책임자의 업무 독립성 확보를 통해 개인정보보호의 필요성이 조직의 논리에 매장되는 현실을 타개할 수 있을 것이다.
이와 같이 GDPR은 우리 법제가 담아야 할 철학과 나아가야 할 방향성을 제시하는 한편, 기존에 우리나라 법제가 미진했거나 담아내지 못했던 제도나 정책을 제시하고 있어 우리 법제에 시사하는바가 매우 크다 할 것이다.
정부는 지난 4월 ‘우리기업을 위한 유럽 일반 개인정보보호법 안내서’를 발간해 유럽연합에 진출했거나 진출예정인 기업이 GDPR 시행에 대응할 수 있도록 했다. 단순히 GDPR의 내용을 소개하고 기업에 이의 준수를 독려하는 수준에서 그치는 것이 아니라, GDPR의 전면 시행이 우리 개인정보보호 법제의 방향성에 어떤 의미를 갖는지를 고민하고 우리 법제를 개선해야 할 절호의 기회로 삼아야 할 것이다. 그리고 그 방향은 보호와 활용의 조화에 초점이 맞추어져야 하며, 필요한 경우 일부 제도를 적극 받아들여야 할 것으로 본다.
'old > 관리적 보안' 카테고리의 다른 글
| [기사] 개인정보 비식별 조치, 세계 각국은 어떻게 하고 있나요 (0) | 2017.09.22 |
|---|---|
| [기사] 23 NYCRR 500 (0) | 2017.08.30 |
| [자료] GDPR과 필리핀 Data Privacy Act of 2012 비교 (0) | 2017.07.13 |
| [기사] 개인정보보호 정책 추진체계의 합리적 개선방안 (0) | 2017.06.13 |
| [기사] NYCRR 500 관련 기사 (0) | 2017.05.17 |
