EU 개인정보 보호수준 적정성 평가, 국내 법 연계와 침해사고 대응 등 실효성 중요
개인정보 국외이전 문제 등 현재 TF팀 구성해 연구·협의중

[보안뉴스 김경애] 행정자치부는 2017년 하반기까지 유럽연합(EU) 승인을 목표로 ‘EU 개인정보 보호수준 적정성 평가’를 추진한다고 밝혔다.

이는 개인정보 국외이전에 따른 유출 위험에서 안전하게 개인정보를 보호하고, 국내기업의 해외진출을 지원하기 위한 것이다.

최근 자유무역협정(FTA) 확대, 국경 간 디지털 거래 확대, 클라우드 컴퓨팅 도입 활발 등으로 개인정보의 국외이전이 급증함에 따라 유렵의 EU집행위원회는 원칙적으로 개인정보의 국외이전을 금지하고 있으며, 개인정보 보호수준이 적정하다고 판정한 국가의 기업에 한해서만 역외이전을 허용하고 있는 상황이다.

현재 EU집행위원회로부터 적합성 판정을 받은 국가는 안도라, 아르헨티나, 캐나다, 이스라엘, 뉴질랜드, 스위스, 우루과이 등 총 11개 국가에 불과하다.

우리나라가 ‘EU 개인정보 보호수준 적정성 평가’ 승인을 받으면 EU에 진출한 국내 기업들은 개인정보 보호와 관련해 EU 기업과 동일한 조건에서 영업 활동이 가능해진다. 또한, 추가 절차 없이 EU 시민의 개인정보를 한국으로 이전해 활용할 수 있게 된다.

이에 따라 행자부는 EU 개인정보 보호지침과 GDPR(EU 단일 개인정보보호법) 제정 내용 등을 면밀히 검토해 EU 적정성 평가 및 국제기준에 맞춰 개인정보보호법 개정을 추진할 방침이다.

지금까지 유럽은 지난 1995년 10월 제정된 개인정보보호 지침(directive)에 의해 규제했다. 하지만 EU GDPR은 EU가 회원국 국민의 개인정보보호를 강화하기 위해 새롭게 만든 정보보호법안이다. 회원국에서 통합적으로 합의된 지침을 근거로 인터넷 기업들의 개인정보 사용을 규제하는 것이 특징이다.

이는 유럽 이사회, 유럽의회, 유럽집행위원회가 4년간의 노력으로 개인정보보호법 초안에 합의한 것으로, 해당 개인정보보호법은 회원국에서 추가적인 국가법을 제정하지 않아도 모든 회원국(프랑스, 독일, 영국, 스페인 등)인 28개국에 적용된다.

GDPR의 주요 목차를 살펴보면 △제정 목적 △법규제 대상자 △법 적용 영토적 범위 △용어 정의 △개인정보보호 원칙 △개인정보 처리의 합법성 △동의 조건 △아동 보호를 위한 동의 조건 △민감 정보 처리 △본인확인 없는 서비스의 개인정보처리 △정보주체 권한 행사 보장 △개인정보보호 중심 설계 등 개인정보처리자/수탁자 의무사항 △개인정보영향평가 △독립적인 감독기구 △회원국 감독기구간 협력 △유럽 개인정보보호 이사회 △벌금/처벌 등 조항으로 구성된다.

주요 내용을 살펴보면 △개인정보보호 위반시 전 세계 매출액의 4% 벌금 △개인정보 유출 사고 발생시 72시간내 감독기구에 보고 △16세 미만의 아동에 대한 개인정보 처리시 부모나 법적 대리인의 동의 요구 △정보주체의 동의 없이 개인정보 이용 및 공개 금지 △민감 정보 취급 기업 개인정보영향평가 의무 수행 △개인정보 처리 공공기관, 개인정보책임자 지정 △개인정보준수 인증 매커니즘 △개인정보 역외 이전(1. 적합성 판정에 의한 국외 이전 2. 적절한 보호조치를 갖춘 경우 국외이전 3. 다국적 기업에 적용되는 회사 내 개인정보 국외이전)등에 관한 사항이 있다.

그렇다면 GDPR과 우리나라 개인정보보호법은 어떤 차이가 있을까? 행정자치부 개인정보보호협력과 조성환 과장은 “기본 내용과 원칙은 GDPR과 비슷하며, 세부 벌칙규정과 국외이전의 통제 부분에서 차이가 있다”며 “어떻게 통제할지가 핵심과제로 충분한 논의를 거친 후, 필요한 내용을 국내 법에 포함시킬 것”이라고 밝혔다.

이와 관련 순천향대 염흥열 교수는 “우리나라는 PIMS처럼 국내 법에만 적용되는 개인정보보호 인증이 있는 반면, 유럽은 회원국 모두에게 적용된다는 점에서 차이가 있다. 또한, 개인정보영향평가의 경우 국내는 공공기관만 의무적으로 평가를 받아야 하는 반면, 유럽은 민감정보를 다루는 곳이라면 공공과 민간에 구분없이 모두 적용된다”고 설명했다. 이 외에 EU의 경우 개인정보보호 이사회 등을 갖추도록 한 점도 차이라고 덧붙였다.

현재 GDPR에서 제3국으로부터 요구하는 사항을 살펴보면 첫째는 법제도 구현, 사법 절차, 실현 가능한 정보주체의 권한 행사방법, 보안조치, EU 역내에서 이전된 개인정보의 다른 국가로의 이전 등의 법 규정과 개인정보보호 관행을 포함한 법제도 수준이다. 둘째는 개인정보 감독 기구의 효과적 기능 존재 여부이며, 셋째는 국제사회에 대한 약속이다.

이에 대해 염 교수는 “적합성 평가를 통과하게 되면 EU 국민의 개인정보를 추가 보호조치 없이 우리나라로 자유롭게 이전할 수 있으므로, 국내외 기업에 많은 혜택이 돌아갈 수 있다”며 “정부와 기관, 기업이 힘을 합쳐 적극 추진해야 한다”고 강조했다.

현재 ‘EU 개인정보 보호수준 적정성 평가’ 추진현황에 대해 행정자치부 개인정보보호협력과 조성환 과장은 “사전에 우리 법부터 철저히 연구한 뒤, EU 집행위원회의 각 회원국 결정기관에게 우리 개인정보보호법을 이해시키고 알리는 사전작업을 진행할 계획”이라며 “법안 내용도 중요하지만 침해사고 대응과 구제 등이 얼마나 실효성 있게 운영되는지가 무엇보다 중요한 심사기준이라는 점을 고려할 필요가 있다”고 강조했다.

이를 위해 현재 행자부는 국내 법제 연구를 위한 용역을 진행 중인 상태로 알려졌다. 또한, TF팀을 조직해 체계적으로 대응하는 한편, EU집행위원회와 우호적 관계를 맺으며 신청시기를 협의해 나갈 것이라는 게 행자부 측의 입장이다.

이에 대해 조성환 과장은 “EU 개인정보 보호수준 적정성 평가는 일정 수준 이상이면 통과되기 때문에 규제가 강한 국내 법은 문제가 되지 않으나, 해외로 이전되는 개인정보를 어떻게 보호할 지 방법을 강구하는 게 중요하다”며 “침해사고 발생시 조사권 등 세부적인 문제 해결방안을 지속적으로 연구해 나갈 것”이라고 말했다.
[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>