사이버영역에서 GDPR 적용범위 확대시, 개인정보보호 규범 세계화·상향 평준화

[보안뉴스= 이은우 법무법인 지향 변호사] 지난 2015년 10월 6일 유럽연합의 최고재판소 격인 유럽사법재판소는 전 세계를 깜짝 놀라게 한 판결을 내렸다. 미국의 개인정보보호수준이 미흡하므로 유럽연합 각국은 유럽연합 개인정보보호지침(Directive 95/46 EC) 제25조에 따라서 유럽연합 거주자의 개인정보가 미국으로 이전되는 것을 막는 조치를 취할 수 있다는 취지였다.


이 판결은 구글, 페이스북 등 유럽인을 상대로 사업을 벌여 온 미국의 기업들에게 큰 충격을 안겨 주었다. 결국 미국은 유럽 집행위원회와 2016년 2월 2일 ‘EU-US Privacy Shield’라는 시스템에 대해 합의를 했다.

여기서 미국은 유럽인을 위한 특별한 조치를 대거 포함시킨 대책을 제시했다. 그러나 이 대책도 유럽연합 집행위원회의 적정성 평가를 통과할 수 있을지는 아직 미지수다. 이 사건은 유럽연합 개인정보보호 지침의 위력을 상징적으로 보여 주었다.

그리고 개인정보 처리가 국경을 넘어 이루어지는 디지털 환경에서 개인정보보호 규범이 상호 영향을 미칠 수밖에 없다는 점, 이럴 경우 더 높은 수준의 개인정보보호 규범 준수 문제가 생긴다는 점도 잘 보여주었다. 이것은 시작이었다.

통합개인정보보호 법규(GDPR)의 제정과 2년간의 GDPR 이행기
유럽연합은 개인정보보호지침(Directive 95/46 EC)에 머물고 있지 않았다. 2016년 5월 4일 유럽연합 관보(Official Journal)에는 89페이지에 달하는 법률이 게재됐는데, 바로 2018년 5월 25일부터 적용되는 통합개인정보보호 법규(GDPR)다. 2012년에 유럽연합 집행위원회에서 공식 제안을 한 후, 4년여 간의 논의 끝에 드디어 개인정보보호 지침(Directive 95/46 EC)보다 강화된 유럽연합의 통합개인정보보호 법규가 제정된 것이다.

법규 제정 이후 지금 유럽연합에서는 개인정보보호 감독기구나 정부당국, 업계나 사업자 단체 등이 아주 바쁜 나날을 보내고 있다. 주어진 2년 동안 GDPR을 구체화하고, 가이드라인을 만들고, 유럽연합 통합 감독시스템을 만들어야 하는 등 할 일이 많아서 2년의 시간이 모자랄 지경이다. 유럽은 지금 GDPR로의 이행기이다.

유럽연합은 무엇을 할 수 있는가?
GDPR 제정으로 유럽연합이 앞으로 더 적극적으로 개인정보보호 정책을 추진하리라는 것은 GDPR의 내용을 한 번만 훑어 봐도 금방 알 수 있다. 유럽연합 집행위원회가 GDPR 제정에 즈음해 배포한 보도자료를 보면 이 점은 더 분명하다.

유럽연합은 ‘점점 더 개인정보 처리가 고도화되고 있는 오늘날, 개인정보를 더 잘 보호해야만 시민의 자유와 기본권이 보장되고, 신뢰도 구축될 것이며, 결국은 이런 것 이 산업의 발전에도 긍정적으로 기여할 수 있다’고 본다. 유럽연합은 GDPR을 시민의 기본권과 산업 발전의 균형을 맞추는 근간으로 보고 있다. 유럽연합의 이런 기본입장은 바뀌지 않을 것 같다. 개인정보 보호를 시민의 자유와 기본권 보장의 가장 중요한 수단으로 생각하는 전통도 역시 바뀌지 않을 것이다.

실제로 GDPR에는 유럽연합의 이런 의지를 실현시킬 수 있는 여러 가지 조직적·제도적 장치들이 마련돼 있다. 예를 들어, 2018년 강력한 집행력을 갖는 범유럽의 감독기구(EDPB)가 탄생하게 된다. 각국의 개인정보 감독기구의 권한과 기능은 지금보다 훨씬 막강해질 것이다. ‘단일 규범’이 마련돼 집행력도 획기적으로 높아질 것이다.

지금까지는 각국의 법제가 조금씩 다르고, 각국의 개인정보 감독기구가 각자의 관할 범위 안에서 권한을 행사했기 때문에 집행의 공백도 생기고, 편차도 있었지만, GDPR로 공백 없이 일사불란한 집행이 이루어질 것이다. 집행수단도 한층 강력해져서 위반행위에 대해서 최고 2억 유로나 전 세계 연간 매출액의 4%에 달하는 벌금 부과가 가능해 진다.

GDPR, 개인정보보호 규범의 세계화와 상향 평준화
GDPR로 개인정보보호 법규의 적용범위가 획기적으로 넓어지게 된다는 것은 아주 중요한 의미를 갖는다. 이제는 유럽에 사무소를 두지 않아도, 유럽연합 거주자를 상대로 서비스를 제공하거나 상품을 제공할 경우 또는 거주자의 행동을 모니터링하는 경우에는 GDPR의 적용대상이 된다. 예를 들면, 구글이나 페이스북이 여기에 해당하게 된다.

만약 우리나라의 기업이 유럽연합 거주자를 상대로 서비스를 제공하려고 한다면, 그 기업은 GDPR을 준수해야 한다. 유럽연합 거주민의 개인정보를 클라우드 컴퓨팅, 아웃소싱 등 국경을 넘어서 처리하는 경우에도 유럽의 법률인 GDPR이 적용된다.

이처럼 사이버 영역에서 GDPR의 적용범위가 넓어진다면 어떤 일이 벌어질까? 개인정보보호 규범의 세계화와 상향 평준화가 이루어질 것이다. 2018년이 되면 이런 상황이 생길 수 있다. 구글이나 페이스북이 유럽연합 거주자에게 GDPR을 준수해야 하므로 유럽연합 거주자를 위한 개인정보보호 수준은 GDPR에 맞추게 된다. 그러므로 그들에게는 개인정보 이동권, 잊힐 권리 등을 보장해 주어야 한다.

비유럽 거주자에게는 이런 권리를 보장하지 않는다면? 이용자들은 어떻게 할까? 아마도 유럽연합 거주자에게 보장하는 수준으로 개인정보보호를 요구할 가능성이 크다. 그뿐만 아니라 유럽사법재판소의 판결처럼 유럽연합의 적정성을 충족(adequacy)해야만 개인정보 이전이 가능하고 사업이 가능하다면, 각국은 유럽연합 시장을 염두에 둔다면 개인정보보호 규범의 수준을 유럽연합 수준에 맞추려고 할 것이다. 이런 이유로 GDPR이 시행되는 2018년 이후에는 개인정보 보호규범이 유럽연합의 수준으로 상향 평준화하는 경향이 있을 것이다.

GDPR은 개인정보보호 지침(Directive 95/46 EC)을 어떻게 강화하고 있나
이처럼 2018년 이후 개인정보보호 규범이 GDPR 수준으로 상향 평준화가 예상된다면, GDPR에 맞춰 미리미리 대응하는 것이 좋을 것이다. 그런 수동적 관점이 아니라, 개인정보보호 규범의 역할을 생각 해 보더라도 유럽연합의 관점이 맞다.

20대 국회에서는 유럽연합 GDPR 수준의 개인정보보호 규범에 대한 검토와 수용이 이루어지는 것이 바람직하다. 몇 가지만 훑어보면 다음과 같다. GDPR은 개인정보 주체의 동의권을 획기적으로 강화하고 있는데, 적법한 동의로 볼 수 있으려면 분명하고 의식적인 동의여야 한다고 밝히고 있다.

우리도 이를 수용할 필요가 있다. GDPR은 개인정보 보호의 원칙들도 좀 더 구체적으로 기술하고 있다. 그리고 의료정보, 유전자정보, 생체정보, 형사처벌 정도 등을 특수한 유형의 개인정보로 보고 명시적 동의 등이 있는 경우에만 처리할 수 있도록 민감정보의 범위를 넓혔는데 우리도 이런 규정들을 도입할 필요가 있다.

개인정보 처리를 결정하거나 지시하는 통제자(controller) 뿐만 아니라 지시를 받아서 처리하는 처리자(processor)에 대해서도 GDPR은 여러 가지 구체적 의무를 부과하고 있고, 보안조치에 대한 책임도 지도록 하고 있는데, 이런 것들도 우리 법에서 구체화하면 좋을 것이다.

인사상 독립성을 갖는 개인정보 보호관(Data Protection Officers)을 임명하도록 하고, 이들에게 다양한 의무를 부과하고 있는 것도 수용할 필요가 있다. 설계 단계에서부터 프라이버시 보호(Privacy by design), 기본 설정으로 프라이버시 보호(Privacy by default) 규정도 우리가 도입해 볼 수 있는 규정이다.

개인정보영향평가 제도, 집단소송제도도 도입할 만한 내용이다. 그 외에 개인정보주체에게 부여되는 여러 가지 권리들(잊힐 권리, 개인정보 이동권, 개인정보 주체에 대한 통지, 처리 거부권, 프로파일링에 대한 권리 등), 개인정보 감독기구의 권한 등 진일보한 내용들을 담고 있는데, 이런 것들도 도입해야 할 규정들이다.

우리도 준비해야 한다
2018년이 되면 유럽연합의 개인정보보호 규범은 획기적인 진전을 이루게 된다. 이를 위해 유럽연합은 지금부터 준비하고 있다. 그런데 우리의 현실은 뭔가 거꾸로 가고 있다는 생각이다. 기업들이 익명화(anonymisation)도 아닌 비식별화를 하면 개인정보가 아니라느니, 개인정보보호법이 적용되지 않도록 해야 한다는 논리를 만들고 있다. 재식별화되면 다시 비식별화를 하라는 식이니, 아예 처음부터 재식별화 가능성을 열어 두고 있는 셈이다.

아니면 개인정보의 범위를 좁히자거나 동의 요건을 완화해야 한다는 등 국제적 동향과 동떨어진 논의가 주를 이루고 있다. 사물인터넷, 빅데이터 산업이 미래의 먹거리라면서 산업계의 이해를 내세우고 있는데, 유럽연합의 철학과 확고한 입장이 부러울 뿐이다. 하지만 우리에게도 2년의 시간이 주어져 있다. 20대 국회 전반기에 GDPR 수준에 맞는 법률 개정이 이루어질 것을 기대해 본다.
[글_ 이은우 법무법인 지향 변호사(ewlee@jihyanglaw.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>