GDPR의 제정배경과 주요 내용, 그리고 우리의 준비상황은?

[보안뉴스= 원세연 개인정보보호위원회 서기관] 1995년 EU의 개인정보보호지침을 대체하는 일반개인정보호규정(General Data Protection Regulation)이 내년 5월에 발효된다. GDPR은 2012년에 처음으로 제정 논의가 본격적으로 시작된 이후 4년여 간의 논의를 거쳐 최종 통과했다.


기존의 EU 개인정보보호지침(Directive)은 보호의 일반원칙과 적법한 처리절차·기준 등이 EU 각 회원국의 보호법에 반영되어 EU 시민의 기본권을 보호했다. 그러나 EU 회원국 간 상이한 보호법 체계 및 집행으로 법체계의 복잡성과 법적 불확실성, 행정적 비용이 발생하였다. 이는 곧 EU 시민의 신뢰 약화 및 디지털 경제시대에서 EU의 경쟁력 저하로 이어졌다. 또한 개인정보보호지침이 처음 제정된 17년 전 당시에는 온라인 서비스와 이로 인한 개인정보보호 문제가 없었다.

그러나 소셜네트워크, 클라우드 컴퓨팅, 위치기반 서비스와 스마트카드 등의 등장으로 과거보다 개인정보처리사례가 기하급수적으로 증가했다. 특히, 빅데이터 분석 기법의 발전으로 대량의 개인정보가 실시간으로 생성·가공, 분석·활용되어 다양한 경제적 가치를 창출하게 되었고 반대급부로 개인정보의 오남용으로 인한 정보주체의 피해 역시 심각해지고 있다. 따라서 EU는 디지털 시대에 EU 기본권 헌장 제8조에 명시되어 있는 개인정보보호에 관한 권리를 효과적으로 보호하는 한편, 데이터의 자유로운 이동을 통한 EU 경쟁력 확보를 위해 새로운 단일법제인 GDPR을 제정하였다.

GDPR은 그 형태가 지침(Directive)이 아닌 규정(Regulation)이라는 점에서 기존과는 다르다. 전자가 회원국의 법률에 의해 구체화되어야 효력이 발생하는 반면, 후자는 발효 즉시 직접적으로 효과를 가져 온다는 점에서 큰 차이가 있다. GDPR의 주요내용은 다음과 같다.

우선, 법 적용영역이 확대되었다. EU 역내에서 개인정보를 처리하는 사업자뿐만 아니라, EU의 역외에서 EU 시민의 개인정보를 처리하는 경우까지 법 적용을 확대하였다. 이는 우리나라에 소재한 국내 기업이 EU 시민의 개인정보를 처리하는 경우까지 EU법의 직접 적용을 받게 됨을 의미한다.

둘째, 정보주체의 개인정보자기결정권을 실질적으로 보장하기 위한 권리가 강화되었다. GDPR은 개인정보의 적법한 처리요건인 사전 동의 제도를 더욱 강화하였다. 또한, 고지 시 정보주체가 쉽게 인지할 수 있도록 아이콘, 심벌 등의 사용, 정보주체 이외로부터 수집된 개인정보에 대한 고지 등 고지제도가 강화되었다. 디지털 시대에서 정보주체의 자기정보에 대한 통제권을 강화하기 위해 프로파일링에 의한 의사결정 거부권, 잊힐 권리 도입, 자기 정보 이전권 등이 신설되었다. 특히, 자기정보 이전권은 서비스 공급자 사이에서 개인정보의 이전이 손쉽게 되어 스타트업 기업과 중소기업의 경쟁력 강화에 큰 도움을 줄 것으로 예상된다.

셋째, GDPR은 빅데이터 분석을 통한 다양한 가치를 창출하기 위해 데이터 활용을 위한 규제를 완화하고 있다. 가명처리, 암호화 등 안전조치를 취한 경우 기록보존, 연구, 통계 목적으로 개인정보를 동의 없이 처리할 수 있도록 허용해주고 있는 한편, 개인정보의 가명처리 규정을 도입하고 가명처리 시 정보주체의 권리를 제한하는 등 인센티브의 부여를 통해 활용을 권장하고 있다.

한편, 개인정보 영향평가제도 도입, 개인정보 보호 최적화 설계(privacy by design) 등을 도입해 개인정보처리자의 책임을 강화하고 있다. 또한, 규정 위반 시 최대 2천만 유로 또는 글로벌 매출액의 4%까지 중 높은 쪽의 과징금을 부과하는 등 벌칙 규정을 강화하였다.

GDPR 발효에 대비한 EU 및 각 회원국의 움직임
GDPR은 EU의 전 회원국에 적용되는 단일법이지만 구체적인 지침이 필요하거나 각 회원국이 세부적으로 규정할 수 있는 재량조항이 존재한다. 이에 EU 및 회원국별로 관련 가이드라인과 이행법률을 제정 중이다.

우선 EU 차원에서는 제29조 운영위원회가 자기정보이전권, 개인정보보호책임관, 선입감독기관에 관한 가이드라인을 제정 공표했으며, 개인정보영향평가에 관한 가이드라인 등도 연내에 발표할 예정이다.

독일은 GDPR의 재량조항을 이용한 이행법률이 지난 5월 12일에 상원을 통과하였다. 프랑스의 경우 디지털공화국법의 제정을 통해 잊힐 권리의 아동의 관련 사항, 자기정보 이전권 등을 명문화했다.

개인정보보호위원회 차원의 대응
보호위는 EU GDPR의 제정 이후 GDPR의 주요내용을 분석하고 대응방향을 마련하고자 정책연구용역을 추진하여 왔다. 지난해에는 GDPR의 주요내용과 우리 법제의 개선방향 마련을 위한 연구용역을 시행하였고, 올해는 EU 집행위 및 각 회원국들의 GDPR 준비사항을 조사 중이다.

또한, GDPR 발효에 대응하여 국제적 통용성을 갖추면서 국내 법제의 유연하지 못한 개인정보 보호제도의 개선을 위한 입법과제 수요 발굴을 위한 GDPR 발효 대응 개인정보보호 세미나 개최를 추진 중이다. 정부, 기업, 학계에서 나온 다양한 의견은 우리 법제를 선진화하는 데 좋은 방향을 제시해 줄 것이라 판단된다.

보호위는 작년 7월부터 시행하고 있는 법령안에 대한 개인정보 침해요인 평가를 통해 우리 법제가 개인정보보호의 일반원칙을 준수하면서 EU 등 개인정보보호 세계 표준에 부합될 수 있도록 개선을 권고하고 있다.

마지막으로 위원회는 각 회원국의 이행법률과 가이드라인을 번역하여 홈페이지에 게시하여 개인정보처리자와 전문가가 활용할 수 있도록 지원하고 있다.

개인정보 보호와 활용의 균형의 조화
빅데이터 시대에 다양한 가치를 창출하는 개인정보의 활용은 필연적이다. 이를 위해서는 기업이 개인정보를 활발히 이용해도 국민이 피해를 보지 않는 환경을 마련하는 것이 선결요건이라 할 수 있다. 그러한 의미에서 EU의 GDPR은 많은 시사점을 준다.

우리의 법제도 역시 EU와 같이 빅데이터 시대에서 데이터의 올바른 활용은 보장하면서도 동시에 안전하게 보호될 수 있도록 개선이 필요하다.

보호위원회는 개인정보보호 감독기구로서 우리 제도가 국민의 개인정보를 보호하면서도 기업이 안전한 활용을 할 수 있도록 관련 법제도의 개선방향을 제시하며, 관련 법제도에 대한 개선권고를 통해 국민의 개인정보 보호를 위한 지킴이로서 역할을 성실히 수행할 것이다.
[글_ 원세연 개인정보보호위원회 서기관]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>