[시큐리티월드 원병철 기자] 유럽연합(EU)의 ‘GDPR(General Data Protection Regulation)’ 적용이 불과 1년 남짓 남았다. 미국에서는 오바마 정부에서 통과시켰던 ‘프라이버시 규칙(Privacy Rule)’을 트럼프 대통령이 폐기하면서 개인정보의 보호와 활용이 국제사회의 큰 관심거리로 떠올랐다. 우리나라에서는 2011년 개인정보보호법 개정과 함께 대통령 직속 ‘개인정보보호위원회(이하 보호위)’가 설립돼 본격적으로 개인정보보호에 대한 정부의 의지가 실현되기 시작했다.

\r\n\r\n

보호위는 개인정보보호에 관한 사항의 심의·의결을 통해 그 권한에 속하는 업무를 독립적으로 수행한다. 2015년 개인정보보호법이 개정됨에 따라 총괄·조정기능이 강화되면서 좀 더 빠르고 강력하게 대응할 수 있게 됐다. EU의 GDPR 시행과 대한민국 개인정보보호의 축제 ‘개인정보보호페어(PIS Fair 2017)’ 개최를 앞둔 상황에서 보호위의 임채호 상임위원을 만나 대한민국 개인정보보호의 현황과 앞으로의 계획에 대해 알아봤다.

\r\n\r\n\r\n \r\n \r\n \r\n \r\n \r\n\r\n\r\n

독자들에게 인사를 부탁드립니다
\r\n서면으로나마 <시큐리티월드> 독자께 인사를 드려 기쁩니다. 저는 대통령직속 개인정보보호위원회 임채호 상임위원입니다. 1983년 행정사무관으로 임용된 후 행정자치부에서 지방행정과 재정과 관련된 업무를 담당해왔습니다. 사무관 시절 미국 시라큐스 대학 대학원 과정에서 데이터와 프라이버시에 관련된 기초지식을 배웠고, 행정정보공개와 참여행정을 주요 가치로 공직을 수행해 왔습니다.
\r\n
\r\n보호위에 대한 소개를 간단히 부탁드립니다
\r\n보호위는 개인정보보호법에 따라 설립된 대통령 소속의 합의제 행정위원회로, 위원장을 포함해 총 15명의 위원으로 구성됩니다. 개인정보보호 관련 사항의 심의와 의결을 담당하며, 개인정보 처리를 수반하는 정책이나 제도를 도입하는 법령안의 개인정보 침해여부를 평가하고 개선을 권고합니다. 헌법기관, 중앙행정기관, 지방자치단체의 개인정보보호법 위법행위에 대해 중지 및 시정권고를 하며, 개인정보 분쟁조정을 통한 정보주체의 권리를 구제합니다.

\r\n\r\n

지난 2014년 카드 3사의 대규모 개인정보 유출사고를 계기로 정부는 분산된 개인정보보호 체계의 문제점을 개선하기 위해 개인정보보호 정상화 대책을 발표하고 후속조치로 개인정보보호법을 개정해 보호위의 총괄·조정기능을 강화했습니다. 강화된 기능은 크게 두 가지로, 개인정보보호 기본계획 수립 및 법령안의 개인정보 침해요인평가 등의 법령형성기능 부여와 개인정보 분쟁조정기능의 보호위 이관(종전 행자부가 한국인터넷진흥원(KISA)에 위탁)입니다.
\r\n
\r\nEU의 GDPR이 세계 개인정보보호에 영향을 끼치고 있습니다. 위원회에서는 어떻게 대응할 계획인지요
\r\nGDPR은 1995년 이래 운영된 EU의 개인정보보호 지침(Direc- tive)을 형식과 내용 측면에서 모두 업그레이드해 대체한 것입니다. 고려하지 못했던 새로운 디지털 시대에 적용될 수 있는 효과적인 개인정보 보호 및 관리 프레임워크를 제공하는 것이 주요 내용입니다.

\r\n\r\n

GDPR의 가장 큰 특징은 관할권의 확대와 벌칙 강화를 들 수 있습니다. 우선 EU 역내 사업자 외에도 EU 역외 사업자가 EU 시민의 개인정보를 처리하는 경우까지 확대돼, EU 시민의 개인정보를 처리하는 우리기업도 직접 관할 대상이 됩니다. 관할 기업이 규정을 위반할 경우 최대 2,000만유로(약 248억원) 또는 기업의 글로벌 매출액의 4% 중 높은 쪽을 과징금으로 부과합니다. 즉, 최소한 248억원의 벌금을 물 수 있다는 거죠. 이처럼 우리나라 기업들도 잘못하면 큰 손해를 입을 수 있기에 보호위에서도 이에 대한 준비를 하고 있습니다.

\r\n\r\n

우선 정책연구를 위해 EU 집행위 및 각 회원국들의 GDPR 시행 준비상황 조사하고 이를 중심으로 가이드라인 제정과 입법조치 동향 등을 연구하고 있습니다. 이 연구를 바탕으로 관련 정부 부처의 입법 및 제도 발전 수요 제시 및 민간 부문의 대응 방안을 논의하고 있습니다. 이행 법률과 가이드라인을 중심으로 EU 회원국 및 집행위원회의 공개 자료를 번역해 위원회 웹사이트에 게시해 기업들이 쉽게 볼 수 있도록 했습니다.
\r\n
\r\nGDPR과 관련해 국내법 개정 의견도 제시되고 있다고 들었습니다
\r\nEU의 개인정보보호 지침(Directive)에서 규정(GDPR)으로 이행하게 된 배경은 새로운 디지털 시대의 도래라는 세계 공통의 흐름입니다. 새로운 온라인 서비스와 빅데이터, 인공지능(AI) 등과 관련된 개인정보 보호 이슈에 대응할 수 있는 프레임워크 구축이 필요하다는 것입니다.

\r\n\r\n

또한, 개인정보 보호와 이용의 양 측면에서 글로벌 스탠다드가 되고 있는 EU의 개인정보보호 법제는 우리나라 법제도 발전의 주요 참조 모델이라 할 수 있습니다. EU의 적정성 결정(Adequacy Decision)을 이끌어내, EU와 우리나라 사이에 개인정보의 자유로운 유통을 통한 기업 활동을 지원할 수 있습니다.

\r\n\r\n\r\n \r\n \r\n \r\n \r\n \r\n\r\n\r\n

개인정보보호법과 관련해 주목하고 있는 국내 이슈는 어떤 것들이 있으신가요
\r\n국내 이슈로는 빅데이터와 개인정보의 국외 이전을 주목하고 있습니다. 우선, 빅데이터 분석을 위해 개인정보의 활용범위를 어디까지 허용하고, 허용하는 경우에는 안전한 활용을 위한 관리체계를 어떻게 갖춰야 하는지에 대한 논의가 필요합니다. 영국 등 EU 회원국들은 공익적인 연구에 한정해 서로 다른 분야와의 교차 연구를 통해 부가가치를 높일 수 있도록 행정정보와 의료정보 등 공공정보를 결합해 제공하고 있습니다.

\r\n\r\n

국가 간 자유무역협정(FTA) 체결과 디지털 거래가 이 확대되고, 클라우드 컴퓨팅 활성화로 개인정보의 국경 간 유통이 급증하면서 우리 국민의 정보가 해외기업에 의해 해외로 이전되는 경우가 있습니다. 이때 해외 기업에 대한 관할권 문제와 정보 이전을 국내법 규정 조항의 개선방향과 검토할 필요가 있습니다. 특히 클라우드 컴퓨팅 서비스의 경우 수탁처리자인 클라우드 컴퓨팅 서비스 제공자에 대해 개인정보 처리자에 준하는 책임과 의무 부여가 필요합니다.
\r\n
\r\n개인정보보호와 관련해 위원회는 물론 각 부처별로 부서가 나뉘어 있습니다
\r\n현행 개인정보보호 체계는 보호위가 주요 정책을 심의·의결하고, 행자부와 방통위, 금융위 등이 소관 분야별 집행업무를 담당하는 분산형 체계입니다. 분산형 집행체계는 담당 부처가 소관 분야에 대한 전문성을 발휘할 수 있는 장점이 있지만, 반대로 한계도 있습니다. 때문에 이미 정립된 국제적 표준에 맞게 독립적인 성격의 개인정보 보호기관이 통합적으로 업무를 관장하는 방향으로 개편이 필요하다고 생각합니다.

\r\n\r\n

보호위의 독립성 부족은 EU 적정성 결정(Adequacy Decision)의 최대 걸림돌로 부상하고 있습니다. 때문에 분산된 집행체계를 일원화해 책임성을 높이는 한편, 빅데이터와 AI 시대의 새로운 개인정보보호 쟁점에 신속하고 일관성 있게 대응하고, 침해 행위로부터 정보주체의 신속한 권리구제가 필요하다고 생각합니다.
\r\n
\r\n보호위의 올해와 앞으로의 계획에 대해 말씀해주십시오
\r\n우선, GDPR이 국내 기업들에게 미치는 영향과 새로운 규제환경에 대비한 국내 기업들의 데이터 사용전략 및 기업의 경쟁력 확보 및 의무준수비용 최소화를 위한 기업의 준비과제를 논의하고자 합니다.

\r\n\r\n

또한, 빅데이터 시대에 정보의 자유로운 흐름의 보장 및 정보주체의 자기정보통제권을 보장하기 위한 법제도 개선방향을 논의해야 합니다. 국내 기업이 GDPR에 원활하게 대응할 수 있도록 정책연구와 정보를 제공하는 한편, 심의·의결 기능을 통해 법제도 방향도 제시하고자 합니다. 이를 위해 독일·프랑스 등 주요국가의 개인정보보호법 개정사항, EU 29조 운영위원회의 의견서, 영국·일본 등 주요 국가의 정책동향 등을 정리해 보호위 웹사이트에 공개했습니다.

\r\n\r\n

보호위는 <시큐리티월드>의 자매지인 <보안뉴스>와 함께 2011년도부터 국민과 사업자의 개인정보보호 인식제고 및 관련 신기술·정책동향을 소개하기 위한 ‘개인정보보호(PIS) 페어’를 개최하고 있습니다. 2017년도에도 <보안뉴스>와 함께 행자부, 방통위 등 유관부처와 협업해 PIS 페어를 국내 제도 발전을 위한 기회로 삼고자 합니다.