[디지털데일리 최민지기자] 유럽연합(EU) 개인정보보호법(GDPR)이 내년 5월 시행을 앞두고 있다. GDPR은 EU를 대상으로 비즈니스를 하는 모든 곳에 적용되기 때문에 한국도 예외는 아니다. GDPR을 위반할 경우 전세계 연간 매출액 4% 또는 2000만유로(한화 약 250억원) 중 더 높은 금액을 과징금으로 부과한다.

EU를 상대로 비즈니스를 진행하는 모든 기업들이 비상에 걸렸다. 상황은 이렇지만 한국은 아직도 준비 미흡 상태에 있다. GDPR 시행까지 1년도 채 남지 않았지만 법 개정을 비롯해 정부 부처 내 합의, 기업들의 인식제고 등 갈 길이 멀다.

실제로 ‘베리타스 2017 GDPR 보고서’에 따르면 국내 응답자 61%는 기한 내 GDPR 규정 준수를 위한 대비를 마칠 수 있을지 모르겠다고 답했다. 이는 글로벌 평균 47%보다 훨씬 높다.

이에 개인정보보호위원회는 지난 5일 대한상공회의소 의원회의실에서 ‘4차 산업혁명·EU GDPR 대응 개인정보보호 세미나’를 열고 EU GDPR 영향과 대응방안 등에 대해 논의했다.

◆“실질적 보호수준 요구하는 GDPR, 국내법 정비 필요”=한국을 비롯한 글로벌 기업들은 EU 역내·외에서 경제활동을 하는 경우 EU 회원국 국민들의 개인정보를 처리해 영업활동을 한다면 강화된 GDPR을 준수해야 한다. EU 국민들의 개인정보를 수집하는 EU 역외 기업들로부터 해당정보를 수집하는 회원국 국가기관들도 GDPR을 걱정하고 있다.

국내 기업들은 EU 회원 국민의 개인정보 이용 때 동의 기반 시스템으로 전환하고 국외이전 체계를 준수해야만 한다. EU에 클라우드 서비스를 제공하는 경우도 마찬가지다.

최경진 가천대 법과대학 교수는 “국내법은 보호수준이 높지만 형식적인 측면이 꽤 있어 국내에 진출한 해외 사업자들은 이를 지킬 수 없다는 말들이 나온다”며 “GDPR은 실질적인 보호체계를 요구하고 있다”고 말했다.

GDPR은 개인정보보호 수준은 높아졌지만 이를 충족하는 경우 국외이전에 대한 문은 더 열렸다는 평가다. 이와 관련 국내법도 법제정비가 필요하다는 주장이다.

최 교수는 “현행법상 정보주체에게 동의를 받고 3자에게 개인정보를 제공해야 하며, 개인정보보호법을 위반하는 내용으로 개인정보의 국외 이전에 관한 계약을 체결해서는 안 된다”며 “그러나 이러한 조항 자체가 얼마나 큰 사법적 효과가 있을지는 의문”이라고 지적했다.

이어 “실질적인 보호수준을 확보하고 개인정보 침해 때 구제가 이뤄질 수 있는 환경을 조성해야 한다”며 “국외이전을 법의 사각지대로 남겨두지 않고 해외사업자들이 국내법에 준하는 보호수준을 갖추도록 해 가능한 국내법 보호체계로 편입시키는 법제정비가 필요하다”고 강조했다.

◆한국은 GDPR 준수하기 쉽다? “오해일 뿐, 당장 준비해야”=일각에서는 한국 개인정보보호 법체계가 전세계에서 가장 강력하기 때문에 EU GDPR은 쉽게 준비할 수 있을 것으로 보기도 한다. 기본적으로 한국의 법령만 준수하면 GDPR 준비를 무리없이 할 수 있을 것이라는 기대다.

이에 대해 박광배 법무법인 광장 변호사는 EU와 한국의 개인정보보호 법체계가 이미 적지 않은 부분에서 차이를 보이고 있기 때문에 당장 시작할 수 있는 부분부터 준비에 돌입해야 한다고 조언했다.

박 변호사는 “GDPR로 넘어가면 차이는 더욱 심해질 것”이라며 “개인정보자기결정권의 보호라는 명목하에 남발되는 각종 동의제도에 기반을 둔 국내 법제와는 달리 개인정보의 산업적 활용 가능성, 개인정보의 실질적 보호와 조화를 추구하는 EU의 입장과의 차이에서 기인한다”고 설명했다.

또 “실제로 국내 법제에서는 생소하거나 익숙하지 않은 개념과 법제들이 GDPR에 포함돼 있다”며 “막연하게 남들 다 한 다음에 준비하자는 것은 위험한 발상으로, 당장 대응을 서둘러야 한다”고 말을 보탰다.

한국의 경우, 특정 부분에 대해 명시적으로 보호조치를 했는지에 대해 묻지만 GDPR에서는 알아서 잘 판단해서 실질적으로 보호하고 대응하라고 설명한다는 것. 추상적인 표현인 만큼 시행 초기 국내기업들의 혼란이 예상된다.

◆정부와 기업, 무엇부터 준비해야?=GDPR 시행 전 각자의 영역에서 대응을 조속히 진행해야 한다는 것에 이날 세미나 참석자들 모두 공감을 표시했다.

이를 위해 ▲국내 개인정보보호 법규 정비 ▲EU 개인정보보호 적정성 평가 신속하게 완료 ▲민간기업들의 조속한 준비 등이 이뤄져야 한다고 말을 모았다.

박 변호사는 “적정성 평가를 조속히 마무리해야 큰 짐 하나를 덜 수 있으니 서둘러야 한다”며 “EU GDPR은 세계 표준으로 갈 수밖에 없다는 것이 합리적 예상인데, EU와 똑같이 국내법을 만들 필요는 없지만 국내 기업이 해외에서 경쟁력을 갖추기 위해 규제 방향성을 고려해야 한다”고 전했다.

박경동 베리타스 상무는 “정보주체의 권리 강화하고 권한을 보장하기 위해 만들어진 삭제 및 이동권, 자동화된 프로파일링 등의 경우, 국내 기업들의 IT 시스템에 반영돼 있지 않다”며 “GDPR을 준수하기 위해서라도 IT 환경의 변화가 수반될 수밖에 없고 관련 솔루션 도입 등을 검토해야 한다”고 부연했다.

◆정부 “국외이전 조항 일치 작업 중”=이날 박종현 행정자치부 개인정보보호협력과장은 국외이전과 관련한 조항을 개인정보보호법과 국회에 올라간 망법 모두 일치시키는 작업을 하고 있다고 밝혔다.

박 과장은 “중국과 러시아가 데이터 국지화를 하고 있고, EU도 적정성 결정을 내리고 있다”며 “자국의 개인정보를 가져가는데 제한을 두는 국가에 대해 우리도 똑같이 제한할 수 있는 상호주의를 적용한 데이터 개인정보 국외이전 초안을 만들었다”고 말했다.

예를 들어, 중국에서 한국의 데이터를 가져가려면 중국기업의 서버도 한국 영토 내 위치해야 한다는 것이다. 현재 중국은 데이터 국외이전에 대해 이러한 요구를 하고 있다.

박 과장은 “국외이전 관련 조항의 경우, 망법과 개인정보보호법이 다르면 안 되기 때문에 이를 일치시키는 작업을 한 단계 더 해야 한다”며 “역외적용 규정도 도입을 위해 깊이 검토했지만 당장 도입할 계획은 없고 다른 국가들과 보조를 맞춰가면서 해야 한다”고 제언했다.

또한, 김기석 방송통신위원회 개인정보보호협력팀장에 따르면 EU 집행위와 한국 간 공동 라운드 테이블을 하반기에 개최하기로 어느 정도 합의를 진척시켰고, 매달 비디오 컨퍼런스를 열기로 했다.

김 팀장은 “EU 집행위 등을 다녀왔는데 상당히 부족하다는 생각을 했다”며 “다른 나라에서는 체계적인 친분을 쌓고 있지만, 한국은 1~2년 근무 후 다른 부서로 옮기게 돼 연속성이 끊어져 논의가 많이 부족했다”고 꼬집었다.

이어 “예산당국을 비롯해 다른 분야에 있는 분들도 데이터 보호 등에 대한 인식이 부족한 현실”이라며 “EU에서도 한국을 상당히 우호적으로 보고 있으며 한국과 일본을 적정성 평가 우선 대상자로 삼는다 하니, 정부도 최선을 다하겠다”고 힘줘 말했다.

<최민지 기자>cmj@ddaily.co.kr