법제도/정책

[딜라이트닷넷] 데이터기본법 통과되면 GDPR 적정성 결정은 어떻게?

이종현
[IT전문 미디어블로그=딜라이트닷넷] 조승래 의원(더불어민주당)이 데이터 기반 산업 활성화를 위한 ‘데이터기본법’을 발의했습니다. 민간 데이터의 생산, 거래, 활용 등을 촉진하고 산업 발전의 제도적 기반을 마련한다는 것이 입법 취지입니다.

법을 발의한 것은 조승래 의원이지만 해당 법은 과학기술정보통신부(이하 과기정통부)가 국회에 요청한 ‘청부입법’입니다. ▲데이터산업 진흥 기본계획 수립 ▲국무총리 소속 국가데이터전략위원회 설치 ▲데이터 자산 부정 취득·사용 등 금지행위 규정 등이 주요 내용입니다.

데이터기본법은 현행법과의 충돌 등 많은 논란거리가 있습니다. 현재는 개인정보보호법에 의해 규제 및 활용이 이뤄지고 있는데 이 법이 통과되면 특별법으로 제정됨에 따라 개인정보보호법은 영향력을 발휘하지 못하게 됩니다.

특히 문제가 될 것으로 보이는 것은 ‘국가데이터전략위원회’의 설치입니다. 현재는 개인정보보호위원회(이하 개인정보위)가 데이터의 활용 및 규제를 전담하는 역할을 맡고 있는데 ‘활용’과 ‘규제’를 하는 기관을 분리하겠다는 것으로 보입니다. 이 경우 개인정보위의 역할은 지극히 제한된다는 우려가 있습니다.

개인정보위도 반발하는 모양새인데, 일부에서는 이를 ‘공공기관끼리의 알력다툼’으로 보고 있습니다. 하지만 기관끼리의 이해득실을 빼고서라도 데이터기본법 통과는 심각한 문제를 낳을 수 있습니다. 대표적인 것이 유럽연합(EU) 일반개인정보보호법(GDPR) 적정성 결정입니다.

국내 기업이 해외에 진출해 사업을 영위할 경우 해당 국가의 법을 준수해야 합니다. EU 내에서 사업을 할 경우 EU에서 수집한 개인정보를 역외로 이전하려면 까다로운 심사 절차를 거쳐야 하는데, 이 심사에는 최소 1억원 이상의 비용과 상당한 시간이 필요합니다. 국내 기업 중 한 곳은 GDPR을 위한 컨설팅 비용으로 40억원가량의 예산을 사용한 바 있습니다.

이런 절차를 간소화할 수 있는 것이 GDPR 적정성 결정입니다. GDPR과 개인정보보호 수준이 동등하다고 평가되는 국가의 경우 다수의 절차를 생략할 수 있는데, 이는 국내 기업의 EU 진출에 중요한 역할을 하게 됩니다.

한국은 앞서 두차례 GDPR 적정성 결정에서 탈락했습니다. 이를 위해 독립적인 감독기구인 개인정보위의 설치, 개인정보 관련 법령 정비 등이 이뤄진 것이 개정 개인정보보호법입니다. 법 개정 이후 정부는 EU와 지속적인 협의를 이어가고 있고, 코로나19로 연기됐으나 협의는 막바지인 것으로 알려졌습니다.

그런데 데이터기본법의 등장으로 상황이 복잡해졌습니다. 데이터기본법에 의해 국가데이터전략위원회가 설립될 경우 개인정보위는 EU에서 요구한 ‘독립적인 감독기구’의 역할을 수행할 수 없을 공산이 큽니다. 만일 적정성 결정이 나더라도 데이터기본법 발의 이후 파기될 수 있다는 것입니다.

만연한 불안감이 아닙니다. 지난 7월 유럽사법재판소(ECJ)는 EU와 미국 간 데이터 전송 합의인 ‘프라이버시 실드’를 무효로 한다는 판결을 내렸습니다. 한번 적정성 결정을 받더라도 문제가 있을 경우 협의가 파기될 수 있음을 보여주는 사례입니다.

데이터 산업을 키우려는 정부의 의지는 이해합니다. 하지만 데이터기본법이 오랜 진통 끝에 일부나마 풀어놓은 데이터 관련 법을 다시 원점으로 돌려놓지는 않을지 우려되는 상황입니다.

[이종현 기자 블로그=데이터 가드]
이종현
bell@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널