한국·유럽간 데이터경제 가교…개인정보위 "연내 EU GDPR 적정성 결정"

GDPR 적정성 결정 논의 4년여만에 1단계 마무리

EU 진출 한국 기업 개인정보이전 '표준계약' 면제

해외진출 시간·비용 줄어…중소기업 기회 커질 듯

'공공분야' 포함…"한·EU 정부간 규제협력도 기대"

윤종인 개인정보보호위원회 위원장이 3월 29일 오전 서울 종로구 정부청사 합동브리핑룸에서 GDPR 관련 사전 브리핑을 하고 있다. [사진=개인정보보호위원회 제공]

 

SKT·네이버 등 유럽연합(EU)에 진출한 우리 기업들이 개별적인 계약 없이도 현지 시민 개인정보를 국내에 가져와 처리할 수 있게 된다. EU 측이 두 지역간 법제의 개인정보보호 수준을 동등하다고 인정함에 따라, 두 지역간의 개인정보 이전과 이를 활용하는 새로운 디지털 제품·서비스를 창출하는 '데이터 경제' 시대를 앞당길 전망이다.

30일 개인정보보호위원회는 윤종인 개인정보위원장과 디디에 레인더스 EU집행위원회 사법총국 장관(커미셔너)가 EU와 한국 간 일반개인정보보호법(GDPR) 적정성 논의가 성공적으로 마무리됐음을 확인하고 환영했다고 발표했다. 이는 행정적으로 3단계로 나뉘는 'GDPR 적정성 결정' 절차 가운데 80~90% 비중을 차지하는 1단계(초기결정)를 통과한 것이다.

양측은 공동언론발표문을 통해 "한국은 개인정보보호에 있어 EU회원국에 준하는 지위를 부여받게 돼 'EU로부터 한국으로의 자유롭고 안전한 정보의 흐름'이 가능해졌다"면서 "한·EU 자유무역협정(FTA)을 보완해 디지털 역량을 선도하는 EU와 한국 간 협력이 강화될 것"이라고 평가했다.
 

전체 80~90% 비중 '초기결정' 논의 마무리…이르면 상반기 발효

GDPR 적정성 결정은 EU역외의 국가가 GDPR이 요구하는 수준과 동등한 수준의 개인정보 보호체계를 갖췄는지 검토해 EU 당국이 확인‧승인하는 제도다. 적정성 결정을 받은 국가의 기업들은 '표준계약조항(SCC·Standard Contractual Clauses)' 등과 같은 별도 절차를 거치지 않고 EU시민의 개인정보를 해당국가로 이전·처리할 수 있게 된다.

개인정보위는 이제 GDPR 적정성 결정을 위한 1단계 '초기결정'을 통과해, 2단계로 'EU정보보호이사회(EDPB)'의 의견수렴과 집행위·회원국 간 협의, 3단계로 국무회의 성격의 절차인 'EU집행위 전원회의(College of Commissioners)' 의결 절차를 남겨 뒀다고 설명했다. 이 과정에 EU의회 '자유사법내무(LIBE)위원회'가 관련 의견을 제시할 수 있다고 덧붙였다.

EU집행위는 수개월 안에 적정성 결정을 채택하기 위해 후속 의사결정절차를 밟고 있다. 이르면 2~3개월 이내, 늦어도 하반기 중 결정을 발효할 예정이다. 다만 이번 적정성 결정 범위에서 금융위원회 감독을 받는 금융기관의 신용정보법 적용분야는 제외됐다. 금융기관이 신용도 판단 등을 위해 개인정보를 이전하려면 기존대로 SCC를 이용해야 한다.
 

현지 진출 한국 기업, 개인정보 국외이전 표준계약 부담 줄어들 듯

EU지역에 진출한 한국 주요기업은 이제까지 EU 시민 개인정보를 국내로 가져오기 위해 SCC 등의 방식을 써야 했다. SCC는 EU집행위 또는 회원국 감독기구가 승인한 개인정보보호원칙, 내부규율, 피해보상 등 필수 조항을 계약서 형식으로 표준화한 것으로, 적정성 결정을 받지 못한 국가의 기업에 가장 널리 활용되는 국외이전 수단이다.

LG, SKT, 네이버 등 EU진출기업 관계자에 따르면 이들은 SCC를 이용한 계약 체결시 GDPR과 해당 회원국의 법제를 검토하고 현지 실사, 기타 행정절차를 수행해야 했다. 3개월~1년 가량의 시간과, 프로젝트별로 약 1억~2억원의 비용이 소요됐다. 이같은 시간·비용을 투자해도 GDPR 규정 위반에 따른 과징금(최대 매출 4%) 부과 등 부담을 안고 있었다.

연내 적정성 결정이 가시화됨에 따라 한국 기업들은 SCC 등 절차 없이 EU회원국에 준하는 개인정보 국외이전을 허용받게 됐다. 개인정보위는 이를 통해 한국 기업의 EU 진출이 활성화되고, 이런 기업 활동에 요구됐던 시간·비용이 절감될 것이라고 기대했다. SCC 관련 절차 자체의 어려움으로 EU 진출을 포기했던 우리 중소기업들의 기회도 넓어질 전망이다.
 

윤종인 위원장 "여러 관계기관 협조로 데이터 경제 성장 기반 마련"

윤종인 개인정보위원장은 "이번 적정성 결정으로 한국기업들이 데이터 경제 시대의 주역으로 성장할 수 있는 기반을 마련하게 됐다"며 "개인정보위를 주축으로 외교부·법무부·행안부·산업부·국조실·금융위·국정원·인권위·경찰청·한국인터넷진흥원 등 관계 기관의 협조를 통해 이번 결정을 이뤘다는 점에서 그 의미가 더욱 크다"고 말했다.

우리 정부는 작년 1월 '데이터·인공지능(AI) 경제 활성화 계획'을 발표하며 2016년 이후 추진되고 있는 미국, EU, 일본, 중국 등 주요국의 데이터 경제 활성화 정책에 대응해 왔다. EU가 GDPR 시행으로 개인정보 접근권·이전권·삭제권 등 정보주체의 권리를 강화하면서 적정성 결정과 같은 절차를 통해 국가 단위의 정보 이전을 허용한 것도 이같은 흐름의 일부다.

정부는 기업·기관이 신상정보·일상생활·업무·거래행위 등 개인정보를 비롯한 여러 유형의 데이터를 잘 활용하면 조직의 생산성을 높이고 새로운 서비스·일자리를 만들어내는 '데이터 경제'가 활성화되고, 이는 의료분야 맞춤형 정밀진단, 제조분야 첨단 스마트공장, 교통분야 자율주행차, 농업분야 스마트팜 등 산업혁신과 성장으로 이어진다고 강조해 왔다.
 

개인정보위 독립기구 출범으로 논의 진전…국가간 규제협력 가능성

한·EU간 GDPR 적정성 결정을 위한 논의는 지난 2017년 1월 공식적으로 시작됐다. 4년간 대면·비대면으로 53차례 회의가 열렸다. 그간 핵심기준인 '개인정보 감독기구(개인정보보호법 전부개정 이전의 개인정보위)'의 독립성 요건이 충족되지 않아 양측의 협의가 두차례 중단됐다가, 작년 개인정보위가 독립감독기구로 확대출범하며 논의의 물꼬가 트였다.

기존 EU 적정성 결정 채택 국가는 'EU 개인정보보호지침' 체제에서 스위스, 캐나다(부분), 아르헨티나, 건지 섬, 맨 섬, 저지 섬, 페로 제도, 안도라, 이스라엘, 우루과이, 뉴질랜드, 그리고 GDPR 시행 후 일본까지 12개국이다. 일본과 달리 한국의 적정성 결정 1단계 합의에는 '공공분야'가 포함돼, 상호 규제협력과 국가간 데이터 기업 제휴 가능성도 열려 있다.

개인정보위가 올해 추진하는 2차 개인정보보호법 개정 내용은 GDPR 적정성 결정 논의에 직접 포함되지 않는다. 개인정보위는 EU측이 법 개정안 초안을 실무 검토한 결과, GDPR을 반영하는 등 개선됐다고 평가했다고 전했다. 적정성결정 통과 후 개정되는 법 내용은 4년 이내 주기로 이뤄지는 EU집행위의 적정성 결정 후속 검토(Review) 과정에 반영될 수 있다.