개인정보보호 강화 'GDPR' 시행 눈앞…"EU회원국 겨냥하면 해당"
등록 2018.05.13 13:12:50
EU 회원국 겨냥하면 역외 기업에도 해당…적용 여부 검토해야
정보주체 권리·기업 책임 확대가 골자…선제적 대응 필요
【서울=뉴시스】박상주 기자 = 파이낸셜타임스(FT)는 23일(현지시간) 안드루스 안시프 유럽연합(EU)집행위 디지털 정책 담당 부위원장이 EU 회원국들에게 새로운 ‘쿠키 법’ 초안에 대한 승인을 압박하고 있다고 보도했다. ‘쿠키’란 웹사이트에 접속할 때 자동적으로 만들어지는 임시 정보파일이다. 이용자가 본 내용, 상품 구매 내역, 아이디(ID), 비밀번호, IP 주소 등의 정보를 담고 있다.
【서울=뉴시스】한주홍 기자 = 유럽연합(EU)이 오는 25일부터 기존의 '개인정보보호 지침'보다 규제 수준이 강화된 '유럽 일반 개인정보보호법(GDPR·General Data Protection Regulation)'을 시행한다. 유럽의 '하나된 디지털 시장 전략'의 일환으로 정보 처리에 관한 대대적 변화가 예상된다.
기존 회원국마다 달랐던 정보처리 방식은 GDPR이 도입되면 한 가지로 통일되게 된다. GDPR은 EU 역내뿐 아니라 EU 거주민의 개인정보를 처리하는 전 세계 모든 기업에 해당된다. EU 회원국민을 대상으로 사업을 벌이는 기업이라면 큰 관심이 필요하다.
특히 최근 EU를 대상으로 한 지식재산권(지재권) 사용료, 통신·컴퓨터·정보서비스, 기타서비스 분야의 수출이 증가하는 양상을 보이고 있다. 모두 GDPR과 관련이 있는 분야다. 지재권 사용료는 지속적 적자세지만 수출 규모가 늘고 있고 통신·컴퓨터·정보서비스 수지는 2016년 4억 1620만 달러의 흑자를 기록했다.
투자 역시 GDPR과 직결되는 분야가 큰 비중을 차지한다. 수출입은행의 해외투자통계에 따르면 EU 투자는 과학·기술 서비스업에 대한 투자가 15억 9000달러, 출판·영상·정보통신 서비스업 투자가 2억 6000만달러를 차지한다.
◇정보주체 권리 확대·기업 책임 강화
GDPR의 핵심은 정보주체의 권리를 확대하고 이에 대한 기업의 책임을 강화했다는 데 있다.
먼저 개인정보의 범위가 확대됐다. IP정보, 위치정보도 개인정보에 포함된다. 여기에 인종·민족, 정치 견해, 종교·철학 신념, 노조 가입 여부, 유전자 또는 생체정보, 성생활 또는 성적 취향 정보 등은 '특별한 유형의 개인정보'로 분류했다. 이 같은 민감한 정보는 정보주체가 명시적으로 동의하지 않으면 아예 처리할 수 없다.
또 이런 정보를 제공하는 사람, 이른바 '정보주체'의 권리를 강화했다. GDPR이 도입되면 기업들은 정보주체에게 개인 정보 처리에 관한 방법을 제공해줘야 할 의무가 생긴다. 정보주체는 정보처리에 대한 방법을 확인할 열람권부터 수정을 요구하는 정정권도 가지게 된다. 처리가 잘못됐다고 판단할 경우 삭제권, '잊혀질 권리'까지 보장해준다.
◇EU 역내 사업자 아니어도 EU 겨냥하면 해당
중요한 건 이 같이 확대된 정보처리지침이 단순히 EU 역내뿐 아니라 EU 회원국을 대상으로 사업하는 기업들까지 적용대상이 확대됐다는 점이다.
GDPR은 EU 역내에 투자한 기업은 물론 EU 거주민의 개인정보를 취급하는 모든 기업 활동에 영향을 줄 수 있다. EU 거주민을 겨냥해 물건을 판매하거나 서비스를 제공하면 GDPR에 적용된다는 이야기다.
예를 들어 한국업체가 독일 도메인을 생성해 독일어로 홈페이지를 만든다면 이는 명백히 독일인을 겨냥했기 때문에 GDPR의 대상이 된다. 하지만 홈페이지를 영어로 구성하고 통화도 달러만 사용할 경우 국제 통용 언어와 국제통화이기 때문에 EU 시장을 겨냥하지 않은 것으로 판단해 GDPR에 적용되지 않는다.
한국인터넷진흥원은 EU 거주민에게 재화나 용역을 제공한다고 판단할 수 있는 요소를 ▲EU 회원국 언어 사용 ▲EU 회원국 통화 사용 ▲웹사이트 도메인을 EU 회원국 최상위 도메인 사용 (예를 들어 독일 de 프랑스 fr 등) ▲재화나 서비스 홍보를 위해 EU 회원국 시민 언급 ▲EU 내 높은 비율의 소비자 보유 ▲EU 회원국 정보주체 목표로 광고 제공 등을 들었다.
◇GDPR 적용 여부부터 점검해야
전문가들은 "GDPR을 어길 경우 상당한 금액의 과징금이 부과되기 때문에 우리 기업들이 면밀히 대응할 필요가 있다"면서도 "우선 GDPR에 해당되는지 명확히 파악하고 우리의 정보관리 체계와 어떤 면에서 다른지 파악하는 게 먼저"라고 목소리를 높였다.
박노형 고려대 법학전문대학원 교수는 지난 4월 무역협회가 주최한 'GDPR 대응포럼'에서 "대응의 첫 단계는 GDPR이 적용되는지 여부를 확인하는 것"이라며 "EU 내 사업장의 활동 맥락에서 한국에서 개인정보가 처리되는지 EU에 설립되지 않더라도 EU에 서비스나 상품을 제공·EU 내 개인 행동을 감시하는지 여부를 파악해야 한다"고 밝혔다.
법무법인 율촌의 김선희 변호사는 포럼에서 우리 기업들의 대응방안에 대해 "GDPR 기준과 비교해 미흡한 부분을 중심으로 리스크를 평가하고 GDPR 담당 조직 민 인원을 재정비하고 개인정보처리방침 등을 보완해야 한다"며 "GPDR 관련 리스크를 최소화하기 위한 프로세스를 개선하고 지속적인 교육이 필요하다"고 밝혔다.
특히 향후 다른나라들도 EU의 변화에 발맞춰 개인정보보호를 강화할 수 있으니 이번 기회에 GDPR 수준에 부합하도록 관련 제도를 정비할 것을 주문한다. 구체적으로 ▲국내 각종 개인정보보호인증 및 ISO 20071 획득 ▲개인정보 영향평가(DPIA)의 선제적 도입 검토 ▲기업의 개인정보책임자(DPO) 확보 및 역량 강화 등이다.
코트라는 'EU의 GDPR 발효와 대응과제'라는 제목의 보고서를 통해 "GDPR의 확산성이 높을 것으로 전망된다. 이를 계기로 개인정보의 수집과 이용에 있어 투명성과 일관성을 담보해 기업과 소비자 간 신뢰를 구축·유지하고 성장의 발판으로 삼을 필요가 있다"고 밝혔다.
[email protected]
Copyright © NEWSIS.COM, 무단 전재 및 재배포 금지
