최신 보안 뉴스

보안 및 IT 분야의 최신 뉴스를 정확하고 신속하게 전해드립니다.

EU GDPR 시행 1년…韓 기업 대응 '난항'

  • Facebook에 공유하실 수
    있습니다.

  • Twitter에 공유하실 수
    있습니다.

  • Linked in

    Linked in에 공유하실 수
    있습니다.

  • 붙여넣기

    블로그나 게시판에 붙여넣기 하실
    수 있습니다.

유럽연합(EU)의 강화된 개인정보보호규정(GDPR) 시행 1년이 다 돼 가지만 우리나라는 여전히 대응에 어려움을 겪고 있는 것으로 나타났다.

 

규제를 피할 수 있는 적정성 승인 우선 협상국에 지정됐으나 이를 위해 필요한 관련 국내법 개정이 지연되고 있기 때문. 자칫 벌금 부과 등 규제 가능성도 거론되고 있다.

 

13일 한국인터넷진흥원(KISA)에 따르면 국내 개인정보보호 감독기관 독립성 강화를 골자로 한 개인정보보호법 개정이 지연되면서 EU가 우선 협상국으로 지정한 한국에 대한 적정성 결정에도 차질을 빚고 있다.

 

EU는 지난해 5월 부터 강화된 개인정보보호 규정을 담은 GDPR을 시행중이다. 모든 EU 회원국은 물론 회원국 내에 사업장을 운영하고 개인정보를 수집하는 모든 역외 기업까지 적용 대상이다. 

 

해당 법을 위반할 경우 연간 매출액의 2% 또는 1천만 유로(약 132억원) 중 더 높은 금액을 벌금으로 부과받게 된다. 또 과징금 납부 거부나 감독기구 명령 무시 등 심각한 법 위반의 경우 연간 매출의 4% 또는 2천만 유로(약 260억원) 중 더 높은 금액을 부과할 수 있다.

 

실제로 구글은 지난 1월 프랑스에서 이용자 동의 없이 맞춤형 광고를 한 혐의로 벌금 5천만 유로(약 653억원)를 부과받은 바 있다. 

 

다만 EU는 적정성 등을 판단, 승인 국가에 한해 예외적으로 개인정보의 역외 이전을 허용하고 있다. 이는 EU 집행위원회(EC)가 제3국의 법령·법제 운영 현황을 종합적으로 검토, 대상 국가를 결정하며 한국은 일본과 함께 지난해 1월 이의 우선 협상국으로 지정된 바 있다.

 

EC로 부터 적정성 승인을 받으면 해당 국가 기업은 규제 없이 EU에서 자유로운 영업활동이 가능하다. 반대로 승인 받지 못할 경우 EU 회원국 개인정보를 처리하려면 별도의 계약을 체결하고 감독기구의 규제 심사 등 까다로운 절차를 거쳐야 한다.

 

문제는 일본의 경우 지난 1월 EU-일본 상호 적정성 결정 최종 승인을 받아 규제 부담을 덜 수 있게 된 반면 우리나라는 아직 승인을 받지 못한 상황이라는 점. 앞서 우리나라는 개인정보보호 감독기관의 독립성 부족으로 지난 2015년부터 추진해 온 적정성 최종 승인을 두 차례나 받지 못했다. 

 

국내의 이 같은 상황이 장기화될 경우 우리는 EC의 적정성 승인 검토 우선순위를 상실, 인도·브라질 등 제3국으로 검토 우선권이 넘어갈 수도 있는 상황이다.

 

◆적정성 승인 시급한데, 관련 법 처리 '난항'

우리나라는 현행법상 개인정보보호 감독기능이 행정안전부, 방송통신위원회, 금융위원회 등 각 부처에서 관할하고 있다. 개인정보보호위원회는심의기능만 맡고 있는 형태.

 

EC는 개인정보보호 감독기관의 독립성을 적정성 결정에 핵심 사안으로 판단하고 있어 이 같은 조건을 충족하려면 국내 개인정보보호위원회로 기능을 일원화하고 독립성을 보장하는 조치가 필요하다. 

 

이에 관한 개정안이 나와있지만 현재 국회 처리가 안돼 EC의 적성성 승인 역시 미뤄지고 있는 셈. 

 

실제로 정부는 지난해 8월 '데이터 경제 강국'을 선언하고 11월 안전한 테이터 유통 구조 확립을 목적으로 개인정보보호법 개정안을 국회에 제출한 바 있다. 인재근 의원이 대표발의한 개정안에는 ▲개인정보보호위원회 독립성 강화 ▲데이터 활용을 위한 가명정보 제도화 ▲개인정보 추진체계 효율화 ▲정보통신망법상 특례 반영 등이 담겼다.

 

하지만 여야 대치 상황이 장기화하면서 제대로 된 국회 논의조차 진행하지 못하고 있는 상황이다. 

 

최광희 KISA 개인정보정책단장은 "현재 정부의 개인정보보호법 개정안이 계류 중으로, 행안위 법안심사소위가 열리기도 했으나 그 후 여야 대치로 더이상 진행되지 못하고 있다"며 "EU에 민원이 계속되면 우리나라 기업 벌금 사례가 나올 수도 있는 상황"이라고 우려했다.

 

최광희 KISA 개인정보정책단장 [사진=KISA]

 

이어 "제20대 국회에 개인정보보호법 관련 개정안만 46건에 달할 정도지만 모두 처리가 안되고 있다"며 "조속한 처리로 우리나라의 GDPR 적정성 평가가 이뤄질 수 있어야 한다"고 강조했다. 

 

우리나라가 제 때 적정성 승인을 받지 못할 경우 국내 기업이 감수해야할 불이익 등도 우려했다. 

 

유럽에 진출한 국내 기업에 벌금이 부과되고, 진출을 꾀하는 기업에는 장벽이 될 수 있다는 이유에서다. 현재 유럽에 진출한 기업은 약 700여 개, EU 시장을 타깃으로 서비스하는 기업까지 더하면 이를 크게 웃돌 것으로 추산됐다. 

 

최 단장은 "삼성, LG 등을 포함한 글로벌 대기업은 법무팀을 통해 별도로 GDPR에 대응하고 있으나 중견·중소기업의 경우는 현황 파악조차 어려운 실정"이라고 말했다.​ 

  • 아이뉴스24 로고
  • 최은정 기자
  • Facebook에 공유하실 수
    있습니다.

  • Twitter에 공유하실 수
    있습니다.

  • Linked in

    Linked in에 공유하실 수
    있습니다.

  • 붙여넣기

    블로그나 게시판에 붙여넣기 하실
    수 있습니다.