27일 한국인터넷진흥원(KISA)에 따르면 GDPR은 개인정보의 자유로운 이동을 보장하며 정보주체의 개인정보 보호권을 강화한 것이 특징이다. 인종·민족과 정치적 견해 등 인간과 관계된 모든 정보를 개인정보로 정의하고 있으며, 정보보호책임자(DPO)를 지정하도록 요구한다.
GDPR은 고객의 동의가 있을 때만 기업이 데이터 처리를 할 수 있는 것을 원칙으로 한다. 기업은 데이터를 필요 이상으로 오래 저장할 수 없고 데이터 삭제를 원하는 고객의 요청에도 응해야 한다. 또 기업이 개인정보를 침해한 경우에는 72시간 이내에 감독 기구와 정보 주체에 알리는 것이 필수다.
이 규정을 위반할 경우 최대 2000만유로(약 260억원)나 글로벌 매출의 4% 중 많은 금액을 과징금으로 부과받을 수 있다. 우리나라의 개인정보보호법상 최대 벌금(5000만원)의 520배에 달하는 셈이다.
일각에서는 우리나라 개인정보보호법이 전 세계적으로 매우 까다롭고 보호 수준이 높은 편에 속해 있어 GDPR의 규제를 피해나갈 수 있다는 해석을 내놓는다. 하지만 GDPR 적용 범위가 광범위한데다가, 법규도 우리나라 문화와 차이가 있다는 점에서 주의가 필요하다는 게 전문가들의 중론이다.
가령 정보주체가 개인정보 공유에 동의하는 방식에서 우리나라는 음성 혹은 서면을 요구하는 반면, GDPR에서는 강제적인 동의는 유효하지 않다고 여긴다. 또 정보주체가 개인정보 이용내역을 알려달라고 하거나 삭제를 원할 때 이 정보가 사용되는 업무를 모두 파악해 요청을 수행하는 시스템이 정착되지 않은 상황이다.
EU의 경우 법제화를 통해 가명정보에 대해 추가 정보만 있으면 언제든지 식별이 가능한 개인정보로 간주하고 있으며, 익명정보는 개인정보로 보고 있지 않다. 이는 미국이 '세이프 하버(Safe Harbor·유럽 고객들의 정보를 미국 내 저장할 수 있도록 허락해주는 근거)' 방식을 통해서는 수집과 이용이 가능하다고 명시하고 있는 것과, 일본이 법규를 통해 '익명가공정보(개인정보를 가공해 특정 개인을 식별할 수 없도록 변형한 정보)'라고 명시하고 있는 것과는 차이가 있다.
이창범 동국대학교 교수는 "우리나라는 개인정보보호법, 위치정보법, 신용정보법 등에 가명정보 활용 근거가 마련돼 있으나 절차 및 방법 부재로 사실상 사문화됐다"면서 "비식별 정보는 개인정보보호법의 적용대상이 아니라는 규정을 두고, 입법화 과정을 통해 투명한 활용을 유도해야 할 것"이라고 강조했다.
한국 정부는 지난해부터 한국인터넷진흥원(KISA)을 중심으로 GDPR 설명회를 진행하고 안내서를 발간하면서 기업들의 인식 제고에 나선 상황이다. 특히 EU와 연내 안으로 '적정성 평가' 통과를 위해 협의를 이어가고 있다. 적정성 평가는 개인정보보호 수준이 EU와 동등한 것으로 간주해 개인정보 이전을 가능토록 하는 조치로, EU 집행위원이 결정한다.
일본 정부도 지난해 독립기관인 온라인 정보보호위원회를 신설하는 내용의 정보보호법을 통과시켰다. 브라질 정부는 정보보호법안을 준비하면서 EU로부터 조언을 받고 있다. 다만 미국 정부는 최근 자국의 기술 기업들을 보호한다는 명목으로 기업에 대한 규제를 대폭 완화한다는 입장을 보일 뿐 별다른 액션을 취하고 있지 않는 상태다.
정현철 KISA 개인정보보호본부 본부장은 "우리나라가 적정성 평가를 받을 경우 기업의 그룹 내 개인정보 이동이 자유로워질 수 있다"면서 "정부는 올바른 GDPR 거버넌스 체계 마련을 위해 중장기적인 대책을 마련하고, 중소기업·스타트업 위주로 예산과 인력을 지원해 나가야 할 것"이라고 말했다.
©'5개국어 글로벌 경제신문' 아주경제. 무단전재·재배포 금지