"EU발(發) GDPR 리스크 예방 위해 국내 법개정, 적정성 평가 조속히 이뤄져야"

최근 EU가 시행한 GDPR(General Data Protection Regulation:개인정보보호규정)로 우리 기업들의 EU 권역 내 비즈니스가 위축되지 않도록 국내법 개정과 EU와의 ‘적정성 평가’ 협의가 조속히 이뤄져야 한다는 주장이 제기됐다.

이효성 방송통신위원회 위원장은 14일 “EU로부터 '적정성 평가'를 받으면 우리 기업이 GDPR의 규율을 받지 않고 EU 권역 내 개인 정보 등 데이터를 한국으로 이전해 활용할 수 있다”며 “그러나 우리는 정보통신망법에 '정보 이전' 조항이 없어 국회에 계류 중인 개정안이 조속히 통과되어야 할 상황”이라고 말했다.

이효성 방송통신위원회 위원장이 1일 오전 서울 무역센터(COEX)에서 유럽연합(EU) 사법총국 담당 베라 요로바(Věra Jourová) 집행위원과 한·EU간 정보유통에 대한 협력 강화 방안을 논의하고 있다.

GDPR은 기업들이 EU 가입국에서 진행하는 상행위 등 거래에서 EU 권역 시민들의 개인 데이터와 프라이버시를 보호할 것을 의무화하는 규정이다. 적용 항목이 광범위하고 규제 수위도 높다.

GDPR은 EU 권역 거주민들의 개인 데이터의 역외 유출을 제한하는 내용을 담고 있다. 규정을 위반할 경우 EU 규제 당국이 위반 사실을 해당 기업에 우선 통보하게 된다. 관련한 시정이 이뤄지지 않을 경우 사안의 경중에 따라 세계 매출액의 4% 또는 2000만 유로(약 260억) 중 높은 금액의 과징금을 부과한다.

EU 시민들을 상대로 상품과 서비스를 제공하는 기업들 중 관련 대응체계를 갖추기 상대적으로 어려운 중소기업들에게 부담이 될 수 있다.

단, 개별 국가가 EU로부터 ‘적정성 평가’를 받은 경우 EU 권역 내 개인정보를 ‘역외이전’해 서비스와 상품에 활용하는 것이 가능하다. 적정성 평가는 EU 집행위원회가 제3국의 개인정보 보호수준이 EU와 동등한지 평가하는 제도이다.

한국이 ‘적정’ 평가를 받으면 EU 지역에 진출한 우리 기업이 개인정보보호 침해와 그에 따른 규제 부담에서 벗어날 수 있다.

현재 EU로부터 ‘적정’ 평가를 받은 국가는 12개국이다. 한국은 일본과 함께 EU의 적정성 평가 우선 대상국으로 지정됐다.

방통위 관계자는 “국내법을 EU의 GDPR 등 국제 표준에 맞추기 위해 정보통신망법 내 정보보호 관련 체계를 강화하고 적정성 평가를 연내 통과하는 것이 중요하다”고 강조했다.

일본은 아베 총리가 지난해 3월과 7월 직접 벨기에 브리쉘에 위치한 EU 집행위를 방문하는 등 공을 들인 바 있다. 올해까지 일본의 연내 EU 적정성 평가를 진행키로 합의했다.

당시 EU는 한국에도 적정성 평가 시행을 위한 사전협의를 요청했으나 조기대선으로 인한 정권교체, 방통위 인선 등의 현안으로 인해 관련 협의가 이뤄지지 못했다.

앞서 일본 아베 총리가 직접 EU를 방문한 점을 감안하면 문재인 대통령이 연내 EU를 직접 방문해 관련 문제를 논의할 가능성이 유력하다.

방송통신위원회는 앞서 정보통신망법을 위반해 개인정보가 국외이전 또는 재이전이 이루어져 이용자의 권리가 침해될 우려가 있으면 방통위가 국외(재)이전 중단 명령을 할 수 있도록 규정하는 내용을 담은 개정안을 마련한 바 있다.

[머니투데이방송 MTN = 서정근 기자 (antilaw@mtn.co.kr)]