[현장] “GDPR 적정성 결정을 얻기 위해서는 전략적 입법이 필요하다”
EU는 2018년 5월, 미국의 거대 IT기업이 유럽인의 개인정보를 활용하고 정보를 해외로 이전하는 것을 막는다는 목적으로 ‘일반개인정보보호규정(GDPR)’을 도입하였다. 개인정보의 역외 이전을 원칙적으로 금지하고 EU집행위원회가 적정하다고 인정하는 경우에만 역외 이전을 허용한다.
우리나라의 기업이 EU 국민의 데이터를 처리함에 있어 가장 좋은 방법은 국가 차원에서 적정성 결정을 득하는 것이다. 적정성 결정 대상국은 개인정보의 국외 이전을 위한 동의를 별도로 받지 않아도 되며, 국제적으로는 개인정보 보호가 EU 법과 대등한 위치에 있다는 함축적 의미도 지니기 때문이다.
하지만, 일본을 포함한 13개국은 적극 대응해 ‘적정성 결정’ 국가로 인정 받은 것에 반해, 우리 나라는 적정성 평가 심사에서 두 차례나 탈락했다. 이를 기업이 개별 대응하려면 비용과 인력 측면에서 상당한 부담과 한계를 가지므로 일부 대기업을 제외한 대부분의 중소기업과 스타트업의 유럽 시장 진출은 위축될 수밖에 없는 상황인 것이다.
12일 민주평화당 유성엽 의원(원내대표), 정인화 의원, 개인정보보호법학회, 스타트업얼라이언스 공동 주최로 국회의원회관 제 2세미나실에서 ‘4차 산업혁명 시대, 스타트업 혁신을 위한 규제개혁 토론회(3차)’는 ‘GDPR 적정성 결정을 위한 개인정보법제 개정방안’을 논하는 자리였다.
규제개혁 토론회는 1월 ‘전기통신사업 개정안’을 다루었으며, 5월에는 ‘공정경쟁 환경조성을 위한 망중립성/제로레이팅’을 주제로 진행되었다.
발제는 서울과학기술대 IT정책전문대학원 김현경 교수가 나섰다. 그는 일본 사례와 우리 현안을 비교하며, EU의 GDPR 적정성 평가에서는 탈락한 이유를 설명했다. 아울러 국내 기업의 글로벌 진출을 위해 정부가 해결해야만 하는 사안으로 GDPR 적정성을 강조했다.
적정성 결정을 통과하지 못할 경우, 한국 기업이 취할 수 있는 방법은 표준계약, 구속력 있는 기업 규칙 등에 의한 적절한 안전 조치가 이루어졌음을 인정 받거나, 각 정보 주체의 동의를 받는 방법이 있다. 김현경 교수는 이러한 두 경우 법률적용 및 검토 비용이 개별 대응하기에는 매우 부담스러운 수준이고, 동의를 받을 경우 그 형태가 ‘이 서비스/제품을 제공하는 국가의 보호수준이 EU와 상응하지 않음에도 불구하고 너의 개인정보를 수집/활용하는 것에 동의하겠냐?’와 같은 형식이 된다는 것을 언급하며, GDPR 적정성 결정을 득하여 EU 진출을 희망하는 기업에 국가적 대응책을 제시하는 것이 시급함을 지적하였다.
또 “정부는 우리 기업이 글로벌로 나가도록 적극적으로 지원하는 데 주력해야 한다. 그런 차원에서 적정성 결정의 조속한 추진은 글로벌 데이터 경제의 국제적 선점을 위해 국회와 정부가 당연히 해야 할 역할”이라 말했다. 그는 “적정성 결정을 얻기 위해서는 전략적 입법이 필요하다”며 “우선적 입법 과제로 EU와 개인정보 관련 창구역할로 인정될 독립적인 감독기구의 설치, 개인정보 역외이전 규정의 완비, 개인정보 관련 법령의 체계화”를 제언했다.
김 교수는 “EU는 개인정보에 대한 다수의 특별법으로 인해 우리나라 개인정보 보호법을 완전히 신뢰하지 않는다. 개인정보 보호법에 대한 특별법이 많으면 많을 수록 EU입장에서는 한국으로 이전된 자국민 개인정보의 처리가 불투명하고 복잡하다고 판단할 것”이라며, “지극히 예외적인 경우가 아닌 한 신규 혹은 별도의 개인정보 관련 입법은 지양되어야 하며, 개인정보 보호법을 중심으로 통합하는 것이 바람직하다”고 말했다.
또 적정성 결정을 위한 부분적 개정을 먼저 추진하는 방안 검토가 필요하다 설명했다.
그는 “어느나라의 입법정책에도 휘둘리지 않으면서 전략적 협력관계를 유지할 수 있는 국익 우선의 개인정보 규범을 마련해야 한다”이라며 현재 여야, 시민단체, 산업계, 학계 등의 상이한 입장 등을 고려할 때, 한꺼번에 모든 것을 충족시키기 보다 우선 순위를 정하고, 시급하고 중요한 현안부터 해결해 가는 방안이 바람직”하다 제언했다.
이어지는 토론에서는 현재 국회 계류중인 개인정보보호법의 개정안과 GDPR 적정성 평가에 대해 학계와 업계, 시민단체의 입장을 대변하고, 스타트업 생태계 발전을 위한 정책 방향을 제언했다.
성균관대 법학전문대학원 김민호 교수를 좌장으로, 경제정의실천시민연합 소비자정의센터 위원인 김보라미 변호사, 국립목포대학교 법학과 이해원 교수(변호사), 스타트업 닷(dot)의 최아름 팀장, 그리고 개인정보보호위원회 기획총괄과 태병민 과장이 패널로 자리했다.
좌장을 맡은 김민호 성균관대 법학전문대학원 교수는 인의원 개정안에는 GDPR 적정성 결정 대응 내용과 비식별 개인정보 처리 관련 내용을 모두 한꺼번에 담고 있는데, 이를 전면적으로 부인하는 것이 아니라며 운을 뗐다. 지난해 11월에 발의되었지만 국회가 정상화 되기만 하면 바로 통과될 것이라는 측과 비식별 개인정보 처리에 대해 조심스러운 측이 양립하고 있어 논의가 지지부진하다는 점을 지적했다. 따라서 차라리 개인정보보호법 개정과 관련해 이견과 갈등이 큰 비식별 개인정보의 처리 관련 내용은 추후 심도 있는 논의를 거치고, 비교적 쉽게 의견을 모을 수 있는 GDPR의 적정성 결정을 위한 개정 논의를 하는 것이 필요하다고 본 토론회 취지를 밝혔다.
김보라미 경실련 소비자정의센터 위원(변호사)은 2013년 스노든 사건을 언급하면서 개인정보활용에만 치우칠 것이 아니라 보호에 대한 논의가 함께 시작되어야 하는 시점임을 강조했다.
이해원 국립목포대학교 법학과 교수(변호사)는 2018년 5월 도입된 EU GDPR의 유예기간이 2년이므로 내년 5월까지 적정성 평가를 통과하는 것이 무엇보다 시급하다는 데 의견을 모았다.
최아름 스타트업 닷(dot) 팀장은 시각장애인을 위한 점자 스마트워치를 EU 국가에 수출할 때 겪었던 사례를 들었다. 지난해 dot은 12월 프랑스 제 1통신사인 오렌지(Orange)텔레콤에 수출을 위해 파일럿 거래를 시작할 때 3천만원 규모의 매출을 위해 로펌으로부터 6천만원에 해당하는 법률 자문료를 제시 받았다. 스타트업으로서 매우 부담스러운 비용이었으며, 어떤 식으로 문제를 풀어나가야 할 지 명확하지 않은 상태에서 이를 해결하느라 약 3개월을 소요하였고, 또 다른 국가와 만약 거래를 해야 한다면 또 비슷한 과정을 반복해야 한다며 기업단위의 개별 대응의 어려움을 호소했다.
태병민 개인정보보호위원회 기획총괄과 과장은 최근 인도, 브라질, 영국, 필리핀 등이 적정성 결정 추진을 공식화하고 EU 측과 실무 협상 중이기 때문에 한국의 개인정보보호법 개정이 지연될 경우 한국이 후순위로 밀릴 가능성이 있음을 언급하며 논의가 시급하다는 데 의견을 더했다.
적정성 평가의 신속한 통과를 위해 민주평화당 유성엽 의원은 이 토론회에서 논의된 내용을 바탕으로 개인정보보호법학회가 제안한 추가 개정안을 조만간 대표 발의할 예정이다.