지난해 5월부터 유럽연합(EU) 진출 기업에 적용되는 일반개인정보보호법(GDPR)이 발효됐다. 한국은 EU 지역 시민의 개인정보를 제3국으로 전송할 수 있게 되는 '적정성 결정 국가'로 지정되기 위한 절차를 밟고 있지만, 만 1년 가량이 지난 현재까지도 검토 단계에 머물러 있다.
이를 위한 개인정보보호법 개정안이 국회에 제출돼 있지만, 국회에서 여야가 대치하고 있는 탓에 법안 논의가 미뤄지고 있기 때문이다.
지난 2017년 1월 EU는 한국과 일본을 적정성 결정 우선 협상국으로 지정했다. 일본의 경우 지난 1월 적정성 결정이 최종 승인됐다. GDPR 발효 이전에 적정성 결정을 받은 국가들을 포함해 현재까지 총 13개국이 적정성 결정을 받았다.
최광희 한국인터넷진흥원(KISA) 개인정보정책단장은 10일 "EU가 감독하는 주된 부문 중 하나는 정부가 국민의 정보를 어떻게 보호하고 있는지에 대한 것"이라며 "지난해부터 법률 개정을 시작했고, 11월엔 데이터의 안전한 유통 구조를 만들기 위해 인재근 더불어민주당 의원이 대표 발의한 개정안이 국회에 상정돼 있는 상황"이라고 말했다.
해당 법안은 개인정보, 가명정보, 익명정보 등의 개념을 명확히 하고, 개인정보의 안전한 보호를 위해 개인정보 처리 관련 의무 부과와 처벌을 명시한 법안이다. 또 개인정보보호위원회의 개인정보 보호 컨트롤 타워 기능을 강화할 것을 주요 내용으로 두고 있다.
GDPR에서 요구하는 개인정보 활용을 위한 규정에 대응하는 법안이다.
GDPR에서는 개인정보를 수집 목적 범위 내로 활용을 허용하되 암호화나 가명 처리 등 적절한 안전조치의 존재, 수집 목적과의 연관성 등의 조건이 충족될 때로 제한하고 있다. 효과적인 조사, 집행을 위해 독립적인 감독 기구 운영도 요구한다.
최광희 단장은 "이런 상황이 지속되면 적정성 검토 우선 순위를 상실하고, 다른 국가에게 검토 순서가 넘어갈 수도 있다"며 "개인정보보호법 개정안 통과가 조속한 상황"이라고 강조했다.
적정성 검토가 늦어지게 되면 관련 인력이 바뀔 수도 있고, 이 경우 지금까지 거쳤던 정보 교류를 반복하게 돼 검토 기간이 더 길어질 수 있다는 설명이다.
이어 "현재 국회에 발의된 개정안에 대해 EU 실무진과 적극적으로 소통하고 있다"며 "우선순위 상실에 대한 정확한 일정은 정해져 있지만 법제 도입 지연이 지속될 경우에 대한 우려"라고 덧붙였다.
법제 대응이 늦어지는 부분은 또 있다. GDPR이 사업자에 요구하는 개인정보책임자(DPO) 지정 관련이다. 최 단장은 "기업 입장에서 준비하기 쉽지 않은 부분"이라며 "관련 법안이 국회에 발의돼 있지만 도입이 막혀 있다"고 언급했다.
GDPR와 관련해 20대 국회에 발의된 개정안은 총 46건이다.
KISA는 상대적으로 규제 대응 여력이 부족한 중소 기업을 대상으로 맞춤형 GDPR 컨설팅을 제공하고, 국내 기업의 GDPR 대응 실태조사를 실시할 계획이다. 개인정보 처리 방침, 개인정보 국외 이전을 위한 표준계약서 작성 가이드 제공도 준비한다.
관련기사
- 유럽 GDPR이 AI·블록체인 산업에 미치는 영향은?2019.05.12
- 블록체인에서 개인정보 보호 가능할까2019.05.12
- GDPR시행 6개월, 게임업계 화두 '아동 보호와 프로파일링'2019.05.12
- 구글, 프랑스서 642억원 벌금…"개인정보 보호 위반"2019.05.12
실무진 대상 GDPR 교육 교재 7종도 개발한다. 그외 실무자가 자가점검을 통해 GDPR 준수 여부를 확인할 수 있는 진단 도구를 개발한다.
EU 국가 별 개인정보 거버넌스 현황을 조사하고, 위반 사례를 분석해 국내 기업을 위한 시사점을 분석하는 등 GDPR 관련 심증 분석 활동도 실행할 예정이다.
