EU-일본, GDPR 적정성 평가 마무리 합의

일본이 유럽연합(EU) 일반개인정보보호법(GDPR)에 따른 '적정성 결정(adequacy decision)' 대상국 지정에 한 발 다가섰다.

후속 절차를 거쳐 기업들이 수집, 보유한 GDPR 규제대상 개인정보를 별도 허가 없이 EU 지역에서 일본 영토로 전송할 길이 열릴 전망이다.

적정성 결정은 GDPR에 따라 EU의 개인정보(personal data)를 제3국으로 전송할 수 있게 허용하는 제도적 도구의 하나다. 적정성 결정 대상국이 되려면 EC로부터 '적정성 평가'를 받아야 한다. 적정성 평가는 EU 관점에서 제3국의 관련 제도를 살피면서 개인정보보호 수준이 적정한지 평가하는 과정을 가리킨다.

유럽집행위원회(EC)는 2017년 1월 적정성 평가 우선 검토 대상국으로 한국과 일본을 지정했다. 최근 EC는 일본 대상으로 진행해 온 적정성 평가를 거쳐 '적정성 인정(adequacy finding)'이라는 중간 단계에 도달했다. 이에 지난 17일 "EU와 일본은 상호 데이터 역외 전송을 허용할만큼 대등한 개인정보보호제도를 갖췄단 인식에 합의했다"고 발표했다.

EU와 일본은 이 합의에 따라 적정성 인정 단계의 후속 행정 절차를 밟는다. EU 측은 유럽개인정보보호이사회(EDPB)로부터 관련 의견을 수렴하고, EU 회원국 대표로 구성된 위원회의 허가를 받아야 한다. 이후 EC는 일본 대상 적정성 결정을 승인하게 된다.

엄밀히 말해 일본이 당장 적정성 결정 승인을 받은 것은 아니다. 하지만 이변이 없다면 적정성 결정 승인은 시간 문제다. IT매체 디지노미카는 EU의 EDPB 의견수렴, EU 회원국 대표로 구성된 위원회 허가, EC의 승인이 "기본적으로 형식상 절차"라고 표현했다.

실제로 EC의 베라 요로바 법무·소비자·성평등 담당 집행위원은 "일본과 EU는 이미 전략적 파트너"라면서 "데이터는 글로벌 경제의 연료이며, 이 합의는 우리의 시민과 경제에 이익이 될 상호간의 안전한 데이터 전송을 허용할 것"이라고 말했다.

영국 법률정보 전문 사이트 '렉솔로지'에 게재된 설명에 따르면 이번 적정성 인정은 EU와 일본 기업간 영리 목적의 개인정보 교환, EU와 일본 당국의 법집행을 위한 개인정보 교환 범위를 아우른다. 이는 일본이 EU 시민의 개인정보를 현지로 전송할 때 적용할 일련의 추가 보호조치(additional safeguards)를 전제로 결정됐다.

일본이 취할 추가 보호조치는 민감정보 정의 확대, 정보주체의 개인정보 접근 및 수정 권리 보장장치 마련, 일본에서 제3국으로의 EU 데이터 전송시 보호 수준 강화, 일본 개인정보보호위원회같은 데이터보호기관 감독하에 EU 시민의 자기 데이터 접근 관련 민원을 조사하고 해결하는 불만처리 메커니즘 구축 등을 포함한다.

EU 개인정보를 제3국으로 이전할 수 있도록 허용하는 적정성 결정 제도 자체는 GDPR 시행 이전에도 있었다.

렉솔로지에 따르면 GDPR 시행 이전에 적정성 결정을 승인받은 국가는 ▲안도라 ▲아르헨티나 ▲캐나다 연방 프라이버시보호법인 '개인정보보호 및 전자문서에 관한 법률(PIPEDA)'을 적용받는 조직 ▲페로 제도(the Faroe Islands) ▲건지(Guernsey) ▲이스라엘 ▲맨 섬(the Isle of Man) ▲저지(Jersey) ▲뉴질랜드 ▲스위스 ▲우루과이 ▲미국 이렇게 12곳이다.

관련기사

EU GDPR은 2016년 5월부터 시행됐고 2년간의 유예기간을 거쳐 2018년 5월 본격 집행되기 시작했다. 현재까지 GDPR 체제하에 적정성 결정 승인을 받은 나라는 없다. 따라서 EC가 나머지 행정 절차를 거쳐 일본을 적정성 결정 대상국으로 승인하면, 일본은 GDPR 체제하에 적정성 결정 승인을 획득한 최초 국가가 된다.

한국 정부도 지난해 일본과 함께 GDPR 적정성 평가 우선 검토 대상국으로 선정된 이래로 적정성 평가 절차 대응을 비롯해 EC로부터 적정성 결정 승인을 얻기 위해 움직여 왔다. 특히 정보통신망법 소관 부처인 방송통신위원회가 EC와 정보통신망법의 규율 범위에 기반한 부분 적정성 평가를 실무 협의 중이며, 연내 적정성 평가를 통과하겠다는 의지를 보이고 있다.