EU "일본을 GDPR '적정성 결정' 대상국으로"

유럽연합 집행위원회(EC)가 일본을 일반개인정보보호법(GDPR)상의 '적정성 결정(adequacy decision)' 대상국으로 지정하는 절차에 들어갔다. 지난 7월 유럽연합(EU)과 일본간 합의한 GDPR 적정성 평가 논의의 후반 작업이다.

'적정성 결정'은 GDPR에 따라 EU 지역 시민의 개인정보를 제3국으로 전송할 수 있게 허용하는 제도적 도구 중 하나다. 적정성 결정 대상국으로 지정된 제3국에 소재한 기업들은 GDPR 규제 대상 개인정보를 별도 허가 없이 EU에서 해당 국가 영토로 전송할 수 있다. 제3국이 대상국으로 지정되려면 EC로부터 '적정성 평가'를 받아야 한다. EU 관점에서 제3국의 관련 제도상 개인정보보호 수준이 적정한지 보는 과정이다.

앞서 EC는 일본을 대상으로 적정성평가 작업을 진행해 왔고 지난 7월 17일 "EU와 일본은 상호 데이터 역외 전송을 허용할만큼 대등한 개인정보보호제도를 갖췄다는 인식에 합의했다"는 중간 결과를 발표했다. [☞관련기사 바로가기] 이어 9월 5일(현지시간) "EC는 지난 7월 개인정보보호 관련 EU와 일본의 결론에 따라, 적정성 결정 채택을 위한 절차를 밟는다"고 밝혔다. [☞EC 발표 원문(영어) 바로가기]

이날 EC는 일본 대상 GDPR 적정성 결정 지정 절차를 소개하고 적정성 결정 문서 초안과 관련 문서를 발행했다. 해당 문서는 EU 개인정보를 일본으로 전송할 때 그리고 일본 공공기관이 법집행과 국가안보 차원에서 개인정보에 접근할 때, 일본이 자국 정보보호 수준도 EU의 제도와 상응한다고 보장하기 위해 적용할 '추가 보호조치(additional safeguards)'를 포함하고 있다.

일본이 취해야 하는 추가 보호조치는 민감정보 정의 확대, 정보주체의 개인정보 접근 및 수정 권리 보장장치 마련, 일본에서 제3국으로의 EU 데이터 전송시 보호 수준 강화, 일본 개인정보보호위원회같은 데이터보호기관 감독하에 EU 시민의 자기 데이터 접근 관련 민원을 조사하고 해결하는 불만처리 메커니즘(complaint-handling mechanism) 구축 등을 포함한다.

EC 베라 요로바(V?ra Jourova) 법무·소비자·성평등 담당 집행위원은 "우리는 세계 최대 규모의 안전한 정보 (이동) 흐름을 만들었다"며 "개인정보는 EU와 일본 사이를 안전하게 이동하며 우리 시민과 경제 모두에 이익이 될 것"이라고 말했다. 이어 "우리의 협력은 데이터보호 국제표준을 장려하고 이 핵심분야의 미래 협력에 견본으로 자리잡을 것"이라고 덧붙였다.

이제 EC는 양측이 지난 7월 중간 결과 발표때 양측이 합의한 '상호 적정성 인정(reciprocal adequacy finding)'을 최종 채택하는 내부 절차를 진행 중이라고 밝혔다. 설명에 따르면 EU는 이를 위해 유럽개인정보보호이사회(EDPB)로부터 검토 의견을 수렴하고 EU 회원국 대표로 구성된 위원회의 허가를 받아야 한다. 이 절차를 마치면 EC는 일본을 대상으로 한 적정성 결정을 채택한다.

관련기사

EU 지역 시민 개인정보를 제3국으로 이전할 수 있게 허용하는 적정성 결정 제도 자체는 GDPR 시행 전부터 있었다. EU GDPR은 2016년 5월부터 시행된 법으로 2년간 유예를 거쳐 2018년 5월 집행되기 시작했다. 현재까지 GDPR 체제하에 적정성 결정 대상국으로 지정된 나라는 없다. EC가 후속 행정 절차를 밟으면 일본이 최초의 GDPR 적정성 결정 대상국이 된다.

한국은 어떨까. 한국은 2017년 1월 일본과 함께 EC의 '적정성 평가 우선 검토 대상국'으로 지정됐다. 이후 한국 정부 역시 온라인 개인정보처리를 규율하는 '정보통신망법'의 범주로 부분 적정성 평가를 추진해 왔다. 전체 적정성 평가를 받으려면 개인정보보호법 개정이 필요하다는 판단에서였다. 하지만 부분 적정성 평가도 망법 개정이 선행돼야 한다는 지난 6월 이효성 방송통신위원장 발언을 고려하면 아직 한국이 지정될 가능성은 불투명하다. [☞관련기사 바로가기]