Photo Image

“지난 4월 정부 주도로 열린 규제·제도 혁신 해커톤에서 개인정보 보호 관련 주인공은 유럽개인정보보호법(GDPR)이었습니다. GDPR에 대비한 준비는 필요하지만 법 방향까지 맹목으로 따르는 것은 문제가 있습니다.”

지난달 25일 발효된 GDPR에 관심이 높다. 국내 신문뿐만 아니라 외신은 연일 기사를 쏟아냈다. 일부 외신은 GDPR 발효 직전에 검색 엔진 구글에서 검색어 'GDPR'가 미국 인기 가수 '비욘세'를 넘어섰을 정도라고 보도했다. 이후 오스트리아 한 시민단체는 구글과 페이스북 상대로 각각 37억달러, 39억달러에 이르는 소송을 제기했다. GDPR 충격은 그야말로 엄청났다.

유럽연합(EU)은 심각한 GDPR 위반 건에 대해 2000만유로와 세계 연 매출 4% 가운데 더 높은 금액을 과징금으로 부과한다. 일반 위반 건은 1000만유로, 연매출 2% 둘 가운데 높은 쪽을 적용한다. 과징금은 상상을 초월한다. 일부 대기업은 데이터보호책임자(DPO)라는 새로운 직책도 신설해야 한다.

그러나 최근 우리나라 GDPR 대응 방향은 한쪽으로 치우쳤다. GDPR 대응을 넘어 해당 법안을 무조건 따라간다. 정부기관은 기업의 EU 개인정보 역외 이동을 자유롭게 하는 'GDPR 적정성 평가' 받기에 모든 역량을 쏟아 붓는다. 규제·제도 혁신 해커톤 등 대한민국 미래를 이끌어 갈 중요한 논의에서 GDPR는 하나의 바이블처럼 여겨진다. 실제 해커톤 결과문에 GDPR를 얼마나 넣은 것인가를 두고 설전이 벌어졌다는 후문이다.

Photo Image

전문가들은 GDPR 법안은 2년 유예를 거쳐 발효됐지만 아직 실제 판례가 없는 걸음마 수준 법안이라고 설명한다. 흔히 우리가 생각하는 법안처럼 구체화되지도 않다. 블록체인과 GDPR 관계도 모호하다. 지난 1일 서울을 찾은 베라 요우로바 EU 집행위원회 사법총국 집행위원도 비공개 석상에서 블록체인의 개인정보 보호 문제에 대해 “고민거리”라고 말한 것으로 알려졌다. 아직 갈 길이 멀다.


GDPR는 정보 주체 권리를 보장한다는 강력한 법안으로, 미래에 개인 정보보호 관련 법안의 중심이 될 가능성이 짙다. 당장 GDPR를 위반하지 않도록 철저한 준비도 반드시 필요하다. 그러나 정부는 우리나라가 개인정보 보호를 어떤 철학으로 가져갈 것인지 고민도 함께해야 한다. GDPR는 만능 법이 아니다.


정영일기자 jung01@etnews.com