[이슈분석]국회 발목에 요원한 GDPR '적정성 결정'

Photo Image

유럽개인정보보호법(GDPR)시행 1년이 지났지만 한국은 여전히 GDPR 적정성 결정 통과가 요원하다. 2017년 한국과 일본이 가장 먼저 EU 집행위원회 적정성 우선 평가 대상국으로 선정되는 등 발 빠른 행보를 보였지만 현재는 일본만 최종 승인 받은 상태다. 한국이 적정성 결정 전략을 수정하고, 개인정보보호법 개정안을 기다리는 사이 적정성 결정 최종 승인이 어려울 것이라고 여겼던 일본이 앞서 나갔다.

우리나라는 2015년부터 행정안전부가 개인정보 보호 분야 일반법인 개인정보보호법 중심 전체 적정성 결정을 추진했다. 2016년 10월 EU집행위원회(EC)는 개인정보보호위원회 적정성이 미비하다는 이유로 평가 불가 통보했다. 정부는 전략을 바꿔 개인정보보호법이 아닌 정보통신망법을 중심으로 부분 적정성 결정을 추진했다. 하지만 이마저도 제한적 적용범위 등 포괄하는 보호법으로 논의 확대를 희망하면서 무산됐다.

정부는 전략을 바꿔 지난해 11월 개인정보보호위원회의 독립성 강화, 가명정보 개념 도입 등을 담은 개인정보보호법(개보법) 개정안 국회 발의와 함께 이를 바탕으로 적정성 결정을 재추진했다. 일각에서 부족하다고 평가했던 외교적 노력에도 많은 노력을 기울였다.

하지만 갈 길은 멀다. 개보법 개정안이 연내 통과가 불투명하다. 국회가 경색 국면에 접어들어 여야 이견이 없는 개보법까지 불똥이 튀었다. 법이 통과하더라도 이후 개보법 개정안을 두고 EC와 함께 조문 확인 과정을 거쳐야 한다. 실제 일본은 준비부터 통과까지 총 4년의 시간이 소요됐다.

GDPR 적정성 결정은 EU 밖으로 개인정보 이전을 허용하는 제도다. EC에 적정성 결정 최종 승인을 받으면 해당 국가 사업자는 EU 개인정보 이전에 대한 적법성을 확보하게 된다.

적정성 결정 지연은 국내 사업자에 피해로 이어진다. EU 역내 관련 민원과 벌금 부과 사례가 증가하는 상황에서 우리기업도 언제 벌금 대상이 될지 모른다. GDPR 위반 기업에는 최대 연간 매출 4% 혹은 2000만유로 중 많은 금액을 과징금으로 부과한다. 유럽 진출 대기업에 부담일 뿐 아니라 중·소 사업자에게는 생존까지 위협한다.

최광희 KISA 개인정보정책단장은 “국내서는 외교적 노력과 함께 GDPR에서 규정하는 개인정보보호책임자(DPO) 자격증 신설 등 다양한 사업적 기회까지 고려해 준비하고 있다”면서 “다만 이들 준비가 개보법 통과를 전제로 하는 만큼 법안 통과가 우선돼야 한다”고 설명했다.

국내법 개정 지연에 따른 적정성 결정 협의 답보는 검토 우선순위 상실도 불러올 수 있다. 최 단장은 “적정성 결정 장기화로 검토우선순위 상실시 인도, 브라질 등 제 3국으로 검토 순위가 넘어갈 수 있다”면서 “한국이 아닌 제 3국으로 넘어 갈 경우 국내서도 담당자 변경 등 처음부터 다시 준비를 시작해야한다”고 말했다.


정영일기자 jung01@etnews.com


브랜드 뉴스룸