바로가기 메뉴
본문 바로가기
주메뉴 바로가기
home 지식광장

지식광장

GDPR 1년, 우리의 사정과 그들의 사정의 제목, 작성자, 등록일, 조회수, 첨부된 파일 테이블입니다.
제목 GDPR 1년, 우리의 사정과 그들의 사정
작성자 보험개발원 등록일 2019-05-29 조회수 729

GDPR 1, 우리의 사정과 그들의 사정

 

유럽연합(EU)에서 개인정보보호의 기본법으로 작용하는 정보보호일반규칙(General Data Protection Regulation, GDPR)이 발효(2018. 5. 25.)된지 1년이 지났다.

 

GDPREU 회원국 내에서 별다른 수용조치 없이 바로 규범으로 효력이 발생하는 규칙[regulation, 각 회원국의 입법의무를 발생시킬 뿐 그 자체로 국내에 효력을 미치지 못하는 지침(directive)과 구별]으로, ‘먼 나라의 법이지만 우리 학계와 실무계의 관심이 식지 않고 있다. EU는 규범제정 절차가 대단히 복잡한데, GDPR도 이러한 절차를 거치면서 깊어진 숙의(deliberation)가 양적으로나 질적으로나 수월(秀越)하다고 여겨져, 우리뿐 아니라 다른 여러 나라에서도 깊이 있게 연구, 참고되고 있다. 심지어 유럽과는 개인정보보호에 대한 패러다임이 다르다고 여겨져 온 미국에서도 GDPR을 모방하거나 참조하여 연방 차원의 일반적 개인정보보호법률을 제정해야 한다는 주장이 나오고 있는 실정이다.

 

연구라는 목적 외에도 우리가 GDPR에 관심을 가져야 할 현실적인 사정도 있다. GDPREU 시민의 개인정보를 보호하기 때문에, 기업이 EU 시민을 대상으로 사업을 할 경우 그 규제를 따를 수밖에 없다. 오늘날과 같이 정보통신기술(IT) 산업이 발전하고 국경을 초월하여 사업을 벌이는 시대에, 기업이 EU 시민만을 고객 명단에서 골라내고 처리할 수도 없는 노릇이다.

 

이 문제를 조금 더 상세히 들여다보면, GDPREU 역외(域外)로의 개인정보 이전을 엄격히 규제하고 있는데(44), 적정한 개인정보 보호수준을 보장하고 있다고 유럽위원회(the European Commission)로부터 인정받은 역외 국가는 그러한 규제로부터 상당 수준 자유로워질 수 있다. GDPR 시행에 즈음하여 재빠르게 개인정보보호법령을 정비한 일본은 적정한 수준을 갖추었다고 인정받았으나, 우리 나라는 아직 그러한 인정을 받지 못해 EU 역내(域內)에서 활동하는 기업들이 어려움을 겪고 있다. 우리가 EU로부터 적정성을 인정받지 못하고 있는 주요 이유는 독립된 감독당국의 존재 및 실질적 작동(the existence and effective functioning of one or more independent supervisory authorities)”이 미흡하기 때문이라고 한다. 따라서 현재 국회에 올라 있는 주요 개인정보보호 관련 법률 개정안[개인정보보호법(인재근 의원안), 정보통신망 이용촉진 및 정보보호에 관한 법률(노웅래 의원안), 신용정보의 이용 및 보호에 관한 법률(김병욱 의원안)]이 공통적으로 개인정보보호위원회의 위상을 강화하려 하는 것은 EU 적정성 평가라는 맥락에서도 이해할 수 있다.

 

EU 각 회원국은 GDPR의 적용을 감독할 독립된 감독당국을 설치해야 한다[GDPR 51, 흔히 DPA(Data Protection Authority)라고 약칭]. 개정안에 따른 우리 개인정보보호위원회의 권한 강화 방안이 아무래도 DPA를 염두에 둔 것이기에, EU 각 회원국 내 DPA의 위상이나 활동은 주목하지 않을 수 없다. 그런데 GDPR에도 DPA 관련 규정이 있기는 하지만, 구체적인 내용 형성은 각 회원국 국내법에 위임되어 있어, 각국의 현실에 따라 다양한 모습을 하고 있다. 주요국의 DPA는 자국의 법률에 따라 GDPR 발효 이전부터 존재해 왔고, DPA의 사회적 위상이 나라마다 차이가 있으며, 때로는 특정 사안에 대한 입장까지도 DPA마다 미묘하게 달라짐을 알 수 있다.

 

예컨대 프랑스의 DPACNIL(Commission nationale de l'informatique et des Liberte's, 국립정보·자유위원회)1978년 프랑스 국내법에 의해 설치되어 오늘에 이르며, 유럽 내에서도 개인정보 보호에 열성적인 기관으로 알려져 있다. CNIL20191, 구글(Google LLC)이 개인정보 제공 동의 절차와 관련하여 GDPR을 위반하였다는 이유로 과징금 5,000만 유로(660억 원)를 부과하여 화제가 되기도 하였다.

 

한편 아일랜드의 DPADPC(Irish Data Protection Commission, 아일랜드 정보보호 위원회)는 다른 EU 회원국들로부터 GDPR 준수 의지를 의심받고 있다. 아일랜드는 최근 과감한 규제 혁파와 법인세 감면 조치로 세계적 IT기업을 유치하고 연 7~8%의 경제성장률을 기록하며 켈트의 호랑이(Celtic Tiger)”라는 명성을 되찾고 있는데, 그 과정에서 자국에 진출한 IT 기업의 GDPR 위반에 대해서 소극적으로 대처하고 있다는 것이다. 실제 DPC는 페이스북(Facebook Inc, Facebook Ireland Ltd )을 상대로 조사를 개시하였다는 등의 발표는 수 차례 하였으나, 20195월 현재 GDPR 위반을 이유로 한 과징금을 1건도 부과하지 않고 있다. 최근 이 문제를 정면으로 다룬 폴리티코 지(Politico) 기사 데이터 프라이버시에 있어 어떻게 한 나라가 세계의 장애물이 되었나(How one country blocks the world on data privacy, 출처 : https://www.politico.com/story/2019/04/24/ireland-data-privacy-1270123)”에서 프랑스 CNIL의 마리 로르 드니(Marie-Laure Denis)나는 (EU 회원국간에) 거대 기술 기업의 본부를 유치하겠다는 경쟁이 벌어지는 꼴을 보고 싶지 않다.”라고 아일랜드를 비판한 바 있다.

 

EU 회원국간의 갈등과 그들의 사정을 관전하면서 혹자는 경제적으로 앞서나간 프랑스의 사다리 걷어차기(Kicking Away the Ladder)라고 비판할 수도 있겠고, 혹자는 EU의 회원국으로서 누릴 것은 누리면서 회원국 규제 수준의 균열을 이용하여 이익을 챙기는 아일랜드를 비난할 수도 있겠다. 그러나 중요한 것은, 그들이 무엇으로 결론내릴 것인가가 아니라, 그들이 자신의 문제를 대처하는 과정을 통해 우리가 어떤 교훈을 얻을 것인가이다. 예컨대 우리가 흔히 “EU의 개인정보보호라는 식으로 뭉뚱그려 말하지만 EU 내에서도 회원국마다 사정에 따라 개인정보보호에 대한 입장이 다르다는 것, 구체적으로 개인정보보호와 다른 여러 가치가 상충할 때 이를 어떻게 잴 것인가 하는 문제에 대한 선험적 정답은 없다는 것을 배울 수 있다. 무엇보다 개인정보보호라거나 데이터의 활용 측면에서 한 발짝 앞서 있는 그들이 고민하고 있는 만큼 우리도 구체적 사정을 해결하기 위해 실용적인 태도로 치열하게 토론하고 반성한다면, “정보의 안전한 활용이라는 형용모순적인 고차원의 난제를 두고 실효성 있는 결론을 축적해 갈 수 있을 것이다.

전문가 칼럼 - 전문가 정보(EXPERT COLUMN) 테이블입니다.
전문가 정보 (EXPERT COLUMN)
전문간 정보 이미지
이름 윤기열
동일저자컬럼