유럽연합(EU)이 지난해 5월 미국 거대 IT기업이 유럽인의 개인정보를 활용하고 이를 해외로 이전하는 것을 제한하기 위해 개인정보보호규정(GDPR)을 도입했다. 역외이전을 원칙적으로 금지하되 EU집행위원회가 적정하다고 인정하는 경우에만 이를 허용하겠다는 것. 발표 직후 적극 대응을 통해 적정성을 인정 받은 국가도 있지만 우리나라의 경우 적정성 우선협상국으로 지정됐음에도 불구하고 최종적으로는 독립성과 실효성 부족하다는 이유로 두 차례 탈락, 보류 상태에 있다.
국가 차원에서 적정성 결정을 받지 못했더라도 EU 개인정보를 이전할 수 있는 방법이 남아있긴 하다. 개별 기업이 직접 구속력 있는 기업규칙이나 GDPR에 규정된 적절한 안전조치를 취했다는 점을 증명하거나 정보주체 즉 소비자로부터 직접 동의를 얻는 것 2가지다. 그러나 이는 자문, 검토비용뿐 아니라 소비자 저항 탓에 기업 규모와 무관하게 쉽지 않은 방법이다. 이에 12일 국회의원회관에서 열린 스타트업 혁신을 위한 규제개혁 토론회는 국가 단위 GDPR 적정성 획득을 위한 개인정보법 개정을 주제로 학계, 시민단체, 기업, 정부 관련자를 모아 GDPR 적정성 평가 필요성과 제도적 개선 방안을 논의하고자 했다.
이날 스타트업 관계자로서 자리에 참석한 최아름 닷(dot) 팀장은 “당장 GDPR 적정국가로 인정 받는 것이 어렵다면 우선 정부가 나서서 정확한 대응 솔루션이나 프로세스를 마련해줬으면 한다”며 과거 프랑스로 제품을 수출하면서 겪었던 애로사항을 전했다. “수출을 위해 현지 제1통신사인 ‘오렌지텔레콤’과 계약을 진행하려 했다. 그러나 우리나라가 GDPR 적정국가로 인증이 되지 않아 계약에 앞서 개별적으로 개인정보 안전조치 인증을 받아야 했는데 국내서는 유럽표준인증원을 통해서만 이것이 가능했다. 그나마도 인증원의 모회사가 영국에 있어 브렉시트 이후에도 인증이 계속 유효할지 불분명했다. 행안부에 문의했더니 자문을 제공하는 정도에 그쳤다”며 “결국 직접 현지 로펌을 찾아 프라이버시 정책, 이용 약관, 개인정보 보호 문서 검수를 요청해야 했다.”
이어서는 해당 로펌이 검수 내용을 책임지겠다는 문서도 받아야 했고 오렌지텔레콤에 제시한 8가지 질문 조항에도 답해야 했다는 것. “사용자 이름과 비밀번호, 이메일 주소 정도만 수집하는 것인데도 정보 저장 형태, 정보 암호화 여부, 서버 소재지까지 구체적으로 답을 요구했고 이용 약관을 읽지 않고 동의하는 이용자에 대해 문제 발생 시 책임 소재를 어디에 둘지까지 명시해야 했다.”
복잡한 과정뿐 아니라 비용도 문제였다. 다행히 닷측이 찾은 현지 로펌이 이전부터 해외 스타트업을 위해 개인정보 안전조치 인증 자문을 제공하고 있어 비교적 낮은 비용으로 자문을 받았지만 수출 규모에 비해서는 여전히 높은 비용이었다는 것. 게다가 영어나 한국어로는 요금이 더 올라 불어로 검수를 진행했는데 이를 또다시 영어로 번역, 공증하는 데도 지출이 있었다는 설명이다. “결국 수출 계약은 잘 마쳤지만 이렇게 인증을 받는 데에만 2~3개월이 걸렸다. 이제 독일로 진출하고자 하는데 프랑스 로펌의 검수가 소용이 없을 게 분명해 앞선 과정을 반복해야 할 상황이다. 차라리 정부가 표준화된 인증 프로세스와 솔루션이라도 마련해준다면 굳이 유럽 내 국가마다 일일이 인증 과정을 거치는 수고를 줄일 수 있을 거라 본다”는 것이 최아름 팀장이 건넨 요청.
이에 이해원 국립목포대학교 법학과 이해원 교수는 “적정성 인증과 별개로 기업과 국가의 역할을 나눠서 대안적인 방안을 마련해야 한다. 결국 적정국으로 인정받지 못할 경우 개별 기업이 어떻게 대응하고 국가는 어떻게 보조할 것인가에 대해 제도적인 방안 외에도 준비가 필요하다는 뜻”이라며 “대기업은 자본이 있으니 로펌을 활용해서라도 충분히 개별적인 대응을 할 수 있다고 본다. 그러나 스타트업으로서는 당장 현지 로펌을 찾는 것도, 전체 프로세스를 이해하는 것도 버겁다. 정부가 이에 대한 지원을 준비하거나 DOT측이 말한 대로 스타트업이 참고할 수 있는 구체적인 가이드라인을 마련, 7천만 원~1억 원에 이르는 법적 자문 비용 역시 보조할 방안을 내놔야 할 것”이라 전했다. 덧붙여 “우리나라가 EU와 동등한 입장에서 협상을 하고 있진 않다”며 “유럽 기업이 우리 국민 개인정보를 수집, 처리한다고 해서 국내 법을 적용하진 않지만 그 반대 경우에는 GDPR이 직접적으로 개입할 수 있기 때문”이라며 “협상 카드가 많지 않아 더욱 정부의 적극성이 요구된다”고 말했다.
김보라미 경실련 소비자정의센터 위원은 GDPR 적정성 통과를 위한 방안으로 정부로부터 독립된 개인정보보호 감독기구를 언급했다. “EU 집행위원회는 이러한 감독기구가 정부로부터 완전하게 독립해야 함을 강조하고 있다. 한 차례 탈락했다가 두번째 시도로 성공한 오스트레일리아의 경우 공무원이 연방위원이 될 수 있다는 점, 사무국이 여러 정부 조직과 연결된 점이 탈락 이유였다. 심지어는 수상조차도 보고 받을 권리가 없다는 것이 당시 위원회의 입장이었다.”
김현경 서울과기대 IT정책전문대학원 교수 역시 개인정보보호 영역에 한해 EU와 창구로 기능할 독립적이고 총괄적인 감독기구가 필요하다고 말한다. “현재 국내의 분산된 법체계로는 적정성 결정 문턱을 넘기 어렵다. 개인정보 관련 법령을 체계화하고 신뢰를 쌓는 것이 중요하다”며 뿐만 아니라 “법을 아무리 잘 완비해도 국내는 구글, 페이스북이 국내 이용자 개인정보 처리 규정 준수하지 않았음에도 법 집행이 미흡한 사례가 있어 EU의 신뢰를 얻는 데 걸림돌로 작용했을 거라 본다. 국내도 기업의 개인정보 취급에 보다 단호한 법 집행과 자세가 필요하다.”
한편 이날 토론회에서는 당초 참석을 예고했던 국회위원 2명과 행안부 개인정보보호협력과 관계자를 포함 정부측 관계자가 행사 시작 전에 방문을 취소하기도 했다. 토론의 좌장을 맡은 김민호 교수는 이를 지적하며 “이같은 정부의 태도 때문에 GDPR 적정성 통과가 보류된 것이라 본다. 국회가 정상화되고 지난해 11월 제출된 개인정보보호법개정안만 통과되면 모든 문제가 한번에 해결될 수 있다고 생각하는 것 같다”고 비판했다.
김민호 교수는 이어 “당정처는 지금 모두 동상이몽이다. 데이터 산업과 경제 성장을 위해 당장 해결해야 할 GDPR 이슈보다 가명 정보 처리를 둘러싸고 의원, 당마다 생각이 달라 논의를 꺼리는 것이 문제”라며 “오늘 자리는 개정안 통과를 발목 잡거나 논의를 혼란스럽게 만들려는 것이 아니다. 우선 시급한 적정성 결정부터 마무리한 뒤에 나머지 쟁점이 되는 가명 처리 정보에 대해 논의를 이어가야 할 것”이라는 의견을 밝혔다.
유일하게 예정대로 참석한 정부측 인사였던 태병민 개인정보보호위원회 기획총괄과장은 “인도나 브라질, 필리핀도 GDPR 관련 입법에 나선 만큼 GDPR이 개인정보보호 분야 글로벌 표준으로 자리매김하는 중이라고 본다. 국내 개인정보보호 수준이 EU와 거의 동등하다는 것을 증명하기 위해 정부와 방통위가 함께 노력하고 있다”며 “현 EU집행위원회장의 임기가 올 7월말 끝나기 때문에 그 전에 논의를 끝내겠다. 국회 역시 조속히 정상화해 심도 있는 논의를 빠르게 진행할길 바란다”고 말했다.
그러면서 그는 적정성 결정 만능주의에 대한 경계를 촉구하기도 했다. “정부가 적정성 결정을 받았다고 해서 모든 게 해결되는 건 아니”라며 “EU 개인정보 역외이전에 관한 제한 조치가 풀어진 것일 뿐 GDPR 직접 적용을 아예 하지 않겠다는 의미는 아니기 때문이다. 과징금을 피하려면 적정성 결정 여부와 상관없이 GDPR 적용에 자체적으로 대응해야 하는 것은 여전하다”고 덧붙였다.
You must be logged in to post a comment.