21세기의 새로운 무역 장벽

기사승인 2019.08.21  18:21:59

공유

- 해외의 개인정보보호 정책

[CCTV뉴스=석주원 기자] 개인정보보호와 활용을 위한 법과 제도의 정비는 현재 전 세계적으로 일어나고 있는 현상이다. 개인정보가 4차 산업혁명의 중요한 자원 중 하나로 여겨지면서, 개인정보의 보호와 활용 사이에서 균형을 찾는 것이 현재 전 세계 보안 관계자들의 고심거리다. 또한 각 국가별로 어떤 가치를 더 중요시 여기는가에 따라서도 개인정보보호 정책의 방향성이 조금씩 달라진다. 4차 산업혁명의 과도기에서 세계 각국은 어떠한 개인정보보호 정책을 추진 중인지 살펴보자.


■ 비공식 국제 표준이 된 GDPR

최근 정보보호와 관련해서 가장 큰 관심을 받고 있는 법은 역시 유럽의 정보보호법인 GDPR(General Data Protection Regulation)이다. GDPR은 유럽연합이 4차 산업시대를 대비해 새롭게 정비한 정보보호법으로, 2016년 4월에 채택되었고, 2년의 유예기간을 거쳐 2018년 5월부터 본격 시행됐다. 유럽연합은 GDPR 이전에 DPD(Data Protection Directive)라는 정보보호법을 시행하고 있었는데, 이 법은 유럽연합 소속의 각 국가들에 직접적인 강제성을 행사하지는 않았다. 하지만 GDPR은 유럽연합 회원국에 직접적으로 강제성을 행사하는 통합 법률로서, 훨씬 강력한 개인정보보호 항목을 담고 있다.
문제는 이 법안이 유럽연합 소속의 국가에게만 영향을 미치는 것 아니라는 점이다. 비유럽연합 국가라 하더라도 유럽연합 소속의 국가나 개인을 상대로 사업을 한다면 GDPR 규정을 따라야 한다. 글로벌 시장에서 사업을 전개하는 대부분의 기업들이 유럽연합 소속의 국가들과 거래를 하기 때문에 사실상 GDPR은 전 세계에 영향력을 발휘한다고 봐도 무방한 수준이다. 그래서 우리 기업들도 작년부터는 GDPR 규정에 맞추기 위해 여러모로 고생을 하고 있는 중이다.
현재 유럽은 개인정보 활용에 초점을 맞추고 있는 우리나라와 달리 개인정보를 더 강력하게 보호하는 방향으로 제도를 정비하고 있다. GDPR을 살펴보면 개인정보의 정보주체, 즉 개인의 권리가 매우 강력하게 보호되고 있으며, 이러한 개인정보를 취급하는 기업의 책임도 더 무겁게 부과하고 있다. GDPR에서는 개인정보를 식별 되었거나, 식별 가능한 살아 있는 정보주체로 정의하고 있다. 그리고 이 정보주체를 대상으로 비즈니스를 전개하거나 모니터링을 행하는 유럽 내ㆍ외의 모든 기업과 단체들에게 GDPR 의무 준수를 강요한다. 만약 유럽연합 소속의 개인이 케이팝에 심취해 국내 웹사이트를 가입한다면, 해당 사이트는 유럽연합 소속의 회원에게 서비스를 제공하기 위해 GDPR을 준수해야 한다. 그래서 해외의 비유럽 사이트들 중에서는 유럽에 서비스를 제공하지 않는다는 고지를 하기도 했다.
개인정보보호와 관련한 세부 항목을 살펴보면 정보주체의 동의를 매우 중요시하고 있는데, 기존의 두루뭉술한 통합적 동의 방식은 인정되지 않는다. 구체적이면서 분명하게 동의 의사를 받을 수 있는 수단을 제공해야 하며, 이는 사전일 경우에만 인정된다. 새로 추가된 법률로는 자신의 기록을 삭제할 수 있는 삭제권(잊힐 권리), 개인정보처리자의 개인정보 사용을 제한하는 처리 제한권, 제공한 개인정보를 다른 사업자에게 이전할 수 있는 개인정보 이동권 등이 있다.
GDPR 규정을 위반할 경우에 가해지는 처벌의 강도도 강해졌다. 위반정도에 따라 최대 전 세계 매출의 4% 혹은 2천만 유로 중 높은 금액을 과징금으로 책정할 수 있다. 실제로 올해 1월 구글은 데이터 처리 목적 및 저장 기간 정보를 한 곳에서 볼 수 있도록 제공하지 않고, 모호한 설명으로 포괄적인 정보를 제공하지 않았다는 이유 등으로 5천만 유로(약 653억 달러)의 벌금을 물게 됐다.
이처럼 GDPR이 강력한 구속력을 발휘하면서 세계의 많은 나라들이 GDPR을 참고해 자국의 개인정보보호 법률을 수정해 나가는 실정이다. 어쨌든 유럽과 비즈니스를 하기 위해서는 GDPR 규정을 준수해야 하므로, 자국의 규정을 그 수준까지 끌어 올릴 필요성이 있는 것이다. 이쯤 되면 GDPR을 국제 개인정보보호법의 참고서라고 해도 과언이 아닐 듯싶다.


■ 캘리포니아주 CCPA로 강화된 미국의 개인정보보호법

알다시피 미국은 연방법이 있고, 각 주마다 별도의 법률을 제정해 시행하고 있다. 작년 캘리포니아주에서는 상당히 강력한 내용을 담고 있는 소비자프라이버시법(CCPA)이 의회를 통과해 여러모로 화제가 되었다.
이 법의 핵심은 알권리에 있다. 소비자는 사업자에게 적극적인 정보 공개를 요청할 수 있고, 사업자는 소비자 요청에 따라 45일 이내에 정보를 공개해야 한다. 요청할 수 있는 내용은 수집한 데이터, 수집할 데이터, 이 데이터가 사용될 목적, 지난 12개월 동안 실제로 수집된 개인정보 등이다. 이 외에도 사업자가 수집한 정보의 사본을 요청해 받을 수 있는 접근권, 자신의 개인정보 삭제를 요청할 수 있는 삭제권, 자신의 개인정보를 제3자에게 넘기지 못하도록 하는 거부권, 특정 소비자에게 판매나 서비스를 거절하지 못하도록 하는 서비스평등권 등을 담고 있다.
GDPR과 비교하면 좀 더 포괄적이고 세부적인 내용도 다르지만, 전체적으로 상당히 강력한 소비자 권리 보호에 중점을 두고 있다. 그리고 이 법률은 GDPR과 마찬가지로 캘리포니아주에서 사업을 하려는 모든 사업자에게 적용된다. 미국 캘리포니아주에는 전 세계 IT산업의 중심지라고 할 수 있는 실리콘밸리가 위치해 있다. 구글, 인텔, 애플, 페이스북 등이 전부 이 동네에 모여 있기 때문에 CCPA의 적용을 받게 된다. 4차 산업혁명에 대비해 개인정보 활용 방안을 모색하고 있는 이 IT기업들로서는 달갑지 않은 법안인 셈이다. 이 법안과 직접적인 관계는 없지만, 얼마 전 미국 연방거래위원회로부터 50억 달러의 벌금을 부과 받은 페이스북의 마크 주커버그 CEO가 “우리 산업에 완전히 새로운 기준을 마련하길 바란다”고 언급한 것이 이와 무관하지는 않아 보인다.


■ 개인정보 해외 유출을 원천 차단한 중국의 네트워크 안전법

사실 중국이라고 하면 개인정보보호와 가장 거리가 멀어 보이는 국가라는 이미지가 있지만, 그런 중국에서도 2017년 6월부터 네트워크 안전법이라는 정보보호법을 시행하고 있다. 네트워크 안전법은 기본적으로 중국 내에서 네트워크를 구축, 운영, 유지, 사용할 때 네트워크 사업자가 지켜야 할 법률이다. 다만, 요즘 세상에 네트워크가 연결되지 않은 분야를 찾기가 어려운 것처럼, 이 네트워크 안전법은 산업 전반에 걸친 법률이라고 봐도 무방하다.
그리고 이 법률 안에는 개인정보 취급에 대한 내용도 포함되어 있다. 네트워크 안전법 40조는 네트워크 사업자가 수집한 이용자 정보를 엄격하게 비밀 유지하고 보호제도를 정착시켜야 한다고 규정하고 있으며, 50조까지 관련된 내용들을 열거하고 있다. 하지만 이런 원론적인 개인정보보호 내용 보다 더 눈 여겨 봐야할 내용은 37조다.
내용을 살펴보면 “핵심 정보 인프라 사업자는 중화인민공화국 경내에서 운영 중 수집하고 생성된 개인정보와 중요 업무 데이터를 반드시 경내에 저장해야 한다. 업무에 필요에 의해 반드시 해외에서 저장 또는 해외 기관 또는 개인에게 제공해야 할 경우 국가네트워크정보기관이 국무원의 관련 부처와 함께 제정한 방법에 따라 보안평가를 진행해야 한다.”고 명시되어 있다.
즉, 중국내에서 사업을 하려면 무조건 중국 내에 데이터 저장 센터를 마련해야 하고, 중국 내에서 획득한 정보는 사실상 중국 외 반출이 불가능한 셈이다. 이로 인해 중국 내에서 사업을 하는 기업들은 중국 내 네트워크 사업자와 협업을 하거나 독자적인 데이터 센터를 구축해야 한다. 또 여기에서 얻은 개인정보는 해외에서 활용할 수 없다는 점도 유의해야 한다.


■ GDPR에 대비한 일본의 개인정보보호법

일본은 유럽의 GDPR에 가장 발 빠르게 대응한 나라다. 일본은 2015년 9월에 개인정보보호법 개정안을 발의하고, 2017년부터 전면 시행했다. 이때 GDPR의 요구 조건을 충족하도록 세부 항목을 조정 했다.

GDPR에 대응하기 위한 일본 정부의 추가 조치

필요배려개인정보(민감정보)의 범위 확대
-GDPR에서 특별한 유형의 개인정보(Special Categories of Personal Data)로 정의되는 성적취향, 노동조합 등에 대한 정보도 필요배려개인정보와 마찬가지로 취급.

보유개인데이터 범위 확대(기간한정 예외조항 삭제)
-EU에서 이전된 개인데이터에 대해서는 각주의 ①의 경우에 해당하지 않는 한 기간에 관계없이 보유개인데이터로 취급(기존에는 6개월 이내에 삭제 예정인 개인데이터는 보유개인데이터로 취급하지 않았음).

데이터 취득 시 이용목적을 확인ㆍ기록하여 그 범위 내에서 이용하도록 조치
-EU에서 이전된 개인데이터에 대해서는, 취득 시 확인한 이용목적의 범위 내로 그 목적을 제한하여, 그 범위 내에서 해당 개인데이터를 이용하도록 함.

본에서 EU외 제3국으로 개인데이터가 재이전하는 경우의 보호수준 강화
-EU에서 이전된 개인데이터에 대해 본인동의에 따라 재이전하는 경우 본인이 동의하는데 필요한 (데이터의)목적지 상황에 대한 정보를 제공하고, 개인정보보호법과 동일한 수준의 보호조치를 시행하도록 함.

개인데이터의 익명가공처리방식에 대한 정보 제거
-EU에서 이전된 개인데이터를 개인정보보호법상의 익명가공처리하는 경우, 가공방법에 대한 정보를 삭제하고 재확인이 불가능 하도록 조치.
-EU에서는 가공방법에 대한 정보가 남아있을 경우, 안전하게 분리하여 보관할 경우에도 재식별의 가능성이 있다고 판단, 익명화되었다고 간주하지 않음.

이런 발 빠른 조치 덕분에 일본은 GDPR 시행 이후 처음으로 ‘적정성 결정’을 승인받은 국가가 됐다. 적정성 결정은 유럽연합이 해당 국가의 정보보호 수준이 GDPR과 동일하다고 인정해, 유럽연합 내에서 획득한 개인정보를 역외로 이전할 수 있도록 허가해 주는 제도다. 우리나라 역시 일본과 함께 1차 심사국가로 선정되었는데, 아쉽게도 우리나라는 감독기관의 독립성이 부족하다는 이유로 통과되지 못했다.
한편, 일본은 개인정보 활용 방안도 적극적으로 추진하고 있는 국가 중 하나로, 국내 전문가와 산업계가 일본의 개인정보보호법을 참고해 개선안을 연구하고 있기도 하다. 다만, 그런 일본에서도 내년부터 개인정보 이용정지권을 도입할 예정으로 알려졌다. 이 법안은 개인이 기업의 개인정보이용 방안을 제한할 수 있도록 하는 내용을 담고 있다. 어쨌든 일본의 개인정보보호법은 현재 우리나라가 여러모로 연구하고 참고할 필요가 있는 것은 분명해 보인다.

석주원 기자 jwseok@cctvnews.co.kr

<저작권자 © CCTV뉴스 무단전재 및 재배포금지>
default_news_ad4

인기기사

오피니언

1 2 3
item35

섹션별 인기기사 및 최근기사

조이뉴스 인기기사

item42
#top
default_bottom_notch