[CCTV뉴스=석주원 기자] 개인정보보호와 활용을 위한 법과 제도의 정비는 현재 전 세계적으로 일어나고 있는 현상이다. 개인정보가 4차 산업혁명의 중요한 자원 중 하나로 여겨지면서, 개인정보의 보호와 활용 사이에서 균형을 찾는 것이 현재 전 세계 보안 관계자들의 고심거리다. 또한 각 국가별로 어떤 가치를 더 중요시 여기는가에 따라서도 개인정보보호 정책의 방향성이 조금씩 달라진다. 4차 산업혁명의 과도기에서 세계 각국은 어떠한 개인정보보호 정책을 추진 중인지 살펴보자.

■ 비공식 국제 표준이 된 GDPR

최근 정보보호와 관련해서 가장 큰 관심을 받고 있는 법은 역시 유럽의 정보보호법인 GDPR(General Data Protection Regulation)이다. GDPR은 유럽연합이 4차 산업시대를 대비해 새롭게 정비한 정보보호법으로, 2016년 4월에 채택되었고, 2년의 유예기간을 거쳐 2018년 5월부터 본격 시행됐다. 유럽연합은 GDPR 이전에 DPD(Data Protection Directive)라는 정보보호법을 시행하고 있었는데, 이 법은 유럽연합 소속의 각 국가들에 직접적인 강제성을 행사하지는 않았다. 하지만 GDPR은 유럽연합 회원국에 직접적으로 강제성을 행사하는 통합 법률로서, 훨씬 강력한 개인정보보호 항목을 담고 있다.
문제는 이 법안이 유럽연합 소속의 국가에게만 영향을 미치는 것 아니라는 점이다. 비유럽연합 국가라 하더라도 유럽연합 소속의 국가나 개인을 상대로 사업을 한다면 GDPR 규정을 따라야 한다. 글로벌 시장에서 사업을 전개하는 대부분의 기업들이 유럽연합 소속의 국가들과 거래를 하기 때문에 사실상 GDPR은 전 세계에 영향력을 발휘한다고 봐도 무방한 수준이다. 그래서 우리 기업들도 작년부터는 GDPR 규정에 맞추기 위해 여러모로 고생을 하고 있는 중이다.
현재 유럽은 개인정보 활용에 초점을 맞추고 있는 우리나라와 달리 개인정보를 더 강력하게 보호하는 방향으로 제도를 정비하고 있다. GDPR을 살펴보면 개인정보의 정보주체, 즉 개인의 권리가 매우 강력하게 보호되고 있으며, 이러한 개인정보를 취급하는 기업의 책임도 더 무겁게 부과하고 있다. GDPR에서는 개인정보를 식별 되었거나, 식별 가능한 살아 있는 정보주체로 정의하고 있다. 그리고 이 정보주체를 대상으로 비즈니스를 전개하거나 모니터링을 행하는 유럽 내ㆍ외의 모든 기업과 단체들에게 GDPR 의무 준수를 강요한다. 만약 유럽연합 소속의 개인이 케이팝에 심취해 국내 웹사이트를 가입한다면, 해당 사이트는 유럽연합 소속의 회원에게 서비스를 제공하기 위해 GDPR을 준수해야 한다. 그래서 해외의 비유럽 사이트들 중에서는 유럽에 서비스를 제공하지 않는다는 고지를 하기도 했다.
개인정보보호와 관련한 세부 항목을 살펴보면 정보주체의 동의를 매우 중요시하고 있는데, 기존의 두루뭉술한 통합적 동의 방식은 인정되지 않는다. 구체적이면서 분명하게 동의 의사를 받을 수 있는 수단을 제공해야 하며, 이는 사전일 경우에만 인정된다. 새로 추가된 법률로는 자신의 기록을 삭제할 수 있는 삭제권(잊힐 권리), 개인정보처리자의 개인정보 사용을 제한하는 처리 제한권, 제공한 개인정보를 다른 사업자에게 이전할 수 있는 개인정보 이동권 등이 있다.
GDPR 규정을 위반할 경우에 가해지는 처벌의 강도도 강해졌다. 위반정도에 따라 최대 전 세계 매출의 4% 혹은 2천만 유로 중 높은 금액을 과징금으로 책정할 수 있다. 실제로 올해 1월 구글은 데이터 처리 목적 및 저장 기간 정보를 한 곳에서 볼 수 있도록 제공하지 않고, 모호한 설명으로 포괄적인 정보를 제공하지 않았다는 이유 등으로 5천만 유로(약 653억 달러)의 벌금을 물게 됐다.
이처럼 GDPR이 강력한 구속력을 발휘하면서 세계의 많은 나라들이 GDPR을 참고해 자국의 개인정보보호 법률을 수정해 나가는 실정이다. 어쨌든 유럽과 비즈니스를 하기 위해서는 GDPR 규정을 준수해야 하므로, 자국의 규정을 그 수준까지 끌어 올릴 필요성이 있는 것이다. 이쯤 되면 GDPR을 국제 개인정보보호법의 참고서라고 해도 과언이 아닐 듯싶다.

■ 캘리포니아주 CCPA로 강화된 미국의 개인정보보호법