[DT광장] EU 개인정보규정 철저히 대비해야

정현철 KISA 개인정보보호본부장

정현철 KISA 개인정보보호본부장

인공지능, 빅데이터 등으로 대표되는 4차 산업혁명이 실질적으로 경제성장과 우리의 삶에 도움이 되기 위해서는 개인정보의 보호가 제도적, 기술적으로 뒷받침돼야 한다. 이용자 자신의 식별 정보와 민감한 정보에 대한 보호가 담보되지 않아 이용자의 신뢰가 결여된 4차 산업혁명은 사상누각에 불과하기 때문이다.

많은 국민은 자신의 개인정보가 안전하게 보호받고 있지 않다는 생각에서 더 강한 개인정보보호를 요구하고, 데이터의 활용을 부정적으로 바라보고 있다. 다른 한편, 데이터를 기반으로 신산업을 육성하고자 하는 기업들은 현재의 강한 개인정보보호가 걸림돌이 된다고 하소연한다. 상반된 의견 속에서 문제의 원인을 진단하고 맞춤형 해결책을 모색할 필요가 있다.

개인정보보호에 대한 신뢰부족의 핵심은 대규모 개인정보 유출 사고이며, 대부분 사고는 해킹에 의해 발생한다. 기업들이 자율적으로 보안을 강화하도록 유도하고, 합리적인 수준에서의 보호조치 미이행에 따른 개인정보유출 사고에 대해서는 무거운 과징금과 징벌적 손해배상 등을 통해 사회적 책임을 물을 필요가 있다. 대신 안전성이 전제된 개인정보에 대해서는 활용의 물꼬를 틔워주어 기업들이 데이터를 기반으로 한 새로운 일자리를 만들고 글로벌 경쟁에서 살아남을 수 있는 환경을 만들어 줄 필요가 있다.

개인정보의 보호와 활용의 조화는 시행을 채 1년 여 밖에 남겨두고 있지 않은 EU 일반개인정보보호규정(GDPR)에서 찾아볼 수 있다. GDPR은 유럽을 하나의 시장으로 묶는 '디지털 단일 시장'을 이루는 데 있어 개인정보의 자유로운 이동을 보장하는 동시에 정보주체의 권리를 강화한다는 점에서 개인정보의 활용과 보호를 동시에 추구하고 있다. 우리 기업들도 GDPR시행에 앞서 철저한 대비가 필요한 시점이다.

28개 EU 회원국가 전체에 일관성 있는 개인정보보호 법제를 적용하는 GDPR은 모든 회원국들에게 직접적인 법적 구속력을 가지며, 규정 위반 기업에 막중한 제재가 가해진다는 점에서 상당한 준비를 필요로 한다. 이 규정은 또한 EU 회원국가 시민들을 대상으로 서비스를 제공하는 기업 모두에게 적용되기 때문에 유럽시장에 진출했거나 진출을 희망하는 우리 기업들 또한 GDPR이 본격 시행되는 2018년 5월 25일까지 GDPR에서 규정된 보호조치를 마련하고 의무 규정들을 준수하는 데 필요한 대책을 적용해야 한다.

아울러, GDPR은 개인정보 이동권과 반대권 등 우리 법에는 없거나 적용범위에 차이를 보이는 새로운 개념과 규정을 담고 있어 이에 대한 이해도 필요하다. GDPR 적용 대상 기업은 개인정보 처리활동 기록, 개인정보 영향평가, 개인정보보호감독관(DPO)의 지정의무 등을 준수해야 한다. 주요 의무사항을 위반할 경우 해당 기업은 전 세계 연간 매출액의 4% 또는 2000만 유로 이하의 과징금을 납부해야 한다.

한국인터넷진흥원과 정부는 우리 기업들이 유럽의 GDPR 제정 취지와 주요 내용을 알기 쉽게 이해하도록 지난 5월 '우리 기업을 위한 유럽 일반 개인정보 보호법 안내서'를 발간하고, 우리 기업들이 GDPR에 대해 궁금해하는 사항을 지속적으로 접수 받아 답변을 안내하고 있다. 그리고 기업들이 좀 더 실질적인 도움을 받을 수 있도록 오는 하반기에 보다 구체적인 사례와 대책을 담은 가이드를 발간할 계획이다.

4차 산업혁명 시대에는 개인정보의 활용과 보호라는 개념을 조화시켜 경제적 성장과 개인정보 보호를 이루어나갈 지혜가 필요하다. 이를 위한 정부와 기업, 그리고 관련 이해관계자들의 적극적인 참여와 노력이 중요한 시점이다.