정부, EU GDPR 단계적 대응전략 편다

정보보호 적정성 평가통과해야
EU 개인정보 이전 승인국 지위
정부, 승인국 지위 빨리 얻으려
망법만 우선 적정성 평가 추진
"일부법 통과론 규제대응 한계
사업자별 자체 로드맵 세워야"

정부가 유럽연합(EU) 개인정보보호법(GDPR:General Data Protection Regulation) 시행과 관련해 EU로부터 받는 적정성(adequacy) 평가를 전체 법률이 아닌, 일부 법률만 우선 받기로 했다. GDPR 시행이 임박해 산업계에 미칠 파장이 심각한 것으로 판단, 승인국 지위를 최대한 빨리 받기 위한 조치다. 이 가운데 업계에서는 정부 주도의 적정성 평가는 GDPR 규제 중 일부만 비껴가는 효과가 있는 만큼 기업들이 자체 대응전략을 면밀히 세울 필요가 있다는 지적이 나온다.

23일 정부와 업계에 따르면 정부는 EU의 GDPR 적정성 평가를 방송통신위원회 관할 정보통신망법(이하 망법)에 대해서 우선 받고 있다. 적정성 평가를 통과해 EU 집행위원회가 적정한 개인정보 보호수준을 갖췄다고 판단한 경우 우리나라는 EU 회원국 시민의 개인정보를 이전할 수 있는 '승인국' 지위를 받게 된다.

앞서 정부는 개인정보보호법(개보법)도 적정성 평가 대상으로 검토했지만, 망법 통과 후 진행하기로 했다. 정부 관계자는 "GDPR 시행 전 개인정보보호 규율인 '1995년 개인정보보호 지침 체제 아래 우선 망법만 적정성 승인 평가를 받기 위해 추진 중"이라며 "통과는 내부적으로는 올해 말로 보고 있다"고 말했다.

정부의 이 같은 결정은 EU의 개인정보보호 정책 때문이다. EU는 적정성 평가 승인조건으로 개인정보보호 감독기관의 독립성을 최우선 조건으로 삼고 있는 것으로 알려졌다.

박종현 행안부 개인정보보호협력과장은 "망법을 소관하는 방통위는 위원회 체제이고 위원장도 임기가 있어 독립성이 확보된 기관으로 EU가 판단하고 있다"며 "반면 개보법은 개인정보보호위원회(개보위)와 연결돼 있는데, 행안부 장관이 임기제가 아니라 EU 측에서 독립성이 없는 것으로 평가한다"고 말했다. 개보위는 독립성이 있지만 실질적인 개보법 관련 조사처분권은 행안부가 가지고 있는데, 행안부의 독립성이 기준에 맞지 않다고 보는 것.

정부가 망법만 우선 평가받는 것은 적정성 평가 통과 실패 시 산업계에 미칠 후폭풍을 고려했기 때문으로 풀이된다. EU 적정성 평가에 통과하지 못할 경우 제3국이나 국제기구로의 개인정보 이전이 '포지티브 규제'를 받게 돼 EU와 사업하는 기업들은 큰 어려움이 예상된다. 포지티브 규제를 적용받으면 특정 기준을 만족시킨 기업만 예외적으로 EU 회원국 국민의 개인정보를 국내에 두고 관리할 수 있다. 이 같은 예외 조건은 중요한 공익상의 이유로 정보이전이 반드시 필요한 경우 등 7가지 항목에 불과하다.

망법에 대해 적정성 승인을 받으면 EU와 사업 중인 대부분 기업이 EU 회원국 시민의 개인정보를 EU 밖에서 이용할 수 있을 것으로 기대된다. 정부 관계자는 "개인정보 이전은 대부분 인터넷을 통해 이뤄지기 때문에 망을 통한 역외 유출권이 허용되면 GDPR 관련 기업 대응도 한결 수월해질 것"이라고 말했다. 일례로 국내 항공사가 홈페이지를 이용해 유럽 시민의 개인정보를 수집할 경우 망법 적용을 받기 때문에 개인정보 역외 이전이 가능하다는 것이다.

반면 일각에선 보다 보수적인 접근이 필요하다는 지적도 나온다. 특히 적정성 평가 통과를 통해 GDPR 법률상 역외이전권만 면제받는다는 만큼 승인국 지위가 기업의 GDPR 대응 '보증수표'가 아님을 고려해야 한다는 지적이다.

정보통신망법 상 '정보통신서비스 제공자'는 전기통신 사업자와 영리를 목적으로 전기통신 사업자의 전기통신 역무를 이용해 정보를 제공하거나 정보 제공을 매개하는 자다.

이와 관련해 업계 한 관계자는 "정의만을 놓고 판단하면 국내 이동통신 사업자, IT서비스 호스팅사업자, 인터넷서비스제공자만 해당하는 것으로 보수적으로 해석할 필요가 있다"고 말했다.

또 망법이 통과돼도 유럽에서 현지인을 고용한 경우와, 인터넷을 사용하지 않고 EU에서 사업 중인 사업자는 제외된다. 또 다른 정부 관계자는 "기업들이 현지 고용인의 인사정보를 한국 본사에서 처리하기 위해 이전해 온다면 이는 개보법의 적용을 받게 될 것"이라 말했다.

또 다른 업계 관계자는 "적정성 평가에 통과해도 개인정보의 역외이전만 허용되는 것"이라며 "GDPR 상 주요 내용인 개인정보의 잊힐 권리, 삭제권 등 세부사항들은 기업들이 별도 준비를 해야 한다"고 강조했다.

임성엽기자 starleaf@dt.co.kr