[기고] EU 개인정보보호법 시행에 대비돼 있나
유럽연합(EU)의 개인정보보호법(GDPR)이 오는 25일부터 시행된다. 4차 산업혁명 시대의 원유(原油)라고 불리는 데이터를 놓고 그간 국제사회에서는 정보 이전의 자유를 강조하는 미국과 개인정보 보호를 강조하는 유럽 국가들 간에 각축전이 벌어졌다. 최근 페이스북이 8700만 이용자 정보를 유출했다는 파문이 커지면서 미국에서도 개인정보 보호의 중요성이 주목받고 있는 가운데 EU의 개인정보보호법 시행은 기업에 대해 개인정보 보호 의무를 강화하고 개인에게 자신의 개인정보 통제 권한을 강화했다는 점에서 큰 의의를 가지고 있다.

EU 개인정보보호법은 기본적으로 EU의 국내법이다. 그러나 한국을 포함한 외국 기업도 EU 시민들의 개인정보를 취급할 경우 기업의 소재지와 무관하게 이 법의 규정을 지켜야 한다. 그렇지 않을 경우 EU 집행위원회는 최대 전 세계 매출의 4% 또는 2000만유로(약 250억원) 중 큰 금액을 과징금으로 부과할 수 있다. 당장 오는 25일부터 EU가 과징금을 부과하기는 어렵겠지만 과거 우리 기업들에도 막대한 과징금을 부과한 EU 경쟁법의 사례를 고려한다면 하루빨리 개인정보보호법 내용을 면밀히 연구해 위반 소지가 없는지 검토해야 한다. 정부는 그간 국내 및 EU 현지에서 기업설명회를 열고 EU 개인정보보호법 내용을 설명해왔고, 5~6월 중 관계부처 합동으로 기업 안내를 강화할 예정이다. 외교부도 우리 진출 기업이 많은 거점 도시를 대상으로 순회설명회를 추진 중이다.

아울러 정부는 EU 집행위원회와 우리 기업의 주요 관심 사항인 개인정보 해외 이전에 대한 협의를 진행 중이다. EU 집행위원회가 한국의 개인정보 보호 수준이 EU와 동등한 수준으로, 개인정보의 해외 이전에 적정하다는 결정을 내리면 우리 기업은 매번 EU 회원국 승인을 거치지 않고 EU에서 한국으로 개인정보 이전이 가능해져 비용을 절감할 수 있다. 한국의 개인정보 보호 수준은 국제적으로도 높은 수준이지만, 우리의 개인정보 보호 법제도의 실체적·절차적 측면에 대한 EU 측의 종합적 분석을 요하는 작업인 만큼 EU의 적정성 평가는 상당한 시일이 걸릴 것으로 예상된다. 정부는 전문가들과 협력해 EU 측에 우리 법제도를 효과적으로 설명할 수 있도록 노력할 예정이다.

마지막으로 EU 개인정보보호법 시행에 발맞춰 개인정보 보호를 강화해 나가는 동시에 정보의 자유로운 이동을 불필요하게 억제하지 않도록 유의할 필요가 있다. 개인정보 보호를 위한 조치들이 정보의 이동을 지나치게 제한할 경우 인공지능(AI) 등 신기술 발전에 장애를 초래할 우려가 있다. EU 내에서도 이런 우려가 제기되고 있고, 실제로 EU 개인정보보호법은 개인정보 보호와 함께 EU 역내에서 개인정보의 자유로운 이동 보장을 목적으로 한다고 규정하고 있다(제1조 3항). 한국이 작년 7월 가입한 아시아태평양경제협력체(APEC) 국경 간 프라이버시규칙(CPBR)도 기본적으로 전자상거래 활성화와 안전한 개인정보 이전을 위해 개발됐다.

EU 개인정보보호법 시행으로 우려의 목소리가 크다. 그러나 개인정보 보호 강화는 전 세계적인 추세로 4차 산업혁명 시대의 필수 요건이다. 우리 업계의 철저한 준비, EU와의 적정성 협의, 정보 이전 자유와의 균형과 조화라는 방향으로 대응한다면 이는 한국 경제에 위기가 아니라 기회가 될 수 있다.