개인정보위 "적정성 최종결정 내려지면 EU 진출기업 불확실성 줄어"
"우리 국민 개인정보의 국외 이전은 추후 논의"
[일문일답] "금융기관 신용정보는 EU GDPR 적정성 결정서 제외"
개인정보보호위원회는 우리나라가 유럽연합(EU)의 일반개인정보보호법(GDPR) 적정성 평가 초기결정 단계를 통과했다고 30일 밝혔다.

이르면 상반기 중 최종결정이 내려지면 한국은 개인정보의 EU 역외 이전 시 EU 회원국처럼 자유롭게 EU 시민의 개인정보를 국내로 이전해 처리할 수 있게 되고 EU 진출 기업의 부담도 줄어든다.

다만 이번 초기결정 논의과정에서는 신용정보법을 따르는 금융기관은 제외됐다.

또 우리 국민 개인정보의 국외 이전 부분도 개인정보보호법 2차 개정 이후 논의하게 될 전망이다.

다음은 개인정보위가 배포한 참고자료와 29일 사전브리핑에서 밝힌 내용을 문답 형식으로 정리한 것.

-- GDPR 적정성 결정이란 무엇인가.

▲ EU 역외의 국가가 GDPR 수준과 동등한 수준의 개인정보보호 제도를 운영하는지를 확인하는 제도다.

특정국의 개인정보보호 체계 GDPR과 동등한 수준으로 인정(적정성 결정)되면 해당국은 EU 회원국처럼 자유롭게 EU 시민의 개인정보를 자국 내로 이전·처리할 수 있다.

-- 적정성 결정을 받으면 국내 기업은 어떤 혜택을 보나.

▲ 적정성 결정을 받지 못한 국가의 기업은 EU가 요구하는 개인정보보호 조치를 하겠다는 표준계약을 개별적으로 체결하는 등 부담을 지게 된다.

표준계약은 EU 집행위원회나 회원국 감독기구가 승인한 개인정보보호 원칙과 내부규율, 피해보상 등 조항을 담은 것으로 적정성 결정을 받지 못한 국가 기업이 EU에서 수집한 개인정보를 이전하기 위해서 체결한다.

한국이 적정성 결정을 받으면 국내 기업은 표준계약이 불필요해져 비용과 시간, 법적 리스크를 경감할 수 있다.

LG와 SKT, 네이버 등 EU 진출 기업에 따르면 표준계약을 위해서는 GDPR 및 회원국 법제 검토, 현지실사, 기타 행정절차로 3개월∼1년의 시간과 프로젝트별로 1억∼2억원의 비용이 소요된다.

-- 이번 초기결정 이후 후속 절차는 어떻게 진행되며 언제쯤 발효되나.

▲ 초기결정 채택 이후 EU집행위는 회원국 개인정보위원장 협의체인 EU정보보호이사회(EDPB)에 초기결정문을 넘겨 의견을 수렴·반영한다.

이후 EU집행위 전원회의에서 의결하며 여기까지 통상 6개월이 소요된다.

다만 EU집행위는 한국이 초기결정까지 오랜 시간이 걸린 만큼 법제분석이 잘 이뤄져 후속절차를 2∼3개월로 단축할 수 있다는 입장을 밝혔다.

이에 따라 이르면 상반기, 늦어도 하반기에는 최종결정이 이뤄져 발효될 것으로 예상된다.

-- 적정성 결정에서 금융기관이 제외된 이유는.
▲ 이번 초기결정에는 금융기관 등이 신용도 판단을 위해 유럽에서 수집한 개인정보는 제외됐다.

금융위원회 소관인 신용정보법에 해당하는 부분이다.

이는 EU의 결정에 따른 것인데 신용정보법상 금융위원회가 개인신용정보 관련 기능을 하고 있지만 그 못지않게 금융정책 또는 금융산업진흥 기능을 담당해 신용정보와 관련된 독립된 감독기관으로서 위상이 다소 부족하다고 (EU에서) 본 것으로 알고 있다.

이에 따라 금융기관은 기존의 표준계약을 이용해서 절차를 밟아 EU 시민의 개인정보를 이전하게 된다.

[일문일답] "금융기관 신용정보는 EU GDPR 적정성 결정서 제외"
-- 금융기관이 적정성 결정에서 제외된 데 따른 불이익은 없나.

▲ 금융분야는 EU 진출이 아직은 활발하지 않다.

현재 현지에 진출한 우리 기업이 9곳 정도이며 이미 표준계약을 활용하고 있어 큰 문제는 없다.

또 국가 간에 적정성 결정이 이뤄지게 되므로 우리 기업은 표준계약을 이용하더라도 위험부담이 줄어든다.

최근 EU가 적정성 결정을 받지 못한 나라 기업의 표준계약을 검토해 필요 시 개인정보 국외 이전을 중단하게 한 사례가 있는데 기업 입장에서는 이런 불확실성이 해소되는 것이다.

또 금융기관이 수집한 정보여도 신용정보가 아닌 EU시민의 개인정보는 개인정보보호법의 적용을 받으므로 적정성 결정에 따라 국내로 이전할 수 있을 것으로 (EU와) 논의한 바 있다.

-- EU GDPR 적정성 결정을 받은 다른 나라 사례와 비교한다면.
▲ 앞서 일본이 2018년 10월에 가장 먼저 적정성 결정을 받았다.

EU에서 탈퇴한 영국이 최근 적정성 초기결정을 받았고 우리나라가 그다음으로 초기결정 단계를 통과했다.

일본의 경우 적정성 결정에 공공분야 개인정보는 포함되지 않았다.

또 일본은 상호주의에 따라 자국민의 정보도 EU로 이전하도록 했는데 우리는 이번 초기결정에 국내 정보의 EU 이전 부분은 포함하지 않았다.

-- 적정성 최종결정이 내려지면 EU 개인정보를 국내로 가져와 가명정보로 가공해 활용하는 것도 가능한가.

▲ 실무적으로는 그렇게 이야기했으나 합의문에는 포함돼있지 않는다.

(EU시민의 개인정보를) 우리 법제에 따라 처리하는 것을 EU가 부정하는 것은 아니나 세부적인 부분은 논의해야 한다.

-- 개인정보보호법 2차 개정이 적정성 결정에 미치는 영향은. 이에 대한 EU 입장은 어떤가.

▲ 적정성 결정은 시행 중인 법령이 대상이므로 개정안은 검토 내용에 직접 포함되지는 않는다.

다만 참고 사안으로 개정안 초안에 대해 EU 측과 실무검토를 했으며 EU에서는 개정내용이 GDPR을 다수 반영하는 등 개선됐다고 긍정적으로 평가했다.

적정성 최종결정 이후 개인정보보호법이 개정되면 4년 주기로 이뤄지는 EU집행위의 적정성 결정 후속 검토 과정에서 관련 내용이 반영될 수 있다.

-- 국내 개인정보의 EU 이전도 추후 논의하게 되나.

▲ 현재 우리 개인정보보호법에는 EU의 GDPR 적정성 제도 같은 게 없다.

제도적으로 우리 국민의 개인정보를 동의 없이 국외로 가져갈 수 없게 돼 있어 이번 초기결정에서는 EU 시민 개인정보의 국내 이전만 다뤘다.

우리 국민 개인정보의 국외 이전 부분은 개인정보보호법 2차 개정안에 담아 입법예고한 상태다.

상호주의 원칙에 따라 우리 국민의 정보도 국외 이전이 가능하게 하는 법제를 갖출 계획이다.

개정안이 국회를 통과하면 4년 후 후속 검토에서 논의할 수 있다.

개인정보는 보호도 중요하지만 이전·활용을 통한 정보영역 확대도 매우 중요하다.

우리와 동등한 개인정보보호 법제를 가지고 있다면 해당국으로 개인정보를 가져가 쓸 수 있게 하는 것도 안전하고 자유로운 개인정보 활용 측면에서 필요하다.

[일문일답] "금융기관 신용정보는 EU GDPR 적정성 결정서 제외"
/연합뉴스