[Interview] 이근우 변호사 "GDPR 핵심은 정보주체의 권리보호"
상태바
[Interview] 이근우 변호사 "GDPR 핵심은 정보주체의 권리보호"
  • 김영민 기자
  • 승인 2018.06.14 08:53
  • 댓글 0
이 기사를 공유합니다

세세한 규정은 국내법이 엄격, 개인정보주체 권리보호는 국내법보다 강하게 규제
서비스 설계단계부터 최소한의 개인정보만 처리하도록 설정해야...

[CCTV뉴스=김영민 기자] 유럽연합(이하 EU)의 GDPR이 시작됐지만 아직까지 중소기업 등에서는 어떻게 대응해야 할지, 그리고 GDPR에서 말하는 개인정보보호조치는 무엇인지에 대해 혼란을 겪고 있다. 이미 국내에서는 개인정보보호법이 제도로 자리 잡고 있어 개보법을 기준으로 대응하면 되지 않을까 생각도 되지만 우리 개보법과 GDPR이 규정하고 있는 내용과 강력한 벌칙조항이 기업들의 부담이 되고 있다. 법무법인 화우 이근우 변호사는 EU 내에서 사업을 영위하거나 서비스를 제공하고자 하는 기업들에 대해 불안해하지 말 것을 당부한다. 그리고 GDPR과 관련해 기업의 수준은 어느 정도인지 가지고 있는 것은 무엇인지에 대해 되짚어 볼 것을 주문하고 있다.

법무법인 화우 이근우 변호사

국내의 개인정보보호법, 정보통신망법, 신용정보보호법, 전자금융거래법령 및 고시 또는 감독규정 등 국내법규는 개인정보의 보완과 유출에 대해 준수해야 할 기준을 구체적으로 규정하고 있는 것에 비해 GDPR은 이를 명확하게 규정하고 있지 않고 있으며 정보주체의 권리와 정보의 관리 등에 대해 강조하고 있다. 또한 위반행위에 대해 강력한 벌칙조항을 둠으로써 EU 내에서 사업을 영위하거나 서비스를 제공하고 있는 기업들에 혼란을 주고 있다.

기업들 입장에서는 그동안 국내의 개인정보보호법은 너무나 친절했다. 지켜야 할 규정만 준수하면 큰문제가 없었다. 하지만 GDPR은 기업의 자율과 책임을 얘기하고 있다. 그나마 정보주체의 권리보장과 개인정보의 수집활용을 위한 원칙은 얘기해 준 것으로 위안을 삼아야 할 것으로 보인다.

법무법인 화우 이근우 변호사는 “국내법의 경우 개인정보의 처리방법, 보유기간, 항목 등을 규정하고 보안조치 등을 취했는지에 대해 명확히 얘기하고 있다”며 “그에 반해 GDPR은 기업들에 스스로 책임성을 입증하도록 하고 있다. 때문에 개인정보를 처리하는 경우에는 GDPR에서 얘기하는 기술 관리적 조치를 취하고 서비스 설계단계에서부터 최소한의 개인정보만 처리하도록 설정할 필요가 있다. 문제는 GDPR에서 얘기하는 기술적 관리적 조치에 대한 기준이 불명확하다는 것이다. 이에 대해 이 변호사는 ”GDPR도 하나의 법이기에 법에서 얘기하는 최소수준을 지키고 동시대의 보편적인 기술적 조치를 취한다면 최선을 다했다고 얘기할 수 있을 것”이라고 설명했다.

개보법, GDPR 정보주체 권리보호에서 큰 차이
기술·관리적 조치만을 생각한다면 국내 기준이 결코 낮은 수준은 아니다. 국내에서 개인정보를 처리하는 경우 개인정보 안전성 확보조치 등을 따라야 한다. 개인정보보호 조직을 구성 운영해야 하고 일정횟수 이상 비밀번호를 잘못 입력하는 경우 접근제한을 해야한다. 그리고 방화벽, 방화벽, 침입탐지시스템 등과 같은 시스템 운영과 외부접속시 안전한 접속수단 및 인증수단을 사용할 수 있어야 한다. 이외에도 개인정보를 암호화하고 접속기록에 대한 점검과 보안프로그램의 업데이트 등도 포함되어 있다. 또 재해 및 재난 대비를 위해서 대응절차를 마련하고 정기점검, 처리시스템 복구 계획을 수립해야 한다.

이러한 세세한 규정만을 본다면 국내의 개인정보보호법이 엄격하다고 볼 수 있다. 하지만 개인정보주체에 대해 취해야 할 조치, 보호해야 할 권리를 고려하면 GDPR이 더욱 강한 규제로 보인다.

이 변호사에 의하면 국내의 기술·관리적 조치 수준이 결코 낮지 않다. 하지만 개인정보주체의 권리보호 부분에 있어서는 많은 차이를 보이고 있다. 한 가지를 예로 들면 국내법에서는 개인정보를 제3자 제공을 통해 수집하는 경우에는 요청이 있거나 5만 건 이상인 경우에 알려야 하지만 GDPR에서 규정하고 있는 것은 한 달 이내에 내용을 알려야 한다. 개인정보의 출처, 유형, 처리목적 및 근거는 물론 정보주체가 갖고 있는 권리와 관리 방안 등에 대해서도 알려야 한다.

이 변호사는 “국내법에서 얘기하는 기술적 조치로 GDPR에 대해 웬만큼 대응이 가능하다”며 “개인정보보호법과 GDPR의 가장 큰 차이점이 정보주체에 대한 권리보호인 것을 이해하고 준비할 필요가 있다”고 주의를 당부했다. 이어 그는 “향후 GDPR이 전세계적으로 통용되는 개인정보보호의 기준이 되지 않을까 싶다”며 “국내법도 GDPR을 받아들일 수 있기에 EU 내 사업체를 갖거나 서비스를 제공하지 않더라도 관심을 갖고 지켜볼 필요는 있다”고 덧붙였다.

GDPR 준비, 기업 컨디션 확인이 먼저
정보주체에 대한 권리, 국제 인증을 고려하기에 앞서 왜 GDPR에 대해 불안할지에 대해 생각해볼 필요가 있다. GDPR에서 얘기하는 대상은 EU 내 거주하는 자연인을 대상으로 한다. 전세계적으로 법이 적용된다고 하지만 EU 내에 사업체가 존재하지 않고 이들을 대상으로 서비스를 제공하지 않는 경우에는 해당사항이 없다. 또한 국내에서 개최된 전시·컨퍼런스를 방문한 EU 시민이 개인정보를 제공했다고 해도 문제는 없다. 하지만 유럽에서 개최되는 전시회를 통해 수집된 EU 시민의 개인정보를 통한 마케팅 활동은 GDPR에 위반되는 사항은 없는지 주의할 필요가 있으며, 250명 이상의 기업에서 정보주체를 대상으로 한다면 DPO를 지정해야 할 필요도 있다.

이 변호사는 “GDPR에서 보는 위법사항은 정보주체가 EU 내에 거주하는지 그리고 EU 내에서 서비스가 등이 제공되는지를 중점으로 본다. 지금 하고 있는 사업활동이 EU를 대상으로 하고 있는지에 대해서 냉정히 생각해 볼 필요가 있다”며 “온라인 서비스의 경우에도 EU 회원국 언어, 통화를 통해 서비스를 제공하는 등 EU를 대상으로 하는 것이 명확하지 않다면 걱정할 필요는 없다”고 설명했다.

GDPR에 적용된다면, 내용파악하고 책임성 입증 준비해야
GDPR에 적용되는 기업의 경우는 철저한 준비가 필요하다. 글로벌 기업이나 대기업 등의 경우에는 자체적인 법무팀 등을 통해 대응방안을 마련하고 있다. 하지만 그 외의 기업들은 아직까지 어떻게 준비할 지에 대한 고민이 많은 것으로 보인다.

이 변호사는 “가장 먼저 해야 할 것은 GDPR에서 얘기하는 처리근거, 원칙 등에 대해서 살펴봐야 하고 그 다음으로 정보주체의 권리가 뭔지를 파악, 조치를 취해야 한다”며 “GDPR에서 얘기하는 책임을 다했다는 것을 얘기하기 위해서는 처리보안 및 처리목적에 대한 처리기록을 성실히 이행할 필요가 있다”고 얘기했다. 또한 그는 “어떻게 대응할지가 어렵다면 국제인증을 취할 필요도 있다”고 덧붙였다.

아직 GDPR과 관련된 인증제도가 마련되지는 않았지만, 현재 기존의 ISO 인증을 보완, 추가한 인증제도가 준비 중인 가운데 이 변호사는 기존의 ISO 27002, 29151 등을 참조해서 모바일 장치 보안, 장비 등 자산관리, 접근통제, 비밀번호, 암호화, 물리적 보호조치, 악성프로그램, 백업, 로그인 모니터링, 네트워크 보안 등 10가지 영역에 대해 체크해 볼 것을 권했다.

시범사례는 주의, 최대 과징금 부과는 없을 것
아직 실제사례가 없는 지금 시범케이스에 대한 주의도 요구된다. GDPR이 시행됐지만 위법사례에 적발되지 않은 가운데 필요성은 있지만 과연 어느정도 수준의 규제가 이뤄질지에 대해서는 장담할수 없다. 한국인터넷진흥원 등에서는 11가지 항목을 모두 위반했을 경우, 최대 과징금이 부과되는 만큼 크게 걱정할 필요는 없다고 하지만 이 역시 사례가 나와봐야 알 수 있다.

이 변호사는 “GDPR을 준수해야 한다는 인식이나 필요성에 대해서는 알지만 내용이 어려워 관망 중인 곳이 많다”며 “GDPR에 대한 대응수준이 높아지는 것은 시범사례가 나오고 난 이후가 될 것”이라고 전망했다.

한국인터넷진흥원에서 얘기한 바대로 전 세계 매출의 4%, 2,000만 유로 중 높은 금액으로 하는 과징금 기준은 이론상만으로 가능하다. 최소한 한두 가지의 규제는 준수하기에 최대 과징금이 적용될 일은 없을 것으로 보인다.

과징금 처분을 받았다고 해서 과연 집행할 수 있을까? 국가 간의 관계는 물론 자국이 아닌 타국의 국민을 대상으로 과징금 처분을 부과할 수 있을지에 대해서도 생각해 볼 문제다.

이 변호사는 “EU에 사업체가 있는 경우에는 과징금 부과에 큰 어려움이 없겠지만 서비스만 제공하는 경우에는 법정대리인을 통해 과징금을 부과, 징수를 할 수 있을 것”이라며 “그렇지 않은 경우에는 EU에서의 판결을 위법행위를 한 당사자가 있는 해당국으로 보내 집행판결을 받을 수 있다”고 설명했다. 또한 그는 “국가간의 사법 시스템이 체계화돼 있어 해당국의 법원이 불허할 요소가 없는 한, 집행에는 크게 문제가 없을 것으로 보인다”고 덧붙였다.



댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
0 / 400
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.