우리나라 개인정보보호법에서 바라본 GDPR
상태바
우리나라 개인정보보호법에서 바라본 GDPR
  • 이승윤 기자
  • 승인 2018.06.14 09:19
  • 댓글 0
이 기사를 공유합니다

국내 개보법과 GDPR 표면적으로 비슷하지만 해석과 적용방식 주의해야

[CCTV뉴스=이승윤 기자] 유럽의 개인정보 보호를 위해 제정된 유럽연합(EU)의 일반개인정보보호법(이하 GDPR)이 2016년 5월 발효돼 2년의 유예기간을 거쳐 2018년 5월 25일부터 본격적으로 시행됐다. EU회원국 전반에 적용되는 이 법률은 총 11장 173개 전문, 99개 본문으로 구성돼 있으며, 살아있는 자연인에 대한 개인정보 보호 및 개인정보에 대한 정의가 크게 확대된 것이 특징이다.

GDPR은 EU에 거주하는 정보주체에 대한 반대권, 처리제한권 등의 조항이 새롭게 규정화됐으며, 개인정보 보호에 긍정적인 면을 가져왔지만, EU 내 사업체가 존재하는 기업 및 EU 거주자를 대상으로 비즈니스를 진행하는 국내 기업들은 ‘동의’ 활용 제한, ‘개인정보 영향 평가’ 기준 강화 등 기업의 책임성이 강화됐으며, GDPR 위반행위 시 2000만 유로 또는 전 세계 매출액의 4%이하 등 높은 과징금을 부과할 수 있도록 규정하고 있어 기업 운영에 부담이 커지고 있는 상황이다.

GDPR 본격 시행 국내기업 대응능력 부족

GDPR이 본격 시행됐지만, 대기업을 제외한 중견·중소 기업의 GDPR 대응 능력이 아직 부족한 상황이다. 국내 대기업 경우 실제 GDPR 대응팀을 구축해 GDPR 대응을 하고 있다. 그러나 국내 중견·중소 기업들은 GDPR에 대한 준비 상황은 대기업에 비해 아쉬운 상황이다.

실제 한 중소기업 관계자는 “규제에 대한 정확한 가이드라인 부족과 내부 전문가 부재 이 두 가지가 가장 어려운 점이다”라고 말했으며, 또 다른 중소기업 관계자는 “GDPR 기준의 자연인에 대한 개인정보의 범위 선정이 어렵고 GDPR 적용 범위에 대한 대상 선정이 쉽지 않다”고 말했다.

GDPR 컨설팅과 솔루션을 제시하고 있는 정보보안 기업 베리타스의 김승준 글로벌 서비스 이사는 “현재 GDPR과 관련해 국내 중견·중소기업들의 문의가 많이 들어오고 있다”며, “GDPR에 대응이 필요하지만 내용도 방대하고 국내와 다른 법체계와 GDPR의 규제를 정확히 설명된 가이드라인 없어 혼란스러워 하고 있다”고 말했다.

국내 개인정보보호법에서 본 GDPR 유사한 점 있지만 목적은 달라

국내 개인정보보호법(이하 개보법)은 2011년부터 전격 시행돼 수차례 개정이 진행됐으며, 2018년도인 현재 인공지능, 빅데이터, 사물인터넷 등 지능정보 기술(ICT) 발전에 따른 보호와 활용을 위한 개정안이 발의, 국회 위원회 심사를 중에 있다. 이러한 국내 개보법은 GDPR과 유사한 조항이 있어 GDPR 대응방안이 될 것으로 보이지만, 개보법 항목을 살펴보면 개인정보 보호하기 위한 안전조치는 유출을 방지하기 위한 것으로 보인다.

반면 GDPR은 정보주체의 권리 강화에 대한 내용이 주를 이뤄 유사점은 있지만 내용의 차이로 개보법 만으로는 GDPR에 대응하기는 어려울 것으로 보인다. 국내 개인정보보호법, 정보통신망법 등 개인정보 보호를 위한 법률을 살펴보면 국내 법규는 개인정보의 보안과 유출에 대해 준수해야 할 기준을 구체적으로 규정하고 있지만, GDPR의 경우 기준이 명확하게 규정돼 있지 않다.

또한, GDPR은 국내 법규와 달리 정보주체의 권리와 정보의 관리 등 정보보안에 대해 예외사항 부분을 강조하고 있다. 동국대학교 이창범 교수는 “GDPR은 국내 개보법과 조항과 원칙에서 유사한 점은 많지만 ‘동의’에 대한 적용과 활용의 차이점, 예외사항 등을 통해 전혀 다른 해석으로 법이 적용될 수 있다”며, “개보법을 통해 접근하는 것은 위험하다”고 말했다.

국내 개보법으로 GDPR을 대응할 수는 없지만, 유사한 점이 많다는 점은 긍정적으로 작용할 것으로 보인다. 국내법에는 영향평가 및 인증제가 마련, 운영되고 있다. 또한, GDPR과 유사한 처리사항 등이 규정돼 있어 상호비교, 보완을 통해 준비한다면 다른 나라보다 빠른 대응체계를 갖출 수 있을 것으로 보인다. 특히 GDPR에서 주요 원칙 부분과 ‘개인정보 영향평가’를 국내 개보법과 비교하는 것은 중요하다.

개인정보보호법과 GDPR 유사한 조항 많아…조항 자체의 평가는 위험

GDPR은 기본적으로 정보주체의 개인정보 권리 강화와 정의가 강화된 법이다. GDPR에 명시돼 있는 주요원칙으로는 ▲제5조 개인정보 처리 원칙 (Principles) ▲제6조 처리의 적법성 (Lawfulness of Processing) ▲제4조 11항, 7조 동의 (Consent) ▲제8조 아동 개인정보 (Children’s personal data) ▲9조 민감정보 (Special categories of personal data) 5가지 모두 정보주체의 개인정보보호에 초점이 맞춰져 있다.

국내 개보법도 GDPR 5가지 주요원칙과 비슷한 내용이 개인정보보호법 ▲제3조 개인정보 보호 원칙 ▲제15조 개인정보의 수집•이용 ▲제16조 개인정보의 수집 제한 ▲제17조 개인정보 제공 ▲제18조 개인정보의 목적 외 이용·제공 제한 ▲제22조 동의를 받는 방법 ▲제23조 민감정보의 처리 제한 규정에 명시돼 있다.

규정만 보면 GDPR과 국내 개보법은 비슷한 부분이 많다. 특히 규제적 측면은 국내법이 GDPR 보다 더 강한 규제를 적용하고 있다. GDPR은 강력한 과징금만 규정하고 있지만 국내의 경우 매출의 최대 3% 과징금과 함께 2년이하 징역 또는 2천만원 이하의 벌금형 선고도 규정돼 있어 GDPR보다 강력한 규제를 시행하고 있다. 법무법인 화우 이근우 변호사는 “규제적 측면으로만 보면 형사처벌 조항이 있는 국내법이 더 강하다”고 말했다.

전체 기사를 보시려면 로그인 필요

로그인 또는 회원가입을 해주세요. (회원만 열람가능)

로그인 회원가입


댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
0 / 400
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.