[CCTV뉴스=신동훈 기자] 지난 5월 25일 유럽 일반개인정보보호법(GDPR)이 시행됐다. 개인정보보호의 패러다임을 바꿀 GDPR 시행으로 기업들은 GDPR 대응에 바쁜 나날을 보내고 있다. 로펌에서도 기업들의 GDPR 대응을 준비하기 위해 분주히 움직이고 있는 가운데, 율촌을 대표해 GDPR 대응을 총괄하고 있는 손도일 변호사와 김선희 변호사를 만나 GDPR에 관련한 개인정보보호 컴플라이언스 준수 및 대응 방법 등에 대해 들어보았다.
율촌은 아시아에서 최고의 성장률을 기록하며 성장한 국내 굴지의 대형 로펌으로, 약 450명의 전문가들이 전 법무 영역에 걸친 풀 서비스를 제공하고 있다. 특히 율촌은 4차 산업혁명과 관련하여 정보보호와 IT 분야에 있어 독보적인 퍼포먼스를 보이고 있다.
■ 법무법인 율촌, GDPR 전문 로펌 강점 3가지
율촌은 SK인포섹과 함께 지난해 7월 국내 로펌으로는 처음으로 GDPR을 주제로 세미나를 진행한 바 있다. 국제 컨퍼런스 등에서 다양한 주제로 활발한 발표를 하고 있는 손도일 변호사는, 국내 기업들이 GDPR Risk에 상당한 노출이 되어 있음에도 국내에서는 제대로 된 준비가 안되고 있어서 지난 해 세미나를 진행했다고 전했다. 손 변호사는 GDPR 대응 로펌으로써 율촌이 가진 강점 3가지를 전했다.
손도일 변호사: 첫 번째로, 개인정보보호법과 정보통신망보호법과 신용정보법을 중심으로 한 국내 개인정보 컴플라이언스와 GDPR 컴플라이언스를 동시에 제공한다. 유럽에 GDPR이 있듯이, 한국에는 개인정보보호법을 중심으로 한 다양한 법령이 있다. 한국 기업은 GDPR도 중요하지만, 국내법을 최우선적으로 유의하여야 한다. 율촌은 2017년 개인정보 유출 사고를 8건 다룬 바 있다. 이와 같은 경험을 바탕으로 개보법과 함께 GDPR을 준비해야 하는 한국 기업에게 율촌은 최적의 컨설팅이 가능하다.
두 번째로, 율촌은 세계 유명 로펌과 네트워크 인프라를 갖췄다. 율촌은 고객 예산과 니즈, 및 그 현황에 맞춰 세계 적재적소의 로펌과 협력하고 있다. 율촌과 함께 협력하고 있는 유럽 유명 로펌으로는, 미국 로펌과 유럽 로펌이 합쳐진 다국적 대형 로펌 Squire Patton Boggs, 베네룩스(Benelux Union)의 풀 서비스 로펌인 STIBB, Lawyer European Awards 2018에서 올해의 프랑스 로펌을 수상한 Gide, 영국의 주요 로펌 Ashurst 등이다. 이외에 독일과 이탈리아 등 주요한 국가에 율촌과 협력하고 있는 로펌들도 상당수 있다.
세 번째로, 정보보호팀 자체로서 국제적인 역량을 갖추고 있다. GDPR의 경우 법 조항 및 가이드라인이 영어로 되어 있고 특히 유럽법이다 보니 유럽에서 어떤 이슈가 있는지 빠르게 포착해야 한다. 현재 IBA(세계변호사협회) 기술법 위원회 임원, IPBA(환태평양 변호사협회) 방송통신법 부위원장, 전 세계 주요 Technology Practice를 하는 로펌들의 모임인 TechLaw Group의 보드 멤버 등을 맡고 있어 유럽법에 대해 보다 깊이 있게 이해하고 국제적인 활동을 하고 있는 점이 강점이라 할 수 있다.
■ GDPR 시행 후 지속적인 리스크 관리 필요
GDPR이 시행됐다고, 지레 겁 먹을 필요는 없다. 일단 국내 기업의 경우 상당수의 기업들은 B2B사업을 하는 경우가 많고, 이 경우에는 관련 임직원들의 컴플레인이나 정보유출사고 등 특이 케이스가 생길 시 위법조사가 시작되므로, 막연한 두려움을 가지기 보다는 지속적으로 GDPR 상황을 지켜보고, 기업 내 데이터 흐름을 파악하며, 개인정보 정책을 진단하는 것이 중요하다고 율촌에서는 강조한다.
손도일 변호사: GDPR이 5월 25일까지 완벽하게 완비되어야 한다고 생각하는 기업이 많았다. 그러나 정말 중요한 것은 5월 25일까지 어떤 서류를 완비하는 것이 아니라, 그 이후에도 지속적인 정보보호 활동을 해야 한다는 것이 중요하다. GDPR은 프로세스이자 문화이다. 계속 관리해 나가야 한다.
GDPR은 완벽한 법이 아니다. 유럽 변호사와 논의해 봐도 애매한 영역(Gray Area)이 많다고 한다. 앞으로도 많이 바뀔 수 있다. 특히, 법원의 판단이 있은 뒤에야 정확한 법원의 입장을 알 수 있으므로 몇 년을 더 기다려야 된다. 그렇다고 준비도 없이 기다리는 것은 리스크가 크다. 따라서 GDPR의 원칙은 따르면서, 금융과 제조 등 산업군에 맞춰 대응책을 강구해야 한다.
김선희 변호사: GDPR이 시행된 뒤, GDPR 대응 매뉴얼과 가이드라인을 만든 뒤 정기적인 모니터링과 함께 실천해 나가는 것이 중요하다. 솔루션과 정책이 잘 되어 있어도 직원들이 지키지 않으면 아무 소용이 없다. 내부 직원 관리, GDPR 정책을 잘 지키고 있는지 등을 한 눈에 알아볼 수 있는 시스템을 구축하고 직원이 잘 지켜 나가고 있는지 관리해야 할 것이다.
■ GDPR에서 가장 중요한 것은 데이터 매핑(Data Mapping)
GDPR에서는 개인정보에 대한 데이터 흐름을 파악하는 것이 무엇보다 중요하다. 원칙에 기반하고 있는 GDPR은 데이터를 어떻게 처리했는지 기록에 남겨야 하고 위반 시 컨트롤러와 프로세서에게 책임을 묻기 때문이다. 본사와 지점 사이 개인정보 흐름을 개선해 리스크를 최소화해야 한다.
손도일 변호사: 우리나라 개인정보보호법령과 GDPR 모두에서 가장 중요한 건 데이터 매핑이다. 기업이 가진 개인정보가 어떤 목적으로 수집했고 어떻게 사용했으며 어디에 이전했는지 등 모든 라이프 사이클이 추적(Track Down) 가능해야 한다. “데이터를 어떻게 처리했고 왜 그렇게 처리했는가?”에 대한 근거를 남기는 것이 GDPR의 기본적인 컨셉이다. GDPR을 준비한다면, 데이터 흐름을 먼저 파악하고 그 흐름 속에 문제점을 진단한 뒤 솔루션을 강구해야 할 것이다.
김선희 변호사: 율촌에서는 데이터 매핑을 강조한다. 데이터 흐름을 파악해야 GDPR 컴플라이언스가 가능하기 때문이다. 한국 기업 역시 GDPR을 대응하려면 데이터 매핑을 하고 개보법 컴플라이언스를 해야 한다. GDPR을 하면서 국내 개인정보 컴플라이언스 자문을 함께 받으면 훨씬 신속하게 한국법과 GDPR 대응이 가능하면서 비용면에서도 효율적이다.
■ GDPR 준비와 대응 방안은? 관계 없다고 손 놓고 있으면 안돼⋯
GDPR 대응을 위한 현재 국내 기업들 상황과 수준에 대해, 율촌에서는 완벽하게 준비된 곳은 몇몇 대기업 빼고는 거의 없을 것이라 보고 있으며, GDPR과 관계없을 거라고 생각하는 것은 위험할 수 있다고 경고했다.
김선희 변호사: 대기업은 준비를 하고 있는 경우가 많으나 중소기업 중에는 아직 시작도 못 하고 있는 기업도 많다. 기업별로 준비 수준도 다르다. GDPR이 시행된 현재 GDPR에 어느 정도라도 적합한 준비를 한 곳은 50%를 넘지 못할 것으로 본다는 분석이 있다.
또한, GDPR과 국내 개보법이 서로 다른 부분도 유의해야 한다. 예를 들어, GDPR의 정보이동권(Data Portability)의 경우 아직 국내에는 도입되지 않았다. 따라서 국내 기업이 이를 전면적으로 도입할 필요는 없고, GDPR이 적용되는 한도에서 도입하는 것이 필요하다. 또 다른 예로, 유럽에 지사가 있다면 본사와 지사가 경우에 따라 공동 컨트롤러(Joint Controller)가 될 수도 있는데, 이때 정보주체 요구에 어떻게 대응할 것인가 책임소재를 정해야 하는 경우가 있을 수 있다.
손도일 변호사: 준비가 미흡한 상황은 한국 뿐만 아니라, 아시아도 마찬가지이다. 미국 기업들도 대기업 빼고는 고민이 많은 것으로 알고 있다. 국내에서는 B2C 기업이 개인정보와 접점이 많으므로 B2B 기업보다 앞서서 준비하고 있다. 다만, B2B 기업이라도 GDPR을 유의해야 된다. 유럽 현지 채용인을 고용했는데, 피고용인이 퇴사하면서 회사가 개인정보를 본사로 보냈다는 등 GDPR을 위법했다고 고발할 수도 있다. 이런 내부자 고발 등이 가장 큰 문제이기 때문에 준비는 해야 된다.
■ GDPR VS 개인정보보호법: 동의 기반이 더 보안에 취약할 수 있어
GDPR은 정보이동권, 삭제권 등을 통하여 정보주체 권리 강화에 중점을 뒀다. 정보주체의 동의에 기반을 둔 국내 개인정보보호법에 따르면, 정보주체의 동의만 있으면 개인정보를 활용하는데 거의 제약이 없다고 볼 수 있다. GDPR의 어떤 점이 개보법 개선에 도움을 줄 수 있을까?
손도일 변호사: 국내법은 동의 기반이 대부분이다. 빅데이터로 활용하고자 할 때 이 동의 기반이 방해 요소가 될 수 있다. A기업이 특정 서비스 제공을 위해 개인정보를 동의를 받아 수집했는데, 이와는 다른 마케팅 분석 목적으로 사용하려면 다시 또 동의를 받아야 할 수도 있다.
GDPR은 최초 수집목적과 양립되는 추가적인 개인정보 처리가 가능하다. 이와 같이 지나친 동의 기반에 따른 규제는 축소하고, 동의 조건을 확대해 개인정보를 활용함에 있어 융통성이 있었으면 한다. 대신 GDPR과 같이 삭제권, 정보 이동권 등 사후통제 수단을 강화하는 방향으로 갔으면 한다.
김선희 변호사: 개인정보의 국외 이전에 대해서도 생각해 볼 필요가 있다. 한국 데이터를 국외로 이전하려면 동의만 받으면 되지만, GDPR은 적정성 영향평가를 받은 국가를 원칙으로 하되, 다른 국가에 대하여는 추가적인 정보보호조치가 있어야 한다. GDPR을 충족하는 프레임워크를 충족한 국가에 개인정보를 넘기는 것과, 동의만 한다면 개인정보를 넘기는 것을 비교한다면 동의기반이 보안에 더 취약할 수 있다.
■ 유럽의 전범(典範)이 될 GDPR⋯개인정보 관심 가질 좋은 기회
개인정보에 있어 세계적으로 중요한 이슈인 GDPR. 개인정보 담당자라면 GDPR의 정의와 의미 정도는 알아둬야 할 것으로 보인다. 많은 국가에서 개인정보 보호체제를 개선하는 가운데, GDPR이 개인정보 보호법제의 벤치마크가 될 수 있기 때문이다.
손도일 변호사: 4차 산업혁명위원회 주최 해커톤 회의에 참여했을 당시, 빅데이터 비식별화 익명 정보, 익명 가공 정보의 개념을 GDPR을 참조하기로 했었다. GDPR은 개인정보 관련하여 중요한 전범(典範, 본보기가 될 만한 모범)이 될 것이다. 그렇기에 개인정보를 담당하는 사람이라면, 최소한 개략적인 의미에서 GDPR의 주요 내용은 알고 있어야 할 것이다. “GDPR에 있는 해당 법 내용이 한국법상 가능한가?”란 질문을 받을 때가 있는데 이 질문에 대처하려면 개보법은 물론이고 GDPR도 알고 있어야 효율적으로 논의가 진행된다.
김선희 변호사: 기업들이 개인정보보호 준수여부를 다시 한번 확인할 수 있는 기회가 되고 있다. 실제 GDPR 컨설팅 진행시, GDPR 보다 개보법 준수가 미흡한 부분이 있어 그 부분에 대한 자문을 먼저 진행한 적도 있다. 이처럼, 한국과 유럽의 개인정보보호의 컴플라이언스를 다시 검토하면서 관심과 준수 의지가 높아지는 듯 하다. GDPR 시행은 개인정보보호 컴플라이언스를 체크해볼 수 있는 좋은 기회다.
손도일 변호사는⋯
서울대 정치학과와 UCLA 로스쿨 LL.M을 졸업한 손도일 변호사는 사법연수원 25기 출신으로, 율촌에서 정보보호팀 팀장과 ICT 팀 및 핀테크 팀의 Co-Chair를 담당하고 있다. 이 외에 손 변호사는 금융감독원 금융IT 자문위원, IBA 기술법 위원회 임원, TechLaw Group의 Board Member를 맡고 있다.
김선희 변호사는⋯
연세대학교 법과대학을 졸업한 김선희 변호사는 사법연수원 36기 출신으로, 율촌 기업법무 및 금융그룹(Corporate & Finance Group)에 소속되어 있다. 글로벌 기업의 개인정보 및 국외 이전(Cross-border Transfers) 관련 자문, M&A를 위한 데이터 실사, GDPR 기업 컨설팅 등에 많은 시간을 보내고 있다.
