우리나라 개인정보보호법에서 바라본 GDPR

[CCTV뉴스=이승윤 기자] 유럽의 개인정보 보호를 위해 제정된 유럽연합(EU)의 일반개인정보보호법(이하 GDPR)이 2016년 5월 발효돼 2년의 유예기간을 거쳐 2018년 5월 25일부터 본격적으로 시행됐다. EU회원국 전반에 적용되는 이 법률은 총 11장 173개 전문, 99개 본문으로 구성돼 있으며, 살아있는 자연인에 대한 개인정보 보호 및 개인정보에 대한 정의가 크게 확대된 것이 특징이다.

GDPR은 EU에 거주하는 정보주체에 대한 반대권, 처리제한권 등의 조항이 새롭게 규정화됐으며, 개인정보 보호에 긍정적인 면을 가져왔지만, EU 내 사업체가 존재하는 기업 및 EU 거주자를 대상으로 비즈니스를 진행하는 국내 기업들은 ‘동의’ 활용 제한, ‘개인정보 영향 평가’ 기준 강화 등 기업의 책임성이 강화됐으며, GDPR 위반행위 시 2000만 유로 또는 전 세계 매출액의 4%이하 등 높은 과징금을 부과할 수 있도록 규정하고 있어 기업 운영에 부담이 커지고 있는 상황이다.

GDPR 본격 시행 국내기업 대응능력 부족

GDPR이 본격 시행됐지만, 대기업을 제외한 중견·중소 기업의 GDPR 대응 능력이 아직 부족한 상황이다. 국내 대기업 경우 실제 GDPR 대응팀을 구축해 GDPR 대응을 하고 있다. 그러나 국내 중견·중소 기업들은 GDPR에 대한 준비 상황은 대기업에 비해 아쉬운 상황이다.

실제 한 중소기업 관계자는 “규제에 대한 정확한 가이드라인 부족과 내부 전문가 부재 이 두 가지가 가장 어려운 점이다”라고 말했으며, 또 다른 중소기업 관계자는 “GDPR 기준의 자연인에 대한 개인정보의 범위 선정이 어렵고 GDPR 적용 범위에 대한 대상 선정이 쉽지 않다”고 말했다.

GDPR 컨설팅과 솔루션을 제시하고 있는 정보보안 기업 베리타스의 김승준 글로벌 서비스 이사는 “현재 GDPR과 관련해 국내 중견·중소기업들의 문의가 많이 들어오고 있다”며, “GDPR에 대응이 필요하지만 내용도 방대하고 국내와 다른 법체계와 GDPR의 규제를 정확히 설명된 가이드라인 없어 혼란스러워 하고 있다”고 말했다.

국내 개인정보보호법에서 본 GDPR 유사한 점 있지만 목적은 달라

국내 개인정보보호법(이하 개보법)은 2011년부터 전격 시행돼 수차례 개정이 진행됐으며, 2018년도인 현재 인공지능, 빅데이터, 사물인터넷 등 지능정보 기술(ICT) 발전에 따른 보호와 활용을 위한 개정안이 발의, 국회 위원회 심사를 중에 있다. 이러한 국내 개보법은 GDPR과 유사한 조항이 있어 GDPR 대응방안이 될 것으로 보이지만, 개보법 항목을 살펴보면 개인정보 보호하기 위한 안전조치는 유출을 방지하기 위한 것으로 보인다.

반면 GDPR은 정보주체의 권리 강화에 대한 내용이 주를 이뤄 유사점은 있지만 내용의 차이로 개보법 만으로는 GDPR에 대응하기는 어려울 것으로 보인다. 국내 개인정보보호법, 정보통신망법 등 개인정보 보호를 위한 법률을 살펴보면 국내 법규는 개인정보의 보안과 유출에 대해 준수해야 할 기준을 구체적으로 규정하고 있지만, GDPR의 경우 기준이 명확하게 규정돼 있지 않다.

또한, GDPR은 국내 법규와 달리 정보주체의 권리와 정보의 관리 등 정보보안에 대해 예외사항 부분을 강조하고 있다. 동국대학교 이창범 교수는 “GDPR은 국내 개보법과 조항과 원칙에서 유사한 점은 많지만 ‘동의’에 대한 적용과 활용의 차이점, 예외사항 등을 통해 전혀 다른 해석으로 법이 적용될 수 있다”며, “개보법을 통해 접근하는 것은 위험하다”고 말했다.

국내 개보법으로 GDPR을 대응할 수는 없지만, 유사한 점이 많다는 점은 긍정적으로 작용할 것으로 보인다. 국내법에는 영향평가 및 인증제가 마련, 운영되고 있다. 또한, GDPR과 유사한 처리사항 등이 규정돼 있어 상호비교, 보완을 통해 준비한다면 다른 나라보다 빠른 대응체계를 갖출 수 있을 것으로 보인다. 특히 GDPR에서 주요 원칙 부분과 ‘개인정보 영향평가’를 국내 개보법과 비교하는 것은 중요하다.

개인정보보호법과 GDPR 유사한 조항 많아…조항 자체의 평가는 위험

GDPR은 기본적으로 정보주체의 개인정보 권리 강화와 정의가 강화된 법이다. GDPR에 명시돼 있는 주요원칙으로는 ▲제5조 개인정보 처리 원칙 (Principles) ▲제6조 처리의 적법성 (Lawfulness of Processing) ▲제4조 11항, 7조 동의 (Consent) ▲제8조 아동 개인정보 (Children’s personal data) ▲9조 민감정보 (Special categories of personal data) 5가지 모두 정보주체의 개인정보보호에 초점이 맞춰져 있다.

국내 개보법도 GDPR 5가지 주요원칙과 비슷한 내용이 개인정보보호법 ▲제3조 개인정보 보호 원칙 ▲제15조 개인정보의 수집•이용 ▲제16조 개인정보의 수집 제한 ▲제17조 개인정보 제공 ▲제18조 개인정보의 목적 외 이용·제공 제한 ▲제22조 동의를 받는 방법 ▲제23조 민감정보의 처리 제한 규정에 명시돼 있다.

규정만 보면 GDPR과 국내 개보법은 비슷한 부분이 많다. 특히 규제적 측면은 국내법이 GDPR 보다 더 강한 규제를 적용하고 있다. GDPR은 강력한 과징금만 규정하고 있지만 국내의 경우 매출의 최대 3% 과징금과 함께 2년이하 징역 또는 2천만원 이하의 벌금형 선고도 규정돼 있어 GDPR보다 강력한 규제를 시행하고 있다. 법무법인 화우 이근우 변호사는 “규제적 측면으로만 보면 형사처벌 조항이 있는 국내법이 더 강하다”고 말했다.

GDPR은 전체적인 규정 이외에도 관점과 판례, 유권 해석 등을 통해 법 적용이 달라지기 때문에 조항 자체로 평가하는 것은 위험하다. 이창범 교수는 “GDPR을 피상적으로 보면 안된다”며, “GDPR은 EU 디렉티브 시절 때 나온 해석, 판례, 유권해석 등을 업데이트 해 더 발전시킨 법이기 때문에 그 시절에 나온 해석을 이해하고 지금의 GDPR의 조항에 대한 내용도 알아야한다”고 말했다.

‘개인정보처리 원칙’ 적법성에 주목해야

GDPR 주요원칙 중 ‘개인정보 처리 원칙’을 살펴보면 국내와 내용으로는 비슷하지만 GDPR은 개인정보를 수집, 이용, 제공하는 행위를 구별하지 않고 모두 적법성 처리 원칙을 적용하고 있다.

GDPR이 제시하고 있는 적법성의 원칙은 정보주체의 동의, 계약 체결 및 이행, 법적 의무 준수, 정보 주체 또는 제 3자의 중대한 이익보호, 공무수행 또는 공적권한 행사, 컨트롤러 또는 제3자의 정당한 이익 추구로 GDPR은 이런 원칙을 기준으로 판단해 적법과 불법을 결정한다.

국내 개보법은 동의를 기반으로 하는 수집의 적법성을 원칙으로 하고 있다. 또한. 정보주체 권리강화를 위해 정당성 열람 청구권을 보장하고 있으며, 최소정보 수집원칙을 규정하고 있다. 하지만 GDPR의 최소처리 원칙과는 개인정보 처리에 대해 차이점이 있다.

그 예로 공적기록보존, 과학, 역사, 연구, 통계작성 목적의 개인정보 처리는 목적외 이용으로 보지 않는 ‘양립성 원칙’이 GDPR에는 명시돼 있지만 국내 개보법에는 없다.

‘동의’ 유효요건 비슷 적용 방식 다름

개인정보 처리를 위한 정보주체 ‘동의의 유효 요건’은 비슷하다. 하지만 적용 방식에서 많은 차이점을 보인다. GDPR의 경우 최소처리 원칙을 기본으로 동의가 필요할 때 최소한의 정보만을 수집하고 동의 진행 시 강제성이 있었다면 동의에 대해 부정할 수 있으며 철회도 가능하다.

또한, GDPR에 명시된 자유로운 동의, 특정된 동의, 고지된 동의, 명백한 동의, 자유로운 철회 등의 유효 요건이 부합되지 않으면 동의의 효력이 인정되지 않아 국내 개보법에 비해 상당히 엄격하게 인정된다.

국내의 경우 GDPR 6가지 원칙 중 동의만 획득하면 개인정보활용에 문제가 없다. 전화, 인터넷 등과 이에 준하는 방법으로 의사표시를 확인해도 동의를 한 것으로 보고 있어 정보주체의 적극적인 행동을 통한 명백한 동의만 인정하는 GDPR과는 개인정보 수집의 차이점이 있는 것으로 보인다.

‘민감정보’ 원칙적 금지…정의와 예외사항 주목

GDPR에서 민감정보 정의는 인종적, 민족적 기원, 정치적 견해, 종교적, 철학적 믿음, 노조 가입여부 유전정보, 바이오 인식정보, 건강정보 성적지향 정보를 보고있다. 원칙적으로는 민감정보는 수집·처리금지로 설정돼 있지만 정보주체의 명시적 동의, 중대한 이익보호, 비영리단체가 적법한 활동과정에서 처리한 경우, 정보주체가 명백하게 공개한 민간정보, 중대한 공익 보호를 위한 법에 근거한 처리 등에 예외적 처리할 수 있는 것이 규정돼 있다. 이창범 교수는 “GDPR은 원친적으로 민간정보를 수집 처리를 금지하고 있다”며 “예외적 처리 규정이 있어 필요 시 활용할 수는 있다”고 말했다.

국내에서도 민간정보의 정의를 사상, 신념, 노동조합, 정당의 가입 탈퇴, 정치적견해, 건강·성생활, 유전정보, 범죄경력자료에 해당하는 정보를 보고있다. GDPR과 민간정보 정의와 유사한 부분이 많지만 국내 개보법에는 인종적, 민족적 기원, 바이오 인식정보를 민감 정보로 정의하고 있지 않다.

또한, GDPR의 경우 원칙과 함께 예외적 처리 방안을 넓게 제시하고 있다. 이에 반해 국내 개보법은 ‘다른 개인정보 처리에 대한 별도로 동의를 받은 경우’, ‘법령에서 민감정보의 처리를 요구하거나 허용하는 경우’ 단 2가지만 예외사항을 둬 민감정보를 예외적 처리할 수 있는 방법이 GDPR에 비해 부족하다는 차이점이 있다.

‘개인정보 영향평가’ 국내와 GDPR 간의 차이점 많아…주체와 평가방식 대해 정확한 방식 인지 필수

GDPR과 개보법은 해석과 예외사항에 따라 법이 적용되기 때문에 차이점에 맞춰 준비하는 것이 중요하다. 특히 큰 차이점으로 나타나는 ‘개인정보 영향평가’에 대한 부분을 집중적으로 살펴봐야 한다.

유럽에서 법인 회사를 운영하거나, 실제로 유럽 내 공장을 운영하고 있는 기업들은 ‘개인정보 영향평가’로 인해 피해를 입을 수 있기 때문이다.

‘개인정보 영향평가’는 개인정보 처리과정에 수반되는 사업을 추진할 때 해당 사업에 대한 프라이버시 침해의 위험이 없는지 조사하고 개선하기 위한 제도이다.

GDPR에서는 ‘개인정보 영향평가’의 평가 주체를 모든 컨트롤러 즉 모든 개인정보처리자를 평가주체로 명시하고 있다. 또한, 프로파일링을 포함한 자동화된 처리기술을 기초로 자연인에 대한 평가, 민감정보 대규모 처리, 등을 수행하는 민간기업과 공공기관이 '영향평가'를 시행하도록 규정했다.

안전한 개인정보 보안조치 방법으로 컨트롤러의 정당한 이익 등 처리 작업과 목적 리스트, 처리작업 필요성과 비례성 평가, 안전조치가 포함돼야 한다고 명시했다.

GDPR은 ‘개인정보 영향평가’ 절차가 DPO, 대리인, 정보주체의 조언 청취를 통해 진행된다. 특히 개인정보 영향평가에서 실효성과 안전을 위해 GDPR 제36조에 정보처리자가 사전에 감독기관과 상의하도록 의무를 부과하는 제도인 ‘사전협의’ 제도를 도입해 정보주체의 권리를 강화된 것이 특징이다.

베리타스 김승준 이사는 “국내의 경우 평가 주체가 공공기관에 한정돼 있고 민간영역은 자율사항으로 남겨져 있어 GDPR 공공·민간 모두 규정한 것과는 차이점이 있다”며, “국내 개보법에서는 영향평가에 대한 보안 조치 대신 처리하는 개인정보의 수, 제3자 제공 여부, 등이 고려사항으로 명시돼 있어 GDPR에 정부주체에 대한 보안조치 규정과는 상반된 부분이 있다”고 말했다.

GDPR에 ‘사전협의’ 부분도 국내 개보법과 차이점이 있다. 이 제도에는 관계당국은 의견개진, 개선권고, 처리의 금지를 포함하는 명령을 내릴 수 있다. 만약 이 제도를 인지하지 못하면 ‘개인정보 영향평가’ 자체가 금지돼 인사평가 등에 활용하지 못할 수 있다. 이창범 교수는 “국내의 경우 동의 및 법리가 적법할 경우 정보주체의
거부권리가 없어 프로파일링을 통해 인사평가 또는 신용평가에 활용이 가능 하지만 GDPR은 이와 반대로 이에 거부할 수 있는 권리가 있고 활용하기 위해서는 근로자에 직접 문의하고 사유를 들어야 한다”고 말했다.

베리타스 김승준 이사는 “국내의 경우 ‘개인정보 영향평가’를 행정안전부 장관이 고시한 영향평가기준에 따라 평가기관이 실사를 나와서 평가하는 방식인 반면 GDPR의 경우 국가기관이 실시하는 것이 아닌 DPO, 정보처리자가 직접 처리하는 방식으로 기업의 경우 직접 실시해 평가 방법에 차이점이 있다”고 말했다.

GDPR 서두르기 보다는 차근차근 준비돼야

정보주체에 대한 권리와 정의가 강화된 GDPR이 5월 25일부터 시행했다. 특히 규정 위반 시 2000만 유로 또는 전세계 매출액의 4% 이하의 과징금이 부과될 수 있는 패널티가 있어 현재 EU와 연결된 국내기업들은 큰 혼란을 겪고 있다.

하지만 GDPR 전문가들은 서두르기 보다는 차근차근 준비해야 한다고 조언하고 있다. 이창범 교수는 “삼성과 LG 등 대기업들은 바로 영향력에 들어가지만 중견·중소 기업들은 아직 영향력을 느끼지 못할 것”이라며, “EU도 처음 시행하는 법이기 때문에 여러가지 준비기간이 소요될 것으로 보이기 때문에 국내 기업들은 서두르기보다는 차근차근 정부와 같이 준비 해야 한다”고 말했다.

또 이 교수는 “GDPR에 대해 현재 국내 기업들이 영향력이 없다고 해서 방치해서는 안된다”며, “위험이 없다고 준비없이 관망한다면 큰 피해를 볼 수 있다”고 말했다.

김승준 베리타스 이사는 “국내 기업들은 적정성 평가만 이뤄지면 괜찮다고 생각하며 관망하는 기업들이 많다”며, “적정성 평가는 EU에서 다른 나라로 데이터 이전에 관한 제도로 GDPR은 이외에도 다른 적용되는 규정이 많기 때문에 직접적인 사례가 나온 뒤 준비를 시작하면 위험하다”고 말했다.