[보안칼럼]EU GDPR가 우리에게 주는 교훈

글자 작게 글자 크게 인쇄하기

2년의 유예 기간을 거친 개인정보보호규정(GDPR)이 2018년 5월 25일 본격 시행됐다. 오스트리아 개인정보 보호 단체 Noyb.eu(대표 막스 슈렘스)는 이날을 손꼽아 기다렸다는 듯이 구글, 페이스북 등 4개 글로벌 IT 기업들을 제소했다. 이 단체를 이끄는 인물이 2014년에 페이스북 상대로 개인정보 보호 소송에서 승리하고, 미국과 유럽연합(EU) 간 세이프하버 협정을 무효화시킨 막스 슈렘스이기에 이번 제소도 세간의 주목을 받고 있다.

GDPR의 첫 번째 표적이 우리 기업이 아닌 것은 천만다행한 일이지만 우리도 안심할 수만은 없다. 2011년 한-EU FTA 체결 이후 EU와의 거래가 꾸준히 증가하고 있고, 우리 기업이 EU 진출을 확대하고 있기 때문이다. 현재 우리나라의 개인정보 보호 관련 법률은 다른 나라 법률에 비해 엄격한 편이다. GDPR 조항의 많은 부분이 우리 법에 이미 있지만 GDPR와 우리 법의 차이점에는 주의를 기울일 필요가 있다.

첫째 우리 기업들은 상당히 까다로운 GDPR의 동의 요건에 부합하는지 점검해야 한다. Noyb.eu는 구글, 페이스북 등 글로벌 기업들이 GDPR의 동의 요건을 위반했다는 이유로 제소했다. GDPR는 정보 주체로부터 동의를 받을 때 '자유롭게 부여된 동의' '특정한 개별 동의' '사전에 정보가 제공된 동의' '정보 주체의 명확한 의사표시가 있는 동의' 등 네 가지 요건을 모두 충족시켜야 유효하다고 간주한다. 구글, 페이스북 등은 이 가운데 '자유롭게 부여된 동의' 원칙을 어겼다는 혐의로 제소됐다. 즉 동의하지 않으면 서비스를 제공하지 않는 등 실질 선택권이 없는 동의는 유효한 동의가 아니라는 것이다. 우리나라는 어떠한가. 1㎜의 깨알만한 크기의 글자로 개인정보 수집 및 이용 등을 안내, 정보 주체가 명확하게 인지하기 어렵도록 한 경우도 있었다. 개인정보 처리의 정당성을 확보하기 위해 불필요한 동의까지 남발하는 경우도 있다. 이러한 동의가 GDPR의 유효한 동의 요건 네 가지를 모두 충족시킬 수 있을지 다시 생각해 보고, 동의 만능주의 문제와 형식에 그치는 동의 획득 문제를 개선해야 한다.

둘째 개인과 기업의 신뢰를 기반으로 한 안전한 데이터 활용에 속도를 내야 한다. GDPR는 제1조 제2항과 제3항에서 제정 목적을 명확히 함으로써 개인정보를 안전하게 지키되 이동과 활용을 촉진, EU의 디지털 경제를 부흥시키겠다는 의도를 드러낸다. 이를 위해서는 개인과 기업의 이익이 균형을 이뤄야 하고, 상호간 신뢰가 형성돼야 한다. GDPR는 기업들이 개인정보보호책임자(DPO)를 지정하고 개인정보영향평가를 이행하도록 하는 등 기업의 책임성을 강화하면서 신뢰를 잃은 기업에는 천문학 규모 과징금을 물리고 있다. 요약하면 GDPR는 데이터의 활용을 촉진시키는 대신 기업에 강한 책임을 요구하고 개인의 권리를 보장해 준다. 우리나라는 얼마 전 4차산업혁명위원회 해커톤을 통해 개인정보, 가명정보, 익명정보 개념과 활용 범위에 관한 의견을 한데 모으는 등 데이터 활용의 물꼬를 텄다. 우리 기업이 정보 주체로부터 신뢰를 구축하기 위해서는 개인정보 처리의 투명성을 보장하면서 개인이 원하면 언제든 처리를 중지할 수 있도록 하고, 고의로 재식별한 기업에는 강한 책임을 물어야 한다. 그 대신 정보 주체와 기업 간의 신뢰 관계를 전제로 과감한 데이터 활용의 길을 열어 줘야 한다.

셋째 개인정보 리스크를 관리할 수 있는 전문 인력의 확보가 필요하다. 우리 기업들은 GDPR가 모호하다는 이야기를 많이 한다. GDPR는 기업 자체로 리스크를 평가하고 책임을 다하도록 하고 있어 명확한 기준을 제시하고 있는 우리 법과 다르다. 기업의 자율에 맡기는 대신 개인정보 처리 활동을 기록하도록 해서 기업이 어떤 근거로 개인정보를 처리하였는지, 합리 수준에서 기술과 조직 보호 조치를 취했는지 등을 기업 스스로 입증하도록 하고 있다. 이러한 기업의 자율 활동을 위해서는 전문가가 필요하며, GDPR는 법률 지식과 정보기술·보안 관련 전문 지식을 쌓은 전문가를 DPO로 지정하도록 하고 있다. 우리나라의 최고개인정보책임자(CPO)와 달리 DPO는 전문성과 독립성이 강조된다. 우리 정부와 기업들은 국내외 규제 및 기술·조직의 변화 속에서 개인정보 리스크를 정확하게 판단할 수 있고 적절한 보호 조치를 취할 수 있는 전문 인력을 확보하고 육성할 수 있도록 노력해야 한다.

GDPR 시행일은 지났지만 개인정보 전쟁은 이제부터 시작이다. GDPR 시행은 정보 주체의 실 권리를 보장하고 기업들이 안전하게 데이터를 활용할 수 있는 환경으로 바꾸는 계기가 될 것이다. 다만 GDPR는 EU의 개인과 기업 이익을 위한 법임을 명심해야 한다. 우리나라 국민과 기업에 이익이 되고, 우리 환경에 맞는 제도로 개선할 필요가 있다.

[보안칼럼]EU GDPR가 우리에게 주는 교훈

정현철 한국인터넷진흥원 개인정보보호본부장 hcjeong@kisa.or.kr

“말도 안되는 가격!! 골프 풀세트가 드라이버 하나 값~~ 598,000원”