일본은 GDPR 적정성 평가 완료...한국은 "올해도 어렵다"

일본은 GDPR 적정성 평가 완료...한국은 "올해도 어렵다"

일본이 유럽개인정보보호법(GDPR) 적정성 평가를 완료한 가운데 한국은 올해 통과도 불투명하다. GDPR 적정성 평가 기준이 되는 개인정보보호법 개정안이 국회에 계류된 데다 법안 검토, 유럽연합(EU) 협의 등 문제가 쌓여 있기 때문이다.

유럽 시장에 진출한 국내 기업이 역내 개인정보 이전 문제부터 해결하기 어려워서 앞으로 GDPR 위반으로 인한 천문학적 배상금 지불 위험이 높다는 지적이 나온다.

29일 업계에 따르면 최근 일본이 GDPR 적정성 평가를 최종 완료, '적정성 결정' 대상국이 됐다. EU집행위원회(EC)는 일본 개인정보 보호법이 소비자 개인정보 보호에 GDPR와 비교해 충분한 수준임을 확인했다. 베라 요우로바 EC 위원장은 “이번 협정으로 가장 큰 개인정보 안전 구역이 만들어졌다”고 발표했다.

GDPR는 개인정보의 역외 이전 금지를 원칙으로 한다. 다만 상대국의 개인정보 보호 수준이 EU와 동등한 수준이라고 판단되면 해당 국가로의 이전을 허용한다. 이를 '적정성 결정'이라 한다. 적정성 결정 대상국은 개인정보의 국외 이전을 위한 동의를 별도로 받지 않아도 되며, 국제적으로 EU법과 동등한 위치에 있다는 상징성도 띤다.

우리나라는 2015년부터 행정안전부가 개인정보 보호 분야의 일반법인 개인정보보호법 중심 전체 적정성 평가를 추진했다. 2016년 10월 EC로부터 개인정보보호위원회 적격성이 미비하다는 이유로 평가 불가 통보를 받았다. 이후 부분 적정성 평가를 추진했지만 이마저도 정보통신망법이 개인정보 보호를 모두 포괄하지 못한다는 이유로 무산됐다.

정부는 지난해 11월 개인정보보호법 개정안 국회 발의와 함께 '개보법'을 바탕으로 적정성 평가를 재추진했다.

여전히 풀어야 할 문제는 많다. 개보법 개정안에 대해 시민단체, 야당이 반대하고 있어 상반기 법안 통과 자체가 불투명하다. 게다가 법 통과 이후 개보법 개정안을 두고 EC와 함께 조문을 하나하나 확인하는 과정을 거쳐야 한다. 일본은 준비부터 통과까지 총 4년의 시간이 소요됐다.

GDPR 정적성 평가 절차<자료:우리 기업을 위한 EU 일반 개인정보보호법(GDPR) 가이드북>
GDPR 정적성 평가 절차<자료:우리 기업을 위한 EU 일반 개인정보보호법(GDPR) 가이드북>

최경진 가천대 교수는 “우리나가 개인정보 보호 규제가 까다롭지만 유럽에서 생각하는 보호 수준과는 아직 상이한 부분이 많다”면서 “상반기에 법안이 통과된다 하더라도 일본 사례를 참고할 때 외교 노력 부족, 개인정보 보호와 활용에 대한 정부 방향 모호 등 올해 GDPR 적정성 평가를 통과하는 것은 현실적으로 어렵다”고 지적했다.

GDPR 적정성 평가는 게임, 포털 등 정보기술(IT) 업계의 시급한 사안이다. GDPR 발효 6개월이 지난 현재 글로벌 IT 기업을 향한 천문학적 GDPR 과징금 부과가 시작됐다. 국내 기업도 언제 과징금 폭탄이 떨어질지 모르는 상황이다. 이해진 네이버 창업자 겸 글로벌투자책임자(GIO)는 지난해 국정감사에서 해외 사업을 위해 데이터 이전을 허용하는 적정성 평가가 필요하다고 밝히기도 했다.

방송통신위원회 관계자는 “GDPR 적정성 평가는 개보법이 언제 통과되느냐에 달려 있다”면서 “주변 우려와 달리 외교부 등 정부 부처와 합심해서 EU를 설득하고 있으며, EU 측도 국내 적정성 평가 완료에 매우 적극 검토하고 있다”고 덧붙였다.

정영일기자 jung01@etnews.com