EU와의 적정성 초기 협의 완료에 숨겨진 의문

▲ 임홍철 정보안전부장
▲ 임홍철 정보안전부장

2021년 3월 30일. 수년간 진척을 보지 못하고 지지부진하게 끌어오던 한국과 EU(유럽연합)간 개인정보 역외 이전에 대한 적정성 논의가 성공적으로 마무리됐다는 반가운 소식이 들려왔다.

이제 EU내 국가에서 사업을 하고 있는 국내 기업들이, 유럽연합 역내에서 수집된 개인정보를 국내로 수월하게 역외 이전할 수 있는 기반이 마련됐다는 의미 있는 소식이다.

유럽개인정보보호이사회(EDPB)와 EU 회원국 대표들로 구성된 커미톨로지, EU 의회 소위원회인 자유사법내무위원회(LIBE)의 의견수렴을 거쳐, 최종 결정되면 한국 기업들의 유럽 내 국가들 대상 사업이 한층 수월해질 전망이다.

EU와의 적정성 협의 타결이 중요한 이유는 GDPR에 해당하는 EU내 국가에서 개인정보의 유럽연합 역외이전을 허용하는 조건이 있기 때문이다.

EU에 속한 국가들의 경우 EU집행위원회가 개인정보 보호법 수준과 집행 체계와 현황 등을 검토해 적정하다고 판단한 국가로의 이전은 GDPR 45조의 적정성 결정에 근거한 이전으로 보고 허용하고 있다.

그러나 국가적 차원에서 적정성 논의가 EU와 협의되지 않은 국가의 경우 기업 스스로 GDPR에서 요구하는 개인정보보호 표준계약조항(SCC) 등 개인정보에 대한 안전장치를 도입·적용하는 지난한 작업이 필요하다. 

GDPR은 EU 내에서 사업장을 운영하거나 개인정보를 처리하는 기업 모두가 적용 대상이기 때문이다.

하지만 정작 이 과정에서 짚어보아야 할 점은 따로 있다. 수년간 진척을 보지 못하고 지지부진하게 진행되던 EU와의 적정성 협의가 진척을 본 이유가 있다.

2017년부터 시작된 EU와의 개인정보 역외 이전에 대한 적정성 협의가 진척을 보지 못한 가장 큰 이유는 한국이 개인정보를 처리하기 위한 별도의 독립적인 개인정보 감독기구를 운영하지 않고 있다는 점이 가장 큰 걸림돌로 작용했다.

산업별로 방송통신위원회, 행정자치부, 과기정통부, 금융위원회라는 개별 감독기관으로 분산돼 관리되고 있는 현실이 문제가 됐다.

그로 인해 이스라엘, 아르헨티나, 스위스, 우루과이 등 12개 국가는 GDPR 시행 전에, 일본도 2019년 1월에 받은 개인정보 역외 이전에 대한 적정성 협의를 한국은 받지 못하고 있었던 것이다.

GDPR의 요구사항을 맞추기 위해 다급하게 서두른 결과 2020년 초 개인정보 보호법이 개정되고, 개인정보보호위원회가 발족되면서 협의를 위한 조건을 맞출 수 있었고, 올해 3월 30일 적정성 협의가 완료된 것이다.

이제 씁쓸한 질문을 던질 수밖에 없다. 개인정보보호위원회는 한국 스스로 개인정보 총괄 감독기관의 필요성을 느껴 자발적으로 구성한 조직인지, 아니면 EU에서 요구하는 GDPR을 만족시키려고 만들어진 조직인지 말이다.

전자라면 다행이다. 하지만 후자라면 아주 쓰고도 쓴 우리의 당면한 현실을 다시금 직면할 수밖에 없다. ⓒ 세이프타임즈

저작권자 © 누구나 안심하고 살 수 있는 세상을 만드는 언론 세이프타임즈 무단전재 및 재배포 금지

관련기사