日, EU개인정보 자국이전 가능
“韓방통위 개인정보보호 포괄못해”
2015년부터 노력불구 ‘승인’ 실패
한국, 인도등에 협상순위 밀릴수도
 |
| 한국인터넷진흥원이 2017년 12월 개최한 GDPR 세미나에서 기업 관계자들이 설명을 듣고 있는 모습 [한국인터넷진흥원 제공] |
위반 시 최대 250억원의 과징금이 부과되는 유럽연합(EU)의 개인정보보호법령(GDPR)이 오는 25일로 시행 1년을 맞는다.
하지만 한국은 제도 미비와 협상력 부족으로 국내 기업들의 부담을 줄여줄 수 있는 장치 마련에 실패했다는 지적이 나오고 있다.
우리와 달리 일본은 철저한 준비로 강화된 EU 개인정보보호법 수준의 법체계를 확보해 EU 개인정보를 자국으로 이전할 수 있는 발판을 단기간에 마련했다.
9일 국무조정실 산하 대외경제정책연구원(이하 연구원)은 ‘EU GDPR에 대한 일본 정부의 대응 및 평가’ 보고서에서 “한국은 2015년부터 GDPR 적정성 평가에 대응하기 시작했고, 2017년 초부터 방송통신위원회가 주도해 EU와 협상을 추진했으나 아직 성과가 미진하다”고 비판했다.
GDPR 적정성 평가는 EU 밖으로 개인정보 이전을 허용하는 제도로 EU로부터 적정성 평가 최종 승인을 받으면 해당 국가 사업자는 EU 개인정보 이전에 대한 적법성을 확보하게 된다.
GDPR은 기존 유럽 개인정보보호지침보다 강화된 규정이어서 적용 대상이 EU 내 사업자뿐만 아니라, EU 내 거주자 개인정보를 처리하는 전 세계 기업으로 확대됐다.
위반 기업에는 최대 연간 매출의 4% 혹은 2000만유로(약 250억원) 중 많은 금액이 과징금으로 부과돼 GDPR은 유럽 진출 사업자에게 최대 리스크 중 하나다. 이 때문에 국가적 차원에서 적정성 평가를 통과하는 것이 해당 국가 기업들 유럽 진출 성패에 직결된다고 볼 수 있다.
EU 집행위원회는 2017년 1월 한국과 일본을 적정성 우선 평가 대상국으로 선정했지만, 일본만 올해 1월 23일 최종 승인을 받은 상태다.
한국 상황에 대해 연구원은 “초기(2015년) 개인정보보호법을 중심으로 적정성 평가를 받으려고 했으나 개인정보보호위원회 독립성 문제로 평가 신청이 어려웠고, 2016년 개인정보 권한을 행정안전부가 가지고 있어 개인정보보호위원회 독립성 부족 이유로 적정성 불가 통보를 받았다”고 설명했다.
나아가 “방송통신위원회에 협상을 일임해 평가 범위를 제한한 부분 적정성 평가를 추진했으나 개인정보보호를 포괄하지 못한다는 이유로 무산됐다”고 지적했다.
반면 일본은 2014년부터 정부 차원에서 EU 집행위와 적정성 평가 승인 협상을 추진했고, 2015년 10년 만에 개인정보보호법을 개정해 총리 지휘감독 없이 독립된 기관인 개인정보보호위원회를 2016년 1월 출범시켰다.
지난 6년간 일본은 EU와 상호 적정성 인정 위한 협상을 최소 15회 이상 갖고 최종 승인을 따냈다.
일본은 다음달 오사카에서 열릴 G20 정상회의 주요 의제로 ‘데이터 거버넌스’를 추진하는 등 데이터 주도권 확보에도 주력하고 있다.
이와 달리 똑같은 우선 평가 대상국이었던 한국 현실은 어둡기만 하다.
EU와의 협상에 참여하는 정부기관 측 한 관계자는 “적정성 평가 승인이 지연되는 사이 EU 집행위가 인도 등 다른 나라와 협상을 개시할 가능성이 커 한국이 우선순위에서 밀려날 수 있다”고 말했다.
이효성 방송통신위원장이 직접 만나 적정성 평가를 논의했던 베라 요로바 유럽연합 사법총국 담당 집행위원 임기가 올해 10월 끝나 이후 국내 협상력이 약화될 수 있다는 전망도 따른다. 방통위 관계자는 “현재 위원장 차원에서 유럽연합 집행위와의 협상이 계획된 바 없다”고 말했다.
최근 EU가 데이터 보호 인증 가이드라인 마련을 위해 실시한 연구용역에서도 한국은 23개 국가별 인증현황 항목에서 제외됐다. 여기에는 미국, 일본, 유럽 주요국은 물론 인도, 남아프리카공화국, 태국, 멕시코 등도 포함됐다.
이런 가운데 국내 기업들의 유럽 진출은 더욱 가속도를 내고 있다.
최근 삼성전자는 프랑스 파리에 AI센터를 세웠고, 네이버도 프랑스 현지 법인 ‘네이버프랑스’를 설립했다. 엔씨소프트, 넷마블 등도 유럽 진출에 속도를 내고 있다.
연구원은 “적정성 인정을 받지 못하면 기업이 개별적으로 GDPR 기준에 맞는지 EU에 검증을 받아야 해 비용부담이 있고, 특히 중소기업 및 스타트업의 경우 대응이 현실적으로 더 어렵다”고 진단했다.
정태일 기자/killpass@heraldcorp.com
