Home > 전체기사

EU 이어 영국과의 ‘적정성 결정’ 최종 발효가 지닌 의미와 과제

  |  입력 : 2023-01-06 14:52
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
우리나라, 영국 브렉시트 이후 첫 ‘개인정보보호 적정성’ 대상국...개인 신용정보도 이동 가능
[인터뷰] 개인정보보호위원회 변정수 국제협력담당관 및 KOTRA 런던무역관 남현경 과장


[보안뉴스 김영명 기자] 개인정보보호위원회(이하 개인정보위)는 지난해 말 우리나라와 영국과의 ‘개인정보보호 적정성’ 결정이 최종 채택됐다고 밝혔다. 우리나라와 영국과의 ‘적정성 결정’은 영국이 2021년 1월 1일부로 브렉시트(Brexit, 영국의 EU 탈퇴)를 단행한 이후, 최초의 적정성 결정이다. 우리나라 개인정보위는 영국 디지털문화미디어스포츠부(Department for Digital Culture, Media & Sport, DCMS)와 함께 한국에 대한 적정성 결정을 위한 입법 절차를 준비해 왔다.

[이미지=utoimage]


우리나라는 앞서 2021년 3월 30일 유럽연합(EU)의 개인정보보호법인 GDPR(General Data Protection Regulation)에 따른 EU집행위원회의 적정성 초기결정 단계를 통과했으며, 2021년 12월에는 EU의 한국에 대한 ‘개인정보보호 적정성’ 결정이 최종 통과된 바 있다.

이와 관련 <보안뉴스>는 개인정보위 변정수 국제협력담당관(과장), 대한무역투자진흥공사(KOTRA) 소속 영국 런던무역관 남현경 과장과의 인터뷰를 통해 영국과 함께 EU와의 ‘개인정보 적정성’ 결정의 의미를 짚어봤다.

EU 국가를 제외하고 맨 처음 영국과 손을 잡았는데 적정성 결정 최종 발효까지 어떠한 과정을 거쳤는지 궁금합니다
한국과 영국 간의 적정성 결정은 오랜 준비 끝에 2022년 12월 19일에 발효됐습니다. 영국과의 적정성 결정 관련해서는 양국 내에서 모든 실무절차를 마치고, 지난해 11월 23일 영국의 전담부처인 DCMS(디지털문화미디어스포츠부)가 영국 의회에 한국에 대한 적정성 결정 입법을 요청했습니다. 이후 영국 의회의 의견을 수렴한 결과 2022년 12월 18일까지 아무런 이견이 나오지 않아 곧바로 발효될 수 있었습니다.

앞서 추진한 EU와의 적정성 결정과 이번 영국과의 적정성 결정의 차이점이 있다면, EU와의 적정성 결정에서 빠졌던 금융분야 개인 신용정보가 이번 영국과의 관계 설정에서는 포함됐다는 점입니다. 따라서 영국인들의 개인 신용정보도 국내에 들여올 수 있으며, 이를 통해 앞으로는 영국 내에서 사업하고 있는 한국 기업에 대한 수혜가 조금 더 확대될 것으로 봅니다.

영국과의 개인정보보호 적정성 결정 발효로 현지에 진출한 우리 기업은 어떠한 혜택을 보게 되나요?
이번 적정성 결정이 발효되기 전에는 우리나라와 영국 사이에 기업 간 데이터 이전을 위해서는 비용과 시간이 많이 드는 세부적인 계약 조항 등을 일일이 설정해야 했지만, 이번 법안 발효로 이와 같은 조치로부터 자유로워졌습니다. 영국-한국간 적정성 결정은 앞서 비용, 시간, 인력 등의 문제로 개인정보를 포함하는 비즈니스를 피했던 많은 중소·중견기업들에 도움이 될 것으로 봅니다. 특히, 백신 개발과 같은 의료 분야 등 주요 산업 분야 연구협력에서 활발한 협력과 함께 시너지 효과가 기대됩니다.

현재 영국에 진출한 한국의 산업별 현황은 △서비스업 92% △제조업 7% △도소매업 0.4% △농업 0.2% 등으로 파악되고 있습니다.

▲변정수 개인정보보호위원회 국제협력담당관 과장[사진=개인정보위]

개인정보 보호와 관련해 외국 법에 대응하면서 국내 기업 보호를 위해 취하는 조치가 있다면 소개해 주십시오
정부는 국내 기업의 개인정보 보호를 위해 개인정보위와 한국인터넷진흥원(KISA)을 통해 GDPR 대응지원센터 홈페이지를 운영하며 관계되는 법률 및 공식 가이드라인의 국문 자료, 가이드북 및 법률 상담사례집, 국가별 개별 분석 보고서, 주요 처분 동향 등의 정보를 제공하고 있습니다.

또한, 지난 2021년 11월에는 독일에 ‘EU 개인정보보호 협력센터’를 개소, 유럽 내 공관 및 무역관과 협력해 국가별 맞춤형 설명회와 법률 상담도 제공하고 있습니다. 향후 국내 기업의 GDPR 준수 부담 경감을 위해 지속적으로 관련 정보를 제공할 예정입니다. 이밖에도 EU 개인정보보호 이사회 및 적정성 결정 실무를 담당하는 EU집행위원회와 양국의 개인정보보호와 합리적 법 집행을 위해 긴밀히 협력하고 있습니다.

EU와 영국 등 외국과의 개인정보 역외이전이 허용되기 위해서는 어떤 조치가 필요한가요?
먼저 GDPR은 ‘적정성 결정’을 통해 개인정보 보호 수준이 EU와 동등하다고 인정되는 국가 외에는 개인정보의 역외이전을 원칙적으로는 금지하지만, EU에서 인정한 적절한 보호조치가 있는 경우에는 가능합니다. 여기에는 △개별 기업 간 표준계약 체결(표준계약조항, SCC) △구속력 있는 기업규칙(Binding Corporate Rules, BCR) △공인 행동강령(Code of Conduct, CoC) △개인정보보호 인증 등의 방법이 있습니다. 이 가운데 가장 널리 사용되는 것은 ‘표준계약조항(Standard Contractual Clauses, SCC)’으로, 이는 EU 집행위원회 또는 회원국 감독기구가 승인한 개인정보보호 원칙, 내부규율, 피해보상 등 필수적인 조항을 표준화한 것입니다. 해당 방법은 적정성 결정을 받지 못한 국가의 기업들에 가장 널리 활용되는 역외이전 수단입니다.

우리나라의 개인정보보호법은 개인정보를 국외의 제3자에게 제공하려면 정보주체의 동의가 필요합니다. 이는 정보주체의 권리를 보장하기 위한 것이 주된 목적이지만, 디지털경제 시대의 도래와 함께 정보주체 동의 외에도 역외이전의 수단을 다양화해야 한다는 의견이 제기돼 왔습니다. 이에 따라 개인정보위는 적정성 결정 도입 등 역외이전의 수단을 다양화하는 내용이 포함된 개인정보보호법 개정안을 제출했으며, 현재 국회에서 논의 중에 있습니다.

EU 내 처리자로부터 개인정보를 역외이전 받아 처리하는 국내 영세사업자의 경우 표준계약과 같이 개인정보 역외이전을 위해서는 많은 시간(3개월~1년)과 추가적인 보호조치 마련 부담(약 3,000만~1억원)이 필요했는데, 이러한 시간적·비용적 부담이 경감됐다고 볼 수 있습니다. 또한, EU 적정성 결정은 민간과 공공 동시에 적용되기 때문에 개인정보를 처리하는 모든 산업군에서 EU에서 한국으로 개인정보 이전 시 적정성 결정을 활용할 수 있습니다. 다만, EU에서 개인정보를 직접 수집하는 사업자의 경우 GDPR을 준수할 의무가 발생하기 때문에 이번 적정성 결정에 따른 변화나 효용을 직접적으로 체감하긴 어렵습니다.

▲GDPR 시행 후 누적 과징금(2022년 11월 기준)[자료=개인정보위]


해외 진출을 염두에 둔 기업이나 수출입을 주요 사업으로 하는 국내 기업들은 GDPR에 따른 불이익을 최소화하기 위해 무엇을 준비해야 하나요?
최근 GDPR에 따른 EU 내 처분 동향을 보면 개인정보 처리 원칙 위반과 적법처리 근거 부족에 따른 과징금 부과 사례가 월등한 비율로 높습니다. 따라서 GDPR의 직접 적용을 받는 국내 사업자라면 GDPR 제5조에 따른 처리 원칙을 반드시 준수해야 하며, GDPR은 유효한 동의의 성립 요건이 다소 엄격하기 때문에 적법한 개인정보 처리 근거로 정보주체 동의 활용 시 이에 유의해야 합니다. 이밖에도 우리 법에서 달리 규정하고 있지 않은 이동권, 자동화된 의사결정 거부권 등 정보주체의 권리를 보장받을 수 있도록 주의해야 하겠습니다.

GDPR의 주요 내용과 준수 방법에 대한 자세한 내용은 KISA가 발간한 가이드북과 상담사례집, 실무교육 영상 콘텐츠(유튜브, 네이버TV)를 참고하면 실무적으로 많은 도움이 될 것으로 봅니다.

마지막으로, GDPR의 준수를 규제 또는 불이익의 관점으로만 바라보기 보다는 디지털 시대에 높은 수준의 개인정보보호로 상호간 신뢰를 확보하고 협력을 강화해 장기적으로는 기업에 이익으로 작용할 수 있다는 점을 우선적으로 고려해 주시길 당부드립니다.
[김영명 기자(boan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
아스트론시큐리티 파워비즈 2023년2월23일 시작 시큐아이 위즈디엔에스 2018
설문조사
오픈AI가 개발한 인공지능 챗봇 챗GPT가 GPT4 버전까지 나오면서 디지털 혁신의 촉매재 역할을 하고 있습니다. 보안 분야에서도 챗GPT로 인해 보안위협이 가속화될 것이라는 전망과 함께 보안업무에 효과적으로 활용된다면 보안대응 역량 향상에도 크게 기여할 것이라는 의견도 제기됩니다. 이에 대한 여러분들의 생각은 어떠신가요?
챗GPT 악용으로 인해 보안위협이 더욱 고도화되고 증가할 것
챗GPT를 악용하는데 한계가 있어 보안위협이 소폭 늘어나는 추세에 그칠 것
챗GPT 활용에 따라 보안대응 업무에 적지 않은 도움이 될 것
챗GPT의 적극적인 도입 및 적용 통해 보안대응 역량이 획기적으로 향상될 것
보안위협 또는 보안대응과 관련해서는 큰 영향이 없을 것
기타(댓글로)