국내 기업들은 별도 절차없이 유럽연합(EU) 시민의 개인정보를 우리나라로 들여와 분석·처리할 수 있게 된다. EU 일반 개인정보보호법(GDPR) 적정성 결정을 최종 통과한 데에 따른 것이다. EU 공공기관의 데이터도 이전할 수 있게되면서 기관 간 정보 교류도 활성화할 것으로 기대된다.
개인정보보호위원회와 EU는 공동 언론발표를 통해 17일 한국의 개인정보보호 적정성 결정이 채택, 즉시 발효된다고 밝혔다. 지난 2017년 1월 한국과 EU 간 적정성 논의가 공식 개시된지 4년 만이다.
적정성 결정은 EU 역외의 국가가 GDPR과 동등한 수준의 개인정보보호 제도를 운영하는지 확인·인정하는 제도다. 앞서 우리나라는 개인정보보호 감독기구의 독립성 부족으로 적정성 최종 승인을 두 차례나 받지 못했다. 이후 지난해 데이터3법(개인정보보호법·신용정보법·정보통신망법) 개정으로 개인정보위가 독립 감독기구로 확대 출범하면서 논의가 재개됐다.
이날 주무기관인 EU 집행위원회의 디디에 레인저스 사법총국 기관장은 "한국과 EU 간 높은 수준의 정보보호에 대한 의지를 확인했다"면서 "더 나아가 이번 결정이 한-EU 자유무역협정(FTA)을 보완해 디지털 분야 협력을 강화하는 데에 기여할 것"이라고 봤다.
윤종인 개인정보위 위원장은 지난 16일 개인정보위가 실시한 브리핑을 통해 "EU 시민의 개인정보 이전을 위해 기업들이 개별적으로 받아야 했던 인증을 국가 차원에서 획득한 것"이라고 의미를 짚었다.
또 "이를 통해 기업들이 관리 비용을 절감할뿐 아니라 EU 시장 진출 시 국내에서 EU 시민의 개인정보를 분석해 볼 수 있다"고 말했다.
◇정책 보완해 높아진 심사기준 극복…개인정보위 "협의 성공적"
개인정보위 측은 최근 적정성 결정 심사기준이 강화된 상황에서 승인받았다는 점을 높이 평가했다. 지난해 7월 유럽사법재판소는 미국 대상 적정성 결정인 '프라이버시 실드'를 무효화했는데, 이에 따라 우리나라도 정책 등 측면에서 추가 보완이 필요했다는 것. 당시 재판소는 미국 정부기관이 시민의 개인정보를 침해할 수 있는 요인이 있다고 판단했다.
변정수 개인정보위 국제협력과장은 "(EU는) 한국 정부가 시민의 개인정보를 침해하지 않고 정보접근을 제한하는지에 대해 집중 검토를 했다"며 "EU가 우리나라로 전송된 정보에 대해 침해 우려가 없다는 점을 확인한 것"이라고 설명했다. 개인정보 침해 예방책과 보상책 등이 마련돼 있다는 점도 확인했다고 덧붙였다.
◇"코로나 의료데이터 확보 가능성"…공공부문 데이터 교류 기대
EU 공공 데이터 교류에 대한 기대도 크다. 변 과장은 "확정은 아니다"라면서도 "각국 동의시 코로나 의료데이터 확보 등도 가능할 것"이라고 예측했다. 일본의 경우 2019년 EU 민간 데이터에 국한된 적정성 결정을 획득한 바 있다.
그간 국내 기업들 대다수는 개인정보 국외 이전 수단으로 표준계약조항(SCC)을 활용해왔다. SCC는 시간이 오래 소요될뿐 아니라 비용 부담이 커 기업들의 애로사항이 있었다. 중소기업의 경우 EU 진출을 포기하는 곳도 종종 있을 정도였다. 이번 적정성 승인 결정으로 SCC 등의 기존 절차가 면제된다.
LG, SK텔레콤, 네이버 등의 EU진출 기업 관계자에 따르면 회사가 SCC 관련 계약을 체결하는 데에만 3개월에서 1년의 시간이 걸린다. GDPR과 해당 회원국의 법제에 대한 심층 검토, 현지 실사, 기타 행정절차 등 복잡한 절차를 거쳐야 해서다. 소요 비용은 프로젝트별로 약 1~2억원 규모다.