[디지털투데이 백연식 기자] EU와 한국 간 적정성 논의가 성공적으로 마무리됐다. 우리나라와 EU는 개인정보보호 분야에 있어 한국과 EU 간의 높은 수준의 동등성이 있다는 것을 확인했다. 이에 따라 한국은 개인정보보호에 있어 EU 회원국에 준하는 지위를 부여받게 돼 EU로부터 한국으로의 개인정보의 자유롭고 안전한 정보 이전이 가능하다. 다만, EU의 결정에 따라 금융기관 등은 이번 적정성 결정에서 제외가 됐다.

이에 따라 금융기관 등은 기존의 표준계약조항을 이용해  절차를 밟아 EU 시민의 개인정보를 이전해야 한다. 하지만 금융기관이라 하더라도 신용정보가 아닌 EU 시민의 개인정보는 우리나라 개인정보보호법의 적용을 받기 때문에 이번 이번 적정성 결정에 따라 이전할 수 있을 전망이다. 

윤종인 개인정보보호위원회 위원장과 디디에 레인더스 EU집행위 사법총국 커미셔너(사법총국 장관)는 30일 오후 5시(EU, 오전 10시) EU와 한국 간 적정성 논의가 성공적으로 마무리 됐다는 것을 확인했다. 

윤종인 위원장은 출입 기자단 대상 지난 29일 정부서울청사에서 열린 사전 브리핑에서 “양측은 공동 언론 발표문을 통해 개인정보보호 분야에 있어 한국과 EU 간의 높은 수준의 동등성이 있음을 확인했다. 이에 따라 한국은 개인정보보호에 있어 EU 회원국에 준하는 지위를 부여받게 돼 EU로부터 한국으로의 개인정보의 자유롭고 안전한 정보 이전이 가능하게 될 예정”이라며 “EU 집행위원회는 이번 결정 발표 이후에 의사결정 절차에 바로 착수해 상반기 내 또는 늦어도 하반기에는 이번 결정을 발효할 예정”이라고 말했다. 

이에 따라 한국은 개인정보보호에 있어 EU회원국에 준하는 지위를 부여받게 돼 EU로부터 한국으로의 자유롭고 안전한 정보의 흐름이 가능하게 됐다. 또한 한-EU 자유무역협정(FTA)을 보완해 디지털 역량을 선도하는 유럽연합과 한국 간 협력이 강화될 전망이다. 

이번 결정 발표 직후, EU 집행위는 의사결정절차에 착수했고, 상반기 또는 늦어도 금년 하반기에는 이번 결정을 발효할 예정이다. 지난 2017년 1월 한-EU 간 적정성 논의가 공식 개시된 이래, 핵심기준인 개인정보 감독기구의 독립성 요건 미충족으로 한-EU 간 협의가 2차례 중단되기도 했다. 하지만 지난해 데이터3법 개정으로 개인정보위가 독립감독기구로 확대 출범함에 따라 급진전 됐다. 

한-EU는 지난 4년여 기간 동안 대면·비대면 총 53회 회의를 통해 한국의 개인정보보호법 등 관련 법제 및 정부기관별 소관업무 등에 대한 심층적인 검토를 거쳐 한국의 개인정보보호 법체계가 EU 일반 개인정보보호법(EU GDPR)과 동등한 수준(적정성)인 것을 확인했다.

그간 EU 진출 한국 주요기업들은 주로 표준계약조항 등을 통해 EU 개인정보를 국내로 이전하여 왔으며, 이를 위해 많은 시간과 비용을 투자해 왔음에도 불구하고 GDPR 관련 규정 위반에 따른 과징금(최대 전세계 매출 4%) 부과 등에 대한 부담을 안고 있었다. 또한 중소기업의 경우에는 표준계약절차 자체가 어려워 EU 진출을 포기하고 있는 것으로 파악되고 있다. 

표준계약조항(Standard Contractual Clauses)이란 EU집행위 또는 회원국 감독기구가 승인한 개인정보보호원칙, 내부규율, 피해보상 등 필수적인 조항을 계약서 형식으로 표준화한 것으로, 적정성 결정을 받지 못한 국가의 기업들에게 가장 널리 활용되는 국외이전 수단이다. 그러나, 이번 적정성 결정으로 인해 한국이 개인정보 국외이전에 있어 EU회원국에 준하는 지위를 부여받게 됨에 따라, 한국 기업들의 경우 표준계약 등 기존의 까다로운 절차가 면제된다.

이번 적정성 결정은 2019년 1월에 채택된 일본의 적정성 결정과는 달리 공공 분야를 포함하고 있다. 이에 따라 규제협력 등 EU와의 정부 간 협력이 강화될 전망이고, EU 기업과 한국의 데이터기업 간에 제휴가 가능해 국내 데이터산업 활성화에 기여할 것으로 예상된다.

다만, 금융기관 등은 EU의 결정에 따라 이번 적정성 결정에서 제외됐다. 윤 위원장은 “EU는 적정성 결정에서 금융기관 등을 제외한 이유로 신용정보법상 금융위원회가 개인신용정보 기능도 하고 있지만 그에 못지않게 금융정책, 그다음에 금융산업의 진흥기능을 담당하고 있기 때문에 신용정보와 관련된 독립된 감독기관으로서 위상이 다소 부족하다고 봤기 때문”이라며 “금융기관 등은 그래서 기존의 표준계약조항을 이용해서 절차를 밟아서 EU 시민의 개인정보를 이전하게 되는데, 다만 이번 적정성 결정으로 두 가지 혜택은 금융기관도 볼 수 있다”고 전했다. 

하나는 우선 이번 적정성 결정으로 인해 국가 간 적정성 결정이 되었기 때문에 표준계약조항을 채택한다 하더라도 안고 있었을 여러 가지 리스크에서 상당히 자유로워질 수 있다는  것이다. 두 번째는 금융기관이라 하더라도 신용정보가 아닌 EU 시민의 개인정보는 우리나라 개인정보보호법의 적용을 받기 때문에 저희 이번 적정성 결정에 따라 이전할 수 있을 것으로 개인정보위는 보고 있다. EU와 상호 논의한 바가 있기 때문이다.  

윤 위원장은 “공공기관에 관한 정보가 이번 적정성 결정에 포함됐다. 다만, 이것을 가지고 어떠어떠한 일을 할 수 있을 것인가에 대해서는 EU와 협의된 바는 없다”며 “EU와 논의하는 과정에 규제협력에 관한 사안들을 서로 논의해 볼 수 있다는 실무적인 협의가 있었다. 공공기관이 갖고 있는 개인정보 이전에 관한 것도 포함돼 있기 때문에 향후 EU 간에 협의를 하면서 어떤 분야의 협력 분야가 있을지 더 논의해 나가도록 하겠다”고 설명했다.  

초기 적정성 결정이 합의가 됐다는 것이 통과되고 나면, EDPB(회원국 간 개인정보보호 감독기구연합회의)에서 의사결정을 하게 되고 그 이후에 EU의 국무회의 심의를 거쳐서 확정하게 된다. 

윤 위원장은 “어느 정도의 기간이 걸릴지는 정확하지는 않기 때문에 통상이라는 표현을 쓰는데, 통상 한 6개월 정도를 예상한다. 다만, 실무적으로 얘기할 때는 이번에 법제 검토를 상당히 오래한 만큼 여러 가지 사항을 고려할 때 짧게는 2~3개월까지도 단축해서 할 수 있을 것이라는 얘기를 서로 교환한 바 있다”고 전했다.  

우리나라 개인정보보호법에는 기업이 수집한 개인정보 또는 어떤 기관이 됐든 수집한 개인정보를 동의 없이 해외로 나가도록 하는 것이 제한이 돼 있다. 윤 위원장은 “EU GDPR이 갖고 있는 적정성결정제도와 우리나라 법제가 조금 다른 부분인데, 그런 부분들은 우리도 2차 개인정보보호법 개정안에 담아서 개인정보 이전을 상호주의적 관점에서라도 이전을 허용할 수 있는 법제를 갖춰야 된다는 생각”이라며 “개인정보는 보호도 중요하지만 개인정보 이전 활용을 통한 소위 정보의 영역을 확대하는 것도 중요한 어떤 국가의 이해관계가 걸린 일이다. 그래서 EU 입장에서 놓고 보면 우리가 EU와 동등한 개인정보보호 법제를 갖고 있다고 인정이 된다면 그 나라에 EU 시민의 개인정보를 갖다가 쓸 수 있게 해 주는 것도 본인들이 추구하고 있는 것”이라고 설명했다. 

이어 “GDPR의 목적인 개인정보의 안전한, 자유롭고 안전한 활용이라는 관점에서 필요하다고 봐서 우리한테 이런 결정을 하게 되는 것”이라며 “지금 EU가 적정성 결정을 계속 하고 있는 브라질, 인도, 필리핀 이런 나라하고도 지금 계속 EU가 이어나가고 갈 텐데, 결국 이 부분은 EU 관점에서 놓고 보면 소위 정보의 이동성과 관련된 영토의 확장이라는 측면을 배제할 수 없다”며 “그런 측면이라면 사실은 그런 부분에서 적격성제도라든지, 아니면 표준계약조항이라든지 아니면 내부 기업규칙이라든지 등 다양한 제도의 도입을 검토할 필요성이 있다고 판단한다”고 전했다.