[성지은] 비욘세 제친 'GDPR'이 남긴 시사점

허울뿐인 개인정보보호 제도 개선, 보호·활용 위한 전환점 마련


[아이뉴스24 성지은 기자] "유럽연합 일반개인정보보호법(EU GDPR)이 비욘세를 제쳤다."

지난달 25일 GDPR이 본격적인 발효를 앞두고 존재감을 뽐냈다.

쿼츠를 포함한 일부 외신은 "최근 구글에서 GDPR 검색량이 비욘세를 넘어섰다"며 "1억명의 인스타그램 팔로워를 보유한 '퀸 비(Queen B·비욘세 애칭)' 보다 GDPR에 관심이 높았다"고 보도했다.

지난 1일 열린 '개인정보보호 박람회(PIS FAIR 2018)'에서도 GDPR에 대한 국내 기업 담당자의 관심도 뜨거웠다. GDPR을 소개하고 대응방안을 공유하는 발표 중 장내에서는 연신 '찰칵' 소리가 들렸다. 발표자료를 촬영하는 참석자들의 손놀림이 분주했다.

도대체 GDPR이 뭐길래 이렇게 관심이 많을까?

GDPR은 EU의 새로운 개인정보보호법이다. 개인정보 유출 사고가 발생할 경우 72시간 내 소비자에게 통지하고 정보주체의 잊힐 권리를 강화하는 등 기업에 강력한 의무를 부여한 게 핵심.

이때 개인정보는 이름·성별·주소 등 식별정보 분만 아니라 개인 성향·성적 취향·인터넷 검색 기록 등을 포함한다는 점에서 광범위하다.

GDPR은 지난 2년간 유예기간을 거쳐 올해 5월 25일 본격 발효됐다. EU 소속 28개 회원국 기업은 물론 EU에서 사업을 하는 역외 기업에도 적용된다. EU를 대상으로 서비스를 제공하거나 사업을 하는 국내 기업 또한 GDPR을 피해갈 수 없다는 의미다.

특히 위반 시 최대 전 세계 매출액의 4% 또는 2천만유로(한화 약 264억원) 중 높은 금액을 과징금을 부과하는 등 강력한 제재를 취하는 만큼 철저한 준비가 필요하다.

다만 위반을 하더라도 사전에 경고하고 시정 지시 등을 거쳐 패널티를 부과한다. 또 평상시 기술적 조치를 취했는지, 미리 감독기구와 협조했는지 등 11가지 기준으로 과징금을 산정한다.

따라서 과징금 폭탄을 두려워하기보다 GDPR 대상 여부·기업의 준비 단계 등을 검토해 문제점을 개선하는 일이 현실적이다. 이를 위해 KISA에서 제공하는 '우리 기업을 위한 EU GDPR 가이드북'을 참고할 수 있다.

◆발등 불 끄고 장기적 법 제도 손질해야

현시점에서 시급한 건 GDPR을 준수하는 일이다. 전 세계 개인정보보호 패러다임을 바꿀 흐름에 발맞춰 대비하는 일이 중요하다 .

다만 GDPR을 준수하는 일은 '발등의 불을 끄는 일'과 같다. 시급한 문제지만 그만큼 단발적이란 의미도 된다.

장기적인 관점에서 우리는 GDPR을 하나의 학습 사례로 삼아 개인정보보호·활용을 양립하기 위한 실천적 움직임을 보여야 한다. 허울뿐인 개인정보보호 제도를 개선하고 지지부진한 개인정보 활용을 높여야 한다는 의미다.

GDPR은 개인정보 관련 법적 개념을 개인정보(신원이 드러나는 정보)·가명정보(가명을 사용한 정보)·익명정보(통계·분석 형태의 정보)로 구분하고 익명정보의 경우 자유롭게 이용하도록 물꼬를 터줬다.

익명정보는 개인정보를 활용했지만, 사실상 신원이 식별되지 않는다는 점에서 개인정보보호 대상에서 제외한 것. 빅데이터 시대를 위한 초석을 마련한 셈이다.

일본도 10년 만에 개인정보보호법을 개정하고 '익명가공정보 규정'을 신설했다. 개인정보를 익명화·가공화하고 특정인을 식별할 수 없게 조치한 익명가공정보는 본인 동의 없이 제3자에게 제공하고 마케팅 등에 활용할 수 있도록 했다.

물론 이에 대한 가이드라인을 만들어 부작용을 최소화하고자 노력했다. 독립적인 관리감독 기구로 개인정보보호위원회(PPC)도 창설했다.

반면 국내에서 진행되는 논의는 지지부진하다. 산업계·시민단체·정부부처 등 각 이해관계자의 입장이 맞물려 논의가 진척되지 못하고 있다.

우선 명확한 정의가 부족하다. 올해 4차산업혁명위원회가 주최한 해커톤에서는 GDPR 등 해외 입법례를 참조해 개인정보·가명정보·익명정보로 정의를 구분키로 했지만, 명확한 정의를 수립하는 후속 조치는 이뤄지지 않고 있다. 명확한 정의가 없으니 개인정보 가공·활용이 어렵다.

그렇다고 현행 개인정보보호 관련 법이 개인정보를 제대로 보호하는 것도 아니다. 개인정보보호법·정보통신망법·신용정보법 등으로 나뉜 복잡한 제도는 허울만 유지하고 있다.

최근만 해도 인터파크(1030만명)·여기어때(97만명)·빗썸(3만명)·알툴즈(16만명) 등 다수 개인정보 유출 사고가 발생했다. 처벌은 솜방망이에 가깝다. 이러다 보니 "개인정보보호도 못 하면서 활용은 무슨 활용이냐"는 따가운 눈총과 비판이 쏟아진다.

하지만 논의를 개선하기 위한 전환점이 필요하다. 빅데이터가 새로운 시대의 청사진을 제시하는데, 우리만 나아가지 못하고 있다.

진부한 얘기일지도 모르겠지만 '사회적 대타협'이 필요한 때다. 서로가 원하는 걸 얻기 위해 감내할 건 감내해야 한다.

먼저 기업은 개인정보를 가공한 비식별 정보를 활용하기 위해 안전한 개인정보보호 체계를 만들어야 한다. 이를 위해 비용을 투자하고 비식별 정보 활용 과정을 투명하게 공개해 오남용 가능성을 낮춰야 한다.

시민들도 맞춤형 복지·퍼스널 마케팅 같은 이점을 얻기 위해 단순 식별 가능성을 이유로 개인정보 활용을 막기보다 제도적 안전장치를 만들고 똑똑하게 활용하는 방안을 강구해야 한다.

기술은 인간의 상상을 뛰어넘는 속도로 빠르게 발전하고 있고, 개인을 식별하기 불가능했던 정보도 IT 기술 발전에 따라 식별 가능한 개인정보로 바뀔 수 있다. 따라서 개인정보를 가공·활용해 이점을 얻되 부작용에 따른 리스크를 최소화하기 위해 각종 안전장치를 마련해야 한다. 무조건 개인정보 활용을 막는 건 시대적 흐름과 역행한다.

교통사고 발생 가능성이 있다고 자동차를 모두 없앨 수는 없는 노릇아닌가. 차라리 교통사고 발생 가능성을 낮출 수 있는 규칙과 제도를 만들어 이를 실천하는 게 현명하다.

정부 또한 타협의 장을 지속적으로 만들고 실질적인 결과물을 내놔야 한다. 몇 번의 토론회를 개최하고 이견을 좁히지 못했다는 식으로 변명하는 건 이제 곤란하다.

GDPR은 흔히들 '세계에서 가장 강력한 개인정보보호법'으로 여겨진다. 하지만 GDPR은 개인정보보호와 활용 모두에 방점을 찍었다. 안전한 개인정보보호 관리 체계를 만들어 사회 전반에 신뢰를 구축하며, 이를 통해 정보 유통을 활성화하고 디지털 경제시장을 선도하겠다는 야심이 내포됐다.

EU의 상황과 우리나라의 상황과 다르다. GDPR을 그대로 우리나라에 적용할 수는 없을 테다. GDPR은 개인정보를 보호하는 하나의 법 제도일 뿐 금과옥조는 아니다. 따라서 우리는 GDPR을 참고해 우리만의 제도개선을 이끌어야 한다. 이때 사회적 대타협은 필수 불가결하게 선행돼야 한다.

성지은기자 buildcastle@inews24.com

관련기사


포토뉴스








아이뉴스24 TV