[IT돋보기] 유럽고객 개인정보 국내 활용 …'EU GDPR 적정성' 초기결정 획득

[아이뉴스24 최은정 기자] 프랑스 파리에 위치한 A사는 유럽연합(EU) 고객에게 한국 상품을 맞춤형으로 구매해주는 쇼핑 대행업을 진행하고 있다. 고객의 입맛에 맞는 제품을 선정하기 위해 한국 본사에 의뢰해 고객 개인정보를 분석해왔다. 그러나 EU 고객정보를 한국으로 이전하기 위해선 프로젝트 건별로 표준계약조항(SCC) 절차를 따라야 해 시간·비용 부담이 컸다. 영업 활동을 소극적으로 진행하다보니 소비자에게 발 빠르게 대응하기 어려웠다.

이르면 올 상반기 내 유럽(EU)에 진입한 국내 기업들이 별도 절차를 거치지 않고도 EU 시민의 개인정보를 우리나라로 들여와 처리할 수 있게 된다.

한국이 EU 일반 개인정보보호법(GDPR) 적정성 결정의 '초기결정'을 승인 받았기 때문이다. A사의 경우 한국 본사로 EU 고객정보를 보내는 과정을 간소화하고, SCC 관련 EU GDPR 위반 걱정도 덜 수 있게 됐다.

30일 개인정보보호위원회(위원장 윤종인)는 EU집행위원회(사법총국 장관 디디에 레인저스)로부터 GDPR 적정성 결정의 첫 단계인 초기결정을 승인 받았다고 발표했다. 지난 2017년 1월 한국과 EU 간에 적정성 논의가 공식 개시된지 4년 만이다.

적정성 결정은 EU 역외의 국가가 GDPR과 동등한 수준의 개인정보보호 제도를 운영하는지 확인·인정하는 제도로, 총 3단계 절차로 이뤄진다. 마지막 단계인 최종 적정성 결정은 EU집행위원 전원 회의 의결을 통해 받게 된다. 적정성 결정을 받은 국가의 기업들은 EU 회원국과 같이 자유롭게 EU시민의 개인정보를 자국으로 이전해 처리할 수 있다.

윤종인 위원장은 지난 29일 개인정보위가 실시한 사전 브리핑에서 "개인정보보호 관련해 한국과 EU간 높은 수준의 공동성이 있음을 확인했다"며 "한국은 개인정보보호에 있어 EU 회원국에 준하는 지위를 부여받았다"고 강조했다.

그러면서 "EU집행위는 현재 의사결정 절차에 돌입했으며, 늦어도 올 하반기에는 이번 결정을 발효할 예정"이라고 말했다.

적정성 결정을 받지 못한 국가의 기업들은 대다수가 개인정보 국외 이전 수단으로 SCC를 활용하고 있다. 그러나 SCC는 시간이 오래 소요될뿐 아니라 비용 부담이 커 기업들의 애로사항이 있었다. 중소기업의 경우 EU 진출을 포기하는 곳도 있다는게 개인정보위 측 설명이다.

실제로 LG, SK텔레콤, 네이버 등의 EU진출 기업 관계자에 따르면 회사가 SCC 관련 계약을 체결하는 데에만 3개월에서 1년의 시간이 걸린다. GDPR과 해당 회원국의 법제에 대한 심층 검토, 현지 실사, 기타 행정절차 등 복잡한 절차를 거쳐야 해서다. 소요 비용은 프로젝트별로 약 1~2억원에 이른다.

이번에 우리나라가 적정성 결정 초기결정을 획득하게 되면서 앞으로 기업들은 SCC 등의 기존 절차가 면제된다. EU에 진입한 국내 기업들에게는 신규 사업 기회, 영업 활동 강화 등 새로운 기회가 생기는 셈이다.

윤종인 위원장은 "이번 적정성 결정으로 한국이 글로벌 선진국 수준의 개인정보보호 국가로서의 위상이 제고됐다"며 "이러한 신뢰를 기반으로 한국 기업들이 데이터 경제 시대의 주역으로 성장할 수 있는 기반을 마련하게 됐다"고 말했다.

앞서 우리나라는 적정성 결정의 핵심 기준인 개인정보 감독기구의 독립성 요건을 충족하지 못했다는 등 이유로 EU와의 협의가 두 차례 중단된 바 있다. 이후 지난해 데이터3법(개인정보보호법·신용정보법·정보통신망법) 개정으로 개인정보위가 독립 감독기구로 확대 출범함에 따라 이 같은 성과를 냈다는 설명이다.

◆ 금융기관은 SCC 적용 '유지'…EU 공공분야 개인정보도 포함돼

다만 현재 EU에서 사업 중인 국내 전자금융사, 은행기관 등은 기존 SCC를 이용해야 한다. 현행 신용정보법상 금융위원회의 감독을 받는 일부 기관들이 이번 적정성 결정 대상에서 제외됐기 때문이다.

윤 위원장은 "(EU집행위에서) 금융위의 경우 금융정책·산업진흥 등 금융 전반을 아우르는 업무를 담당하고 있어 개인정보 업무만 전담하는 독립기구로 보기 어렵다고 판단한 점이 작용했다"며 ""이와 관련 추후 EU 측과 지속 논의해 나갈 것""이라고 설명했다.

그러면서 "다만 적정성 결정을 받은 나라의 금융기관의 경우 국외 이전 중단 등 문제 발생 가능성이 낮아졌다고 볼 수 있다"고 덧붙였다. 개인정보위 측에 따르면 현재 약 9개의 금융기관이 EU 시민의 개인정보를 국내로 이전하고 있다.

여상수 개인정보위 국제협력담당 과장은 "가령 신용정보법상 금융위원회의 감독을 받는 일부 금융기관들은 신용도 판단을 위해 개인정보를 이전하는 경우 SCC를 이용해야 한다는 것"이라고 부연했다.

아울러 이번 적정성 초기결정으로 국내 기업은 민간뿐 아니라 공공 분야의 EU 시민 개인정보를 국내로 가져올 수 있게 됐다. 현재 공공기관 등의 정보로 어떤 사업을 진행할 수 있을지 등 세부 사항은 EU 측과 논의하고 있는 단계다.

한편, 지난 2019년 1월 일본은 EU GDPR의 적정성 결정을 획득했으나, 민간 분야의 EU 데이터만 자국으로 이전하고 있다. EU집행위가 민간 분야 개인정보를 관리·감독하는 일본 개인정보위의 독립성만을 인정해서다. 공공과 중앙부처 부문의 개인정보를 담당하는 행정기관인 총무성은 독립성을 인정받지 못했다.

최은정 기자의 다른 기사 보기

• EU GDPR 시행 1년…韓 기업 대응 '난항'

• KISA, 내달 영세·중소기업 대상 GDPR 컨설팅 실시