본문 바로가기

[비즈 칼럼] EU 개인정보보호법에 대처하는 우리 기업의 자세

중앙일보 2018.05.24 00:02 경제 9면 지면보기
이성엽 고려대 기술경영전문 대학원 교수·개인정보 보호법학회 부회장

이성엽 고려대 기술경영전문 대학원 교수·개인정보 보호법학회 부회장

25일부터 유럽연합(EU)의 개인정보보호법(General Data Protection Regulation: GDPR)이 시행된다. 이 법은 유럽에 있는 기업에만 적용되는 것이 아니라, 유럽에 법인이나 지점이 있는 외국 기업은 물론 법인이나 지점이 없어도 유럽 시민들에게 서비스를 제공하거나 제품을 판매하는 외국 기업에도 적용된다.
 
EU는 우리에게 중국, 미국에 이어 3번째로 큰 무역파트너로서 상당수 국내 기업들도 이 법의 적용을 받게 될 전망이다. 이에 정부는 신속하게 GDPR 해설서를 출간한 것은 물론 수차례 기업의 대응방안에 대한 세미나를 진행하였다. 다만, GDPR 시행 준비를 통해 법적 리스크를 줄이는 것도 중요하지만 그 외에도 다음 몇 가지 점을 유의할 필요가 있다.
 
먼저 GDPR 제정 취지를 생각해 봐야 한다. 사실 GDPR은 EU 역외 기업에 대해서는 개인정보 이용에 대한 규제를 강화하고자 하는 보호주의적 입법이다. 5억이 넘는 시장과 법 위반 기업에 대한 전 세계 매출의 4%라는 과징금을 무기로 전 세계 국가에 GDPR 준수를 강요하고 있는 것이다. 특히, 국경 간 데이터의 자유로운 이동을 강조하면서 데이터 기반 혁신을 주도하고 있는 미국이나 ‘데이터 국지화’를 통해 자국민 정보의 해외 이전을 규제하려는 중국에 대한 견제의도가 강하게 작용하고 있다.
 
다음, 이미 한국의 개인정보보호법은 EU 규정을 참고로 해서 만들어졌기 때문에 국내법을 성실히 준수해 온 기업이라면 이번 GDPR에서 바뀐 규정을 중심으로 대비하면 될 것이라는 점이다. 실제로 잊혀질 권리, 개인정보 이동권 등의 새 권리의 보장, EU내 대리인 지정 의무 등을 제외하면 국내 개인정보 규제와 큰 차이가 있다고 보기 어렵다. 따라서 정부는 기업들이 GDPR을 준수하도록 가이드를 제공하는 것 외에 국내 개인정보 법제를 선진화, 합리화하는데 특별한 노력을 기울여야 한다.
 
개인정보의 실질적 보호를 위한 정보 주체의 권리 강화, 가명정보 등에 대한 개인정보 활용 가능성 제고, 외국기업이 국내 개인정보를 수집, 이용하는 경우를 규율하기 위한 역외적용 규정 신설 등을 검토할 필요가 있다.
 
향후 GDPR이 데이터경제 시대의 새로운 규범으로서 개인정보 보호와 활용에 관한 표준이 될 가능성이 높다. 국제관계에서 법의 규범력은 사실상의 힘에 의존하기 때문이다. EU GDPR 준수를 위한 정부와 기업의 각고의 노력을 보면서 우리의 기술, 산업, 기업경쟁력이 더욱 중요하다는 것을 다시금 느끼게 된다. 또한 향후 데이터 패권을 둘러싼 강대국 간의 치열한 다툼 속에서 우리가 이들과 어떤 관계를 설정해야 우리 기업의 이익을 극대화하면서 우리 국민의 개인정보를 보호할 것인지도 큰 숙제다.
 
이성엽 고려대 기술경영전문대학원 교수·개인정보보호법학회 부회장
공유하기
광고 닫기