삼성전자가 걸리면 과징금 8조?…'EU 개인정보보호 규제'의 파괴력

적용범위·개인권리 대폭 확대한 규칙 내년 5월부터 적용…글로벌 매출 4%까지 과징금 부과 가능

2017-07-10 06:00:00 ㅣ 2017-07-10 06:00:00

[뉴스토마토 이재영기자] 유럽연합(EU)이 개인정보보호 규제를 대폭 강화한다. 특히 강력한 과징금 부과 원칙을 적용해 법 시행에 대한 의지를 표명하고 있다. 위반 시 조 단위의 천문학적 과징금이 부과될 수 있어 관련 업계가 대응 마련에 분주하다.

EU는 지난해 5월24일 일반개인정보보호규칙(GDPR, General Data Protection Regulation)을 발효했다. 2018년 5월25일부터 적용된다. GDPR이 시행되면 EU 회원국의 별도 이행입법 없이 EU 전역에서 단일 법 규정이 적용된다. 공공기관이나 15개월 동안 5000명 이상 정보주체의 정보를 처리하는 기업이 법 적용 대상이다. 이들은 사업 기획 단계에서부터 정보보호가 높은 수준으로 설정될 수 있도록 정보보호활동을 수행해야 한다. 개인정보처리에 관한 문서보관 의무나 정보보호영향평가 등도 받아야 한다. 전문적 지식을 갖춘 정보보호책임자의 임명도 요구된다. 기준에 따라 EU에 법인이 없는 기업도 선임 의무가 생긴다. EU 역내에서 경제활동을 하거나 역외에서 경제활동을 하는 경우에도 회원국 국민들의 개인정보를 처리해 영업활동을 하는 경우 GDPR을 준수해야 하는 부담이 증가될 전망이다. 삼성전자나 LG전자 등 디지털 글로벌 기업을 비롯해 자율주행차 등 현대자동차도 해당된다. GDPR은 개인정보의 이용 목적과 처리 수단을 결정하는 '컨트롤러'와 컨트롤러의 의뢰를 받고 데이터를 분석하는 '프로세서' 모두 규정을 준수해야 한다고 명시했다. 따라서 네이버나 카카오 등 클라우드 기업들도 규제 대상이 될 수 있다.

특히 GDPR 위반 시 강력한 제재 수준이 긴장감을 높였다. GDPR은 감독기구가 전세계 연간 매출액의 4% 또는 2000만유로 이하의 범위 내에서 더 높은 금액을 위반에 대한 과징금으로 부과할 수 있도록 규정하고 있다(GDPR 제83조제5항). 국제적인 개인정보 이전에 관한 요건을 위반한 경우나 동의 요건과 같은 개인 정보 처리의 기본 원칙을 위반한 경우 등이다. 여타 위반 사항도 전세계 연간 매출액의 2% 또는 1000만유로 이하의 범위 내에서 더 높은 금액이 과징금으로 부과될 수 있다. 단순 계산하면 지난해 매출액이 201조원인 삼성전자의 경우 최대 8조원까지 과징금을 부과받을 수 있어 부담이 상당하다. 삼성전자 관계자는 "GDPR에 대한 큰 틀에서 구체적인 가이드가 나오는 대로 맞춰가며 착실하게 준비하고 있다"고 말했다. LG전자는 "정보보호 부서와 현지 법인 등 유관조직 간의 협업을 통해 대응해 나갈 계획"이라고 말했다.

미국 정보관리업체 베리타스가 지난 2월~3월 한국을 포함한 전세계 900개 정부기관 및 기업을 조사한 '2017 GDPR 보고서'에 따르면 국내 응답자의 93%가 GDPR을 준수하지 않으면 비즈니스에 심각한 악영향이 미칠 것으로 응답했다. 그 중 61%는 기한 내 GDPR 규정 준수를 위한 대비를 마칠 수 있을지 모르겠다고 답했다. 이는 글로벌 평균인 47%를 훨씬 웃돌며 일본 63%에 이어 둘째로 높다. 또한 국내 응답자의 40%는 실시간으로 데이터를 모니터링 할 수 있는 툴을 갖추고 있지 않아 효율적인 데이터 관리가 불가능한 것으로 조사됐다. 준비가 상당히 뒤처져 있다는 분석이다.

GDPR은 국내 개인정보보호법과 유사하면서도 달라 혼선을 초래할 수 있다. GDPR은 개인정보처리자가 처리 내용에 대해 정보주체의 동의를 받을 때 각각의 동의 사항을 구분해 이를 명확하게 인지할 수 있도록 알리고 각각 동의를 받아야 한다. 동의는 고지에 입각한 명시적 동의를 요구하는 것으로 해석된다. 반면, 국내 법은 동의에 관한 정의 규정을 두지 않았다. 국내 대법원은 지난해 자신의 소속기관 홈페이지 등에 공개된 개인정보의 수집과 이용에 대해 묵시적 동의에 근거해 적법하다고 판단했다. GDPR에서는 적법한지 확인이 필요하다.

GDPR은 또한 빅데이터, AI 등 모든 형태의 자동화된 개인정보 처리를 의미하는 '프로파일링'에 대한 규정도 두고 있다. 프로파일링 기술적 방법의 중요 내용, 향후 예상되는 결과, 정보주체에게 예상되는 효과 등에 대한 충분한 설명과 동의가 필요하다. 국내 법에는 프로파일링을 포함한 자동화된 의사결정을 명시적으로 제한하는 규정이 없다. 지성우 성균관대 법학전문대학원 교수는 "EU가 GDPR을 통해 20년 만에 개인정보보호 규제 수준을 대폭 강화함에 따라 EU에서 서비스를 제공하는 한국 기업에는 규제 검토 및 심사 등에 따른 과도한 비용지출, EU 법제 이해도가 낮은 IT 스타트업에는 시장 진입장벽 등 부담이 가중될 것"이라며 "법제 동향에 대해 면밀히 검토하고 대응방안을 강구함으로써 기업활동의 제약을 받는 일이 없도록 노력해야 한다"고 말했다.

이재영 기자 leealive@etomato.com