[뉴스토마토 김동현 기자] 유럽연합(EU) 시민 개인정보 보호를 위한 개인정보보호법(GDPR) 적정성 결정 통과를 위해 개인정보보호법 개정안을 보완해야 한다는 주장이 나왔다. 개인정보보호법학회는 EU GDPR 통과가 시급한 만큼 개인정보 역외 이전 규정 등을 강화한 개정안을 제시했다.
이해원 국립목포대 사회과학대 법학과 교수는 12일 서울시 영등포구 국회 의원회관에서 열린 'GDPR 적정성 결정을 위한 개인정보법 개정 토론회'에서 "GDPR이 정해놓은 유예기간이 이미 끝나 GDPR 규정에 맞춘 지침을 마련하는 것이 원칙"이라고 말했다. 국내에선 이에 대응하기 위해 더불어민주당 인재근 의원이 대표 발의한 개인정보보호법 개정안이 국회 계류된 상태다. 국가 차원의 적정성 결정을 통과하기 위해 개인정보 감독기구의 독립성을 보장하는 것이 개정안의 핵심이다.
그러나 법학회는 감독기구의 독립성 이외에도 역외이전 규정 강화, 거버넌스의 통일 등이 함께 수반돼야 한다고 주장했다. 개인정보 역외이전 규정 강화는 EU에서 한국으로 넘어온 개인정보가 다시 개인정보보호가 취약한 국가로 이전되는 사태를 방지하는 것을 목표로 하고 있다. 오스트레일리아의 경우 이 사안이 발목이 잡히며 적정성 인정을 받지 못했다. 법학회는 개인정보 국외이전을 위해 정보 주체의 동의를 받게 하는 것을 개정안에 담아야 GDPR 적정성 결정 조건을 충족할 것으로 내다봤다.
이와 함께 정보통신망법, 개인정보보호법 등에 산재한 개인정보보호 관련 규정을 정비해 개인정보보호법으로 통일해야 한다고 강조했다. 김현경 서울과학기술대학교 IT정책전문대학원 교수는 "감독기구의 독립성은 현행 개정안으로도 충분할 것"이라며 "다만 역외이전 규정이나 개인정보보호법의 통일성 부분이 미흡하기 때문에 이를 손봐야 한다"고 말했다.
이날 법학회가 제안한 추가 개정안은 토론회를 공동주최한 민주평화당 유성엽 의원이 대표 발의할 예정이다. 법학회장을 맡고 있는 김민호 성균관대 법학전문대학원 교수는 "인 의원이 지난해 11월 개정안을 발의했지만 논의가 지지부진한 상황"이라며 "유 의원이 이번에 대표발의할 추가 개정안을 바탕으로 빠르고 폭넓은 논의가 진행될 것"이라고 말했다.
지난해 5월 시행된 EU GDPR은 EU 시민의 개인정보를 역외 국가로 이전하는 것을 금지하고 있다. 다만 GDPR이 요구하는 안전 조치를 준수하거나 국가 차원에서 적정성 결정을 받으면 개인정보의 역외이전을 할 수 있다. 그러나 일반 기업, 특히 스타트업의 경우 GDPR 규정에 맞춘 관련 법률 해석을 얻고 EU 시민 개인의 동의를 받는데 들이는 시간·비용 부담이 큰 상황이다. 내년 5월까지 관련 준비를 끝내지 못할 경우 EU 집행당국이 전세계 매출 4%나 2000만유로(약 250억원) 중 높은 금액의 벌금을 부과하는 조치를 취할 수 있다.
12일 서울시 영등포구 국회 의원회관에서 열린 'GDPR 적정성 결정을 위한 개인정보법 개정 토론회'. 사진/김동현 기자
김동현 기자 esc@etomato.com
ⓒ 맛있는 뉴스토마토, 무단 전재 - 재배포 금지