[뉴스토마토 배한님 기자] 한국인터넷진흥원(KISA)이 데이터 3법 통과 2개월 만에 유럽 연합(EU)의 일반 개인정보보호법(GDPR) 적정성 초기 결정을 앞두고 있다고 밝혔다. 오용석 한국인터넷진흥원 개인정보정책 단장은 "코로나19로 불확실성이 높아졌지만, 초기 결정 후 3개월 이내로 GDPR 적정성 결정이 타결될 것"이라고 내다봤다. 적정성 결정이 통과되면 유럽에 진출하는 기업은 막대한 비용이 드는 표준개인정보보호 조항 작성 관련 컨설팅을 거치지 않아도 된다. 

 

 

오 단장은 27일 '데이터 3법 통과 관련 향후 계획'을 주제로 유튜브에서 진행된 이슈앤톡에서 "현재 GDPR 적정성 결정은 EU 집행위와 KISA, 관련 부처가 협의해 상당히 진행돼 조만간 초기 결정을 하게 될 것"이라고 밝혔다. 현재 검·경찰 등 국가기관의 국민 개인정보 접근권 등도 부속서를 통해 합의됐다. 

 

EU의 GDPR 적정성 결정은 EU가 상대국가의 개인정보보호 법제가 유럽과 비교해 그 수준이 적정한지를 판단하는 것이다. 지난 2018년 GDPR이 시행되면서 EU 국민의 정보를 역외로 이전하려면 국가 차원의 적정성 결정을 받거나, 기업이 개별적으로 EU 당국의 승인을 받아야 했다. 

 

오 단장은 "모 기업은 GDPR 규제 관련된 법령 자문을 검토하고 표준개인정보보호조항을 작성하는데 컨설팅 비용으로만 40억원 정도를 부담한 사례가 있다"며 "국가 차원에서 적정성 결정을 받게 되면 개별 기업이 부담했던 EU 국민의 개인정보 역외 이전 규제 부담을 국가 차원으로 해소하게 된다"고 설명했다. 

 

한국의 GDPR 적정성 결정 핵심 쟁점은 한국의 개인정보보호위원회가 독립성을 갖지 못해 규제 실효성을 갖추지 못했다는 부분이었다. EU는 데이터 3법 입법으로 개인정보보호위원회가 인사와 예산 등 조건을 갖춤으로써 독립성을 인정했다. 

 

현재 EU GDPR 적정성 결정을 받은 국가는 총 13곳이다. 적정성 결정은 4년마다 주기적으로 갱신해야 한다. KISA는 이를 위한 EU 규제 당국과 소통이 중요하므로 하반기 중으로 연락 사무소를 설립한다. 

 

EU의 GDPR 적정설 결정은 총 5단계로 진행된다. EU 집행위원회 실무자가 상대국가의 법제 현황을 검토해 EU 규제와 유사성을 판단하는 '초기 결정', '개인정보 감독기구(EDPD) 이사회 검토', EU 각국 대표자들로 구성된 '커미톨로지 검토', 'EU 의사회 사법 총국의 법적 검토', 마지막으로 'EU 의회 최종 승인'이다. 

 

오 단장은 "가장 최근에 적정성 결정을 받은 일본의 경우 초기 결정을 받고 나서 최종 결정까지 약 6개월이 소요됐으나, 우리나라의 경우 EU 집행 차원에서 일본보다 조기에 최종 결정이 될 것이라는 의견을 피력했다"며 "개인적으로 코로나19만 진정되면 초기 결정 후 약 3개월 이내에 타결될 것이라고 생각한다"고 말했다. 

 

한편, 지난 2월 국회를 통과한 데이터 3법은 개인정보 보호법·정보통신망법·신용정보법 개정안으로 오는 8월5일 시행된다. 데이터 3법 통과로 개인정보보호 관련 업무를 개인정보보호위원회로 통합하고, 개인정보의 판단 기준을 보완해 데이터 이용을 활성화할 수 있게 됐으며, 가명 정보의 안전한 활용을 위해 개인정보처리자의 책임성을 강화했다. KISA는 데이터 3법 시행 전까지 제정되는 시행령과 고시에 따라 가이드라인 및 법령 해설서를 마련할 계획이다. 
 

배한님 기자 bhn@etomato.com