[뉴스토마토 김동현 기자] 한국이 유럽연합(EU) 일반개인정보보호법(GDPR) 적정성 결정을 위한 9부 능선을 넘었다. 한국의 개인정보보호 법체계가 EU GDPR과 동등한 수준임을 확인하는 적정성 결정을 받으면 EU 시민의 개인정보를 자유롭게 국내로 이전·처리할 수 있게 돼 국내 기업의 EU 진출 비용 부담이 줄 것으로 기대된다.

 

 

개인정보보호위원회는 EU와 한국간 적정성 논의를 마무리하며 30일 공동언론 발표문을 공개했다. 양측은 "개인정보보호 분야에 있어 한국과 유럽연합 간에 높은 수준의 동등성, 특히 최근 시행된 한국의 개정 개인정보보호법에 따라 개인정보보호위원회의 권한이 강화되어 그러한 동등성이 한층 더 향상되었음을 확인했다"고 밝혔다.

 

EU집행위원회는 이번 발표와 함께 의사결정 절차에 착수할 방침을 개인정보위 측에 전했다. 최종 결정은 늦어도 올 하반기에 이뤄질 전망이다. 이날 발표문 공개는 EU집행위의 초기결정 채택을 공식화하는 단계로, EU 적정성 최종결정 절차의 80~90%를 차지하는 것으로 평가된다. EU집행위는 EU정보보호이사회(EDPB) 의견 수렴·반영 및 EU집행위원 전원 회의 의결 등을 거쳐 최종 결정할 예정이다. 윤종인 개인정보위 위원장은 "통상 (초기결정 이후) 6개월 정도 걸리지만 법제 검토를 오랫동안 진행한 만큼 2~3개월까지 그 기간을 단축할 것이라고 실무적으로 논의됐다"고 말했다.

 

실제 한국은 2017년 1월 EU GDPR 적정성 논의를 공식 개시한 이후 53차례의 대면·비대면 회의를 진행했다. 그 사이 개인정보 감독기구의 독립성 요건을 충족하지 못하는 등 협의가 2차례 중단되기도 했다. 지난해 데이터 3법(개인정보보호법·정보통신망법·신용정보법) 개정으로 개인정보위가 독립감독기구로 확대 출범하며 적정성 논의가 급물살을 타며 이번 초기결정까지 이어졌다. 윤 위원장은 "이번 적정성 결정으로 한국이 글로벌 수준의 개인정보보호 국가로서의 위상을 더욱 제고했다"며 "이러한 신뢰를 기반으로 한국이 데이터시대 주역으로 성장할 기반 마련했다"고 평가했다.

 

 

 

EU GDPR 적정성 승인이 올해 안에 끝나면 국내 기업의 EU 진출 부담도 줄 것으로 예상된다. 그동안 국내 기업은 EU 시장으로 확장하며 주로 표준계약조항(SCC)을 활용했다. SCC란 EU집행위나 회원국 감독기구가 승인한 개인정보보호원칙, 내부 규율, 피해 보상 등 필수 조항을 계약서 형식으로 표준화한 것을 의미한다. EU 진출기업은 EU 시민의 개인정보를 국내로 이전해 처리하기 위해 이러한 SCC 형태를 주로 활용하는데, △법률검토 △현지 실사 △기타 행정절차 등으로 3개월~1년 이상의 시간을 소요하고 프로젝트 단위로 연간 1~2억원의 비용을 투자한 것으로 전해진다.

 

EU GDPR 적정성 결정 절차가 최종적으로 완료되면 EU에 진출한 국내 기업이 EU 시민의 개인정보를 자유롭게 국내로 이전해 처리할 수 있다. 예를 들어 프랑스 파리에 진출한 맞춤형 쇼핑 대행업체의 지사가 현지 고객이 선호할 상품을 정하기 위해 데이터 분석을 한국 본사에 자유롭게 요청할 수 있다. 또는 EU 기업이 한국 데이터 분석 기관에 데이터를 이전해 처리하는 것도 가능하다.

 

다만 이번 초기결정에는 금융위원회 소관의 금융기관은 포함되지 않는다. 신용정보법상 신용도 판단 등을 위해 금융위의 감독을 받는 EU 진출 10여개 기업·기관은 현재와 같이 SCC를 활용해야 한다. 해당 기관이 신용도 판단을 위해 개인정보를 이전하는 것이 해당되는 것으로, 이외 현재 개인정보보호법이 소관하는 사안은 이전이 가능하다. 개인정보위는 이번 적정성 결정 논의 과정에 금융위도 참여해 해당 내용을 인지한 상황이고, 향후 4년마다 이뤄질 EU집행위의 적정성결정 후속 검토 과정에서 논의될 수 있을 것으로 전망한다. 윤종인 위원장은 "금융기관이 적정성 결정에서 크게 우려하는 내용은 없는 것으로 보고 있다"며 "실무적으로 EU와 금융위가 협의할 것"이라고 말했다.

 

 

김동현 기자 esc@etomato.com