[총성 없는 데이터전쟁] <중> 유럽 개인정보보호법이 온다 중>
국회 계류중인 법안에 ‘독립감독기구ㆍ데이터 주권’ 빠져 있어
우리나라는 행정안전부가 2016년 유럽연합(EU)의 일반 개인정보보호규정(GDPR)을 준수하는 국가로 인정받기 위해 적정성 심사를 추진했으나 탈락했다. EU는 한국의 GDPR 적용 유예 기간을 2년으로 정했기 때문에 내년 5월까지 관련 법을 갖춰 GDPR 적정성 평가를 통과해야 우리 기업이 피해를 보지 않는다.
이와 관련해 현재 국회에 개인정보보호법, 신용정보법, 정보통신망법 개정안 등 이른바 ‘데이터 3법’이 계류돼 있다. 여야 3당 교섭단체 원내대표들은 19일 국회 본회의를 열어 데이터 3법 등을 처리하기로 12일 합의했으나 모두 처리될지는 미지수다.
우리나라가 GDPR의 적정성 평가에서 탈락한 가장 큰 이유는 개인정보보호를 위한 독립적인 감독 기구가 없는 점, 이용자가 개인정보 보호를 요구할 수 있는 데이터 주권 조치들이 미약하다는 점 등이었다. 때문에 EU 시민들의 데이터를 우리 기업들이 가져갈 경우 각종 보안 사고로부터 데이터를 보호할 만한 능력을 우리 정부가 갖추지 않았다고 본 것이다.
우리나라는 현재 행정안전부 산하에 개인정보보호위원회가 있다. GDPR은 감독 기관이 정부의 다른 부처로부터 완전한 독립성을 가질 것을 요구하고 있다. 경제정의실천시민연합 소비자정보센터의 김보라미 변호사는 “유럽은 에드워드 스노든의 폭로로 미국 정부가 IT기업들의 데이터를 열람했다는 사실이 알려진 후 유럽 사람들의 정보가 미국 IT기업들을 통해 미 정보기관에 흘러 들어갈 수 있다는 것을 크게 걱정한다”며 “그래서 오스트리아는 개인정보보호기구가 총리에게 보고하는 것조차 감독기구의 독립성이 문제가 됐다”고 말했다.
인재근 더불어민주당 의원이 발의해 국회 계류 중인 개인정보보호법 개정안에는 개인정보보호위원회를 대통령 산하 직속 기구로 두자는 내용이 있다. 그러나 이 조차도 GDPR에서 문제가 될 수 있다는 지적이다. 개정안에 따르면 방송통신위원회, 행정안전부의 개인정보 보호기능을 개인정보보호위원회가 가져가지만 금융위원회의 신용 정보는 제외됐다. 김현경 서울과학기술대 IT정책전문대학원 교수는 “GDPR은 금융위원회가 신용 정보 관리 권한을 따로 갖는 것을 일원화된 감독 기구의 독립성 훼손으로 볼 것”이라고 지적했다.
수집된 데이터의 삭제나 이동을 개인이 요구할 수 있는 데이터 주권도 우리 관련 법에 빠져 있다. 김 변호사는 “GDPR에 명시된 이용자의 개인정보 삭제 요구권이 관련법에 빠져 있다”며 “이런 상황이라면 관련법을 개정해도 GDPR 적정성 심사를 통과하기 어렵다”고 지적했다.
따라서 전문가들은 데이터 주권 확립에 초점을 두고 법을 개정해야 GDPR 적정성 심사도 통과할 수 있을 것으로 보고 있다. 김 변호사는 “EU가 보기에 한국의 개인정보 관련법이 개인의 데이터를 충분히 보호할 만하다는 믿음이 가야 GDPR 적정성 심사를 통과할 수 있을 것”이라며 “이를 보완하는 법적 조치가 필요하다”고 말했다. 김 교수는 “GDPR은 미국의 거대 IT기업들이 정보를 독점할 경우 데이터 주권을 상실할 수 있다는 우려에서 나온 것”이라며 “우리가 관련 법을 충분히 보완하면 미국 거대 IT기업에 비해 상대적으로 견제를 덜 받는 우리 IT기업들이 유럽 진출의 기회를 잡을 수도 있을 것”이라고 강조했다.
최연진 IT전문기자 wolfpack@hankookilbo.com
기사 URL이 복사되었습니다.
댓글0