• 카카오스토리
  • 검색

[포스트]'초연결 시대' 韓개인정보보호 수준은

  • 2017.10.19(목) 10:25

EU, 내년 5월 개인정보보호 강화한 법 시행
정부·기업 대응마련 분주…국내법 정비 필요

▲ [자료=아이클릭아트]
 
4차산업혁명시대가 유행어가 되고 사물인터넷(IoT), 인공지능(AI), 빅데이터(Big Data) 용어들이 일상이 되고 있습니다. 모두 우리의 삶을 더 편하게 해줄 미래 분야로 주목받고 있죠. 전문가들은 사람과 사람, 사물과 사물, 사람과 사물이 서로 연결되어 모든 정보가 쉴 새 없이 오고가는 초연결 시대가 올 것으로 예상하고 있습니다. 하지만 초연결 시대가 마냥 우리에게 좋기만 할까요.

 


당신이 AI스피커를 구매했다고 가정해봅시다. AI를 통해 TV 채널 변경을 시도했다면, 음악 재생을 주문했다면, 일정관리를 했다면 당신의 일상생활과 관련된 상당수 정보들이 빅데이터로 쌓입니다. 그 데이터가 언제 어떻게 사용될지는 아무도 모릅니다. 또 서버가 공격 당해 정보유출이라도 된다면 당신의 개인정보가 세계 각지를 돌아다닐지도 모릅니다. 


그래서 유럽연합(EU)은 초연결 사회에 일어날 수 있는 개인정보문제를 사전에 방지하기 위해 지난 2016년 유럽 의회를 통해 개인정보보호규정(GDPR)을 채택했습니다. 장장 4년의 공론화 과정을 거쳐 탄생한 GDPR은 약 2년간의 유예 기간을 가진 뒤 오는 2018년 5월 EU회원국을 중심으로 시행됩니다.

여기서 GDPR이 말하는 개인정보란 정보주체와 관련된 모든 정보를 의미합니다. 우리가 흔히 알고 있는 주민등록번호, 이름 등 개인 식별정보뿐만 아니라 신체적, 생리적, 유전적, 사회적 식별 정보와 같은 간접정보를 모두 포괄하는 매우 광범위한 개념이죠.

GDPR의 취지는 개인 스스로 자신의 정보에 대한 통제권을 강화하고 통일된 정보보호법을 유럽 전역에 시행하는 데 있습니다. 때문에 EU 자국 기업뿐 아니라 EU에 소재를 둔 해외 기업, 소재하지 않은 해외 기업도 EU시민들의 정보를 수집하고 활용한다면 GDPR의 적용을 받게 됩니다.


개인의 정보 통제권은 열람, 정정, 삭제, 동의, 처리 등 보다 까다롭게 강화됩니다. 예를 들면 개인정보주체의 동의 없이 해당 정보를 저장하거나 해외 서버로 보낼 수 없습니다. AI스피커에 축적된 개인 정보를 저장하거나 해외 서버에 보내려면 당신의 동의를 반드시 얻어야 한다는 뜻이죠. 기업 또한 언제 어떤 식으로 개인정보주체에게 동의를 얻었는지 입증할 수 있어야 합니다.

GDPR이 규정한 내용을 위반할 시 해외 기업들이 받을 패널티도 상당합니다. 만약 개인정보주체의 동의 없이 정보를 해외로 전송할 경우 최대 2000만유로(한화로 약 266억원) 또는 회사 총 매출액의 4%를 내야합니다.


때문에 EU를 상대로 비즈니스를 하는 해외기업들은 GDPR 대비에 분주합니다. 미국은 EU와 지난해 도입한 개인정보 국외 이전 협약인 프라이버시 실드(Privacy Shield)를 통해 GDPR에 대응하고 있습니다. 프라이버시 실드는 유럽에서 미국으로 데이터를 보낼 때 유럽이 정한 정보보호기준 준수 사실을 스스로 입증해야 합니다. 또 부당하게 정보가 사용될 경우 EU는 미국 법원에 소송을 걸 수 있습니다.

국내 기업들도 GDPR 대응에 나서고 있습니다. 유럽에 현지법인을 두고 있는 삼성전자와 LG전자는 내년 다가올 GDPR 적용에 개별적으로 대비하고 있는 것으로 알려졌습니다.

정부도 움직임을 보이고 있습니다. 행정안전부와 한국인터넷진흥원(KISA)은 국내 기업이 GDPR에 원활하게 대응할 수 있도록 내달 1차 가이드라인을 배포할 예정입니다. 방송통신위원회는 내달 20일 벨기에 브뤼셀에서 EU집행위원회와 EU개인정보보호 적정성 평가 공동성명을 발표합니다.


EU가 GDPR을 통해 자국민 개인정보보호에 열심인 상황에서 우리나라는 국민들의 개인정보보호를 위해 어떤 움직임을 보이고 있을까요.

EU가 GDPR에 규정한 것처럼 국내에서도 개인정보의 해외 이전 시 정보주체의 동의를 받게 되어 있습니다. 정보통신망법 제63조(국외 이전 개인정보의 보호)에서 개인정보를 국외에 제공·위탁처리·보관하려면 이용자의 동의를 받아야 한다고 규정되어 있습니다.

문제는 동의 없이 개인정보가 해외로 이전되면 이에 대한 피해구제도 개인이 스스로 해야 한다는 점입니다. GDPR의 경우 개인정보가 동의 없이 유출되고 그로 인해 개인의 권리 또는 자유를 침해할 가능성이 있다면 해당 기업은 유출 사실을 알게 된 시점으로부터 72시간 내에 감독기관에 알려야 합니다.

또 미국의 프라이버시 실드 사례처럼 국가 간 개인정보 전송에 대한 협약을 체결해 소송, 구속력있는 중재 약속 등 자국민의 정보를 보호하는 규정도 없는 실정입니다.


방통위는 지난해 데이터 활용과정에서 개인정보 노출 및 프라이버시 침해 우려를 최소화하기 위해 '개인정보 비식별 조치 가이드라인'을 만들었지만 기업들이 비식별 정보를 정보주체와 상관없이 서로 교환하는 등 논란이 많은 상황입니다.

유승희 더불어민주당 의원은 "우리나라는 빅데이터 주권, 정보주권에 대한 인식이 부족하다"고 지적합니다. 때문에 EU의 GDPR에 맞춰 우리나라도 개인정보보호를 위한 틀을 마련해야 하는 게 아니냐는 주장이 나오고 있습니다. 개인정보의 실질적 보호를 목표하는 GDPR에 맞게 국내법도 정비가 필요하다는 겁니다.

SNS 로그인
naver
facebook
google