○…네이버 개인정보보호책임자(CPO)가 유럽연합(EU)의 개인정보 역외 이전 문제와 관련해 여전히 해결해야할 과제가 많다고 지적해 눈길.
이진규 네이버 CPO는 최근 이 같은 견해를 담은 보고서 'EU 초기 적정성 결정과 남겨진 과제'를 한국인터넷진흥원 간행물을 통해 게재.
개인정보보호 규정이 까다롭기로 유명한 유럽에선 구글과 아마존 등 미국의 인터넷 공룡 기업들로부터 자국민을 보호하기 위해 높은 수준의 규제인 '개인정보보호규정(GDPR)'을 운영하고 있음.
우리 정부는 지난 3월 EU로부터 초기 적정성 결정을 받음. 이는 해외 기업이 EU 시민의 개인정보를 별도 비용·절차 없이 역외 이전하기 위한 첫 단계 과정을 밟았다는 것을 의미.
즉 한국기업이 EU 시민의 개인정보를 한국에 가져와 처리하더라도 EU에서 처리한 것과 마찬가지의 보호 수준이라고 EU가 인정해졌다는 것.
이르면 올해 최종 결정이 내려지면 우리나라 기업이 EU 시민의 개인정보를 더 수월하게 역외로 이전할 수 있는 길이 열림. 아울러 한국은 일본과 영국에 이어 EU로부터 세번째 적정성 결정을 받는 국가가 됨.
이진규 CPO는 이와 별개로 이번 적정성 결정 과정에서 드러난 여러 문제점을 개선하기 위한 준비 작업에 착수해야 한다고 지적. 우선 이번 적정성 초기 결정에서 제외된 금융 부처의 독립성 확보가 시급하다고 언급.
EU는 금융권 개인정보 보호업무를 관할하는 금융위원회의 독립성이 부족하다는 것을 이유로 개인정보 역외 이전 대상에서 금융기관을 제외한 바 있음.
아울러 개인정보 보호 감독기관인 개인정보보호위원회가 통합 출범했음에도 신용정보법은 금융위원회가, 위치정보법은 방송통신위원회가 관할하는 등 파편화된 개인정보의 거버넌스 통합 필요성도 제기.
정부 차원의 투명한 소통 노력이 필요하다고도 지적. 정부는 앞서 2018년, 2020년을 개인정보보호규정(GDPR) 초기 적정성 결정 기한으로 잡았지만 여러 차례 일정을 미뤘음.
이 과정에서 적정성 결정 여부에 따라 사업 진척에 크게 영향을 받는 기업들은 귀동냥으로 관련 정보를 취득했다며 보고서는 꼬집음.
아울러 개인정보 보호 분야에 있어 장기 전략이 필요하다고 강조. 일본은 2012년부터 적정성 평가에 대한 연구를 진행하며 관련 보고서를 발간하면서 의회 및 정부 차원의 일관된 대응 방향을 설정한 바 있음.
반면 우리 정부는 2018년 EU GDPR 시행 후 국내 기업들의 EU 디지털 시장 진출이 어려워졌다는 목소리가 나오자 그제서야 적정성 결정 과정에 착수했다고 지적.
개인정보보호위원회 출범 1년이 넘게 지난 현재에도 여전히 개인정보보호 관련 장기 계획이 수립되지 않고 있다고 분석.
위와 같이 적정성 초기 결정 과정에서 확인된 여러 문제점을 교훈으로 삼고 선진적이고 선도적인 개인정보 보호 및 관리쳬게를 만들어 나가는데 집중할 필요가 있다고 마무리.
