한국이 세계적으로 개인정보 보호 수준이 높은 유럽연합(EU)과 동등한 지위를 인정받았다. 개인정보 보호 분야에서 글로벌 선진국으로 도약한 것이다. 이에 따라 EU에 진출한 한국 기업들은 개별 표준계약이나 별도의 비용없이 EU시민의 개인정보를 자유롭게 국내로 이전할 수 있게 됐다. 한국-EU 정부 간 규제완화 협력도 강화돼 국내 데이터 산업 활성화에도 기여할 것으로 전망된다.
개인정보보호위원회 윤종인 위원장과 디디에 레인더스 EU집행위원회 사법총국 커미셔너(사법총국 장관)는 30일 공동발표를 통해 “개인정보보호 분야에 있어 한국과 유럽연합 간에 높은 수준의 동등성을 확인하고, 양측 간 적정성 논의를 성공적으로 마무리했다”고 밝혔다. EU 적정성 결정은 역외 국가가 EU의 GDPR(일반 개인정보보호법)이 요구하는 수준과 동등한 수준의 개인정보 보호조치가 있는지를 확인·승인하는 제도를 의미한다. EU GDPR이 적용되는 국가는 EU 27개국과 EEA(유럽경제지역) 3개국(아이슬란드, 리히텐슈타인, 노르웨이) 등 30개국이다. 최근 시행된 한국의 개정 개인정보보호법에 따라 독립적인 중앙 행정기관으로 출범한 개인정보보호위원회의 권한이 강화된 것이 이번 결정에 영향을 준 것으로 분석된다.
EU 집행위는 유럽개인정보보호이사회 및 EU의회로부터 의견수렴을 받는 등 회원국에 대한 의사결정 절차에 착수했으며, 올 상반기 또는 하반기에 이번 결정을 공식 발효할 예정이다.
한국은 개인정보보호에 있어 EU회원국에 준하는 지위를 부여받게 되어 EU로부터 한국으로 자유롭고 안전한 정보의 흐름이 가능하게 됐다. 그간 EU 진출 한국 주요 기업들은 주로 표준계약조항 등을 통해 EU 시민의 개인정보를 국내로 들여왔고 이를 위해 많은 시간과 비용을 투자해야 했다. 그럼에도 불구하고 GDPR 관련 규정 위반에 따른 과징금(최대 전 세계 매출의 4%) 부과 등의 부담을 안고 있었다. LG, SKT, 네이버 등 EU 진출 기업에 따르면 표준계약조항을 이용한 계약 체결을 위해서는 GDPR 및 해당 회원국의 법제에 대한 면밀한 법률 검토, 현지 실사, 기타 행정절차 등으로 인해 3개월~1년의 시간과 프로젝트별로 1~2억원의 비용이 소요되는 것으로 파악됐다. 중소기업의 경우 표준계약절차 자체가 어려워 EU 진출을 포기할 정도였다. 하지만 이번 적정성 결정으로 한국 기업들은 표준계약 등의 까다로운 절차가 면제돼 시간과 비용이 절감되고, EU 진출도 늘어날 것으로 예상된다.
아울러 이번 적정성 결정으로 한-EU 자유무역협정(FTA)을 보완해 디지털 역량을 선도하는 협력이 강화될 것으로 개인정보위는 평가했다. EU의 GDPR 시행 후 적정성 결정을 받은 나라는 일본이 유일했다. 하지만 2019년 1월 채택된 일본 적정성 결정은 민간분야만 적정성 결정 범위에 포함됐고, 공공분야는 제외됐다. 한국의 적정성 결정은 공공분야까지 포함돼 EU와의 정부 간 협력이 강화될 것으로 전망된다. 다만, 이번 결정은 개인정보위가 감독하는 영역에만 적용됨에 따라 EU 개인정보를 국내로 이전중인 10개 이내의 금융기관 등의 경우 기존과 같이 표준계약을 이용할 필요가 있다고 개인정보위는 설명했다.
윤종인 위원장은 “이번 적정성 결정으로 한국이 글로벌 선진국 수준의 개인정보보호 국가로서의 위상이 제고되고, 이러한 신뢰를 기반으로 한국기업들이 데이터 경제 시대의 주역으로 성장할 수 있는 기반을 마련하게 됐다”고 말했다.
김재중 선임기자 jjkim@kmib.co.kr