[포럼] 개인정보보호 적정성 평가, 다시 해야

염흥열 순천향대 정보보호학과 교수

  •  
  • 입력: 2019-05-21 18:02
  • 프린트
  • 페이스북
  • 트위터
  • 카카오스토리


[포럼] 개인정보보호 적정성 평가, 다시 해야
염흥열 순천향대 정보보호학과 교수
데이터가 4차산업혁명의 핵심 연료가 되고 있다. 4차산업혁명은 초연결성과 초지능성이라는 두 마리 수단으로 구현된다. 언제, 어디서나, 누구와도, 어떤 유형의 데이터라도 네트워크를 통해 교환 가능한 초연결성이고, 데이터를 분석하여 상황을 판단하고 다음 조치를 결정하는 초지능성이다.

4차 산업혁명은 사물과 사람을 네트워크를 통해 연결해 주는 사물인터넷 기술, 정보 서비스를 빌려서 사용하는 클라우드 컴퓨팅 기술, 수집된 대규모 데이터를 분석하는 빅데이터 분석 기술, 고속의 낮은 지연을 갖는 데이터 무선 전송을 가능케 하는 제5세대(5G) 이동통신기술, 수집된 데이터에서 특정 상황을 판단하고 자동화하는 인공지능/기계학습 기술 등을 통해 달성될 수 있다. 이 핵심 기술의 바탕에 데이터가 존재한다.

국내 많은 기업이 글로벌 비즈니스 활동을 수행하고 있다. 국내 기업이 유럽을 포함한 국외에서 수집된 데이터를 국내로 가져와 인공지능과 빅데이터 처리 기술을 이용해 분석하고 활용하면 국내 기업의 글로벌 비니지스 경쟁력을 크게 향상시킬 수 있다. 걸림돌은 수집된 데이터에 사람들을 식별하는데 이용되는 개인정보를 포함하고 있다는 점이다. 대부분의 국가 개인정보보호 규제에서는 자신의 국가에서 수집된 개인정보를 외국에 넘기는 것을 엄격히 제한하고 있다.

유럽연합의 경우 예외 조항을 적용하고 있다. 유럽연합 집행위로부터 개인정보보호 적정성 평가(이하 적정성 평가로 칭함)를 받은 국가에 소속된 기업은 유럽연합 회원국에서 수집한 유럽 시민의 개인정보를 해당 국가로 추가 보호조치나 준비 과정 없이 유럽 역내를 넘어 이전할 수 있다. 적정성 평가는 국가 단위로 수행되며, 해당 국가의 개인정보보호 수준이 유럽연합의 그것과 동일하다는 것을 증명하기 위해 여러 측면에서 수행된다. 적정성 평가는 유럽연합 집행위에 의해 수행되며, 현재 미국, 일본 등을 포함한 13개국이 적정성 평가를 받았다. 우리나라는 적정성 평가를 진행 중이다.

우리나라가 적정성 평가를 받으면 우리나라 개인정보보호 수준이 유럽연합에서 요구하는 보호 수준과 동일하다는 것을 인정받는 효과를 갖는다. 유럽연합 28개 회원국 시민으로부터 수집된 개인정보를 별도의 추가적 보호조치나 준비 과정 없이 국내로 이전할 수 있다. 글로벌 비즈니스를 하는 국내 기업에게 유럽 연합 역내에 데이터 센터를 구출할 필요 없이 국내 데이터 센터를 활용해 데이터 분석을 수행하는 기회를 제공한다.

적정성 평가 절차는 4단계로 나뉘어 추진된다. 1단계는 유럽연합 집행위의 제안에 의해 시작된다. 2단계는 유럽개인정보보호규정(GDPR)에 근거해 설립된 유럽데이터보호위원회 (EDPB)에 의해 심사를 받는다. 3단계는 EDPB 의견 발표 후 유럽연합 회원국의 대표에 의한 승인 과정을 거친다. 4단계는 최종적으로 유럽연합 집행위에 의한 적정성 평가를 채택한다. 이 과정은 통상 짧게는 2 년 길게는 십년 이상이 걸린다.

우리나라는 2015년부터 적정성 평가를 받기 위한 노력을 해왔다. 2016년에 개인정보보호법에 근거해 전체 적정성 평가를 시도했고, 2017년부터 다시 정보통신망이용촉진 및 정보보호 등에 관한 법(이하 정보통신망법으로 칭함)에 근거해 온라인 사업자 중심으로 부분 적정성 평가를 시도했다. 그러나 현재까지 적합성 평가를 완료하지 못한 상태이다.

우리보다 늦게 시작한 일본은 2015년 개인정보보호법을 개정하여 독립적인 개인정보규제기구를 신설했으며, 2017년 1월부터 적정성 평가를 유럽연합 집행위원회와 논의를 시작했다. 2019년 1월에는 유럽연합 집행위로부터 적정성 평가를 받았다. 일본이 유럽연합에 편입되어 단일 디지털 경제권을 형성했으며, 개인정보보호 측면에서 일본 이미지 향상과 더불어 일본 기업에게 커다란 경쟁 우위를 가져 다 준 것으로 보인다.

우리나라가 아직까지 유럽연합 개인정보보호 적정성 평가를 받지 못한 가장 큰 이유는 개인정보 규제기구의 독립성 부족으로 알려지고 있다. 최근 개인정보 규제체계의 일원화를 포함한 개인정보보호법, 정보통신망법, 그리고 신용정보호법에 대한 개정안 국회에 계류 중이다. 이번 개정안이 통과되면 유럽연합 집행위원회가 제기하던 개인정보보호 규제기구의 독립성 문제가 해소된다고 볼 수 있다.

이제 유럽연합 집행위 개인정보보호 적정성 평가는 개인정보보호 관련 법 개정과 함께 다시 준비해야 할 필요가 있다. 앞으로 상당한 기간이 소요될 적정성 평가에 대한 준비는 국회에서 개인정보 관련 법령이 개정될 것을 전제로 지금 시작하는 게 타당하다. 그 동안 적정성 평가 경험을 공유하고, 유럽연합 집행위에 의해 제기되거나 제기될 여타 걸림돌을 해소하는 방안도 마련해야 한다. 개인정보보호위원회를 중심으로 행정안전부, 방송통신위원회, 외교통산부, 과학기술정보통신부, 산업자원부 등을 포함한 범부처 차원의 노력이 조속히 다시 시작해야 한다. 착실히 준비해 조기에 적정성 평가를 끝내면 4차 산업혁명 시대를 앞당길 수 있고, 국내 기업의 글로벌 비즈니스 경쟁력을 향상시킬 수 있다.

[저작권자 ⓒ디지털타임스 무단 전재-재배포 금지]

추천기사