제 목 | EU 초기 적정성 결정과 남겨진 과제 |
---|---|
등록일 | 2021-06-01 |
첨부파일 | |
<사진 출처 : freepik.com> 유럽연합이 우리나라를 대상으로 하는 적정성 결정을 완료하는 경우, 이미 2019년도 1월에 적정성 결정을 확인한 일본, 그리고 ‘브렉시트(Brexit)’에 따라 적정성 결정 절차를 진행하고 있는 영국에 이어 GDPR의 적용 이후 세 번째 적정성 결정을 받는 국가가 될 것으로 보인다.1) 적정한 개인정보보호 수준 을 제공하고 있는 것으로 유럽연합이 현재까지 인정한 국가는 Andorra, Argentina, Canada(commercial organisations), Faroe Islands, Guernsey, Israel, Isle of Man, Japan, Jersey, new Zealand, Switzerland, Uruguay 등 12개국밖에 되지 않는다. 우리나라를 대상으로 한 적정성 결 정이 완료 되는 경우, 유럽연합으로부터 13번째 내지 14번째로 ‘적정한 개인정보 보호수준을 제공하는’ 국가로 인정받게 되는 것이다. 그런데, 적정성 결정이 최종적으로 마무리되면 구체적으로 어떤 효과가 발생하는지, 비슷한 시점에 적 정성 결정을 추진한 일본과 비교하여 우리나라의 적정성 결정이 2년 이상 뒤쳐진 배경은 무엇인지, 적정성 결정 과정에서 어떤 Lessons Learned를 얻었는지 등에 대한 논의는 충분하지 않다. 이에, 이 글은 적정성 결정이 우리에게 과연 어떤 의미인지 제대로 이해하는 동시에, 적정성 결정에도 불구하고 앞으로 우리에게 어떤 과제가 여전히 남아 있는지 확인해볼 것이다. <사진 출처 : freepik.com> 적정성 결정(Adequacy Decision) 이해하기 지난 2018년 5월 본격 적용된 유럽연합 일반 개인정보보호법(GDPR, General Data Protection Regulation)은 적정성 결정에 관련하여 다음과 같은 규정을 가지고 있다. 위의 규정에 따르면 유럽연합 집행위원회(European Commission)는 유럽연합 회원국이 아닌 제3국 (또는 제3국의 특정한 영토 내지 부문)을 대상으로 “해당 국가(또는 영토 내지 부문)가 적정한 개인정보 보호 수준을 제공하는지 여부를 결정할 수 있는 권한”을 보유하고 있으며, 그러한 결정을 통해 적정한 정보보호 수준이 입증된 국가(또는 영토 내지 부문)로의 개인정보 전송에 대해서는 별도의 승인 절차를 요구하지 않는다는 점을 확인할 수 있다. 즉, 적정성 결정을 확인한 국가로의 개인정보 전송은 GDPR이 정하는 개인정보의 역외 전송에 관한 별 다른 제약의 적용을 받지 아니한다는 의미이다. 유럽연합 의회(European Parliament 및 유럽평의회(Council of Europe)는 GDPR에 규정된 집행 권 한을 초과한 것을 근거로 하여 언제라도 집행위원회로 하여금 적정성 결정을 유지, 수정, 철회하도록 요 구할 수 있다. 적정성 결정이 확인되는 경우 유럽연합(노르웨이, 리히텐슈타인, 아이슬란드 포함)으로부 터 제3국으로의 개인정보 전송은 ‘추가적 보호조치(additional safeguard)’를 요하지 않는다. 이는 적정 성 결정이 확인된 “제3국으로의 개인정보 전송은 유럽연합 내의 데이터 전송에 동화(同化)된다 (assimilated to intra-EU transmissions of data).”는 것을 의미한다. 즉, 적정성 결정이 확인된 국가로의 개인정보 전송은 유럽연합 회원국간의 개인정보 전송과 동일한 취급을 받는 것이다.
적정성 (초기) 결정 과정에서 확인된 우리나라와 일본의 차이점 유럽연합 집행위원회는 ‘19년 1월 23일에 일본에 대한 적정성 결정을 완료했다. ‘18년 9월에 정식으 로 개시한 적정성 결정 절차가 5개월만에 마무리가 된 것이다. 우리나라의 (초기) 적정성 결정 절차와 비교하여 가장 두드러진 차이점은 적정성 결정을 쌍방간에 진 행한 것이다. 즉, 유럽연합으로부터 일본으로 개인정보를 전송하는 일방적(unilateral) 데이터 흐름에 대 한 결정이 아니라, 일본으로부터 유럽연합으로 개인정보를 전송하는 것을 포함하는 상호 적정성 결정 (mutual adequacy decision)을 진행한 점이 가장 큰 차이점이라 할 수 있다. 이는 일본이 제3국을 대 상으로 내린 최초의 적정성 결정(equivalency decision)인 동시에, 유럽연합이 취득한 최초의 상호 적정 성 결정이기도 하다. 이에 반해, 우리나라의 경우는 상호 적정성 결정이 아니라, (유럽연합의) 일방적 적정성 결정이라는 점 에서 일본의 경우와 큰 대조를 보여주고 있다. 우리나라를 대상으로 하는 적정성 초기 결정에는 공공분 야가 포함되기는 하였으나, 금융분야의 개인정보 처리에 관한 부문이 제외되었다. 개인정보보호위원회는 “금융기관 등에서의 개인정보 신용도 판단 등을 위해서 금융기관 등이, 금융기관 등이라고 하면 신용정 보법상 금융위원회의 감독을 받는 일부 기관들을 (의미한다). 그 기관들이 신용도 판단을 위해서 개인정 보를 이전하는 부분만 빠졌다.”라며 적정성 결정 브리핑에서 설명을 제시했는데, 이러한 결과가 초래된배경에는 금융권의 개인정보보호 업무를 관할하는 금융위원회의 ‘독립성’이 부족한 점이 크게 작용하여, 결국 적정성 결정에서 해당 부문이 제외된 것으로 확인이 되었다.
<사진 출처 : freepik.com> 여전히 남아있는 과제 적정성 초기 결정에 따라, 특별한 사정이 없는 이상 연내 적정성 결정이 완료될 것으로 예상된다. 그 러나, 적정성 결정이 내려진다고 하여 모든 문제가 단번에 해결되는 것은 아니다. 오히려, 적정성 결정 과정에서 드러난 여러 문제점을 차제에 개선하기 위한 작업에 착수를 해야 한다는 목소리도 작지 않다. 이에 관해 간단히 살펴본다. 1.거버넌스의 재조정 이번 적정성 초기 결정의 결과로 확인된 것은, 우리나라 금융 분야의 감독당국이 개인정보보호 업무를 수행함에 있어 (유럽연합의 관점에서) ‘독립성’이 부족하단 것이다. 이는 단순히 개인정보보호위원회와 금 융위원회가 이원화된 개인정보 관리 체계를 가지고 있다는 것을 넘어, 금융부문에서 개인정보보호라는 가치가 다른 아젠다와 경합하는 상황에서 ‘외부의 영향’으로 인해 우선순위가 밀려날 수 있는 가능성이 존재한다는 것을 의미한다. 다음 그림에서도 확인할 수 있듯, 개인정보보호 감독기관인 개인정보보호위원회가 통합하여 출범하였 음에도 불구하고 여전히 금융회사 등이 관리하는 개인신용정보 보호에 있어서는 신용정보법을 관할하는 금융위원회가, 위치정보에 있어서는 위치정보법을 관할하는 방송통신위원회가 주무부처로서 권한을 행사 하고 있다. 방송통신위원회는 적정성 초기 결정 이전 논의 단계에서, 금융위원회는 이번 초기 결정을 통 해 개인정보 감독당국으로서의 독립성 부족에 대한 판단이 확인되었기 때문에 이를 그대로 유지하는 것 은 적절하지 않다. 파편화된 개인정보 거버넌스로 인해 발생하는 사회적 손실비용을 만회하려면 앞으로 도 얼마나 많은 사회적 논쟁과 불필요한 리소스 낭비가 초래될지 알 수 없는 일이다. 2. 투명한 커뮤니케이션 적정성 결정에 관한 논의를 진행하면서 정부는 ‘멀지 않은 시점’에 적정성 결정이 내려질 것이라는 예 측을 여러 차례 제시하였으나, 많은 경우 구체적 성과를 확인할 수는 없었다. 단적인 사례로, 2017년 11월에 방송통신위원회는 ‘한-EU 개인정보보호 협력을 위한 공동성명’을 발표하면서, “이날 발표한 공동 성명을 통해 양측의 개인정보보호 체계 간 유사성을 확인했으며, 한국의 적정성 평가라는 목표를 2018 년 내에 조속히 달성하기로 약속했다. 2018년 5월 GDPR 적용 이전까지 적정성 결정을 목표로 EU와 협의를 추진해온 정부의 계획에 청신호가 켜진 셈이다.”라고 평가했다. 그러나, 방송통신위원회가 희망적 으로 제시한 ‘18년 연내 적정성 결정 가시화에 관한 실질적 성과가 제대로 설명된 것을 찾아보기는 힘 들다. 이후, 같은 해 10월에는 당시 방송통신위원장이었던 이효성 위원장과 허욱 부위원장이 유럽의회 LIBE 위원회를 방문하기도 하였으나, 상호 보호체계의 ‘이해를 넓혔다.’는 것 이상의 진척을 이루어 내진 못했다. 이후 데이터 3법 개정 등과 맞물려 적정성 결정에 대한 진도가 제대로 나아가지 못하였고, 비로소 2020년 초에 적정성 승인을 받겠다는 통합 개인정보보호위원회의 발표가 있었다. 그러나, 개인정보보호위원회 역시 진척 사항에 대한 구체적 공개 없이 단편적 보도자료를 통해 외교부장관 주최 EU 26개국 대사단 간담회 참석(‘20년 초), 주한EU대사 면담(’20. 5. 27.) 등에 대한 소식만 전하는데 그쳤다. 적정 성 초기 결정에 관한 협의가 어느 수준에서 진척이 진행되고 있는지에 관한 정보를 투명하게 공개하진 않았다. 3. 개인정보 보호 분야에서의 장기 전략의 부재 일본은 지난 2012년도에 Directive 95/46/EC(Data Protection Directive)에 기반한 적정성 평가에 대하여 차분히 연구를 수행하는 동시에, 그에 관한 보고서를 발간하면서 의회 및 정부 차원에서 일관된 대응 방향성을 설정하고 적정성 결정이라는 목적을 향해 나아갔다. 이와 관련하여 법제를 개선하고, 필 요한 정부부처(기관)를 출범시켰으며, 적정성 적용 범주(‘민간’에 한정)를 명확히 하여 불필요한 리소스가 낭비되지 않도록 국가적 역량을 집중하였다. 이에 반해, 우리나라의 경우 GDPR로 인해 유럽연합 디지털 시장 진출이 어려워졌다는 볼멘 목소리가 나오자, 그제서야 적정성 결정에 부랴부랴 착수하는 모습을 보였다. 충분히 준비되지 않았고, 초점을 어 디에 맞춰야 할 것인지도 잘 몰랐다. 적정성 결정에 착수하려는 논의를 개시한 정부는 개인정보 보호 감 독당국의 독립성이 적정성 결정의 가장 중요한 선결조건이라는 점을 뒤늦게 파악하고서, 정부로부터 독 립성이 있는 것으로 판단되는 방송통신위원회로 하여금 적정성 결정을 추진하도록 하였다. 이로 인해, 적정성 결정의 기준이 되는 우리나라의 법률은 개인정보보호법이 아니라 ‘정보통신망법’으로 결정되었고, 결국 적정성 결정의 영향을 받는 대상이 ‘정보통신서비스제공자’로 제한되었다. 이와 같은 혼란이 발생한 것은 우리나라가 개인정보 보호 분야에서의 장기 전략이 부재한 것에 기인한 바가 크다. 나가며 이번 적정성 초기 결정과 관련하여 한 가지 덧붙이고 싶은 안타까운 지점은 바로 ‘적정성 결정’의 사회 적 효과가 무엇이며, 실제 적정성 결정으로 인해 기존과 비교하여 ‘변화하는 것’이 무엇인지에 대한 커뮤 니케이션이 적절하게 제시되지 못하고 있다는 점이다. 적정성 결정만 마무리 되면 마치 유럽연합의 데이터 시장이 크게 열리고, 아무런 제약 없이 유럽연합 정보주체의 개인정보를 처리할 수 있을 것으로 생각 하는 기업들이 많이 있다. 그런데, 실제 유럽연합의 정보주체로부터 직접 개인정보를 수집하여 국내에서 처리하는 경우에는 적정성 결정과 무관하게 “GDPR의 전체 규정이 직접 적용”된다는 점, 그리고 적정성 결정은 단순히 유럽연합 역내에 있는 개인정보를 우리나라로 전송(transfer)할 때, 별도의 추가적 보호조 치 없이도 전송에 나설 수 있다는 변화 외에 기존과 특별히 달라지는 것이 없다는 사실을 제대로 알릴 필요가 있다. 정부의 투명하고 정확한 커뮤니케이션이 다시 한번 요구되는 지점이다. 추가로, 한-EU 공동언론발표문을 보면, 이번 적정성 초기 결정은 “민간분야(commercial operators)와 공공분야(public sector)를 모두 적용대상에 포함(cover)함으로써, 적정성 확인은 양측 모두의 이익을 위 해 민간기업의 상업적 운영뿐만 아니라 규제 협력 촉진을 위한 개인정보 이전도 지원(support)할 것이 다.”라고 한다. 그런데, 이와 관련하여 비 상업적 운영자(non-commercial operators)인 개인정보처리자 에게는 본 적정성 결정이 적용되지 않는 것인지에 대해서도 명확한 설명이 제시될 필요가 있는 것으로 보인다. 현재 알려진 바로는 금융분야를 제외한 전체 민간-공공 영역에서의 적정성 결정이 내려질 것이 라 하지만, 공동언론발표문의 문언상으로 판단할 때에는 일반 국민들의 기대와는 달리 비상업 영역은 이 번 적정성 결정의 혜택을 받지 못할 수도 있다는 우려도 일각에서 제기되는 만큼 이에 관한 정부의 명 확한 설명이 나중에 라도 제시되어야 할 것으로 보인다. 적정성 결정에 대한 막연하고 과도한 기대보다는, 그 과정에서 확인된 여러 문제점들을 “Lessons Learned”로 삼고, 보다 선진적이고 선도적인 개인정보 보호 및 관리체계를 만들어 나가는데 집중할 필 요가 있다. 적정성 결정은 그 자체로 목적이 아니라, 보다 큰 시장으로 나가기 위한 기회인 동시에 우리 나라의 개인정보보호 법제의 글로벌 상호운영성을 확보할 수 있는 시작점이 될 수 있기 때문이다. <자료 출처 : 한국인터넷 진흥원> |