유럽연합(EU)의 개인정보보호법(GDPR·General Data Protection Regulations)이 5월 25일부터 시행됐다.
정보 업계는 GDPR을 ‘인터넷이 생긴 이후 가장 강력한 개인정보보호규정’이라고 평가한다. 사실상 전 세계 대부분 정보기술(IT) 업체들이 법 적용을 받기 때문이다. 일부 기업들은 법 적용을 피해 유럽 서비스를 아예 중단하기도 한다.
방송통신위원회를 포함한 국내 기관들도 EU와의 협의를 위해 국내 정보법까지 개정하고 있다.
GDPR은 프랑스, 독일 같은 EU 내 거주자 개인정보를 처리하는 기업이면 전 세계 어디에 있던 상관없이 적용되는 법이다.
예를 들어 기업이 재화나 서비스를 유로화로 유통하거나 프랑스어 같은 EU 소속 국가 언어로 홈페이지를 구성할 경우 GDPR 대상이 된다. 하지만 기업이 달러화나 영어만을 활용한다면 규제 대상이 아니다.
기업의 개인정보유출처럼 법을 위반할 경우 중대성이나 의도성 같은 11가지 기준을 고려하여 ‘일반 위반’과 ‘중대한 위반’으로 나눈다.
일반 위반은 위반 기업의 전 세계 연간 매출액 2%나 1000만유로(약 128억원) 중 높은 금액을 과징금으로 낸다. 중대한 위반은 위반 기업의 전 세계 연간 매출액 4%나 2000만유로(약 256억원) 중 높은 금액을 과징금으로 낸다.
GDPR 시행으로 미국 이메일 정리 서비스 기업 ‘언롤미’는 유럽 사용자를 대상으로 한 서비스를 5월 25일 전에 종료했다. 당시 언롤미 측은 “우리 서비스는 미국 사용자를 고려해 만들어졌고 GDPR을 충족하기 어렵다”며 “GDPR 발효 전에 유럽 사용자의 계정을 삭제할 예정”이라고 공고하기도 했다.
GDPR은 기업이 모든 프로젝트의 초기 단계에서부터 개인정보 보호를 강하게 권장하는 ‘데이터보호법’이다.
현대화된 개인정보보호를 체계화시키고 기업의 책임성을 강화시키는 법인 셈이다. 사용자가 원하면 기업은 언제든 정보 상태를 알려줘야 하고 삭제 요청까지 들어줘야 한다.
하지만 GDPR은 관련 조항만 99개에 달할 정도로 적용 범위·내용이 광범위하다. 이를 대응하기 어려운 중소기업들은 기업 손익을 계산해 언롤미처럼 유럽 서비스 종료 여부를 정하기도 한다.
국내 정부도 GDPR 대응을 위해 전담 창구를 운영하고 있다. 한국인터넷진흥원은 GDPR 안내 전담 온라인 홈페이지를 개설해 이메일이나 전화 상담 창구를 운영하고 있다. 2만여개 이상 기업을 대상으로 GDPR 대비 안내 이메일도 발송했다.
방송통신위원회는 현재 정보통신망법 기반 적정성 평가 승인을 위해 EU 집행위원회와 협의 중이다. 한국이 EU로부터 적정성 평가를 받게 되면 개인 기업들이 따로 EU와 계약을 맺을 필요가 없다.
방송통신위원회는 적정성 평가 조건을 갖추기 위해 ‘정보 이전에 대한 조항’을 개정한 상태다. 국회에서 통과하기만 하면 된다. 목표는 EU와의 연내 합의다.
이효성 방송통신위원회장은 “적정성 평가를 받아 합의가 되면 국내의 개인 기업들이 자유로이 유럽으로부터 정보를 한국으로 이전할 수 있다”고 말했다.