[웹이코노미=이선기 기자] 유럽연합(EU)이 지난 25일 새로운 개인정보보호법인 GDPR을 발효하면서 전 세계에 거대한 데이터 폭풍을 일으키고 있다. 개인정보에 대한 통제권을 강화해 IT산업의 주도권을 뺏기지 않겠다는 의도인데, 그 바람이 무척 거세다.
EU는 지난 25일 유럽 내 개인정보의 흐름을 표준화하고 보호를 강화하기 위한 새로운 개인정보보호법 GDPR(Genenral Data Protection Regulation)을 시행했다. 지난 1995년부터 시행됐던 ‘개인정보 보호 지침(Data Protection Directive)을 대체하는 새로운 개인정보 보호 표준이다.
GDPR은 기존 지침과 달리 EU 전체 회원국을 통합하는 규정이다. 기존 지침보다 대폭 강화된 개인정보 보호 수준을 요구한다. 요건도 까다로워졌다. 규정에 명시된 세부 조항만 99개에 달한다.
주요 골자는 3가지다. ▲정보주체의 권리 강화 ▲기업의 책임성 강화 ▲적용 대상 확대 등이다.
먼저 정보주체인 사용자의 권리가 대폭 강화됐다. 기존에 명시된 권리에 더해 삭제권(잊힐 권리), 처리제한권, 정보이전권 등이 새롭게 추가됐다. 이제 기업들은 사용자의 동의가 있을 시에만 개인정보를 처리할 수 있고, 삭제나 이동 요청에도 응해야 한다. 또한 기업이 개인정보를 침해한 경우 72시간 내에 감독 기관과 사용자에게 공지해야 한다.
기업의 책임성도 한 층 강화됐다. 기존 지침은 암묵적인 요구사항에 그쳤지만, GDPR에서는 개인정보 처리와 관련한 책임 준수와 입증까지 구체적으로 요구한다. 특히 개인정보 처리 활동을 기록·공개해야 하고, 데이터 보호 최고책임자(DPO)를 지정해 개인정보에 대한 암호화 체계를 필수적으로 갖춰야 한다.
적용 대상도 확대됐다. 기존 지침에서는 EU 내에서 활동하는 법인으로 한정했다면, 이제는 EU 거주자의 개인정보를 사용하는 모든 기업들이 적용 대상이다. 또한 개인정보를 제3국으로 이전할 경우에도 규정된 요건을 준수하고 허가를 받아야 한다. 한 마디로, EU 거주자의 개인정보에 손을 대는 모든 이들은 규제 대상인 셈이다.
기존의 개인정보 보호 지침은 말 그대로 ‘지침(Directive)’일 뿐, 실질적인 법적 규제는 해당 국가의 법률에 의거했다. 하지만 국가마다 규정이 다를 뿐만 아니라 규정 자체도 명확하지 않아 실효성이 크지 않다는 지적을 받아왔다.
하지만 새롭게 제정된 GDPR은 ‘규정(Regulation)’이므로 실질적인 법적 구속력을 갖는다. 그동안 지침 아래 흩어져 있던 규정을 통합·보완해 체계적인 기준을 마련했다. 이에 기업들은 규제를 어길 시 최대 2,000만 유로(한화 약 250억 원) 또는 연간 매출액의 4%에 달하는 과징금을 납부해야 한다. 자칫 하면 과징금 폭격을 맞을 수도 있다.
IT업계는 혼란에 빠졌다. 전 세계를 흔드는 EU발 데이터 폭풍에 메가톤급 IT공룡들도 중심을 잡지 못하고 휘청이는 모습이다. 시행 하루 만에 기업들이 규정 위반으로 제소를 당하는가 하면, 일부 기업들은 폭격은 피하고 보자며 유럽에서 발을 빼고 있다.
몸집이 큰 구글과 페이스북은 GDPR 시행 하루도 지나지 않아 융단 폭격을 맞았다. 사용자가 서비스를 사용하기 위해서는 광고를 수신해야만 하도록 강요했다는 명목으로 무더기 제소를 당했다.
이들을 제소한 오스트리아의 개인정보보호단체 ‘noyb.eu’는 25일 성명서를 내고 “GDPR은 서비스 이용을 위해 수집하는 개인정보를 반드시 필요한 수준으로 제한하고 있지만, 기업은 광고를 위해 이용자의 동의를 강제하고 있다”고 주장했다. 만약 위반 사실이 확정되면, 페이스북은 39억 달러(한화 약 4조 2,000억 원), 구글은 37억 달러(한화 약 4조 원)을 과징금을 내야 한다.
국내에도 바람은 거세다. EU의 개인정보를 처리하는 국내 기업들이 규제 대상에 포함되면서 정부는 GDPR에 대비하기 위한 가이드라인을 배포하는 등 혼란을 잠재우기 위해 분주하다.
또한 EU 거주자 개인정보를 손쉽게 이전할 수 있는 권한을 부여받는 ‘적정성 평가’도 추진하고 있다. 하지만 연내에 통과될 수 있을지는 미지수다.
webeconomy@naver.com
