(용인신문) 유럽연합(EU)이 4차 산업혁명 시대 데이터 혁신의 원료인 개인정보의 활용과 보호의 새로운 기준을 제시하는 일반개인정보보호법(General Data Protection Regulation: GDPR)을 오는 25일(현지시간) 발효시킴에 따라, 우리 기업은 개인정보 보호 강화 추세가 세계적으로 확산될 가능성에 대비하고 경쟁력 개선의 기회로 삼을 필요가 있는 것으로 나타났다. 동법은 높은 수준의 개인정보 보호 요건을 부과함에 따라 혁신과 무역투자에 장애요인으로 작용할 수 있다.

KOTRA는 2일 발간한 ‘EU 일반데이터보호법(GDPR) 발효와 대응과제’ 보고서에서 GDPR의 내용과 향후 영향을 분석하고 기업의 대응과제를 제시하면서 이같이 밝혔다.

▷ (주요내용) EU 역내 투자기업은 물론, EU 시민을 대상으로 한 다양한 기업 활동에 영향

GDPR은 EU 역내에 거점을 운영하면서 해당기업의 활동이 개인정보의 처리를 포함하는 경우는 물론, 역외에 위치하면서 EU 거주 정보주체에게 재화·서비스 제공하는 기업에게도 적용*된다. 또한 역외로 이전된 정보를 제3국으로 다시 이전해 처리할 경우에도 적용된다.

* (예) 전자상거래 수출기업, 소비재와 사물인터넷(IoT)를 결합한 기업대소비자(B2C) 비즈니스를 추진하는 기업

GDPR은 최근 기술발전에 맞춰 개인정보의 범위를 확대 규정한다. IP주소, 쿠키, RFID, 위치정보 등도 개인정보로 간주되며, 유전정보와 바이오정보를 비롯한 민감 개인정보는 더욱 엄격한 기준 하에서 관리하도록 의무화했다.

GDPR은 정보 주체의 동의 이외에 기업이 활용할 수 있는 개인정보 국외이전 절차를 명시하고 있다. 즉 적정성 평가(adequacy decision)*, 구속력 있는 기업규칙(BCR), 표준계약조항(standard clause)**, 인증(certificate) 등과 같이 GDPR이 정한 방법에 의해서만 개인정보의 EU 역외이전이 가능하다.

* EU가 상대국 개인정보 보호체제의 동등성을 평가하는 제도로서, 한국은 최근 평가절차를 진행 중
** BCR은 기업 내부 이전 시에만 적용. GDPR은 BCR과 표준계약조항의 세부내용을 규정함.

GDPR은 정보주체의 권리를 전반적으로 강화한다. DPO(개인정보책임자)* 임명 등 기업의 의무를 강화하고 법 위반 수준에 따라 기업 세계 매출의 2~4% 또는 1~2천만 유로 가운데 큰 금액을 과징금으로 부과하고 있어 주의를 요한다.

* (Data Protection Officer) 기업 내 GDPR 등 정보보호 법규 이행상황 모니터링 등의 업무 수행

GDPR은 EU 회원국 모두에게 동일하게 적용되는 일반법으로서 적용범위가 넓어 역내외 기업에 대한 영향이 클 뿐 아니라, 한국을 비롯한 각국 법제의 벤치마크가 되고 있어 글로벌 규제여건에 큰 영향을 줄 것으로 예상된다.

▷ (파급효과) 통합된 EU 디지털시장 창출에 기여하나 기업 활동에 부정적 영향 가능성

GDPR은 EU 회원국의 개인정보보호법을 통일함으로써, 중장기적으로 EU 역내 규제여건을 개선해 시장을 확대하는 효과가 있을 것으로 기대된다. 그러나 단기적으로는 동시에 당분간 상당한 적응비용을 부담하고 불확실성에 직면할 기업들에게는 혁신을 둔화시키는 요인으로 작용할 수 있다.

EU 기업이 서비스(예: 데이터 처리) 조달처를 역내기업이나 사내 업무로 전환할 경우, 역외기업의 수출·투자에 불리하게 작용할 가능성이 있다. 특히 우리 기업과 스타트업의 최근 對EU 수출·투자는 데이터 혁신과 직간접적으로 연계된 통신·컴퓨터·정보서비스업 등에서 활성화되고 있어* 철저한 준비를 요한다.

* 한국의 對EU 전체 서비스 수지는 지속적인 적자를 기록 중이나, 통신·컴퓨터·정보 서비스 수출의 경우 2016년 1억 658만 달러를 기록, 4억 1,620만 달러의 흑자(한국은행 서비스수지 통계)

▷ (대응방안) 규제 요인이 아니라 규제 대응수준을 향상시키는 기회로 활용할 필요

GDPR을 계기로 우리 기업은 개인정보 보호역량 강화를 통해 경쟁력을 높이고 소비자 신뢰도를 향상시켜야 한다. 최근 조사*에 따르면 영국 소비자들은 개인정보 제공이 필요한 거래에서 기업에 대한 신뢰도를 경제적 요인(가격)보다 더 중시하는 것으로 나타났다.

* DMA. 2018. ‘Data privacy: What the consumer really thinks’

기업은 준비의 첫 단계로서 다양한 국내외 인증 제도를 활용해야 한다. 정보보안 국제표준인 ISO 27001 획득은 그 출발점이 된다. 또한 개인정보보호 영향평가, DPO 등 선진적인 개인정보 체제를 적극적으로 도입할 필요가 있다. 우리나라는 개인정보보호 영향평가를 공공부문에만 의무로 규정하고 있으나, GDPR과 같이 이러한 의무를 민간으로 확대하는 추세에 부응할 필요가 있다. DPO는 단순한 정보보안인력이 아니라 개인정보 관련 기술·법률적 지식을 갖춘 인력으로서 적극적인 영입과 육성이 필요하다.

정부도 GDPR을 비롯해 변화하는 글로벌 개인정보 보호 체제에 대한 이해를 높이고 지속적인 모니터링을 통해 중소중견기업, 스타트업의 지원 수요에 대응할 필요가 있다.

윤원석 KOTRA 정보통상협력본부장은 “4차 산업혁명의 확산을 위해서는 산업생태계 차원에서의 개인정보 보호체제 구축이 중요하다”면서, “글로벌밸류체인(GVC)의 성숙과 더불어 해외 협력업체의 개인정보 보호역량이 우리기업에 큰 영향을 주므로, 공급 파트너간 보안조치에 대한 상호계약 등이 중요하다”고 강조했다.