북미-EU 데이터 협정 핵심 ‘개인정보’, 국내 현황은?

2023.07.17 08:52:57

자유로운 데이터 이전 원하는 美, EU 기준에 맞춰 협정 진행
韓 개인정보 보호법 9월 변경…"내 정보는 자산이라는 인식 변화 필요"


[더테크=조재호 기자] 얼마 전 주목할만한 소식이 해외에서 들려왔다. 빅테크 기업의 본산인 미국과 유럽연합(EU) 사이의 데이터 이전 협정이 승인된 것. 대서양을 가로지르는 양 측의 데이터 흐름이 원활하게 유지될 수 있는 발전적 조치라 평가할만 하다. 국내에서도 개인정보 국외 이전 문제에 대한 제도적 장치가 최근 갖춰진 상황이다.

 

EU 집행위원회가 지난 10일(현지시간) 채택한 협정은 ‘EU-미국 데이터 프라이버시 프레임워크’다. 협정의 명칭에서 볼 수 있듯 안전하고 신뢰할 수 있는 데이터 이전이 가능하도록 했다.

 

중심 내용은 미국 기업이 개인 데이터를 EU와 동등한 수준으로 보호해야 한다는 점이다. 즉, 미국 기업은 EU의 개인정보 보호 의무 기준을 준수해야 한다. 미국 기업이 잘못된 데이터 처리에 나설 경우 당연히 여러 규제가 따르게 된다.

 

우르줄라 폰 데어 라이엔(Ursula von der Leyen) EU 집행위원장은 “EU 시민들의 개인 데이터가 안전하다는 신뢰감을 형성하면서 EU와 미국의 경제적 유대를 강화하고 (양측이) 공유하는 가치를 다시 한번 확인할 수 있는 중요한 조치”라고 평가했다.

 

이번 협정은 EU 사법재판소가 기존 EU-미국 간 프라이버시 실드(Privacy Shield)를 무효화하고 더 강력한 조치가 필요하다는 판결을 내린 후 3년 만에 나온 결실이다.

 

당시 EU사법재판소는 미국으로 이전된 데이터 사용에 있어 개인정보 보호에 한계가 있다고 지적했는데 미국의 공권력이 접근할 가능성이 있다는 이유에서였다. 당시 소송을 제기한 유럽디지털권리센터의 변호사 이름을 따서 ‘슈렘스 판결’로도 불린다.

 

최근 메타의 새 소셜미디어(SNS) ‘스레드’(Threads)가 규제의 불확실성을 이유로 EU 출시를 보류한 것도 슈렘스 판결의 연장선상이라는 해석이 나온다.

 

생성형 AI는 데이터 학습량이 경쟁력의 핵심이다. 다시 말해 학습과정에서 민감한 개인정보가 휘말릴 가능성이 높아졌다는 이야기다. 그런데 미국은 데이터 중심의 디지털 협정에서 데이터 이전의 자유와 규제 최소화에 중심을 둔 듯한 모습을 보여왔다. 반면, EU의 경우엔 개인정보 보호에 민감하다는 평가다.

 

이와 관련, 장항배 중앙대학교 산업보안학과 교수는 “미국과 EU의 입장 차만큼 기업과 개인의 입장도 다르다”고 언급했다. 자유로운 데이터 활용으로 발생하는 이익도 있지만 개인의 프라이버시와 함께 민감한 내용은 보호받아야 한다는 것이 장 교수의 의견이다.

 

또한, 암호화 기술이나 가명정보 처리 기술 등 안전한 데이터 활용법이 고도화되어도 개인의 노력이 중요하다고 강조했다. 장 교수는 “거대한 두 지역 사이의 협약인 만큼 우리나라에도 많은 영향을 미칠 것으로 보인다”고도 말했다.

 

우리나라에선 지난 3월 일부 개정된 개인정보 보호법을 주목할 필요가 있다. 올해 9월부터 시행되는 해당 법안의 개정이유를 보면 개인정보를 국외로 이전할 수 있는 경우를 확대해 국제 기준에 부합하도록 했다. 개인정보의 국외 이전이 증가함에 따른 것이다.

 

개정된 법에는 개인정보의 국외 이전과 관련된 조항(제 28조의 8, 제 28조의 9)항목이 신설됐다. 먼저 28조의 8을 보면 개인정보처리자가 개인정보를 국외로 제공, 처리위탁, 보관하는 것은 원칙적으로 금지돼 있지만 예외사항을 명시했다.

 

정보주체로부터 국외이전에 관한 별도의 동의를 받았거나 정부 조약이나 국제협정에 개인정보 국외 이전에 관한 특별한 규정이 있는 경우가 여기에 해당된다.

 

개인정보가 이전되는 국가나 국제기구의 정보보호체계나 정보주체에 대한 권리 보장 범위, 피해구제 절차 등이 해당 법의 개인정보 보호 수준과 동등한 수준을 갖췄다고 개인정보보호위원회가 인정하는 경우도 예외가 된다.

 

다만, 제28조의 9의 경우엔 정보의 국외 이전 중지 조치가 가능하도록 했다. 일종의 안전장치를 걸어둔 셈. 정보주체로부터 국외 이전에 관한 별도의 동의를 받지 못했거나 정보가 이전되는 국가 또는 국제기구가 적정하게 정보보호를 하지 못해 정보주체에게 피해가 발생하는 케이스 등에 해당 조항이 적용된다.

 

장항배 교수는 “최근 데이터의 중요성이 다시 한번 강조되는 시대에서 ‘내 정보는 자산’이라는 인식 변화가 필요한 시점이다”라며 “정부의 정책 홍보와 개인정보를 바라보는 인식 자체의 눈높이를 올리기 위해 산업계와 학계를 아우르는 사회적인 논의가 필요한 시점”이라는 견해를 밝혔다.

조재호 기자 jjh@the-tech.co.kr
Copyright @더테크 (TEC TECH) Corp. All rights reserved.





  • 네이버포스트
  • X
  • Facebook