디디에 레인더스 EU 집행위원회 사법총국 장관(커미셔너)과 윤종인 개인정보보호위원장은 30일 한-EU 공동언론발표문을 통해 "개인정보보호 분야에서 EU와 한국 간 높은 수준의 동등성을 확인했다"고 밝혔다. 개인정보보호위원회는 "한국의 개인정보보호 제도가 EU의 적정성 평가를 통과했다는 결정"이라며 "한국 기업은 별도 절차 없이 EU 시민의 개인정보를 국내 본사 등으로 가져와 분석·처리할 수 있게 됐다"고 설명했다.
이 때문에 EU 개인정보를 국내로 들여오려는 기업은 개별 사업별로 건건이 표준계약(SCC) 등을 맺고 있다. 표준계약 체결 시 법률 검토, 현지 실사, 행정 절차 등에 3개월~1년의 시간이 걸리고 기업별로 수십억원의 비용이 들었다.
2018년부터는 데이터 이전에 대한 리스크가 한층 커졌다. EU가 그해 5월 EU를 상대로 사업을 벌이는 모든 기업에게 엄격한 개인정보보호 의무를 부과하는 '일반개인정보보호법(GDPR)'을 발효하면서, 법 위반 기업에 전세계 매출의 최대 4%를 과징금으로 매기겠다고 했기 때문이다. 표준계약을 맺고 데이터를 들여와도 EU가 "이전 과정에 법적 문제가 있다"며 징벌적 과징금을 물릴 위험이 생긴 것이다.
중소기업 사이에선 비용 부담과 불확실성이 두려워 EU 사업을 철수하거나 진출을 포기하는 사례가 나왔다. GDPR 발효 직전 EU 시장에서 '라그나로크 온라인' 서비스를 중단한 게임업체 그라비티가 대표적이다. 이해진 네이버 글로벌투자책임자(GIO)도 2018년 10월 국회 국정감사에서 "GDPR 발효로 프랑스에서 사업하는 데 많은 어려움을 겪고 있다"고 말했다.
다만 EU는 개인정보보호 수준이 높은 국가는 '적정성 결정'을 내려 표준계약 등 절차 없이 개인정보를 역외 이전할 수 있게 하고 있다. 일정 기준을 충족하면 규제를 면제하는 일종의 '화이트리스트' 제도다. 이번에 한국이 받은 게 이 적정성 결정이다. 우리나라가 지난해 개인정보보호법을 전면적으로 정비하고, 개인정보보호 통합감독기구인 개인정보위를 발족시킨 것이 영향을 줬다.
다만 이번 결정은 1단계 초기 결정으로 EU정보보호이사회 의견 수렴 등 절차를 거쳐 최종 결정을 받아야 확정된다. 여기엔 2~6개월 정도가 소요된다. 여상수 개인정보위 국제협력담당관은 "초기 결정이 후속 절차에서 뒤집힌 사례는 없는만큼 무난히 최종 결정을 받을 것"이라고 했다. 최종 결정까지 받으면 한국은 스위스, 캐나다, 이스라엘, 일본 등에 이어 13번째로 적정성 결정을 받은 나라가 된다.
데이터 리스크로 시장 확장을 망설였던 국내 기업의 EU 진출도 활발해질 것으로 보인다. 김재환 한국인터넷기업협회 정책실장은 "게임업체, 플랫폼업체 등이 주로 수혜를 입을 것으로 예상된다"면서 "요즘은 제조업 기업도 데이터 활용을 하는만큼 혜택 범위는 이보다 넓을 것"이라고 내다봤다.
장기적으로는 외국 기업의 국내 투자 확대로 이어질 수 있다. 개인정보위 관계자는 "EU와 적정성 결정을 맺지 않은 나라의 기업이 한국에 지사를 세우면 EU 개인정보를 지사로 자유롭게 보낼 수 있다"며 "한국에 투자하고 싶은 요인 하나가 생긴 셈"이라고 말했다.
하지만 개인정보위 감독 권한을 벗어나는 금융기관은 적정성 결정의 혜택을 받지 못하는 점은 문제로 지적된다. 금융기관이 갖고 있는 개인 신용정보는 금융위원회가 별도로 관리·감독하고 있어서 EU가 "금융기관은 적정성 결정 대상이 아니다"라고 판정했기 때문이다. 이에 따라 현재 표준계약으로 EU 개인정보를 국내로 이전 중인 약 10곳 은행·증권사는 계속 표준계약 방식을 이용해야 한다.
윤종인 개인정보위원장은 "추후 금융기관도 적정성 결정을 받을 수 있는 방법을 모색해보겠다"고 말했다.
서민준 기자 morandol@hankyung.com
관련뉴스