홈 > Privacy Guide >Privacy 컬럼
제목 EU-GDPR 시행에 맞춰 개인 정보보호 법제는 국익을 위해 변화해야
닉네임 구태언 작성일 2017-11-27 오전 11:03:52 인기도


EU-GDPR
시행에 맞춰 개인 정보보호 법제는

국익을 위해 변화해야

 

 

 

2018 5 25일 시행되는 EU 개인정보보호법(GDPR)에 대한 관심이 뜨겁다. 그러나 GDPR은 우리나라 개인 정보보호법과 대부분 유사한 시스템을 갖추고 있으므로 우리 개인정보보호법을 잘 준수하고 있는 기업이라면 그다지 어렵지 않게 적응할 수 있을 것이다. 문제는 GDPR이 우리나라에 미치는 영향이다. GDPR은 개인 정보처리자가 EU 국민의 개인 정보를 동의 없이 해외로 이전하는 행위를 금지하고 있고, 이를 위반할 경우에 해당 개인 정보처리자의 글로벌 연 매출의 4% 또는 2,000만 유로 중에 높은 금액의 벌금을 부과할 예정이다.

 

우리 개인정보보호법은 강력한 포지티브 시스템이면서 형사처벌을 규정하고 있다. 이제 EU 진출 우리 기업들에게 GDPR 적용되므로 우리도 EU에 진출한 기업들이 입게 될 GDPR이 미칠 영향을 냉철하게 분석해 국익을 고려하면서 우리 개인 정보보호 법제를 돌이켜 볼 시대적 상황이 열리고 있다. 국내에서만 통용되던 개인 정보보호 법제가 GDPR과 상호작용을 하게 되므로 개인 정보보호 법제의 기본적 철학부터 다시 되돌아 봐야 할 국면이 된 것이다.

 

우리나라 기업들이 EU 내에서 GDPR에 위반되는 행위를 하였을 때 EU에서는 과태료 또는 과징금을 받게 될 것이다. 그러나, 내국인의 외국에서 행한 행위가 우리나라 법에 위반되었을 때 외국에서 행정처분을 받았다는 사유로 국내법의 적용이 면제되는 것은 아니므로 해당 기업은 국내에서 다시 정부의 조사에 이은 행정처분과 민형사 책임을 질 수 있다. 특히 우리나라 개인정보보호법은 개인 정보 처리 과정의 대부분 행위에 고지된 동의를 요구하고 이에 위반했을 경우에 형사처벌까지 처할 수 있게 되어 있어 우리 기업은 EU 당국의 행정처분을 받은 후 다시 우리나라에서 처벌받게 된다.

 

GDPR과 비교해 보면, 우리 개인정보보호법은 위반행위에 대해 형사처벌 위주로 법 준수를 담보하고 있음을 알게 된다. IoT 시대에 사물 정보가 개인과 관련을 갖게 되는 정보, 즉 비정형적인 개인 관련 정보의 유통이 범람하게 되는 시대이므로 어떤 정보가 개인 정보성을 띠는지에 대해 일반인으로서는 쉽게 알기 어렵다. 개인정보보호법은 그 역사가 일천해 일반인에게 익숙하지 않은 법체계다.

 

모호한 개인 정보보호성을 개인 정보보호 감독 기구가 검토하고 개인 정보인지 여부에 대해 유권해석을 내리고 그 결과 불법성을 띠는 것으로 확인된 개인 정보처리자의 행위에 대해서는 시정조치를 내리는 상호작용을 거쳐 개인 정보보호를 달성하는 것이 바람직하다. 정부가 철저한 포지티브시스템으로 개인정보보호법을 만들면서 대부분의 법 위반행위에 대해 형사처벌을 붙이는 것은, 사소한 불법도 모두 형사처벌로 처리되게 함으로써 개인정보보호법이 독성을 띄게 하고 빅데이터 산업의 성장을 가로막은 원인이라고 생각한다.

 

EU 경제에서 미국은 54%를 차지하고 있다고 한다. EU는 미국 디지털 기업들이 EU 기업들을 초토화시키고 EU 국민의 개인 정보와 돈을 가지고 가는 것을 어떻게든 막아보기 위해 노력하고 있다. 이를 위해 공정거래법과 개인정보보호법을 보호무역의 수단으로 선택했다. 우리나라는 어떤가. 정부는 국외에 서버를 두고 초고속 인터넷망을 이용해 국내에 서비스를 하고 있는 외국 기업들에 대해서는 개인정보보호법을 제대로 적용하지 못하고 내국법인들에게만 엄격하게 적용되고 있다. 다른 인터넷 규제들과 더불어 이른 바 기울어진 운동장을 만드는데 개인정보보호법이 큰 기여를 하고 있는 것이다. 여기에 덧붙여 만약 EU에서 GDPR을 위반했다는 이유로 국내에서 해당 기업을 다시 처벌하게 된다면 그 역전현상은 더욱 심화될 것이다. 수출 기업이 외국에서 행한 행위로 인해 국내에서 다시 처벌하는 셈이기 때문이다.

 

이제 국익 차원에서 개인정보보호법을 다시금 돌아보고 문제점으로 지적돼 온 부분을 개선하는 작업에 착수해 수출 기업들이 개인정보보호법 때문에 오히려 역차별을 받지 않게 하자. 일반 법인 개인 정보보호법과 동일한 체제를 갖고 있는 정보통신망법과 신용정보보호법을 대폭 손질해 중복 규정은 개인정보보호법으로 일원화하고 개인 정보보호 위원회에 행정처분 권한을 부여해야 한다. 대법원 판례도 특별법은 일반법과 모순, 저촉되는 경우에만 적용된다고 판시하고 있다. 특히 EU GDPR에 규정된 개인 정보 국외 이전 시 동의의 예외인 적정성 평가를 받아내기 위해서도 개인 정보보호 위원회로 개인 정보보호 업무 권한을 일원화하는 것은 필수적이다. 일본은 EU로부터 적정성 평가를 받지 못하게 되자 2016년 개인 정보보호 위원회를 신설해 감독권한을 이관함으로써 적정성 평가를 받아낸 사실과 비교하면 우리 정부의 밥그릇 챙기기는 국익 앞에서도 유별나다.

 

그 밖에도 비식별 정보는 누구의 정보인지 그 자체로 알 수 없어 동의를 받을 수도 없으므로 동의 조항의 적용을 면제하고, 개인 정보보호를 위한 기술적 수단을 법으로 정한 정부 고시는 기술 중립성에 반하고 기술의 발전을 왜곡시키므로 시장의 표준에 맡기고 이를 폐지하자. 개인 정보보호 관리체계나 개인 정보 영향 평가는 정부가 해당 업체를 인증하지 말고 시장의 표준에 따라 민간시장에서 적절하게 시행하도록 개방해 자율 문화를 확산하게 하자. 필수 동의, 선택 동의로 나뉜 각종 동의사항은 사물인터넷 시대에 부적절한 규제이므로 이를 포괄 동의(원클릭 동의)와 동의배제(옵트아웃) 시스템으로 바꾸자. 형사처벌을 우선하는 규제 시스템은 감독관청이 시정명령을 먼저 한 후 이에 불복할 때 명령 불이행 죄로 처벌하는 시스템으로 개선하자.





구태언 대표변호사 / 테크앤로 법률사무소 


파일
 
 
번호 제목 작성자 작성일 인기도 파일
  212   개인정보보호 교육, 어떻게 무엇..   신용석   2018-04-16  
   
  211   기업의 효과적인 개인정보 관리 ..   김재용   2018-04-05  
   
  210   개인정보보호와 보안솔루션 제조..   이준권   2018-03-30  
   
  209   습관의 기술   김정덕   2018-03-30  
   
  208   개인 정보보호를 지키는 세 가지..   정태명   2017-12-01  
   
    EU-GDPR 시행에 맞춰 개인 정..   구태언   2017-11-27  
   
  206   개인 정보를 위협하는 신흥 범죄..   정석화   2017-11-22  
   
  205   국제간 개인정보보호를 위한 피해..   김범수   2017-11-20  
   
  204   금융권 망분리 의무화, 결국 완성..   이철규   2017-11-14  
   
  203   빅데이터, 인공지능, 그리고 개인..   이재호   2017-11-14  
   
  1   2   3   4   5   6   7   8   9   10