구글·페이스북·인스타그램 등 여러 온라인 서비스의 이용자라면 최근 ‘서비스 약관’과 ‘프라이버시 정책’을 업데이트한다는 공지 이메일을 받았을 것이다. 그리고 많은 이들은 별 생각 없이 삭제 버튼을 눌렀을 것이다. 이번에는 ‘별일’이 있다. 유럽연합(EU)의 새로운 개인정보보호법이 5월25일부터 발효되기 때문이다. 법 이름의 머리글자를 따 ‘GDPR(General Data Protection Regulation)’로 약칭하는 유럽연합의 개인정보보호법은 인터넷의 탄생 이후 가장 광범위하고 획기적으로 개정된 ‘온라인 프라이버시 보호법’으로 꼽힌다.

GDPR은 유럽연합의 경계를 넘어선다는 점이 포인트다. 미국은 물론이고 한국의 기업과 기관들에도 직접 영향을 미칠 수 있다. 법의 적용 대상을 지리적 경계로 구분 짓는 데 그치지 않고, 유럽연합 주민의 개인정보를 보유한 기업의 ‘활동’까지 포괄했기 때문이다. GDPR은 ‘정보 통제자(Controller)’와 ‘정보 처리자(Processor)’라는 개념을 도입해, 해당 기업이나 기관이 유럽연합 지역에 물리적으로 존재하지 않더라도, 유럽연합 주민들의 개인정보를 수집·처리·이용·공유하거나, 웹사이트를 방문하는 유럽연합 주민들의 온라인 행태를 추적하고 분석하고 프로필을 설정한다면 이들은 모두, 그 물리적 위치와는 상관없이 법 적용을 받도록 규정했다.

ⓒEPA4월23일 벨기에 유럽연합 본부에서 기자회견 중인 베라 주로바 법무담당 집행위원.
예를 들면, 네이버나 다음카카오 같은 사이트는 서비스의 특성상 유럽연합을 비롯한 전 세계 이용자를 대상으로 한다. 유럽연합 지역에 거주하는 한국 교민들의 접속과 서비스 이용은 명백히 GDPR의 적용을 받을 수밖에 없는 대목이다. GDPR의 규정과 내용을 꼼꼼히 살펴보고 그 잠재적 영향을 따져봐야 하는 이유다.

GDPR에서 ‘정보 통제자’는 개인정보를 수집하고 처리하는 목적·조건·수단 등을 결정하는 주체이고, ‘정보 처리자’는 그런 통제자의 결정에 따라 개인정보를 처리하는 주체이다. 한국의 개인정보보호법은 둘을 따로 구분하지 않고 ‘개인정보 처리자’로 일원화했다. GDPR은 이를 통제자와 처리자로 명확히 구분한 뒤, 양쪽 모두에 엄중한 책임을 묻는다.

비즈니스 목적상 개인정보를 수집하고 관리해야 하는 기업으로서는 GDPR이 차원과 규모가 사뭇 다른 난제이고 골칫거리일 수 있다. 그러나 개인 이용자의 처지는 다르다. 구글이나 페이스북·네이버 등이 상징적으로 보여온, 기업 쪽으로 기운 온라인 권력의 불균형을 상당 부분 개인 이용자 쪽으로 되돌려줄 것이라는 기대를 안겨주기 때문이다. 개인정보보호법 전문가인 앤야 프룹스 변호사는 BBC와 인터뷰하면서 “GDPR은 디지털 시대에 걸맞은 프라이버시 보호 대책을 법제화하려는 시도다. 개인정보를 수집하고 처리하는 기업들에게 투명성과 적법성을 강제함으로써 프라이버시에 대한 선택과 권리를 개인에게 상당 부분 되돌려줄 것이다”라고 기대했다.

ⓒXinhua4월10일 마크 저커버그 페이스북 회장이 미국 의회 청문회에 출석해 개인정보 유출 경위를 설명하고 있다.
GDPR이 보장한 개인의 프라이버시 권리는 과연 그런 기대가 지나치지 않음을 보여준다. 무엇보다 개인의 명시적 동의 조건을 한층 강화했고, 개인정보 유출이나 도난 사고가 나면 모든 해당 기업이나 기관은 ‘의무적으로’ 그 사실을 고지하도록 못 박았다. 특히 감독 기관에는 사고를 처음 인지한 이후 72시간 안에 보고해야 하며, 사고 피해자들에게도 ‘과도한 지연 없이’ 가능한 한 빨리 알려야 한다고 명시했다.

GDPR은 개인들에게, 자신의 개인정보가 언제, 어떤 방식으로, 그리고 어떤 목적과 용도로 수집·이용·공유·저장되는지에 대해 명확한 권리와 통제력을 제공한다. 개인정보에 대한 본인의 접근·수정 요구는 물론 처리 정지·정정·삭제 및 파기를 요구할 권리도 명문화했다. 특히 개인정보의 삭제 요구는 GDPR이 법제화되기 전부터 ‘잊힐 권리(Right to be forgotten)’로 불리며 유럽과 북미 지역 간 논쟁을 촉발하기도 했다. 한국의 ‘개인정보보호법’도 이런 권리를 명문화하고 있다는 점은 주목할 만한 대목이다.

법규 위반하면 엄청난 액수의 과징금 내야

GDPR은 개인이 자신의 정보를 한 서비스 업체에서 다른 업체로 이전해달라고 요구할 권리도 보장한다. 현재 페이스북에서 제공하는 이용자의 본인 데이터 다운로드 기능이나, 티스토리 같은 블로그 사이트의 XML 백업 파일 서비스 등은 그에 해당하는 사례라고 할 수 있다. 새로운 시스템이나 데이터베이스, 혹은 서비스를 개발할 때 설계 단계에서부터 ‘개인정보 보호’ 방안을 강구하라고 요구하는 ‘디자인 단계의 프라이버시(Privacy by Design)’ 개념도 주목되는 조항이다.

GDPR 제정에 깊이 관여한 영국 정보위원회의 엘리자베스 데넘 위원장은 새 법이 ‘혁명’이라기보다는 종래 법을 개선한 ‘진화’에 가깝다고 강조했다. 하지만 적어도 법규 위반에 따른 과징금만 놓고 보면 거의 ‘혁명’이라 부를 만하다. 적절한 동의 절차를 거치지 않았거나 ‘디자인 단계의 프라이버시’ 개념을 위반한 경우처럼 심각하게 법규를 위반한 경우, 해당 기업은 연간 총매출액의 4%나 2000만 유로(약 260억원) 중 더 높은 쪽을 과징금으로 내야 한다. 만약 페이스북이 GDPR을 심각하게 위반했다고 가정하면 지난 2017년의 총 매출액 40조원의 4%인 1조6000억원을 과징금으로 물어야 한다는 뜻이다.

그보다 위반 수준이 낮은 경우에도 과징금은 만만치 않다. 가령 개인정보를 제대로 관리하지 않았다거나, 프라이버시 침해 사고를 감독 기관에 보고하지 않았다거나, ‘개인정보 침해 요인 평가’를 제대로 수행하지 않은 기업의 경우 매출액의 2%까지 과징금으로 내야 한다. 반면 한국의 개인정보보호법은 과징금을 ‘5억원 이하’로 제한하고 있다.

GDPR은 2016년 유럽의회를 통과한 뒤 2년 유예 기간을 거쳤다. 유럽연합의 28개 회원국은 물론, 유럽 시민들의 개인정보를 취급하는 여러 기업과 기관들에 준비할 시간을 준 셈이다. 그럼에도 여러 기업들은 당혹감을 감추지 못하고 있다. 전 세계 20억 이용자를 가진 페이스북의 경우, 처음에는 “GDPR이 제시한 프라이버시의 권리를 유럽뿐 아니라 전 세계 이용자들에게도 균등하게 보장하겠다”라고 큰소리쳤지만, 4월 아일랜드의 서버에 저장되어 있는 15억명 이상의 비유럽인 개인정보를 캘리포니아 본사로 슬그머니 옮겼다. 이제 이들의 개인정보는 아일랜드 법이 아닌 미국 법의 적용을 받게 된다. 5월25일을 기해 유럽연합의 회원국 중 하나인 아일랜드가 GDPR의 적용을 받게 되는 데 따른 위기 모면용 조처였다.

유럽연합의 GDPR은 다국적 기업이나 기관뿐 아니라 유럽 바깥의 나라들에도 적잖은 압박으로 작용하고 있다. 총인구 5억이 넘는 선진국의 시장 파급력을 GDPR과 연계해, 다른 나라들도 엇비슷한 수준의 개인정보 보호 대책을 세우라고 요구하기 때문이다.

가령 GDPR의 ‘개인정보 이전’ 규정은 유럽 주민의 개인정보가 유럽연합 나라들에서 다른 나라로 이전되는 것을 허용하지만 그 전제 조건으로 GDPR과 비슷한 수준의 개인정보 보호 법규를 요구한다. 한국 역시 유럽연합과 긴밀한 무역 관계를 유지하기 위해서라도 개인정보 보호가 잘되고 있다는 확신을 심어줄 필요가 있다. 다행스러운 것은, 적어도 법률의 관점에서만 보면 한국의 개인정보보호법은 GDPR과 비슷하거나 동등한 수준이라는 평가를 받을 가능성이 높다는 점이다.

전문가들은 GDPR을 앞세운 유럽연합의 소위 ‘브뤼셀 효과’가 온라인 프라이버시 보호에 긍정적으로 기여할 것이라고 기대한다. 전 세계의 개인정보를 압도적으로 수집하는 구글·페이스북·아마존 등은 미국 회사이지만, 그들의 프라이버시 정책은 GDPR을 바라보지 않을 수 없으리라 전망된다. 유럽연합의 베라 주로바 법무담당 집행위원은 “우리는 프라이버시 보호에 대한 글로벌 표준을 세우고자 한다”라고 GDPR 법제화의 취지를 요약했다. 개인정보 침해와 보안 사고가 일상다반사로 일어나는 온라인 환경에, GDPR이 어떤 변화의 바람을 몰고 올지 주목된다.

기자명 밴쿠버·김상현 (〈디지털 프라이버시〉 저자) 다른기사 보기 editor@sisain.co.kr
저작권자 © 시사IN 무단전재 및 재배포 금지
이 기사를 공유합니다
관련 기사