GDPR은 유럽연합의 경계를 넘어선다는 점이 포인트다. 미국은 물론이고 한국의 기업과 기관들에도 직접 영향을 미칠 수 있다. 법의 적용 대상을 지리적 경계로 구분 짓는 데 그치지 않고, 유럽연합 주민의 개인정보를 보유한 기업의 ‘활동’까지 포괄했기 때문이다. GDPR은 ‘정보 통제자(Controller)’와 ‘정보 처리자(Processor)’라는 개념을 도입해, 해당 기업이나 기관이 유럽연합 지역에 물리적으로 존재하지 않더라도, 유럽연합 주민들의 개인정보를 수집·처리·이용·공유하거나, 웹사이트를 방문하는 유럽연합 주민들의 온라인 행태를 추적하고 분석하고 프로필을 설정한다면 이들은 모두, 그 물리적 위치와는 상관없이 법 적용을 받도록 규정했다.
GDPR에서 ‘정보 통제자’는 개인정보를 수집하고 처리하는 목적·조건·수단 등을 결정하는 주체이고, ‘정보 처리자’는 그런 통제자의 결정에 따라 개인정보를 처리하는 주체이다. 한국의 개인정보보호법은 둘을 따로 구분하지 않고 ‘개인정보 처리자’로 일원화했다. GDPR은 이를 통제자와 처리자로 명확히 구분한 뒤, 양쪽 모두에 엄중한 책임을 묻는다.
비즈니스 목적상 개인정보를 수집하고 관리해야 하는 기업으로서는 GDPR이 차원과 규모가 사뭇 다른 난제이고 골칫거리일 수 있다. 그러나 개인 이용자의 처지는 다르다. 구글이나 페이스북·네이버 등이 상징적으로 보여온, 기업 쪽으로 기운 온라인 권력의 불균형을 상당 부분 개인 이용자 쪽으로 되돌려줄 것이라는 기대를 안겨주기 때문이다. 개인정보보호법 전문가인 앤야 프룹스 변호사는 BBC와 인터뷰하면서 “GDPR은 디지털 시대에 걸맞은 프라이버시 보호 대책을 법제화하려는 시도다. 개인정보를 수집하고 처리하는 기업들에게 투명성과 적법성을 강제함으로써 프라이버시에 대한 선택과 권리를 개인에게 상당 부분 되돌려줄 것이다”라고 기대했다.
GDPR은 개인들에게, 자신의 개인정보가 언제, 어떤 방식으로, 그리고 어떤 목적과 용도로 수집·이용·공유·저장되는지에 대해 명확한 권리와 통제력을 제공한다. 개인정보에 대한 본인의 접근·수정 요구는 물론 처리 정지·정정·삭제 및 파기를 요구할 권리도 명문화했다. 특히 개인정보의 삭제 요구는 GDPR이 법제화되기 전부터 ‘잊힐 권리(Right to be forgotten)’로 불리며 유럽과 북미 지역 간 논쟁을 촉발하기도 했다. 한국의 ‘개인정보보호법’도 이런 권리를 명문화하고 있다는 점은 주목할 만한 대목이다.
법규 위반하면 엄청난 액수의 과징금 내야
GDPR은 개인이 자신의 정보를 한 서비스 업체에서 다른 업체로 이전해달라고 요구할 권리도 보장한다. 현재 페이스북에서 제공하는 이용자의 본인 데이터 다운로드 기능이나, 티스토리 같은 블로그 사이트의 XML 백업 파일 서비스 등은 그에 해당하는 사례라고 할 수 있다. 새로운 시스템이나 데이터베이스, 혹은 서비스를 개발할 때 설계 단계에서부터 ‘개인정보 보호’ 방안을 강구하라고 요구하는 ‘디자인 단계의 프라이버시(Privacy by Design)’ 개념도 주목되는 조항이다.
GDPR 제정에 깊이 관여한 영국 정보위원회의 엘리자베스 데넘 위원장은 새 법이 ‘혁명’이라기보다는 종래 법을 개선한 ‘진화’에 가깝다고 강조했다. 하지만 적어도 법규 위반에 따른 과징금만 놓고 보면 거의 ‘혁명’이라 부를 만하다. 적절한 동의 절차를 거치지 않았거나 ‘디자인 단계의 프라이버시’ 개념을 위반한 경우처럼 심각하게 법규를 위반한 경우, 해당 기업은 연간 총매출액의 4%나 2000만 유로(약 260억원) 중 더 높은 쪽을 과징금으로 내야 한다. 만약 페이스북이 GDPR을 심각하게 위반했다고 가정하면 지난 2017년의 총 매출액 40조원의 4%인 1조6000억원을 과징금으로 물어야 한다는 뜻이다.
그보다 위반 수준이 낮은 경우에도 과징금은 만만치 않다. 가령 개인정보를 제대로 관리하지 않았다거나, 프라이버시 침해 사고를 감독 기관에 보고하지 않았다거나, ‘개인정보 침해 요인 평가’를 제대로 수행하지 않은 기업의 경우 매출액의 2%까지 과징금으로 내야 한다. 반면 한국의 개인정보보호법은 과징금을 ‘5억원 이하’로 제한하고 있다.
GDPR은 2016년 유럽의회를 통과한 뒤 2년 유예 기간을 거쳤다. 유럽연합의 28개 회원국은 물론, 유럽 시민들의 개인정보를 취급하는 여러 기업과 기관들에 준비할 시간을 준 셈이다. 그럼에도 여러 기업들은 당혹감을 감추지 못하고 있다. 전 세계 20억 이용자를 가진 페이스북의 경우, 처음에는 “GDPR이 제시한 프라이버시의 권리를 유럽뿐 아니라 전 세계 이용자들에게도 균등하게 보장하겠다”라고 큰소리쳤지만, 4월 아일랜드의 서버에 저장되어 있는 15억명 이상의 비유럽인 개인정보를 캘리포니아 본사로 슬그머니 옮겼다. 이제 이들의 개인정보는 아일랜드 법이 아닌 미국 법의 적용을 받게 된다. 5월25일을 기해 유럽연합의 회원국 중 하나인 아일랜드가 GDPR의 적용을 받게 되는 데 따른 위기 모면용 조처였다.
유럽연합의 GDPR은 다국적 기업이나 기관뿐 아니라 유럽 바깥의 나라들에도 적잖은 압박으로 작용하고 있다. 총인구 5억이 넘는 선진국의 시장 파급력을 GDPR과 연계해, 다른 나라들도 엇비슷한 수준의 개인정보 보호 대책을 세우라고 요구하기 때문이다.
가령 GDPR의 ‘개인정보 이전’ 규정은 유럽 주민의 개인정보가 유럽연합 나라들에서 다른 나라로 이전되는 것을 허용하지만 그 전제 조건으로 GDPR과 비슷한 수준의 개인정보 보호 법규를 요구한다. 한국 역시 유럽연합과 긴밀한 무역 관계를 유지하기 위해서라도 개인정보 보호가 잘되고 있다는 확신을 심어줄 필요가 있다. 다행스러운 것은, 적어도 법률의 관점에서만 보면 한국의 개인정보보호법은 GDPR과 비슷하거나 동등한 수준이라는 평가를 받을 가능성이 높다는 점이다.
전문가들은 GDPR을 앞세운 유럽연합의 소위 ‘브뤼셀 효과’가 온라인 프라이버시 보호에 긍정적으로 기여할 것이라고 기대한다. 전 세계의 개인정보를 압도적으로 수집하는 구글·페이스북·아마존 등은 미국 회사이지만, 그들의 프라이버시 정책은 GDPR을 바라보지 않을 수 없으리라 전망된다. 유럽연합의 베라 주로바 법무담당 집행위원은 “우리는 프라이버시 보호에 대한 글로벌 표준을 세우고자 한다”라고 GDPR 법제화의 취지를 요약했다. 개인정보 침해와 보안 사고가 일상다반사로 일어나는 온라인 환경에, GDPR이 어떤 변화의 바람을 몰고 올지 주목된다.
-
사생활 침해? ‘10초’ 후면 사라져요
사생활 침해? ‘10초’ 후면 사라져요
명승은 (벤처스퀘어 대표)
지금껏 인터넷은 두 가지 방향으로 무한 확장해왔다. 기록 데이터가 무한 용량으로 확대됐고, 더불어 무한 용량을 쌓는 주체가 거의 모든 인터넷 사용자로 확장됐다. 이는 무한한 주체가...
-
개인정보를 기업 윤리에 맡길 것인가
개인정보를 기업 윤리에 맡길 것인가
강혜란 (한국여성민우회 미디어운동본부 정책위원)
몇 년 전 일이다. 군대에 있는 아들을 면회 간 어느 날이었다. 절친한 선임의 부탁을 받고 편의점에서 담배 몇 보루를 카드로 결제하게 되었다. 그런데 결제를 하고 몇 분 지나지도 ...
-
알권리와 잊힐 권리
알권리와 잊힐 권리
박경신 (고려대학교 법학전문대학원 교수)
정보는 누군가에게 해방의 도구로 인식된다. 누군가에게는 위협의 원인으로서 통제 대상으로도 인식된다. 정보의 공유나 검색은 그 자체가 표현의 자유에서 ‘표현’에 해당되는 행위이며 알...
-
한국포털도 울고갈 페이스북의 오리발
한국포털도 울고갈 페이스북의 오리발
밴쿠버·김상현 (〈디지털 프라이버시〉 저자)
20억명 이상의 이용자를 거느린 페이스북은 온라인 세계의 ‘검은 제국’인가. 2016년 미국 대선 직후부터 온갖 대형 스캔들의 진원지로 지목받은 페이스북이, 개인정보 유출 사건과 ...
-
‘어시스트의 귀재’ 터키 대통령 도우려다…
‘어시스트의 귀재’ 터키 대통령 도우려다…
프랑크푸르트∙김인건 통신원
터키계 독일 축구 선수 메수트 외질(아스널 소속)과 일카이 귄도간(맨체스터 시티 소속)은 영국 프리미어 리그에서 뛴다. 두 선수는 지난 5월13일(현지 시각) 런던의 한 호텔에서 ...
-
개인정보 보호와 활용, 두 마리 토끼 잡을까
개인정보 보호와 활용, 두 마리 토끼 잡을까
이나래 (변호사)
2016년 미국 대선 당시 페이스북을 통해 개인정보가 유출되어 활용되었다고 알려져 큰 파장이 일었다. 페이스북은 로그인 기능을 통해 이용자의 동의를 받은 뒤 그 이용자 프로필 정보...