GDPR 적정성 결정, 국내 기업들은 뭐가 달라질까

2021년 12월 17일, 유럽 일반개인정보보호법(GDPR)에 따라 유럽연합(EU)으로부터 한국으로의 개인정보 이전에 대한 EU 집행위원회의 적정성 결정(adequacy decision)이 채택되었다. 이는 우리나라가 유럽연합과 동등한 수준의 개인정보 보호체계를 갖추고 있다는 것을 의미한다.

문재인 대통령은 12월 17일, SNS를 통해 “우리 기업이 그간 EU 시민의 개인정보를 국내로 이전하고자 별도 표준계약을 체결하는 등 많은 수고를 감수했지만, 이번 결정으로 다양한 정보를 수월하게 활용할 수 있게 됐다”고 전했다.

적정성 결정이란?

적정성 결정이란, 해당 국가의 법령이 GDPR 수준의 개인정보 보호를 보장한다는 EU 집행위원회 차원의 결론이다.

적정성 결정이 채택되기까지의 과정은 크게 3단계를 거쳐 진행된다. 먼저 1단계로 EU 집행위원회(European Commission)에서 초기결정 채택을 공식화하고, 2단계에서 결정서 초안 발표 및 EU 정보보호이사회의 의견을 수렴하는 절차와 집행위 담당과 회원국 대표 간 협의 절차(커미톨로지)를 거쳐, 마지막으로 3단계에서 EU 집행위원회 전원 회의를 거쳐 최종적으로 적정성 결정이 채택된다.

이번 한국에 대한 적정성 결정은 2017년 1월 EU GDPR 적정성 논의를 공식적으로 시작한 이후 만 5년만에 얻은 성과로, 영국과 일본에 이어 3번째 국가로 선정되었다. 그렇다면, 적정성 결정이 무엇이길래 정부가 5년 동안 공을 들인 것일까?

GDPR은 EU 시민들의 개인정보가 전세계 어디에서 처리되더라도 GDPR 수준의 보호가 보장되게 하려고, 14가지의 이전이 가능한 근거들을 명시하고 있다. 즉, GDPR의 적용을 받는 EU 국가간에는 개인정보의 이전과 처리에 제한이 없지만, GDPR이 적용되지 않는 타 국가로 EU 시민들의 개인정보를 이전하여 처리하고자 할 때에는 GDPR에 명시된 근거 중 하나에 해당되어야 한다. 해당 국가의 법이 GDPR과 같은 수준임이 인정되었거나, 이전하려는 기관의 개인정보 처리 규정이 그에 준하거나, 또는 해당 이전처리 건에 대한 계약이 보장하거나, 별도의 행동규약이나 인증제도를 통하여 GDPR의 원칙과 수준에 부합되는 처리가 보장되는 등이 그 근거들에 해당된다.

적정성 결정은 해당 국가의 법이 GDPR과 같은 적정성을 갖추었음을 EU집행위원회가 인정한 것을 말한다. 따라서 적정성 결정이 채택된 국가의 법을 적용받는 기업이나 단체들은 해당 결정을 근거로 하여 EU에 속한 다른 국가들과 마찬가지로 별도의 절차없이 개인정보를 이전받아 처리할 수 있게 된다.

적정성 결정을 받지 못한 국가에 속한 기업이나 단체들은 EU 시민의 개인정보를 역외 이전하기 위해 GDPR에서 인정하는 기업 규약을 수립하거나, 적절한 보호조치에 의한 이전에 해당되는 근거를 준비하고 그에 맞는 계약을 진행하여야 한다. 여기서 말하고 있는 적절한 보호조치에 의한 이전 등의 준비와 계약은 GDPR 상에서 명시하고 있는 개인정보 역외 이전이 가능한 나머지 13가지의 법적 근거들은 말하며, 구체적 내용은 아래와 같다.

GDPR상의 개인정보 역외이전

EU 시민들을 대상으로 서비스를 하게 되는 사업자는 모두 유럽의 개인정보 보호법인 GDPR의 적용을 받는다. 그런데 만약 GDPR의 적용을 받는 사업자가 서비스를 하면서 모은 EU 사용자의 데이터를 EU 역외로 이전하고자 한다면, 개인정보를 유럽연합(EU)의 역외로 이전하기 위한 법적근거가 필요하며 아래의 근거를 충족하여야 한다(GDPR 제 5장, 제44조-제49조).

1. 적정성 결정에 따른 이전(Transfer on the basis of an adequacy decision) (제45조)
   앞에서 언급한 한국에 대한 EU 집행위원회의 적정성 결정(adequacy decision)이 이것에 해당한다.
2. 적절한 보호조치(Appropriate safeguards)에 의한 이전 (제46조)
   • 감독기구의 특정한 승인(Specific authorisation)을 요하지 않는 보호조치
     → 아래와 같은 적정한 보호조치가 적용된 경우에는 감독기구의 특정한 승인이 없어도 역외 이전을 인정받을 수 있음
     • 정부부처 또는 관련기관 간 법적 구속력이 있고 집행할 수 있는 장치
     • 제 47조에 따른 구속력 있는 기업 규칙(BCR, Binding Corporate Rules)
     • 표준 개인정보보호 조항(Standard Data Protection Clauses)
       GDPR은 표준 개인정보보호 조항(Standard Data Protection Clauses)으로 규정되어 있지만, GDPR 이전 개인정보보호지침(Directive 95/46/EC, 이하 지침)부터 SCC(Standard Contractual Clauses)라는 용어가 널리 활용되어 왔기 때문에 SCC로 약칭
     • 제 40조에 따라 승인된 행동규약
     • 제 42조에 따라 승인된 인증제도
   • 감독기구의 특정한 승인(Specific authorisation)이 필요한 보호조치
     → 아래와 같은 경우에는 감독기구의 특정한 승인을 받아야 적절한 보호조치로 인정됨
     • 컨트롤러나 프로세서와 제3국이나 국제기구의 컨트롤러, 프로세서 또는 정보 수입자 사이의 계약 조항
     • 정보주체의 권리를 포함하는 정부부처 또는 관련기관 간 집행력 있고 유효한 행정 협정 내의 규정
3. 특정 상황에 대한 예외 (제49조제1항)
   • 간헐적으로 이전이 발생하는 경우로서 위험을 고지받은 후 정보주체가 명시적으로 동의한 경우 등
     • 정보주체가 적정성 결정 및 적절한 보호조치가 없음으로 인해 정보주체에게 발생할 수 있는 정보 이전에 대한 위험을 고지 받은 후, 정보주체가 이전에 명시적으로 동의한 경우
     • 정보주체와 컨트롤러 간 계약 이행을 위하여 또는 정보주체의 요청에 의해 취해진 계약 전 사전 조치의 이행을 위하여 정보 이전을 하여야 하는 경우
     • 정보주체의 이익을 위하여 컨트롤러와 그 밖의 개인이나 법인 간 체결된 계약의 이행을 위하여 정보 이전을 하여야 하는 경우
     • 중요한 공익상 이유로 정보 이전이 반드시 필요한 경우
     • 법적 청구권의 입증(establishment), 행사나 방어를 위하여 정보 이전이 필요한 경우
     • 정보주체가 물리적 또는 법률적으로 동의할 수 없는 경우, 정보주체 또는 다른 사람의 중대한 이익을 보호하기 위하여 정보 이전이 필요한 경우
     • 개인정보가 EU 또는 회원국 법률에 따라 정보를 공개할 목적이거나 일반 국민 또는 정당한 이익을 입증할 수 있는 제3자가 참조(조회)하기 위한 목적으로 만들어진 개인정보 기록부로부터 EU 또는 회원국 법률에 명시된 참조의 조건이 충족되는 범위 내에서 이전 되는 경우

적정성 결정, 무엇이 달라질까

그렇다면 적정성 결정 이후 국내 기업들은 어떤 것들이 달라질까. 그간 EU에 진출한 국내의 기업들은 EU 시민들의 개인정보 역외 이전을 위해 주로 표준계약(Standard Contractual Clauses)을 통해 EU 개인정보를 국내로 이전하여 왔으며, 이에 따른 시간과 비용에 대해 상당한 부담느끼고 있었다. 이에 중소기업들은 표준계약에 드는 시간과 비용이 많아 표준계약 진행 자체가 어려워 EU 진출을 미리 포기하는 사례가 있기도 했다. 또한 시간과 비용을 투입해 개인정보 국외 이전 계약을 체결하더라도, 리스크가 완전히 해소된다고 볼 수 없었는데, 대표적 사례가 EU와 미국 간의 프라이버시 쉴드 무효화 판결이다.

* LG, SKT, 네이버 등 EU진출기업 관계자에 따르면, 표준계약조항을 이용한 계약 체결을 위해서는 GDPR 및 해당 회원국의 법제에 대한 면밀한 법률 검토, 현지 실사, 기타 행정절차 등으로 인해 프로젝트별로 3개월 이상의 시간과 상당한 비용(3천만원~1억원)이 소요되는 것으로 파악 (출처: 개인정보보호위원회 보도자료, 2021년 12월 18일)

* 프라이버시 쉴드(Privacy Shield) 무효화 판결: 미국 정보기관이 방대한 개인정보를 수집하고 있어, 프라이버시 쉴드 협정으로 EU 시민의 개인정보를 충분히 보호할 수 없다고 판단하고, 2020년 7월에 EU-미국 간 개인정보 이전의 근거인 프라이버시 쉴드 협정을 무효화 하는 판결을 내림.

하지만 이번 적정성 결정으로 인해 EU 시민들의 개인정보 역외 이전 시 한국이 EU 회원국에 준하는 지위를 부여받게 됨에 따라, 기존의 사업자들이 준비해야 했던 표준계약 등의 까다로운 절차가 면제되어 기업이 개별적으로 대응할 필요없이 안정적으로 유럽연합 시민들의 데이터를 한국으로 이전할 수 있게 된 것이다. 또한 민간 데이터 이전에 국한되었던 일본에 대한 적정성 결정과는 달리, 이번 한국에 대한 적정성 결정은 공공 데이터 이전에도 적용되게 되었다.

다만, 국내 기업들 중 신용정보법에 의거하여 금융위원회가 감독하는 영역은 제외되었기 때문에 금융기관들은 계속해서 SCC를 이용해야 한다. 즉, EU 시민의 신용정보는 적정성 결정에 따라 한국으로 이전이 불가하기 때문에, 현재 SCC 기반 계약을 통해 EU 시민의 개인정보를 한국으로 이전하고 있는 금융기관들은 계속 SCC를 이용해야 한다는 것이다. 따라서 4년 뒤 진행되는 재협상 과정에서 금융 분야를 포함하는 것에 대한 논의가 추가로 필요할 것으로 보여진다.

결론적으로 종합해 보았을 때, 이번 EU GDPR 적정성 결정은 EU 시민들을 대상으로 서비스를 진행하고 있는 기업들 입장에서 매우 반가운 소식이다. 이를 통해 앞으로 국내 기업들이 GDPR에 준하는 수준으로 인정받은 국내 개인정보 보호법을 잘 준수하여 EU시민들과 국내 정보주체들의 개인정보를 보호하고 활용하여 기업의 경쟁력을 더욱 향상 시킬 수 있을 것으로 기대된다.