세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
Home > 전체기사
우리나라 개인정보보호 분야 내일을 위한 준비
  |  입력 : 2018-06-27 17:24
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
정부, ‘개인정보보호 강화’ 및 ‘개인정보 보호체계 효율화’ 국정과제로 채택
관계기관 TF팀 구성, ‘개인정보보호위원회 위상 강화’ 등 논의


[보안뉴스= 이승희 개인정보보호위원회 기획총괄과 과장] EU GDPR(General Data Protection Regulation)이 2년간의 유예기간을 거쳐 5월 25일부터 본격 시행됐다. GDPR은 우리나라뿐만 아니라 EU와 관련이 있는 전 세계의 크고 작은 기업들이 영향을 받게 됨에 따라 글로벌 이슈로 부각되고 있다. 최근 언론을 통해 우리나라 기업 중 GDPR 대응을 위한 준수 비용 등을 고려해 득보다 실이 크다고 판단될 경우, EU 대상 서비스를 종료하겠다는 기업과 실제 종료한 기업에 대한 기사를 접했다.

[이미지=iclickart]


GDPR이 무엇이기에 이런 일들이 일어나는 것일까? GDPR은 28개 EU 회원국에 공통적으로 적용되는 일반개인정보보호규정으로 EU 시민의 개인정보를 보호하기 위해 정보주체의 권리(열람청구권·정정·삭제권, 정보이동권 등), 기업의 책임성(DPO 지정, 영향평가 실시 등), 역외이전 등 프라이버시 보호와 관련된 99개에 달하는 광범위한 조항들로 구성되어 있다. 특히, 주목할 부분은 회사의 위치에 상관없이 EU에 거주하는 시민의 개인정보를 처리 및 보유하는 전 세계 모든 기업이 적용 대상이 되며, 심각한 규정 위반시 글로벌 매출액의 4% 또는 2천만 유로 중 높은 금액의 과징금을 부과하는 등 강력한 제재를 받게 된다.

우리나라는 2015년부터 GDPR 시행에 대비하여 정부차원의 적정성 결정(Adequacy Decision)을 추진하고 있으며, 이에 대한 진행상황과 우리나라 개인정보보호 분야의 현황 등을 연계하여 설명하고자 한다.

적정성 결정(Adequacy Decision) 추진상황
‘역외이전’은 EU 시민의 개인정보를 EU 회원국 외의 국가로 이전하는 것을 말한다. EU는 원칙적으로 역외이전을 금지하지만, EU집행위원회가 상대국이 EU와 동등한 보호수준을 갖추었다고 승인‘(적정성 결정’이라 함)하면 합법적으로 역외이전이 가능하게 된다. 이러한 GDPR상 EU의 역외이전 근거로는 정보주체의 동의 이외의 국가 차원의 적정성 결정과 개별기업 차원의 구속력 있는 기업규칙(BCR) 또는 표준계약(SCC) 등이 있으나, 개별 기업이 추진하기에는 시간, 비용 등 준비에 어려움이 많은 실정으로 실제 우리나라 굴지의 대기업에서도 추진의 어려움을 토로한 바 있다.

우리나라는 EU GDPR 시행에 대비하여 2015년부터 행정안전부가 개인정보보호 분야의 일반법인 개인정보보호법 중심의 전체 적정성 결정을 추진했으나, 2016년 10월 EU 집행위로부터 한국의 개인정보 보호기관(개인정보보호위원회)의 적격성이 미비하다는 이유로 평가 불가 통보를 받고 전체적정성 결정을 중단했다.

2017년 3월에는 단계적 추진으로 방향을 전환해, 우선 1단계로 정보통신망법 중심의 부분적정성 결정을, 전체적정성은 2단계로 추진하기로 결정하고 이후부터 현재까지 방송통신위원회가 부분적정성 결정을 추진하고 있다. 부분적정성 결정은 말 그대로 정보통신망법 대상에만 국한되어 적용됨에 따라 그 효과가 제한적일 수밖에 없다. 여건이 갖추어져 전체적정성 결정을 추진하는 것이 바람직한 방향이지만 관계기관의 협의·조정 등 시간이 필요하기 때문에 현재의 상황에서는 부분적정성 결정이라도 조속히 추진하는 것이 최선의 방안으로 보인다.

현재 우리나라 개인정보보호 체계의 한계
우리나라는 강력한 개인정보 보호 규범을 가지고 있음에도 EU집행위원회로부터 행정안전부는 정부부처 조직으로 독립성이 확보되지 않아 원천적으로 미달이고, 개인정보 보호기관인 개인정보보호위원회는 독립성과 집행권한 미비로 부적격 통보를 받았다.

EU집행위원회는 개인정보 보호기관의 완전한 독립성(예산, 인사, 조직 등)과 집행권한(조사권 및 제재권 등)을 적격성 요건으로 두고 있다. EU집행위원회의 결정은 현재 우리나라의 개인정보보호 분야의 추진체계 및 법체계의 문제점을 여실히 보여준 결과이다.

우리나라는 개인정보 보호 업무가 행안부(개인정보보호법), 방송통신위원회(정보통신망법), 금융위원회(신용정보법) 등 분야별로 분산되어 독자적으로 운영되고 있다. 이로 인해 법체계의 불일치 및 중복으로 인한 수범자의 혼란 및 부담이 가중되고 있고, 특히 개인정보를 총괄하는 컨트롤타워 부재로 급속하게 변화하는 국제적 흐름에도 기민하고 책임성 있는 대응이 어려운 상황이다.

다른 국가들의 GDPR 대응 현황
전 세계적으로 70여개 국가가 개인정보 보호법을 가지고 있고, 미국 등 일부 국가를 제외하고는 대부분 단일 보호법제와 단일 감독기관(우리나라의 개인정보보호위원회 같은 기관)으로 업무를 수행하고 있으며, 이들 기관은 빅데이터 기반의 지능정보사회 선점을 위한 개인정보 규제체계 개선을 주도하여 자국 국민과 기업을 적극 보호하고 있다.

일본의 경우, 2016년에 개인정보보호법을 전면 개정하여 데이터의 유연한 활용 보장 및 각 부처에 분산된 집행 기능을 개인정보보호위원회로 일원화하는 등 적극적인 행보를 보여주고 있고, 우리나라와 함께 적정성 결정을 추진하고 있다.

우리나라 GDPR 대응의 발전방향
우리나라는 개인정보보호법 시행 이후에도 계속되는 개인정보 유출사고 발생으로 2015년 개인정보보호법을 개정하여 개인정보보호위윈회 기능을 강화했으나, 분산된 운영형태의 근본적인 문제점이 해소되지 않아 여전히 컨트롤타워로서의 역할이 아쉬운 현실이다.

세계는 지금 핵심 산업분야로 빅데이터를 꼽고 있고 각국 정부와 기업은 글로벌 빅데이터 산업을 선점하기 위해 치열한 경쟁을 벌이고 있는 반면, 우리나라는 개인정보 보호 분야의 컨트롤타워 부재로 빅데이터 등 산업이 걸음마 단계에 불과해 경쟁력 강화가 시급한 실정이다.

그나마 다행인 것은 현 정부 들어 ‘개인정보보호 강화’ 및 ‘개인정보 보호체계 효율화’를 국정과제로 채택하고, 지난해부터 관계기관 TF팀을 구성하여 ‘개인정보보호위원회 위상 강화’ 등에 대해 논의하고 있다. 이제는 관계기관의 이해관계를 떠나 국민의 입장에서 혼란과 부담을 해소할 수 있는 진정한 컨트롤타워가 필요한 시점으로 이러한 환경 변화는 EU의 전제적정성 결정에도 긍정적인 요소로 작용하여 자연스럽게 해결되리라 본다.

아울러 4차 산업혁명시대에 정보통신기술 발전은 더욱 가속화될 것이며, 균형 잡힌 개인정보 보호와 활용의 조화는 필연적인 것이다. 빅데이터 등 미래 핵심 산업 분야에 개인정보 보호가 걸림돌이 되지 않도록 우리 실정에 맞는 개인정보 보호체계를 정립하여 산재해 있는 많은 과제들을 조속히 해결하고 다가올 내일을 위한 준비에 만전을 기해 나가야 할 것이다.
[글_ 이승희 개인정보보호위원회 기획총괄과 과장(kcslsh07@korea.kr)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
모니터랩 파워비즈 배너 시작 18년9월12일위즈디엔에스 2018WD 파워비즈 2017-0305 시작파워비즈배너 시작 11월6일 20181105-20200131
설문조사
국내 정보보호 분야 주요 사건·이슈 가운데 정보보호산업에 가장 큰 영향을 미친 것은 무엇이라고 생각하시나요?
2001년 정보보호 규정 포함된 정보통신망법 개정
2003년 1.25 인터넷 대란
2009년 7.7 디도스 대란
2011년 개인정보보호법 제정
2013년 3.20 및 6.25 사이버테러
2014년 카드3사 개인정보 유출사고
2014년 한수원 해킹 사건
2017년 블록체인/암호화폐의 등장
기타(댓글로)