일반개인정보보호법 발효, 4차 산업혁명 시대 새로운 규제 패러다임 제시 국제표준 획득, 개인정보책임자 임명 등으로 정보보호 역량 강화 계기 삼아야 EU는 이달 25일부터 개인정보 처리와 이동에 관한 '일반개인정보보호법(General Data Protection Regulation: 이하 GDPR)'을 시행한다. GDPR은 EU 회원국 모두에게 동일하게 적용되는 개인정보보호 일반법으로, 우리나라의 개인정보보호법과 유사한 성격을 갖고 있다. GDPR은 4차산업혁명 시대의 새로운 규제 패러다임을 제시, 한국을 비롯한 각국 개인정보 보호법제의 벤치마크가 될 것으로 예상된다. GDPR은 기업 규제환경의 큰 변화를 초래, EU 역내 투자기업은 물론, EU 거주민을 대상으로 하는 다양한 기업 활동에 영향을 미칠 전망이다.EU 일반개인정보보호법 발효를 앞두고 한국 기업의 발빠른 대응이 시급해 보인다.유럽연합(EU)이 4차 산업혁명 시대 데이터 혁신의 원료인 개인정보의 활용과 보호의 새로운 기준을 제시하는 일반개인정보보호법(General Data Protection Regulation: GDPR)을 이달 25일(현지시간) 발효한다. 한국기업은 개인정보 보호 강화 추세가 세계적으로 확산될 가능성에 대비하고 경쟁력 개선의 기회로 삼을 필요가 있다는 지적이다. 이 법은 높은 수준의 개인정보 보호 요건을 부과함에 따라 혁신과 무역투자에 장애요인으로 작용할 수 있다.KOTRA가 2일 발표한 ‘EU 일반데이터보호법(GDPR) 발효와 대응과제’ 보고서를 보면 GDPR은 EU 역내에 거점을 운영하면서 해당기업의 활동이 개인정보의 처리를 포함하는 경우는 물론, 역외에 위치하면서 EU 거주 정보주체에게 재화·서비스 제공하는 기업에게도 적용된다. 또한 역외로 이전된 정보를 제3국으로 다시 이전해 처리할 경우도 같다.GDPR은 최근 기술발전에 맞춰 개인정보의 범위를 확대 규정한다. IP주소, 쿠키, RFID, 위치정보 등도 개인정보로 간주되며, 유전정보와 바이오정보를 비롯한 민감 개인정보는 더욱 엄격한 기준 하에서 관리하도록 의무화했다. 정보 주체의 동의 이외에 기업이 활용할 수 있는 개인정보 국외이전 절차를 명시하고 있다. 즉 적정성 평가(adequacy decision), 구속력 있는 기업규칙(BCR), 표준계약조항(standard clause), 인증(certificate) 등과 같이 GDPR이 정한 방법에 의해서만 개인정보의 EU 역외이전이 가능하다. GDPR은 정보주체의 권리를 전반적으로 강화한다. DPO(개인정보책임자) 임명 등 기업의 의무를 강화하고 법 위반 수준에 따라 기업 세계 매출의 2~4% 또는 1~2천만 유로 가운데 큰 금액을 과징금으로 부과하고 있어 주의를 요한다. GDPR은 EU 회원국 모두에게 동일하게 적용되는 일반법으로써 적용범위가 넓어 역내외 기업에 대한 영향이 클 뿐 아니라, 한국을 비롯한 각국 법제의 벤치마크가 되고 있어 글로벌 규제여건에 큰 영향을 줄 것으로 예상된다.GDPR은 EU 회원국의 개인정보보호법을 통일함으로써, 중장기적으로 EU 역내 규제여건을 개선해 시장을 확대하는 효과가 있을 것으로 기대된다. 그러나 단기적으로는 동시에 당분간 상당한 적응비용을 부담하고 불확실성에 직면할 기업들에게는 혁신을 둔화시키는 요인으로 작용할 수 있다.EU 기업이 데이터 처리와 같은 서비스 조달처를 역내기업이나 사내 업무로 전환할 경우, 역외기업의 수출·투자에 불리하게 작용할 가능성이 있다. 특히 우리 기업과 스타트업의 최근 對EU 수출·투자는 데이터 혁신과 직간접적으로 연계된 통신·컴퓨터·정보서비스업 등에서 활성화되고 있어 철저한 준비를 요한다. 한국의 對EU 전체 서비스 수지는 지속적인 적자를 기록 중이나, 통신·컴퓨터·정보 서비스 수출의 경우 2016년 1억658만 달러를 기록, 4억1천620만 달러의 흑자(한국은행 서비스수지 통계)를 냈다.GDPR을 계기로 우리 기업은 개인정보 보호역량 강화를 통해 경쟁력을 높이고 소비자 신뢰도를 향상시켜야 한다는 목소리가 높다. 최근 조사에 따르면 영국 소비자들은 개인정보 제공이 필요한 거래에서 기업에 대한 신뢰도를 경제적 요인(가격)보다 더 중시하는 것으로 나타났다.윤원석 KOTRA 정보통상협력본부장은 “4차 산업혁명의 확산을 위해서는 산업생태계 차원에서의 개인정보 보호체제 구축이 중요하다”면서, “글로벌밸류체인(GVC)의 성숙과 더불어 해외 협력업체의 개인정보 보호역량이 우리기업에 큰 영향을 주는 만큼, 공급 파트너간 보안조치에 대한 상호계약 등이 중요하다”고 강조했다.

일반개인정보보호법 발효, 4차 산업혁명 시대 새로운 규제 패러다임 제시

국제표준 획득, 개인정보책임자 임명 등으로 정보보호 역량 강화 계기 삼아야

기사입력 2018-05-03 11:15:15

[산업일보]

EU는 이달 25일부터 개인정보 처리와 이동에 관한 '일반개인정보보호법(General Data Protection Regulation: 이하 GDPR)'을 시행한다. GDPR은 EU 회원국 모두에게 동일하게 적용되는 개인정보보호 일반법으로, 우리나라의 개인정보보호법과 유사한 성격을 갖고 있다. GDPR은 4차산업혁명 시대의 새로운 규제 패러다임을 제시, 한국을 비롯한 각국 개인정보 보호법제의 벤치마크가 될 것으로 예상된다. GDPR은 기업 규제환경의 큰 변화를 초래, EU 역내 투자기업은 물론, EU 거주민을 대상으로 하는 다양한 기업 활동에 영향을 미칠 전망이다.

EU 일반개인정보보호법 발효를 앞두고 한국 기업의 발빠른 대응이 시급해 보인다.

유럽연합(EU)이 4차 산업혁명 시대 데이터 혁신의 원료인 개인정보의 활용과 보호의 새로운 기준을 제시하는 일반개인정보보호법(General Data Protection Regulation: GDPR)을 이달 25일(현지시간) 발효한다. 한국기업은 개인정보 보호 강화 추세가 세계적으로 확산될 가능성에 대비하고 경쟁력 개선의 기회로 삼을 필요가 있다는 지적이다. 이 법은 높은 수준의 개인정보 보호 요건을 부과함에 따라 혁신과 무역투자에 장애요인으로 작용할 수 있다.

KOTRA가 2일 발표한 ‘EU 일반데이터보호법(GDPR) 발효와 대응과제’ 보고서를 보면 GDPR은 EU 역내에 거점을 운영하면서 해당기업의 활동이 개인정보의 처리를 포함하는 경우는 물론, 역외에 위치하면서 EU 거주 정보주체에게 재화·서비스 제공하는 기업에게도 적용된다. 또한 역외로 이전된 정보를 제3국으로 다시 이전해 처리할 경우도 같다.

GDPR은 최근 기술발전에 맞춰 개인정보의 범위를 확대 규정한다. IP주소, 쿠키, RFID, 위치정보 등도 개인정보로 간주되며, 유전정보와 바이오정보를 비롯한 민감 개인정보는 더욱 엄격한 기준 하에서 관리하도록 의무화했다.

정보 주체의 동의 이외에 기업이 활용할 수 있는 개인정보 국외이전 절차를 명시하고 있다. 즉 적정성 평가(adequacy decision), 구속력 있는 기업규칙(BCR), 표준계약조항(standard clause), 인증(certificate) 등과 같이 GDPR이 정한 방법에 의해서만 개인정보의 EU 역외이전이 가능하다.

GDPR은 정보주체의 권리를 전반적으로 강화한다. DPO(개인정보책임자) 임명 등 기업의 의무를 강화하고 법 위반 수준에 따라 기업 세계 매출의 2~4% 또는 1~2천만 유로 가운데 큰 금액을 과징금으로 부과하고 있어 주의를 요한다.

GDPR은 EU 회원국 모두에게 동일하게 적용되는 일반법으로써 적용범위가 넓어 역내외 기업에 대한 영향이 클 뿐 아니라, 한국을 비롯한 각국 법제의 벤치마크가 되고 있어 글로벌 규제여건에 큰 영향을 줄 것으로 예상된다.

GDPR은 EU 회원국의 개인정보보호법을 통일함으로써, 중장기적으로 EU 역내 규제여건을 개선해 시장을 확대하는 효과가 있을 것으로 기대된다. 그러나 단기적으로는 동시에 당분간 상당한 적응비용을 부담하고 불확실성에 직면할 기업들에게는 혁신을 둔화시키는 요인으로 작용할 수 있다.

EU 기업이 데이터 처리와 같은 서비스 조달처를 역내기업이나 사내 업무로 전환할 경우, 역외기업의 수출·투자에 불리하게 작용할 가능성이 있다. 특히 우리 기업과 스타트업의 최근 對EU 수출·투자는 데이터 혁신과 직간접적으로 연계된 통신·컴퓨터·정보서비스업 등에서 활성화되고 있어 철저한 준비를 요한다.

한국의 對EU 전체 서비스 수지는 지속적인 적자를 기록 중이나, 통신·컴퓨터·정보 서비스 수출의 경우 2016년 1억658만 달러를 기록, 4억1천620만 달러의 흑자(한국은행 서비스수지 통계)를 냈다.

GDPR을 계기로 우리 기업은 개인정보 보호역량 강화를 통해 경쟁력을 높이고 소비자 신뢰도를 향상시켜야 한다는 목소리가 높다. 최근 조사에 따르면 영국 소비자들은 개인정보 제공이 필요한 거래에서 기업에 대한 신뢰도를 경제적 요인(가격)보다 더 중시하는 것으로 나타났다.

윤원석 KOTRA 정보통상협력본부장은 “4차 산업혁명의 확산을 위해서는 산업생태계 차원에서의 개인정보 보호체제 구축이 중요하다”면서, “글로벌밸류체인(GVC)의 성숙과 더불어 해외 협력업체의 개인정보 보호역량이 우리기업에 큰 영향을 주는 만큼, 공급 파트너간 보안조치에 대한 상호계약 등이 중요하다”고 강조했다.

뒤로 기사목록

산업일보 영상뉴스 모아보기

산업일보 페이스북 바로가기

이상미 기자 sm021@kidd.co.kr

이 기자의 다른기사 보기 >

반갑습니다. 편집부 이상미 기자입니다. 산업 전반에 대한 소소한 얘기와 내용으로 여러분들을 만나겠습니다.