▲ 강철하 한국IT법학연구소장

디지털 단일시장(Digital Single Market)을 추진하는 유럽연합(EU)은 회원국 시민의 '개인정보 보호'와 '정보의 자유로운 이동'을 보장하기 위해 오랜 기간 논의해 왔던 '일반 개인정보보호규정(GDPR)'을 2016년 5월 제정했다. 동 규정에서는 정보주체의 개인정보를 보호하기 위해 '컨트롤러'(우리의 '개인정보처리자'와 유사한 개념)나 '프로세서'(우리의 '개인정보수탁자'와 유사한 개념)에게 다양한 개인정보보호 의무를 부과하고, 법 위반 시 글로벌 연간 매출액의 4% 또는 2000만 유로 중 더 높은 금액을 과징금으로 부과하는 강력한 제재조치를 도입했다. 동 규정은 2018년 5월 25일 시행되고, 종래 개인정보 분야를 규율했던 '개인정보보호지침(Data Protection Directive 95/46/EC)'을 대체할 예정이다.

그런데 이러한 GDPR의 시행은 유럽시장에 진출하는 국내기업에게 미치는 영향을 고려할 때 단지 유럽만의 제도변화로 치부하기 어려운 문제가 있다. 왜냐하면 동 규정은 EU 회원국의 기업에만 적용되는 것이 아니라, 유럽연합 역내(EEA)에 설립된 우리 기업(자회사, 분점 등)이나 국내에서 EU 시민에게 재화와 서비스를 제공하는 기업에게도 적용될 수 있기 때문이다(규정 제2조).

한편 4차 산업혁명 과정에서는 인공지능, 사물인터넷, 클라우드컴퓨팅 등의 확산에 따라 데이터의 폭발적 증가와 광범위한 유통 현상이 나타날 수 있다. 예컨대 지난해 알파고(AlphaGo) 사례에서 목격한 바와 같이 클라우드서비스의 '분산처리 기술'에 따라 국경을 초월해 정보가 처리되고, 이 경우 '개인정보의 국외이전' 문제가 자주 발생할 수 있다. 

그런데 GDPR의 경우 개인정보 국외이전에 대해 개인정보의 '적절한 보호(adequate protection) 수준'을 갖춘 나라에 한해 이전을 허용하고 있으며, 그 구체적 허용조건으로 EU집행위원회가 개인정보에 대해 적절한 수준의 보호를 하고 있다고 결정한 국가인 경우, 기업이 구속력 있는 기업규칙(BCR)이나 감독당국이 제시한 표준계약서 등에 의해 적절한 보호조치를 갖춘 경우, 정보주체가 충분한 설명 듣고 국외 이전에 명백히 동의한 경우 등을 요구하고 있다. 이처럼 GDPR은 개인정보의 국외이전 방식에 있어 다양한 형식을 취하고 있지만 그 '실질에 있어서' 감독당국 차원에서 '적절한 보호 수준'을 갖춘 나라를 평가․선정해 주거나 정보주체의 권리 또는 구제수단과 같은 GDPR의 보호 내용을 국외이전 방식에 반영(BCR 또는 표준계약서)함으로써 해외기업에 대한 사실상의 구속력과 통제력을 높이고 있다(실질적 보호수단 채택).

반면, 우리나라는 주로 개인정보 국외이전에 '정보주체의 동의' 요건만을 요구하고 있어 형식상 자기결정권을 보장하고 있는 것처럼 보이지만 사실상 정보가 취약한 개인이 알아서 국외이전을 판단하고, 사후에 발생한 개인정보 침해문제에 대해서도 스스로 대응해야 하는 등 구제수단이 거의 없으며, 정부도 해외기업의 개인정보 처리에 대한 통제권을 행사하기 어렵게 돼 있다(형식적 보호수단 채택). 나아가 이러한 패쇄적인 이전체계는 4차 산업혁명 과정에서 요청되는 '정보의 유통'을 차단해 산업성장을 지체시키는 요인으로 작용할 수도 있다.

주지하는 바와 같이 'OECD 개인정보보호 가이드라인'이나 EU를 포함한 국제적인 개인정보보호법규는 '정보의 보호'뿐만 아니라 '정보의 자유로운 이동'을 목적으로 제정됐고, 이러한 입법방식은 '정보의 안전성과 정보주체의 실질적 권리보장'을 전제로 4차 산업혁명에서 발생하는 다양한 문제를 유연하게 대처할 수 있게 해줄 것이다.

하지만 우리의 개인정보보호법제는 '정보의 자유로운 이동'에 대한 철학은 거의 반영돼 있지 않고 형식적 안전성만을 강조하고 있어 새로운 사회․기술 환경과의 부조화를 야기하고 있다. 따라서 향후 앞서 언급한 GDPR 규제에 대비하고 기술환경의 변화에 유연하게 대처하기 위해서라도 '정보주체에 대한 실질적 권리보장'과 '정보의 안전한 유통'의 관점에서 현행 개인정보보호법제의 틀을 재정비해야 할 것이다.