EU-GDPR 시행에 맞춰 개인정보보호법제는 국익을 위해 변화해야

2018년 5월 25일 시행되는 EU 개인정보보호법(GDPR)에 대한 관심이 뜨겁다. 그러나 GDPR 은 우리나라 개인정보보호법과 대부분 유사한 시스템을 갖추고 있으므로 우리 개인정보보호법을 잘 준수하고 있는 기업이라면 그다지 어렵지 않게 적응할 수 있을 것이다. 문제는 GDPR 이 우리나라에 미치는 영향이다. GDPR은 개인정보처리자가 EU 국민의 개인정보를 동의 없이 해외로 이전하는 행위를 금지하고 있고, 이를 위반할 경우에 해당 개인정보처리자의 글로벌 연매출의 4% 또는 2,000 만 유로 중에 높은 금액의 벌금을 부과할 예정이다.

우리 개인정보보호법은 강력한 포지티브 시스템이면서 형사처벌을 규정하고 있다. 이제 EU 진출 우리 기업들에게 GDPR이 적용되므로 우리도 EU에 진출한 기업들이 입게될 GDPR이 미칠 영향을 냉철하게 분석해 국익을 고려하면서 우리 개인정보보호 법제를 돌이켜 볼 시대적 상황이 열리고 있다. 국내에서만 통용되던 개인정보보호 법제가 GDPR 과 상호작용을 하게 되므로 개인정보보호법제의 기본적 철학부터 다시 되돌아봐야 할 국면이 된 것이다.

우리나라 기업들이 EU 내에서 GDPR에 위반되는 행위를 하였을 때 EU에서는 과태료 또는 과징금을 받게 될 것이다. 그러나, 내국인의 외국에서 행한 행위가 우리나라 법에 위반되었을 때 외국에서 행정처분을 받았다는 사유로 국내법의 적용이 면제되는 것은 아니므로 해당 기업은 국내에서 다시 정부의 조사에 이은 행정처분과 민형사 책임을 질 수 있다. 특히 우리나라 개인정보보호법은 개인정보 처리과정의 대부분 행위에 고지된 동의를 요구하고 이에 위반했을 경우에 형사처벌까지 처할 수 있게 되어 있어 우리 기업은 EU 당국의 행정처분을 받은 후 다시 우리나라에서 처벌받게 된다.

GDPR과 비교해 보면, 우리 개인정보보호법은 위반행위에 대해 형사처벌 위주로 법준수를 담보하고 있음을 알게 된다. IoT 시대에 사물정보가 개인과 관련을 갖게 되는 정보, 즉 비정형적인 개인 관련 정보의 유통이 범람하게 되는 시대이므로 어떤 정보가 개인정보성을 띄는지에 대해 일반인으로서는 쉽게 알기 어렵다. 개인정보보호법은 그 역사가 일천해 일반인에게 익숙하지 않은 법체계다. 모호한 개인정보호성을 개인정보보호 감독기구가 검토하고 개인정보인지 여부에 대해 유권해석을 내리고 그 결과 불법성을 띄는 것으로 확인된 개인정보처리자의 행위에 대해서는 시정조치를 내리는 상호작용을 거쳐 개인정보보호를 달성하는 것이 바람직하다. 정부가 철저한 포지티브시스템으로 개인정보보호법을 만들면서 대부분의 법위반행위에 대해 형사처벌을 붙이는 것은, 사소한 불법도 모두 형사처벌로 처리되게 함으로써 개인정보보호법이 독성을 띄게 하고 빅데이터 산업의 성장을 가로막은 원인이라고 생각한다.

EU 경제에서 미국은 54%를 차지하고 있다고 한다. EU는 미국 디지털 기업들이 EU 기업들을 초토화시키고 EU 국민의 개인정보와 돈을 가지고 가는 것을 어떻게든 막아보기 위해 노력하고 있다. 이를 위해 공정거래법과 개인정보보호법을 보호무역의 수단으로 선택했다. 우리나라는 어떤가. 정부는 국외에 서버를 두고 초고속 인터넷망을 이용해 국내에 서비스를 하고 있는 외국 기업들에 대해서는 개인정보보호법을 제대로 적용하지 못하고 내국법인들에게만 엄격하게 적용되고 있다. 다른 인터넷 규제들과 더불어 이른 바 ‘기울어진 운동장’을 만드는데 개인정보보호법이 큰 기여를 하고 있는 것이다. 여기에 덧붙여 만약 EU에서 GDPR을 위반했다는 이유로 국내에서 해당 기업을 다시 처벌하게 된다면 그 역전현상은 더욱 심화될 것이다. 수출기업이 외국에서 행한 행위로 인해 국내에서 다시 처벌하는 셈이기 때문이다.

이제 국익차원에서 개인정보보호법을 다시금 돌아보고 문제점으로 지적돼 온 부분을 개선하는 작업에 착수해 수출기업들이 개인정보보호법 때문에 오히려 역차별을 받지 않게 하자. 일반법인 개인정보보호법과 동일한 체제를 갖고 있는 정보통신망법과 신용정보보호법을 대폭 손질해 중복규정은 개인정보보호법으로 일원화하고 개인정보보호위원회에 행정처분 권한을 부여해야 한다. 대법원 판례도 특별법은 일반법과 모순, 저촉되는 경우에만 적용된다고 판시하고 있다. 특히 EU GDPR에 규정된 개인정보 국외이전시 동의의 예외인 적정성 평가를 받아내기 위해서도 개인정보보호위원회로 개인정보보호업무 권한을 일원화하는 것은 필수적이다. 일본은 EU로부터 적정성평가를 받지 못하게 되자 2016년 개인정보보호위원회를 신설해 감독권한을 이관함으로써 적정성 평가를 받아낸 사실과 비교하면 우리 정부의 밥그릇챙기기는 국익 앞에서도 유별나다.

그밖에도 비식별 정보는 누구의 정보인지 그 자체로 알 수 없어 동의를 받을 수도 없으므로 동의 조항의 적용을 면제하고, 개인정보보호를 위한 기술적 수단을 법으로 정한 정부 고시는 기술중립성에 반하고 기술의 발전을 왜곡시키므로 시장의 표준에 맡기고 이를 폐지하자. 개인정보보호 관리체계나 개인정보영향평가는 정부가 해당 업체를 인증하지 말고 시장의 표준에 따라 민간시장에서 적절하게 시행하도록 개방해 자율문화를 확산하게 하자. 필수동의, 선택동의로 나뉜 각종 동의사항은 사물인터넷시대에 부적절한 규제이므로 이를 포괄동의(원클릭동의)와 동의배제(옵트아웃) 시스템으로 바꾸자. 형사처벌을 우선하는 규제시스템은 감독관청이 시정명령을 먼저 한 후 이에 불복할 때 명령불이행죄로 처벌하는 시스템으로 개선하자.

구태언 법무법인 테크앤로 대표변호사