고학수 개인정보보호위원회 위원장이 16일 서울 용산구 그랜드하얏트호텔에서 열린 ‘글로벌 프라이버시 총회(GPA) 서울’에서 세션에 참여하고 있는 모습. (사진=개인정보위)
고학수 개인정보위 위원장은 이날 ‘글로벌 프라이버시 총회(GPA)’ 참석 차 방한한 마이클 맥그라스 EU 민주주의·사법·법치 및 소비자보호 담당 집행위원(장관급)과 함께 이 같은 내용을 담은 공동 언론 발표문을 공개했다. 고 위원장은 “한국과 EU는 민간과 공공 전 영역에서 안전하고 자유로운 데이터 이전 체계가 갖춰졌다”며 “앞으로 양측의 데이터 협력이 더욱 강화될 것을 기대한다”고 말했다.
‘동등성 인정’ 제도는 국내 개인정보가 이전되는 국가와 국제기구의 개인정보보호 수준을 평가해 개인정보 이전을 허용하는 제도로, EU의 ‘적정성 결정(Adequacy Decision)’ 제도와 유사하다. EU는 이 제도를 통해 2021년 우리나라로의 자유로운 개인정보 이전을 허용했으나, 개인정보위는 2023년 9월 개인정보보호법 개정을 통해 비로소 동등성 인정 제도를 도입하고 EU를 첫 번째 인정 대상으로 추진해왔다.
개인정보위는 법률 전문가 등으로 구성된 동등성 태스크포스(TF), 전문가·산업계·시민단체 등으로 구성된 국외이전전문위원회, 관계부처로 구성된 개인정보보호 정책협의회, 11차례 한-EU 실무회의를 거쳐 EU의 개인정보보호 체계와 정보 주체 권리 보장 가능성, 감독 체계와 피해구제 절차 등을 면밀하게 살핀 결과 동등성을 확인했다고 밝혔다.
이번 동등성 인정을 통해 ‘EU에서 우리나라’로만 개인정보 이전이 가능했던 반쪽 체계에서 ‘우리나라에서 EU’로의 개인정보 이전까지 가능해진 양방향 체계가 완성된 것이다.
동등성 인정은 단순히 EU로의 데이터 이전 절차가 간소화되는 의미 이상으로 데이터 장벽의 해소라는 점에서 의의를 가진다. 동등성 인정 이전에는 우리 국민의 개인정보를 EU로 이전할 경우 계약 조항 등 별도 전송 요건을 충족해야 해 기업의 부담을 가중시키고, 스타트업·중소기업의 글로벌 서비스 확장에 진입장벽으로 작용했다. 특히 인공지능(AI) 시대 국경을 초월하는 데이터 활용과 연구개발이 활발해지며 이 같은 장벽을 선제적으로 허물어야 한다는 지적이 적지 않았다.
상호 신뢰를 전제하는 동등성 인정은 곧 EU 내 우리 국민의 개인정보를 안전하게 보호하고 권리를 보장받을 수 있다는 뜻이기도 하다. 만약 EU로 건너간 우리 기업·기관의 데이터에 대해 침해 사고가 발생할 경우 데이터 주체가 해당 회원국에 조사와 처분을 직접 요청할 수 있기 때문이다. 또는 개인정보위가 유럽집행위원회(EC) 또는 유럽개인정보이사회(EDPB)의 도움을 받아 대신 요청 후 결과를 받아볼 수도 있다.
장기적으로는 경제적 효과도 기대된다. 한국인터넷진흥원(KISA)이 올해 5월 발간한 ‘한-EU 동등성 인정에 따른 경제적 효과’ 보고서는 EU와의 동등성 인정이 이뤄질 경우 한국은 디지털 산업의 무역 비용이 감소하고 수출입은 증가할 것으로 내다봤다. 무역 규모는 최대 329억 달러 증가하고, 장기적으로 실질GDP가 오르는 생산효과는 0.205~0.362%, 실질소득이 개선되는 후생효과는 0.155~0.274%에 이른다는 분석이다.
EU를 기점으로 향후 추가적인 동등성 인정 확대에도 탄력이 붙을 전망이다.
최윤정 개보위 국제협력담당관은 “상호 데이터 이전 체계가 마련됨으로써 기업들은 비즈니스와 연구개발에 필요한 데이터 이전을 활발하게 할 수 있게 되고, 문제가 생겼을 경우에는 빠르게 대응하고 안전성을 담보할 수 있게 된 의의가 크다”며 “EU 다음으로 동등성 인정이 가능한 국가들을 검토해 프로세스를 진행할 예정”이라고 말했다.
한편, 이번 동등성 인정에 따라 민간·공공의 개인정보 처리자는 EU 일반개인정보보호법(GDPR)을 적용받거나 유럽경제지역(EEA)에 포함되는 총 30개국에 추가 요건 없이 개인정보를 이전할 수 있다. 다만 주민등록번호와 개인신용정보 이전과는 무관하다.
