국내 기업이나 공공기관이 유럽연합(EU) 내 지사나 협력사로 직원·이용자의 개인정보를 이전할 때 혹은 그 반대의 경우에 별도의 본인 동의 절차 없이도 가능해진다.
뉴시스 보도에 따르면, 이는 정부가 EU의 개인정보 보호 수준을 '동등한 수준'으로 판단함에 따라, 인공지능(AI)과 데이터 중심 시대에 발맞춰 우리 기업들이 보다 효율적이고 유연하게 개인정보를 이전할 수 있도록 한 조치다. 복잡한 행정 절차 없이 국경 간 데이터 활용을 가능케 해 글로벌 경쟁력을 높이는 효과도 기대된다.
고학수 개인정보보호위원장은 '글로벌 프라이버시 총회(GPA) 서울' 참석 차 방한 중인 EU 민주주의·사법·법치 및 소비자 보호 담당 마이클 맥그라스 집행위원(장관급)과 함께 이와 같은 내용을 담은 공동언론발표문을 16일 공개했다.
동등성 인정 제도는 외국의 개인정보 보호 수준이 우리와 비슷하다고 판단할 경우, 해당 국가로의 개인정보 이전을 허용하는 제도다. AI·데이터 시대에 개인정보가 국경을 넘어 안전하고 원활하게 이동할 수 있도록 하기 위한 장치로, EU의 '적정성 결정'과 같은 취지에서 운영 중이다.
제도 도입 이후 개인정보위는 법률 전문가 등으로 구성된 '동등성 태스크포스(TF)', 전문가·산업계·시민단체 등으로 구성된 국외이전전문위원회, 관계 부처로 구성된 개인정보보호 정책협의회, 11차례의 한-EU 실무회의 등을 거쳐 EU의 ▲개인정보 보호체계 ▲정보주체 권리보장 가능성 ▲감독체계 ▲피해구제 절차 등을 면밀하게 살폈다.
이를 통해 개인정보위는 EU 회원국이 현지 개인정보보호법인 GDPR(General Data Protection Regulation)을 통해 개인정보 보호원칙과 정보주체의 권리 등을 규정하고 독립성이 보장된 감독기관을 통해 감독을 하는 한편, 정보주체 권리보장 체계를 갖춘 것을 확인했다.
또 EU 회원국에서 개인정보 침해가 발생한 경우에도 정보주체가 해당 회원국에 조사와 처분을 요청할 수 있도록 하고 해당 정보주체가 어려움을 겪는 경우에는 개인정보위가 유럽집행위원회(EC) 또는 유럽개인정보이사회(EDPB)의 도움을 받아 대신 요청하고 그 결과를 받을 수도 있도록 협의했다.
이번 동등성 인정에 따라 민간·공공의 개인정보처리자는 EU GDPR을 적용받는 EU 역내 국가 27개국 및 유럽경제지역(EEA)에 포함되는 3개국(노르웨이, 리히텐슈타인, 아이슬란드) 등 총 30개국에 추가적 요건없이 개인정보를 이전할 수 있다.
개인정보 이전에는 제공하는 경우, 조회가 가능하도록 하는 경우, 처리를 위탁하는 경우, EU지역에 소재한 클라우드에 보관하는 경우 등이 모두 해당한다. 다만 이번 동등성 인정 범위는 주민등록번호와 개인신용정보의 이전은 포함하지 않는다.
앞으로 개인정보위는 EU와 협력해 EU 및 그 회원국의 제도변경에 따른 개인정보 보호 상황 등을 지속적으로 모니터링할 예정이다.
이번 동등성 인정은 고시되는 16일부터 3년이 되는 날인 2028년 9월 15일로부터 3개월 전에 재검토를 시작해 검토 결과 동등한 수준이 유지되지 않는다고 판단되면, 동등성 인정의 변경이나 취소가 가능하다. 아울러 이전된 개인정보가 적절하게 보호되지 않아 정보주체의 피해가 발생하거나 발생 우려가 현저한 경우에는 개인정보위가 개인정보 이전의 중지를 명할 수 있다.
고학수 개인정보위원장은 "한국과 EU는 민간과 공공 전 영역에서 안전하고 자유로운 데이터 이전 체계가 갖추어진 만큼 앞으로 양측의 데이터 협력이 더욱 강화될 것을 기대한다"며 "앞으로도 개인정보위는 글로벌 맥락에서 개인정보가 포함된 데이터의 이전 질서 형성에 주도적 역할을 하겠다"고 밝혔다.
Copyright ⓒ 모두서치 무단 전재 및 재배포 금지
본 콘텐츠는 뉴스픽 파트너스에서 공유된 콘텐츠입니다.
