[기 고] 부처 이기주의에 날아간 EU와의 정보교류
그동안 대한민국은 유럽연합(EU)의 일반 데이터 보호규정(GDPR) 제45조의 데이터 국외 이전을 위한 적정성 결정(adequacy decision)을 준비해 왔었다. 그런데 11월 1일 EU로부터 이를 불인정하는 결정을 받았다.EU와 한국이 개인정보를 적정하게 보호하는 국가로 인정되었다면 한국 기업의 EU와의 정보 유통에는 자유롭게 물꼬가 트일 수 있는 기회였으나, 이제 EU와 거래하는 한국 기업들이 정보 유통을 위해서는 개별적으로 EU로부터 표준계약서를 체결하고 EU 감독관의 허가를 받아야 한다. 이것으로 EU와 무역하는 국내 기업에는 큰 부담이 되게 되었다.
이러한 안타까운 결과를 만든 중요한 이유는 방송통신위원회와 개인정보보호위원회가 각기 정보통신망법과 개인정보 보호법으로 개인정보 보호에 대한 권한을 나누어 갖고 있고, 이러한 업무 분할 갈등으로 방통회가 자신의 담당 분야인 온라인 분야에 대한 '부분 적정성 평가'를 우선 받겠다는 전략으로 EU와 협상을 했기 때문이다.
반면, 지난 9월 5일 EU는 일본에 대해 적정성 평가를 인정하면서도 추가 의견에서 단일 개인정보 보호 기관이 일관되게 개인정보 보호 문제를 적정하게 취급하며 EU 시민이 문제를 제기해도 답변할 수 있는 일관된 창구가 구성되기를 요구하였다. 따라서 한국 정부가 시도한 '부분 적정성 평가'라는 것은 EU의 적정성 평가에서 요구하는 취지와 다르며, 방통위가 온라인 상의 개인정보에 관한 권한을 계속 유지하려는 꼼수였다는 비판을 피하기 어렵다.
일본의 경우 자국 총리가 EU 집행위원장과 개인정보의 적정한 유통을 위하여 직접 협상을 했으나, 우리는 청와대에서의 적극적인 외교 협상도, 부처 간의 권한 분쟁에 대한 적극적인 조정도 없었다는 것이 큰 아쉬움으로 남는다. 지금이라도 개인정보보호위원회를 중심으로 독립되고 단일한 권한 조정에 힘써야 한다.
한국은 2015년부터 EU와의 적정성 평가를 추진해왔으나 여전히 제자리 걸음이다. 그동안 일부 전문가들이 우리 개인정보 보호법이 매우 강한 규제 체계를 가지고 있다고 하여 그 실천과 판결에서 약한 집행을 요구하고 결국 개인정보 보호법의 약화를 규제완화로 주장하는 순환논리가 반복되기도 했다. 그러나 4차 산업혁명기에서 개인정보의 보호냐 활용이냐는 대립된 주제가 아니며 하나의 선택 사항이 아니다. 상대방이 개인정보를 적정하게 보호할 것이라는 신뢰감이 있어야 활용할 수 있도록 정보의 이전도 가능한 것이다. 즉 정보의 보호와 활용은 둘 다 함께 가져가야 할 가치이다.
특히 최근에는 빅데이터, AI 등과 같이 정보의 활용 뿐만 아니라 블록체인과 데이터 시큐리티 등 정보보호에 대한 산업 규모가 날로 커지고 있다. 이제 우리 대한민국은 부처의 이기심을 버리고 국제사회의 기준을 바르게 검토하여 개인정보, 익명정보, 가명정보 등의 개념을 명확히 개인정보 보호법령에 법규화하고 어떻게 우리 국민과 기업에 힘이 될 것인지를 고민하고 실천할 때다.
경성대·법행정학부
손형섭 / UC버클리 로스쿨 방문교수
with the Korea JoongAng Daily
To write comments, please log in to one of the accounts.
Standards Board Policy (0/250자)