한 달 앞으로 다가온 GDPR, 무엇이 달라지나?
[IT동아 이상우 기자] 오는 2018년 5월 25일부터 유럽연합(이하 EU)이 제안한 개인정보보호규정(GDPR, General Data Protection Regulation)이 시행되면서 EU 내의 개인정보 보호 강화 및 외부 반출에 관한 세부적인 규정이 생긴다. 이 규정을 위반하는 경우 사안의 경중에 따라 전세계 매출의 2~4% 혹은 1,000만~2,000만 유로 중 높은 금액을 과징금으로 부과한다.
GDPR은 모든 EU 회원국뿐만 아니라 EU 시민을 대상으로 사업을 펼치는 전세계 기업에도 적용되는 만큼, 국내 기업 역시 이에 대한 대응이 필요하다. 그렇다면 GDPR이 등장한 배경은 무엇이며, 우리 기업은 어떤 대비를 해야 할까?
GDPR의 등장 배경과 적용 대상
GDPR 제정 목적은 개인정보에 대한 권리를 정보주체(개인)에게 돌려줌과 동시에 개인정보를 이용하는 기업의 책임을 강화하는 것이 목표다. 동시에 EU에 통일된 규정을 적용해 관리 매커니즘을 단순화하고, 개인정보 이용에 관리 감독의 효율성을 높인다. 동일한 규정을 통해 시장 진입 시 일관된 정책을 세울 수 있는 것은 물론, 침해사고 발생 시 공동 대응도 가능한 만큼 비용 절감 효과를 얻을 수도 있다.
EU에는 과거 정보보호지침(DPD)이 별도로 존재했으나, 법적 구속력이 약했으며, 회원국 사이에도 세부적인 규제 수준의 차이가 있었다. 뿐만 아니라 DPD가 채택될 1995년 당시와 비교해, 오늘날 인터넷 기술 및 환경이 많이 변했기 때문에 현대화한 개인정보 관리체계가 필요했다.
GDPR은 개인정보 및 개인정보 처리에 관한 과정 대부분에 적용된다. 식별됐거나 식별 가능한 정보주체 관련 정보의 경우 모두 해당하며, 사망한 사람의 개인정보에는 해당하지 않는다. 또한 개인이 아닌 법인, 법인 연락처 등에도 적용하지 않는다. 단, 망자의 개인정보 처리에 관해서는 회원국의 별도 규정을 따를 수도 있다.
어떤 것을 '개인정보'라고 볼지에 대한 범위도 확대됐다. 여기에는 위치정보, 동일인임을 식별하기 위한 온라인 식별자(쿠키, IP, 하드웨어 정보 등) 역시 개인정보의 범주에 포함했다. 예를 들어 스마트폰의 경우 앱 장터 이용 내역을 확인하기 위한 광고 ID가 내장돼 있다. 이 광고 ID는 특정 인물을 식별하는 정보가 없으며, 동일인물이라는 것만 파악할 수 있는 정보다. GDPR에서는 이 역시 개인정보로 규정하고 있다.
적용 대상은 EU 회원국, EU 내에서 사업장을 운영하며 개인정보를 다루는 기업, EU 외에서 EU 시민에게 재화나 서비스를 제공하는 기업, EU 시민의 EU 내 행동을 모니터링하는 기업 등이다. 온라인 서비스라면 사실상 대부분 해당하며, PC, 스마트폰 등 개인정보를 다룰 수 있는 HW 제조사 역시 적용 대상이다. 시장조사기관은 물론, 게임 개발사 및 퍼블리셔, 디지털 광고 솔루션 기업 등도 EU를 대상으로 한다면 GDPR이 적용된다. 특히 구글 플레이나 애플 앱스토어 등 글로벌 사용자를 대상으로 게임 및 애플리케이션을 출시한 경우에도 이 규정을 적용할 수 있다.
다만, EU 외부의 사업자의 경우 명백히 EU 시민 및 시장을 대상으로 사업을 하는 경우에만 해당한다. 예를 들어 EU 시민이 한국에 여행을 와서 한국인을 대상으로 하는 서비스를 이용하는 경우에는 GDPR 적용 대상이 아니다.
GDPR의 주요 용어
GDPR에서는 특정 주체를 지칭하는 용어가 많이 사용된다. 가장 많이 사용하는 용어는 컨트롤러(Controller)와 프로세서(Processor)다. 컨트롤러란 개인정보를 1차적으로 수집해서 관리하고, 수집 목적과 수단을 결정하는 사람, 법인, 기관, 단체 등을 의미한다. 국내 개인정보보호법에서 개인정보처리자, 위탁자 등과 의미가 유사하다. 프로세서란 컨트롤러를 대신해 개인정보를 처리하는 사람, 법인, 기관, 단체 등을 의미하며, 개인정보보호법에서 개인정보취급자, 수탁자 등과 의미가 유사하다.
가명화(Pseudonymisation)란 일종의 비식별조치다. 추가적인 정보 없이는 정보주체를 특정할 수 없는 방식으로 처리된 개인정보를 말한다. 바꿔 말하면 비식별조치를 거친 정보라도 몇 가지 정보를 추가해 개인을 특정할 수 있다면 이를 식별된 정보로 간주한다. 참고로 GDPR은 유출 혹은 불법 사용된 개인정보의 식별 가능성이 낮을수록 처벌 수준도 낮아진다.
처리(Processing)란 개인정보를 수집, 기록, 분류, 저장, 검색, 삭제, 파기 등 개인정보의 생성부터 파기까지 이어지는 주기에 관련된 모든 작업을 말한다. 프로파일링(Profiling)이란 수집된 개인정보를 통해 개인의 관심사, 경제적 상황 등을 분석 예측하기 위한 처리 과정을 말하는데, 이 과정은 오로지 자동화로만 이뤄져야 하며, 인적 개입이 있어서는 안된다. 또한, 기업은 정보주체에게 프로파일링을 거부할 수 있다는 사실도 통지해야 한다.
GDPR의 주요 원칙과 과징금 기준
GDPR은 개인정보 처리의 적법성을 강조한다. 적법한 처리조건이라 함은 정보주체의 동의가 필수적이며, 이러한 동의에 있어서 정보주체의 진술이나 '적극적 행동'을 통한 동의 의사를 보여야 한다. 사후동의는 인정하지 않으며, 오직 사전동의여야만 한다. 또한, 이러한 약관을 보여줄 때도 구체적이며 모호하지 않게 해야 한다. 예를 들어 온라인 서비스에서 회원 가입 시 미리 체크된 동의 항목은 적극적 행동으로 보지 않는다.
KISA에 따르면 이런 이유에서 최근 약관 동의를 누르는 과정을 어렵게 하는 기업도 생겨나고 있다. 과거에는 쉬운 회원 가입을 유도하는 것이 목표였지만, 이제는 회원 가입을 조금 더 번거롭게 해 혹시 모를 규정 위반을 예방하는 데 더 집중하는 상황이다. 예를 들어 약관을 끝까지 스크롤 해야만 동의 버튼을 누를 수 있게 만드는 방식이다.
아동의 개인정보의 보호 수준도 높였다. 만 16세 미만 아동에게 온라인 서비스를 제공하려면 반드시 아동 친권자에게 동의를 얻어야 한다. 아동에 대한 정확한 규정은 별도로 없지만, 회원국에 따라 13세 미만까지 낮추어 아동으로 규정할 수도 있다. 민감한 개인정보의 경우 원칙적으로 다뤄서는 안된다. 여기에는 인종, 사상, 종교, 노조 가입여부, 생체정보, 건강정보, 성적취향 정보 등이 해당된다. 다만 정보주체의 명시적인 동의를 얻었을 경우에는 이러한 정보를 처리할 수도 있다.
국내에서 가장 주목 받는 것은 과징금에 대한 이슈다. GDPR에는 11개의 과징금 부과 기준이 있으며, 이에 따라 앞서 언급한 천문학적인 과징금이 부과될 수도 있다.
참고: 11개 기준은 1. 위반의 성격, 중대성 및 지속기간, 2. 위반의 의도성 또는 태만 여부, 3. 정보주체의 피해를 줄이기 위한 컨트롤러(정보 수집자) 또는 프로세서(정보를 위탁 관리하는 제3자)의 조치, 4. 기술적/조직적 조치를 고려한 컨트롤러 또는 프로세서의 책임 수준, 5. 컨트롤러 또는 프로세서의 과거 관련법규 위반 여부, 6. 위반을 해결하고 위반으로 인한 부정적 영향을 줄이기 휘한 감독기구와의 협조 수준, 7. 위반으로 인해 영향을 받는 개인정보 종류, 8. 감독기구가 위반을 인자한 경위, 특히 컨트롤러 또는 프로세서의 위반 통지 여부, 9. 동일한 사안에 대해 컨트롤러 또는 프로세서에게 감독기구의 명령이 부과됐는지 여부, 10. 승인된 행동 강령 또는 인증 매커니즘 준수 여부, 11. 위반으로 인해 직간접적으로 얻은 금전적 이익 또는 회피한 손실 등 가중 및 경감요소 등이다.
정보주체의 권리와 통제권 확대
앞서 언급한 것처럼 GDPR의 주요 목적 중에는 정보주체가 자신의 개인정보에 대한 통제권을 갖는 것이다. 이 때문에 정보주체의 권리를 강조하는 조문도 신설됐다. 대표적인 것이 잊혀질 권리(삭제권)이다. 정보주체는 자신의 개인정보를 삭제하도록 컨트롤러에게 요구할 수 있으며, 컨트롤러는 개인정보 처리 목적을 달성했거나 정보주체가 동의를 철회할 경우 개인정보를 삭제해야 한다.
삭제권이 보장되는 경우는 개인정보가 원래 수집/처리 목적을 달성한 경우, 정보주체 동의 철회, 정보주체가 반대하는 경우로서 처리를 위한 더 중요한 사유가 없는 경우, 개인정보가 불법적으로 처리된 경우, 법적 의무 준수를 위해 삭제가 필요한 경우, 아동에게 제공할 서비스와 관련해 개인정보를 처리하는 경우 등이 해당한다. 다만, 공익 목정 등의 경우에는 삭제권 행사가 거부될 수 있으며, 제3자에게 정보를 전송한 경우 삭제가 불가능하거나 물리적으로 과도한 노력이 필요한 경우에도 거부될 수 있다.
정보주체는 자신의 개인정보 처리를 차단하거나 제한할 수 있는 권리도 가진다. 이 경우 컨트롤러는 해당 개인정보를 보관하는 것만 가능하며, 처리 제한을 해제할 경우 이 사실을 정보주체에게 고지해야 한다. 정보주체가 처리제한 요구를 했음에도 불구하고, 이 내용이 공익성이 있거나, 제3자의 권리를 보호해야 할 경우 거나, 법적 청구권 입증/행사를 위한 경우라면 컨트롤러가 계속해서 개인정보를 처리할 수 있다.
특정 컨트롤러나 프로세서가 보유한 자신의 개인정보를 다른 곳으로 이동할 수 있도록 요청하는 것도 가능하다. 정보주체에 관한 개인정보이며, 프로파일링 됐고, 이러한 요구를 통해 타인의 자유나 권리를 침해하지 않는 경우라면 다른 서비스 제공 기업으로 정보를 이전하도록 요구할 수 있다. 즉 같은 서비스를 제공하는 다른 기업으로 자신의 개인정보를 그대로 이전할 수 있는 셈이다.
앞서 언급한 것처럼 프로파일링을 거부하는 것도 가능하다. 정보주체는 법적 효력을 초래하거나 본인에게 중대한 영향을 미치는 사항에 대해 자신의 개인정보가 프로파일링 되지 않도록 요구할 수 있다. 원칙적으로 정보주체는 프로파일링을 거부할 수 있지만, 자신이 이에 대해 명시적인 동의를 했거나, 계약 사항에 포함돼 있을 경우, 혹은 사기나 탈세 등이 목적인 경우에는 예외로 한다.
개인정보 처리 기업의 책임도 강화
이번 GDPR에서 눈에 띄는 점은 개인정보를 다루는 기업은 DPO(Data Protection Officer)를 지정해야 한다는 항목이다. DPO란 개인정보보호 관리 책임자 정도로 해석할 수 있으며, GDPR 등 개인정보 관련 법률에 대한 전문지식을 갖춰야 한다. 회사 내부 혹은 외부에서 GDPR 등을 제대로 준수하고 있는지 확인하고, 자문하며, 잘못된 부분이 있으면 권고사항을 제시하는 직책이다. 국내 기업 역시 EU 시장을 대상으로 하고 있다면 DPO를 지정해야 하며, 이는 기존 직원 중에서 임명할 수도 있고, 외부 전문가를 지정할 수도 있다. 이미 스페인 등 일부 국가에서는 DPO 인증제도를 기획하고 있으며, 글로벌 로펌 등을 통해 이를 지원하는 경우도 있다.
직원이 250명 이상인 컨트롤러와 프로세서는 GDPR을 준수하고 있다는 것을 입증하기 위해 개인정보 처리 활동을 반드시 기록으로 남겨야 한다. 또한, 250명 이하라 하더라도 다루는 개인정보가 정보주체의 권리를 침해할 수 있을 경우 처리 활동을 기록해야 한다. 뿐만 아니라 종교, 사상 등 민감한 개인정보, 유죄판결 및 범죄 관련 개인정보 처리 시에도 직원 수와 관계없이 처리 활동을 기록해야 한다.
만약 유출 같은 침해사고가 발생할 경우 상황의 경중에 따라 감독기구 및 정보주체에게 이를 알려야 한다. 경미한 사항의 경우 72시간 이내에 감독기구에 신고해야 하며, 어떤 조치를 했는지 문서로 남겨야 한다. 만약 정보주체의 권리를 침해하는 중대한 문제가 발생했을 경우, 기업은 정보주체가 예방조치를 할 수 있도록 지체 없이 직접 통지해야 한다.
만약 컨트롤러와 프로세서가 GDPR에 규정된 조건을 준수한다면 EU 밖으로 개인정보를 이전할 수도 있다. 쉽게 말해 EU에서 사업을 펼치는 국내 기업이 EU 내에서 수집한 개인정보를 국내 본사로 해당 정보를 옮겨올 수도 있다는 의미다. 만약 해당 국가가 EU 집행위원회로부터 적정성 평가를 받았다면, 별도의 보호조치 없이 개인정보를 이전할 수 있다. KISA에 따르면 이 적정성 평가의 경우 해당 국가나 기관이 직접 신청하는 것이 아니라, EU 집행위원회에서 자체적으로 해당 국가의 개인정보보호법 및 사고사례 등을 검토해 평가하는 방식이다.
만약 적정성 승인을 받지 않은 국가라 하더라도 정보주체가 명시적으로 동의한 경우나 이전하는 기업이 구속력 있는 기업 규칙, 표준 개인정보보호 조항 의거한 개인정보 이전 계약 마련, 승인된 행동강령 및 인증제도 보유 등의 경우에 한해 역외 이전이 가능하다.
글 / IT동아 이상우(lswoo@itdonga.com)
