KISA "개인정보보호법 시행령 4월 입법예고…EU서 정보 가져오는 부담 던다"

가명정보 활용 범위 드러나…의료·금융 등 분야별 가이드라인도 마련

연내 EU와 적정성 결정 추진…“개별 기업 비용부담 해소”

코로나19로 일정 지연 불가피…하반기 유럽 현지사무소 개소

오용석 한국인터넷진흥원(KISA) 개인정보정책단장이 지난 27일 온라인을 통해 개인정보보호법 개정 관련 후속조치 등에 대해 설명하고 있다.(사진=한국인터넷진흥원 이슈앤톡 온라인 화면 캡처)

[이데일리 이후섭 기자] 올해 8월 데이터 3법(개인정보보호법·신용정보법·정보통신망법 개정안) 시행을 앞두고 이르면 이번주 개인정보보호법 개정안에 대한 시행령 입법예고가 이뤄질 전망이다. 정부는 의료, 금융 등 분야별 개인정보 처리 가이드라인과 법령 해설서도 마련할 방침이다.

한국인터넷진흥원(KISA)은 데이터 3법 통과에 힘입어 유럽연합(EU)과의 적정성 결정도 연내 타결될 것으로 예상하고 있다. EU의 일반개인정보보호법(GDPR) 규제로 인해 그간 국내 기업이 EU의 개인정보를 역외 이전하려면 기업이 개별적으로 추가적인 보호장치를 마련해야 하기에 사실상 `비관세장벽`으로 작용해왔다. 데이터 3법 통과로 그간 걸림돌로 지적됐던 감독기구의 독립성 문제가 해소되면서 국가 차원의 적정성 결정을 받으면 기업의 비용절감 등 경제적 효과가 기대된다.

◇가명정보 활용 범위 드러나…의료·금융 등 분야별 가이드라인도 마련

KISA는 데이터 3법 중 개인정보보호법 개정 관련 후속조치를 개인정보보호위원회·행정안전부 등 관련 부처와 추진하고 있다. 개인정보보호법의 주요 개정 사항은 △개인정보거버넌스 일원화 △데이터 이용 활성화 △개인정보처리자 책임성 강화 등으로 요약된다.

우선 개인정보보호위원회, 행안부, 방통위 등으로 분산돼 있던 중복규제가 비효율을 초래했다는 지적에 따라 관련 업무를 개인정보보호위원회로 통합·이관한다. 개인정보보호위원회를 중앙행정기관으로 격상해 독립성을 부여하고, 법령도 일원화하기 위해 정보통신망법에만 있는 규정은 개인정보보호법 내 특례를 신설해 이관한다.

개인정보를 안전성 확보에 필요한 조치 여부 등을 고려해 정보주체의 동의없이 이용·제공 가능하도록 범위를 확대했고 가명정보는 신기술·제품 ·서비스 개발 등 산업적 목적을 포함하는 과학적 연구, 시장조사와 상업목적의 통계작성에 이용할 수 있다. 또 데이터 결합에 대한 법적 근거를 신설해 기업 내부 데이터는 자체적으로 결합 가능하며, 서로 다른 기업간 데이터 결합은 보안시설을 갖춘 전문기관이 수행하도록 했다. 가명정보 관련 기록 작성·보관 등 `안전조치 의무`와 특정 개인을 알아볼 수 있는 정보 생성시 처리중지·회수·파기해야 하는 `재식별 금지 의무` 등을 부과하고 위반시 과징금 및 형사벌 조치를 받게 된다.

정부는 개인정보보호법 시행령의 입법예고를 오는 4월 중 추진할 계획이다. 오용석 KISA 개인정보정책단장은 “보호위원의 위원의 겸직 금지, 가명정보 결합·반출기준, 관리·감독기준 등의 내용이 담긴 시행령이 이르면 4월 첫째주에 입법예고될 것”이라며 “데이터 결합의 세부절차 등을 담은 고시 등의 행정규칙은 오는 5월초에 추진될 예정”이라고 설명했다.

또 의료, 복지, 금융, 고용, 교육 등 분야별 총 42개 개인정보 처리 가이드라인의 통폐합 등을 추진하고 있다. 새롭게 도입된 개념이나 내용에 대해 구체적인 예시 및 사례를 통해 이해를 도와주는 해설서도 8월 개정법 시행 전에 마련할 계획이다.

◇연내 EU와 적정성 결정 추진…“개별 기업 비용부담 해소”

데이터 3법 통과로 EU와의 적정석 결정 추진도 탄력을 받을 것으로 보인다. EU에서는 GDPR이 지난 2018년 5월에 발효되면서 EU 역내의 개인정보를 처리하는 국내 기업들도 준수 의무가 발생했다. GDPR 위반시 최대 연간 매출액의 4%에 해당하는 막대한 과징금을 부과받는다. 실제 구글의 경우 지난해 프랑스에서 투명성 위반 등으로 인해 5000만유로(약 650억원)에 달하는 벌금을 물었다.

국내 기업이 지금까지 GDPR 위반으로 과징금을 부과받은 사례는 없지만, 규제 준수를 위해 EU의 개인정보를 국내로 가져오려면 많은 비용을 감내해야만 했다. 오 단장은 “개별 기업들이 EU 규제당국과 협의를 통해 역외 이전을 진행해야 하기에 행동규정 수립 등에 1억원가량의 비용이 들 수 있다”며 “국내 A기업의 경우 GDPR 관련 법령 검토 등에 40억원을 부담한 사례도 있다”고 설명했다.

이에 KISA는 개별 기업의 규제준수 부담 완화를 위해 국가 차원의 적정성 결정을 추진해 왔다. 적정성 결정은 EU가 상대국 개인정보보호법제 보호수준의 `적정성`을 결정하는 제도로, 지난해 마지막으로 받은 일본까지 총 13개 국가가 적용하고 있다. 오 단장은 “EU가 적정성을 결정하면 현지 정보의 역외이전에 대한 사항이 해소된다”며 “EU는 국내 개인정보보호위원회의 인사권과 예산 등이 독립성을 갖추고 있지 않다는 점을 문제삼았는데, 데이터 3법 통과로 최종 결정이 가능해졌다”고 말했다.

EU는 지난해말 기준 한국과의 교역규모가 1458억달러로 3위 교역대상인 만큼, 적정성이 결정되면 개인정보 처리량이 많은 정보통신기술(ICT) 플랫폼 서비스 산업의 데이터 경제가 활성화될 것으로 기대된다.

◇코로나19로 일정 지연 불가피…하반기 유럽 현지사무소 개소

다만 KISA는 당초 올 상반기 내 적정성이 결정될 것으로 예상했으나, 코로나19 사태로 인해 다소 시기가 지연될 전망이다. 오 단장은 “실무적인 상황 뿐만 아니라 정치 상황도 고려해야 하기에 최종 결정은 늦춰질 수 밖에 없을 것”이라면서도 “코로나19 사태가 진정되면 3개월 이내에 타결될 것으로 보인다”고 내다봤다.

KISA는 유럽 현지의 국내 기업들에 대한 컨설팅을 지원하고 EU 규제당국과의 원활한 소통 등을 위해 올 하반기에 현지 사무소를 개소할 계획이다. 이외에도 KISA는 중소·영세기업 대상 무료 컨설팅, 맞춤형 GDPR 교육 등을 실시하고 있다. 실무자가 GDPR 준수 여부를 자가점검할 수 있는 진단도구를 개발해 제공하며, 홈페이지를 통해 수시 상담 서비스도 제공하고 있다.