- GDPR 시행 이후 구글, 페이스북, 아마존, 애플 등 미국 IT 기업들의 대처에 관심 -
- 캘리포니아 개인정보보호법안 발의 등 정보보호 강화 추세 -

□ 유럽연합(EU) 일반 개인정보보호법(General Data Protection Regulation, 이하 GDPR) 시행

  ㅇ 2018년 5월 25일 전면적 시행
   - 2016년 5월 EU는 디지털 단일 시장에서 EU 회원국 간 개인정보의 자유로운 이동을 보장하는 동시에 정보주체의 개인정보보호권리를 강화하는 내용의 GDPR을 제정하고 2년간 유예기간을 둔 후 2018년 5월 25일부터 GDPR은 '1995년 개인정보보호지침'을 대체해 시행함.
    - GDPR은 기존 지침과 달리 EU 회원국들에 직접적 법적 구속력을 가지고, 무엇보다 EU 외부에서 EU 내에 위치한 정보주체에게 재화나 용역을 제공하는 경우에도 적용되는 등 확장된 적용범위로 EU에 재화나 서비스를 제공하거나 제공 예정인 우리 기업들에 상당한 영향을 미칠 것으로 예상됨.

더 나은 개인정보보호를 위한 GDPR의 취지

자료원: EUROPA.eu

  ㅇ GDPR 주요 내용
    - (개인정보 개념 확대) GDPR은 개인정보 범위를 넓게 보아 이름∙전화번호 등과 같은 일반적 개인정보 외에 IP주소, 온라인 쿠키정보 등 온라인 식별자나 위치정보, 유전(genetic) 정보도 개인정보로 보고 있음.
    - (컨트롤러) 컨트롤러란 개인정보의 처리 목적 및 수단을 단독 또는 제3자와 공동으로 결정하는 자연인, 법인, 공공기관, 에이전시, 기타 단체를 의미
    - (프로세서) 프로세서는 컨트롤러를 대신해 개인정보를 처리하는 자연인, 법인, 공공기관, 에이전시, 기타 단체를 의미하며 컨트롤러의 지시에 따라 개인정보를 처리하므로 컨트롤러는 반드시 구속력 있는 서면 계약에 의해 프로세서를 지정해야 함.
    - (장소적 적용 범위) EU 내 개인정보 처리활동뿐만 아니라, EU 외에서 ① EU 내에 위치한 정보 주체에 재화나 용역을 제공하는 경우,  ② EU 내 정보 주체가 수행하는 활동을 모니터링하는 경우에도 적용되는 등 EU에 사업장을 가지고 있지 않더라도 GDPR이 적용되는 경우가 있는 등 적용범위가 확장됨.

GDPR 적용 흐름도

자료원: Baker&McKenzie LLP

    - (정보주체 권리 확대) GDPR은 정보 주체가 ① 삭제권(제17조, 잊힐 권리), ② 처리제한권(제18조), ③ 개인정보이동권(제20조) 등 권리를 갖도록 규정함.
    - (개인정보 국외 이전) EU 내 정보 주체의 개인정보를 제3국으로 이전하려면, ① 제3국이 적정성평가를 획득하거나, ② 개인정보를 이전하려는 기업이 적절한 보호조치를 갖춘 경우여야 하는데, 우리나라는 아직 적정성 평가를 획득하지 못해 정보주체의 명시적 동의를 받거나 중요한 공익상 이유가 인정되는 등의 사유가 구비돼야 EU내 정보주체의 개인정보를 국내로 이전할 수 있게 됨.

    · (참고) KOTRA 브뤼셀 무역관 작성, 'EU 개인정보보호규정(GDPR) 5월 25일 발효(클릭 시 이동)'

□ EU 개인정보보호규정(GDPR) 시행 이후 상황

  ㅇ 5월 25일 GDPR 발효 직후 법 위반을 이유로 구글, 페이스북에 소송 제기
    - IT 매체인 CNET에 따르면 구글, 페이스북, 페이스북 자회사인 왓츠앱, 인스타그램이 GDPR을 준수하지 않았다는 주장으로 5월 25일 제소당한 상태
    - 이 소송을 제기한 개인정보보호단체인 Noyb.eu는 오스트리아 개인정보보호 활동가인 막스 슈렘스가 주도하는 단체로 4개 회사의 사용자에 대한 서비스 약관 동의과정이 강요에 가깝다고 주장하면서 구글 등의 약관 동의과정이 '북한의 선거절차'와 유사하다고까지 표현함.
    - 이 소송에서 법 위반으로 판단 내려질 경우 과징금이 최대 93억 달러에 이를 수 있음.

GDPR의 강력한 과징금 부과 기준

자료원: EUROPA.eu

  ㅇ 구글, 페이스북 등은 규정 준수를 위한 대책을 마련해왔다고 주장
    - 구글 대변인은 성명을 통해 "구글은 초기 단계에서부터 개인정보보호와 보안을 통합하고 있고, GDPR 준수에 노력하고 있다"고 밝힘.
    - 페이스북의 에린 이건(Erin Egan)은 GDPR을 준수하기 위해 18개월 전부터 준비해왔다고 하면서, "정책을 보다 투명하게 하고 사용자들이 사생활 설정을 쉽게 관리할 수 있도록 서비스 정책을 업데이트해왔다"라고 설명함.
    - 그러나 런던대학교 기술정책 전문가인 마이클 빌(Michael Veale)에 따르면, "사용자가 프로필에서 민감한 사항을 완전히 제거하더라도 페이스북은 플랫폼 및 다른 웹사이트에서의 행동을 분석해 성적 취향과 같은 정보를 수집할 수 있다"고 우려를 표함.

  ㅇ 애플, 아마존 등도 GDPR 규정 준수를 발표
    - IT 전문매체 TechCrunch에 따르면 애플은 사용자가 자신의 정보가 어디에 보관돼 있는지 알려주는 '애플 아이디 데이터와 개인정보보호'라는 새로운 웹사이트를 개설했고, 이 사이트를 통해 사용자들이 직접 GDPR 규정에 맞게 자신의 데이터를 수정하고 계정을 비활성화하는 등 애플이 보유한 자신의 모든 정보를 삭제할 수 있는 선택권을 제공했다고 발표함.
    - 이외에도 애플은 GDPR이 기업 가치와 일맥상통한다고 하며 GDPR을 철저하게 준수하고 있다고 밝힘.
    - 아마존은 클라우드 서비스인 AWS에서 자체 규정 준수와 더불어 고객의 사업활동에 적용되는 GDPR 요구사항을 준수하는 데 도움이 되는 서비스와 리소스를 제공하기 위해 최선을 다하고 있다고 발표

  ㅇ 최근 정보주체들은 이메일로 변경된 정책들을 받아
    - 사용자 개인정보를 기반으로 한 사업모델을 구축하고 있는 미국 IT 기업들은 'We’ve updated our privacy policy'라는 제목의 이메일을 통해 고객들에게 개인정보보호와 관련해 변경된 약관과 정책을 알리고 있음.
    - 경제일간지 WSJ에 따르면 장기적으로 볼 때 구글, 애플, 아마존 등 기업들이 고객의 정보를 어떻게 사용하는가가 아니라 정보를 수집하는 플랫폼이나 기기 자체로 규제를 받을 수 있다고 분석함.
    - GDPR 규정에 따라 IT 기업들의 무작위 개인정보수집 활동에 제동이 걸릴 것으로 예상되고, 미국의 개인정보보호 관련 법에도 영향을 미칠 것으로 전망됨.

페이스북의 정보 관련 약관변경 안내 메일

자료원: Facebook

□ 미국 개인정보보호 규제 검토

  ㅇ 미국 개인정보보호 규제 현황
    - 미국은 우리나라와 같이 개인정보보호 사항을 포괄적 개인정보보호기본법의 제정으로 규제하는 것이 아닌 각 산업에서의 자율규제를 원칙으로 함.
    - 따라서 미국은 개인정보보호 침해사례가 발생할 경우 보통법 상의 불법행위로 간주해 규제하고, 특정 개인정보침해를 야기할 수 있는 문제에 대해서는 개별법을 제정해 이를 규율하는 구조

  ㅇ 미 연방거래위원회((Federal Trade Commission, 이하 FTC)의 가이드라인
    - 일상적 비즈니스 운영 시 사용자나 소비자의 개인정보를 보호할 수 있는 시스템을 만들어 관리할 것을 권하고 개인정보를 관리하는 직원을 따로 고용하거나, 일반 직원들에게도 사용자의 개인정보 관리를 철저히 할 것을 교육하거나 새로운 상품이나 서비스가 나왔을 때도 개인정보를 유출하게 될 요인이 없는지 등을 검토
    - 사용자가 인터넷상에서 보는 광고나 방문하는 페이지 등을 추적하지 않길 원한다면 하지 않게 하는 옵션을 사용자가 쉽게 선택할 수 있도록 해야 함.
    - 개인정보를 수집해 어느 목적으로 어떤 용도로 사용하는지 또는 사용할 예정인지를 명확하게 보여줄 수 있도록 공지하고, 어떤 개인정보가 수집돼 어떤 목적으로 공유되는지 사용자가 개인정보 공유를 원치 않는 경우 어떻게 하면 되는지 등을 알림.

  ㅇ 캘리포니아 개인정보보호법
    - 미국 내에서도 인터넷 법은 실리콘밸리가 있는 캘리포니아가 가장 발달해있기 때문에 다른 주에서도 캘리포니아주 인터넷 법을 많이 기본으로 삼고 있음.
    - 2003년 캘리포니아 온라인 개인정보보호법에 따르면, 온라인 서비스를 제공하는 회사는 일정한 규정에 맞는 개인정보보호 정책을 준비해 사용자들이 쉽게 볼 수 있는 곳에 링크를 두어야 하고, 개인정보 공유를 원하지 않는 사용자가 있다면 어떤 다른 선택사항이 있는지 그리고 회사는 어떤 절차를 거쳐 처리할 것인지를 알려야 함.
    - 또한 회사는 개인정보를 보호하기 위해 적절한 기술적 보완책과 이에 따른 직원 교육도 있어야 하고, 개인정보를 공유할 때 정보를 가져가는 회사가 그 정보를 어떤 목적으로 사용할 것인지도 심사하고 공유해야 함.

  ㅇ 2018 캘리포니아 소비자개인정보보호법안(The California Consumer Privacy Act of 2018) 상정 돌입
    - GDPR 발효 이후 캘리포니아에서도 개인정보보호법안의 필요성이 대두됨에 따라 60만 명 이상의 서명을 확보한 안건이 2018년 11월 선거에서의 주민투표 상정을 목표로 제출됨.
    - 법안의 내용에 따르면, 각 기업들은 집 주소, 고용정보, 인종, 성별 등 그 동안 수집하고 팔거나 공유한 개인정보 카테고리를 공개해야 하고, 각 기업 홈페이지에 “나의 개인정보를 팔지 말라”는 링크를 게시해 사용자들에게 정보판매를 금지할 수 있는 권리를 부여하게 됨.
    - 만약 이 안건이 11월 선거에서 통과된다면 캘리포니아의 경제 규모를 고려해보았을 때 미국 타 주에 소재한 기업들이 기준으로 삼을 것으로 예상되므로 미국에서 가장 광범위한 개인정보보호법이 될 전망

□ 미국 개인정보유출 관련 사례

  ㅇ FTC의 구글에 대한 벌금 부과 사례
    - 2012년 FTC는 구글이 애플 전용 웹 브라우저 사파리를 사용하는 고객 수백만 명의 사용정보를 몰래 추적한 것과 관련해 벌금 2250만 달러를 부과
    - 구글은 아이폰과 아이패드에서 '내 인터넷 사용기록(쿠키)을 저장하지 마시오'라고 환경을 설정한 이용자들의 인터넷 사용기록까지 무단 수집해 맞춤형 광고제작 등 상업적 목적으로 활용함.

  ㅇ 페이스북의 사용자 정보 유출
    - 2016년 미국 대선에서 트럼프의 대선활동을 지원했던 '케임브리지 애널리티카'라는 데이터 분석기관이 페이스북의 5000만여 명의 사용자 정보를 불법으로 수집해 활용했다는 사실이 폭로되면서 페이스북 CEO 마크 저커버그(Mark Zuckerberg)가 미국 상원에서 열린 청문회에서 증언하게 됨.
    - 한 연구원이 개발한 페이스북의 서드파티 앱이 일반적으로는 허용되지 않을 광범위한 사생활 정보에 접속해 직접 앱을 사용한 27만 명의 사람들의 데이터를 수집하는 것에 그치지 않고, 무려 5000만 명에 달하는 사용자들의 민감한 정보에 아무런 방해도 받지 않고 자유롭게 접근했다는 점이 문제로 대두됨.

  ㅇ 그 밖의 개인정보 유출사례
    - 2013년 추수감사절 기간에 해커들이 미국 유통체인인 '타겟' 매장 POS 단말기에 악성코드를 유포해 신용카드 계좌, 카드 유효기간 및 뒷면 보안코드(CVV) 등 정보 약 4000만 건이 유출됨.
    - 2017년 9월 신용등급회사 '에퀴팩스'가 미국 소비자 약 1억4800만 명의 개인정보를 유출함.
    - 2018년 4월 해킹그룹이 미국 백화점 체인인 '삭스피프스애비뉴'와 '로드앤테일러' 등에서 훔친 12만5000명의 신용카드 정보를 온라인 비밀경매 사이트에 올린 사례가 적발됨.
    - 이와 같이 미국에서는 사용자들의 개인정보를 보유하고 있던 회사들이 해킹이나 컴퓨터 도난 등에 의해 정보를 유출했고, 이로 인해 여러 소송들이 제기돼 옴.

□ 전망 및 시사점

  ㅇ GDPR 발효에 기한 실리콘밸리 기업들의 대응
    - 미국 IT기업들은 사안에 따라 GDPR이 적용되는지가 불분명한 경우 우선준수를 통해 규정위반을 방지하고자 하는 경향이 있는데, 클라우드 서비스처럼 그 속성상 분산저장장치가 사용되고 컴퓨팅 리소스가 서로 다른 국가나 지역을 돌아다니는 경우와 같이 장소적 범위구별이 기술적으로 어려운 경우가 많음.
    - 직원, 데이터센터, 모기업, 프로세스 등이 전 세계에 흩어져있는 대부분의 IT 기업들은 GDPR을 비롯한 각 나라의 정보보호규정을 면밀히 파악해야 과징금을 피할 수 있음.

  ㅇ 캘리포니아 개인정보보호법안 상정 예정 등 강화되는 개인정보보호
    - 그 동안 미국 법원에서는 개인정보유출 관련 소송에서 정보보안에 대한 계약적 약속을 인정하지 않고 묵시적 계약을 인정하지도 않으며 제3의 수익자라는 주장도 받아들이지 않는 등 해당 정보를 유출한 회사들에 책임을 인정하는 데에 매우 제한적인 모습을 보여왔음.
    - 그러나 GDPR을 준수하기 위해 미국 기업들의 약관과 정책 변경이 이루어지고 미국의 개인정보보호가 GDPR과 유사한 수준으로 바뀔 것으로 전망됨에 따라 법원의 판단이 어떻게 바뀔지 추이를 지켜볼 필요가 있음.
    - FTC는 최근 들어 ICT 산업에서 발생하는 개인정보보호에 대해 조사 및 제재를 강력히 시행하는 등 향후 개인정보보호와 관련된 FTC의 제재는 더욱 강력해질 것으로 예상됨.
    - 이와 더불어 캘리포니아에서는 개인정보보호에 초점을 둔 법안 발의가 이루어지는 등 개인정보 자기결정권 강화 추세는 앞으로 이어질 전망이어서 정보기반 기업들의 대처가 필요한 시점

  ㅇ 정부 차원의 대응
    - 우리나라 개인정보 보호법 제14조에서는 정부는 국제적 환경에서의 개인정보 보호 수준을 향상시키기 위해 필요한 시책을 마련해야 하고, 개인정보 국외 이전으로 인해 정보주체의 권리가 침해되지 아니하도록 관련 시책을 마련해야 하는 등 국제협력에 대해 규정하고 있음.
    - 방송통신위원회와 한국인터넷진흥원은 국내 개인정보보호 관리체계(Personal Information Management System, PIMS)를 국제표준화 양대 기구인 ISO/IEC와 ITU-T가 국제표준으로 각각 제정했다고 밝힌 바 있음.
    - PIMS는 정보통신망 이용촉진 및 정보보호 등에 관한 법률 제47조의3에 따라 기업 또는 공공기관이 고객의 개인정보를 수집, 이용, 제공, 파기하는 전 과정을 안전하게 보호하기 위한 체계를 갖추었는지 심사해 인증하는 제도로 2017년 4월 기준 PIMS 인증을 취득한 기업 및 공공기관은 총 65개에 해당함.
    - GDPR에서도 EU 내 개인정보의 역외이전을 위해 적정성 평가 승인이 이루어져야 한다는 규정이 있고, 현재 한국 방송통신위원회와 EU 간 적정성 평가 협의를 추진 중에 있는 등 정부 차원의 적극적 대응이 필요한 시점
    - 이 외에도 향후 우리나라 개인정보보호법, 정보통신망법의 개정에서도 우리나라의 특수성을 반영한 규정 외에는 GDPR 등 다른 무역대상국가들의 규정을 반영해 내용적 통일성을 기하는 것이 한국 기업들의 안정적 수출환경에 기여한다는 점을 인지해야 함.

  ㅇ 한국 기업들의 대응
    - 솔루션을 개발하는 회사들은 기능 제공을 위한 필수 개인정보로 수집범위를 최소화하고, 솔루션 설계 단계부터 개인정보보호 측면을 고려해서 개발해야 함.
    - 4차 산업혁명시대는 인공지능, 사물인터넷, 클라우드, 빅데이터 등 정보기반으로 이루어진다는 점에서 한국 기업들 또한 GDPR과 같은 개인정보보호 관련 규정들을 숙지하고 기업 거버넌스 차원에서 대응하는 것이 장기적 사업활동에 도움이 될 것임.

자료원: EUROPA.eu, Baker&McKenzie LLP, GDPR-info.eu, Facebook, TechCrunch, WSJ, FTC.gov, NY Times, CNET 및 KOTRA 실리콘밸리 무역관 자료 종합