유럽연합, 개인정보 체계 강화에 따라 투자기업이 유의할 사항

- 한국 개인정보 보호법과 상이한 법안을 미리 숙지해 적절한 개인정보 보호 대응방안 모색 필요 -

 

 

 

□ 유럽연합 개인정보 보호규정(General Data Protection Regulation) 강화안 개요

 

 ○ 유럽연합, 최근 4년 논쟁 끝에 새로운 개인정보 보호법안 합의

  - 유럽의회는 2012년 1월에 새로운 일반 개인정보 보호법령 가안을 작성해 2015년 12월 15일에 엄격한 개인정보보호 방식을 채택하는 General Data Protection Regulation(GDPR)에 합의

  - 유럽연합 28개의 회원국은 이번 합의안을 자국 법률에 적용하기까지 2년의 유예기간을 가지고 있어, 새로운 개인정보 보호 규칙은 2018년 초에 1995년에 재정된 기존의 법령을 대체하게 될 것으로 전망

 

 ○ 새로운 법안은 유럽 전역에 걸쳐 개인정보 사용의 표준으로 더 큰 법적 확실성 제기 및 디지털 시장에 대한 신뢰 강화 목적

  - 유럽의회는 유럽연합에 단일한 개인정보보호 기준을 마련, 관료주의를 최대한 배제해 공평한 사업환경을 모든 유럽시장에 활동하는 기업에 제공

  - 또한 개인정보 보호기준이 향후 유럽연합 28개 회원국에 적용됨으로써, 아일랜드와 같이 현재 개인정보 보안이 약한 국가에 외국 IT 기업들이 정착해 엄격한 규정을 기피하려는 방식을 방지 예정

  - 대부분의 소비자는 일상적인 비즈니스 활동이라는 명목으로 자신들의 정보보호 권리가 침해되고 있다는 사실을 인지조차 못하고 있기 때문에 새로운 법안으로 개인에게 정보 사용의 결정 권리를 규정

  - 유럽연합 집행위원회(European Commission)에서 실시된 개인정보와 관련된 설문조사에 따르면, 응답자의 15%가 당사자에 대한 완전한 개인정보 지배관리권을 보유하고 있다고 답변함.

 

개인정보에 대한 지배관리권

주: 28개 유럽 연합 회원국가 2만7858명이 조사 대상이었으며, “당신은 당신이 온라인으로

 제공하는 정보에 대해 얼마나 지배가 가능한가?”에 대한 답변 결과임.

자료원: 유럽연합 진행위원회 Eurobarometer

 

□ 주요 개인정보 보호규정(GDPR) 초안 내용

 

 ○ 기업은 소비자가 명확하게 개인정보 사용에 동의해야만 개인정보를 수집하고 이전 가능

  - 소비자는 기업이 보유한 자신에 관한 모든 정보를 확인해줄 것을 요구할 수 있으며, 개인정보 수집에 대한 정보는 소비자에게 분명하고 명료하게 설명 필요

  - 적어도 13세에서 16세 미만 청소년의 개인정보 처리 시 부모의 명시적 동의 필요

 

 ○ ’잊혀질 권리’(Right to be forgotten)를 법제화해 해당 기업은 정보 주체에 대한 정보를 삭제 요청 받는 경우 특별한 법적 근거가 없는 한 즉각적으로 해당 요청에 의무적으로 대응해야 함.

 

 ○ 데이터 유출사고 발생 시 기업들은 이 사실을 ’최대한 빠른 시일 내에’ 반드시 관할 관청에 관련 내용을 피해보상 등의 여부와 관계없이 반드시 공지

  - ’최대한 빠른 시일 내’라는 문구는 기업들이 24시간이면 기업들은 사실을 전달하는데 충분한 시간을 가질 수 있을 거라고 해석 가능

 

 ○ 현행 독일 개인정보보호법과 동일하게 GDPR도 대규모 민감정보의 처리 또는 대규모 소비자들의 행동을 감시할 경우 개인정보 보호책임자의 지명을 의무적으로 규정하나, 정보 처리가 주요 사업영역이 아닌 한 중소기업은 이 요구사항에서 면제됨.

 

 ○ 개정된 개인정보 보호 규칙은 각 유럽연합 회원국의 개인정보 규제기관이 개인정보 오남용(동의없는 개인정보 수집 포함)에 대해 해당 기업에 최대 전 세계 매출의 4% 수준에 달하는 벌금을 직접 부과할 수 있는 권한을 부여

 

 ○ 새로운 GDPR은 유럽연합 국가 외에 위치하는 기업에도 유럽시장에 제품이나 서비스 제공을 위해 유럽시민의 개인정보를 처리하는 경우 동일하게 적용됨을 명시

 

□ 현행 독일 개인정보보호법도 엄격한 보호방식 채택

 

 ○ 독일의 연방하원(Deutscher Bundestag)은 소비자 개인정보 보호 개선을 위해 집단 소송권리 강화 법안을 가결

  - 2015년 12월 17일에 통과된 법안에 따르면, 소비자단체의 역할을 강화해 개인정보 오남용 사례가 적발되면(광고를 위한 정보 수집, 주소 및 데이터 거래 등) 소비자 단체가 소비자 대신 이의 제기 및 중지 명령을 신청할 수 있는 권리를 명시하게 규정

 

 ○ 소비자에게 효율적인 법적 보호체계 마련

  - 대부분의 소비자는 자체적으로 개인정보 보호 권리를 찾기 위한 對기업 법적 대응의 부담이 컸음.

  - 한편 소비자에 개인정보 권리를 효과적으로 보호하기 위해서는 소비자 단체의 지원이 필요하나, 기존 법상 원고적격이 없어 제한적이었던 소비자 단체의 역할을 집단소송 적용범위를 확대해 법률상의 취약점을 보완

 

□ 전망 및 시사점

  

 ○ 개인정보 보호 강화 안을 통해 소비자 개인정보 보호법이 친소비자적인 방향으로 개선되나, 전문가들에 따르면 유럽 IT정보산업 성장에는 잠재적인 제약 요인이 될 수 있을 거라고 전망됨.

 

 ○ 한편 개인정보를 침해할 우려가 있는 요인을 파악하고 대처하기 위해 기업들이 개인정보 사용 과정을 위한 명확한 정책을 확립할 수 있는 기회도 될 수 있음.

 

 ○ 정보기술(IT) 분석·컨설팅 회사인 가트너 보고서에 따르면, 2015년에는 대부분 미국에서 개발되는 보안 제품가격이 미국 달러화와 같이 증가하면서 기업 구매·지출을 포기한 기업들도 있었지만 이번 강화안 합의로 법률 제정이 늘어나면서 보안 지출이 회복세를 보일 것으로 전망됨.

  - 전 세계 정보보안 시장은 2019년 7.4%의 연평균 성장률을 기록할 것이며, 특히 보안 테스트(security   testing), IT 아웃소싱(Outsourcing), ID 및 액세스 관리 솔루션을 공급하는 보안업체들이 최대로 성장할 수 있는 기회를 맞이할 것으로 예상됨.

  

 ○ 새로운 법안은 개인정보 수집 및 처리기업을 공동으로 개인정보 오남용 책임자로 지정함으로써 한국 기업이 유럽 시장에 투자 고려 시 협력기업을 신중하게 선정할 필요가 있음.

  

 ○ 특히, 현재 독일 시장 진출을 고려하는 한국 기업은 한국 개인정보 보호법과 상이한 독일 집단소송 제도 등을 미리 숙지해 적절한 개인정보 보호 대응방안 모색이 필요함.

 

 

자료원: 유럽의회(European Parliament), 유럽 진행위원회(European Commission), Handelsblatt, 독일 연방하원(Bundestag), 가트너(Gartner) 및 KOTRA 프랑크푸르트 무역관 자료 종합