안녕하십니까? 개인정보보호위원회 위원장 윤종인입니다.

내일 오후 5시 EU 시간으로는 10시가 되겠습니다만, 오전이요. 한국과 EU의 개인정보보호 적정성 결정 담당장관인 저와 디디에 레인더스(Didier Reynders) EU 집행위원회 사법총국 커미션과 공동으로 EU와 한국 간 적정성 논의가 성공적으로 마무리되었음을 공식 발표할 예정입니다.

양측은 공동 언론 발표문을 통해서 개인정보보호 분야에 있어 한국과 EU 간의 높은 수준의 동등성이 있음을 확인하였습니다.

이에 따라 한국은 개인정보보호에 있어 EU 회원국에 준하는 지위를 부여받게 되어 EU로부터 한국으로의 개인정보의 자유롭고 안전한 정보 이전이 가능하게 될 예정입니다.

EU 집행위원회는 동 결정 발표 이후에 의사결정 절차에 바로 착수하여 상반기 내 또는 늦어도 하반기에는 이번 결정을 발효할 예정입니다.

지난 2017년 1월 한·EU 간 적정성 논의가 공식적으로 개시된 이래 개인정보감독기구의 독립성 요건 미충족으로 인하여 한·EU 간 협의가 두 차례 중단된 바 있습니다.

지난해 데이터3법 개정으로 개인정보위가 독립감독기구로 확대 출범함에 따라 협의가 급진전되었습니다. 한국과 EU는 지난 4여 년 기간 동안 대면·비대면 총 40여 회를 걸친 회의를 통해 한국의 개인정보보호법 등 관련 법제 및 정부기관별 소관업무 등에 대한 심층적인 검토를 거쳐서 한국의 개인정보보호법 체계가 EU 일반 개인정보보호법과 동등한 수준임을 이번에 확인하였습니다.

그간 EU 진출 한국의 우리 기업들은 주로 표준계약조항 등을 통해서 EU 시민의 개인정보를 국내에 이전하여 왔으며, 이를 위해 상당한 시간과 비용을 투자해 왔음에도 불구하고 관련 규정 위반에 따른 과징금 부과 등에 대한 부담을 여전히 안고 있었습니다.

또한, 중소기업의 경우에는 표준계약 절차 자체가 어려워서 EU 진출을 포기하고 있는 것으로 파악되고 있습니다. 그러나 이번 적정성 결정으로 인해서 한국이 개인정보 국외이전에 있어 EU 회원국에 준하는 지위를 부여받게 됨에 따라 한국기업들은 표준계약조항 등 기존의 까다로운 절차가 면제됩니다.

이로 인해 한국기업들의 EU 진출이 늘어나고 이를 위해 기업이 들여야 했던 시간과 비용이 절감될 것으로 기대하고 있습니다.

또한, 이번 적정성 결정은 2019년 1월에 채택된 일본의 적정성 결정과는 달리 공공 분야를 포함하고 있습니다.

이에 따라 규제협력 등 EU와의 정부 간 협력이 강화될 전망이고, EU 기업과 한국의 데이터기업 간에 제휴가 가능하여 국내 데이터산업 활성화에 기여할 것으로 기대됩니다.

이번 적정성 결정으로 인해 한국이 글로벌 수준의 개인정보보호 국가로서의 위상이 더욱 제고되고, 이러한 신뢰를 기반으로 한국기업들이 데이터경제 시대의 주역으로 성장할 수 있는 기반을 마련하게 되었다고 평가할 수 있습니다.

이번 결정에는 새롭게 출범한 개인정보보호위원회는 물론이고 외교부, 법무부, 행안부, 산업부, 국조실, 금융위, 국정원, 인권위, 경찰청, 한국인터넷진흥원 등 관계기관의 긴밀한 협조가 중요한 역할을 담당하였습니다.

아울러 오랜 기간에 걸쳐 진행된 이번 결정을 지속적으로 지지하고 기다려주신 국민 여러분께 감사의 말씀을 드립니다. 감사합니다.


[질문·답변]
※마이크 미사용으로 확인되지 않는 내용은 별표(***)로 표기하였으니 양해 바랍니다.

<질문> 자료 보면 ‘한편’ 이러고 표준계약으로 개인정보를 국내로 이전하고 있는 금융기관은 계속 표준계약을 이용해야 된다고 되어 있는데, 그러면 금융기관이나 핀테크기업 같은 경우에는 이번 GDPR 혜택을 받지 못하는 건지가 궁금하고요.

그리고 두 번째로는 공공 분야로, 공공 분야까지 이번에 협력 영역이 포함됐다고 하셨는데, 뒤에 나와 있는 이번 적정성 결정으로 혜택을 볼 수 있는 사례 보면 다 기업에 대한 것만 나와 있어서, 그 공공 분야에서 이점을 볼 수 있는 것은 어떤 건지 예시를 들어주시면 감사하겠습니다.

<답변> 금융기관 등은 이번 적정성 결정에서 제외가 됐는데요. 그것은 EU의 결정에 따른 것입니다. EU는 적정성 결정에서 금융기관 등을 제외한 이유로 신용정보법상 금융위원회가 개인신용정보 기능도 하고 있지만 그에 못지않게 금융정책, 그다음에 금융산업의 진흥기능을 담당하고 있기 때문에 신용정보와 관련된 독립된 감독기관으로서 위상이 다소 부족하다고 보았기 때문으로 저희는 알고 있습니다. 금융위원회도 논의에 참여하였기 때문에 그 과정은 이해하고 있고요.

금융기관 등은 그래서 기존의 표준계약조항을 이용해서 절차를 밟아서 EU 시민의 개인정보를 이전하게 되는데, 다만 이번 적정성 결정으로 두 가지 혜택은 금융기관도 볼 수 있다고 보여집니다.

하나는 우선 이번 적정성 결정으로 인해서 국가 간 적정성 결정이 되었기 때문에 표준계약조항을 채택한다 하더라도 안고 있었을 여러 가지 리스크에서 상당히 자유로워질 것으로 저희가 판단을 하고 있고요.

두 번째는 금융기관이라 하더라도 신용정보가 아닌 EU 시민의 개인정보는 저희 개인정보보호법의 적용을 받기 때문에 저희 이번 적정성 결정에 따라 이전할 수 있을 것으로 그렇게 상호 논의한 바가 있다는 말씀을 드립니다.

그리고 두 번째 질문이 있었는데, 공공기관에 관한 정보가 저희 이번 적정성 결정에 포함되었고요. 저희가 이것을 가지고 어떠어떠한 일을 할 수 있을 것인가에 대해서는 EU와 협의된 바는 없습니다. 다만, EU하고 논의하는 과정에 규제협력에 관한 사안들을 서로 논의해 볼 수 있다는 실무적인 협의가 있었습니다.

그래서 이 부분은 이번에 공공기관에, 공공기관이 갖고 있는 개인정보 이전에 관한 것도 포함되어 있기 때문에 향후 EU 간에 협의를 하면서 어떤 분야의 협력 분야가 있을지 더 논의해 나가도록 하겠습니다.

<질문> 그러니까 공공 분야 포함된 것은 공무원의 개인정보를 활용할 수 있는 것을 포함하는 거죠?

<답변> 아니요, 그게 아니고요. 공공기관이 갖고 있는 개인정보에 관한 사항을 얘기하는 거거든요.

<질문> 아, 공공... EU 공공기관?

<답변> 예, 그렇습니다.

<질문> 그리고 1페이지 하단에, 남은 절차가 EU 집행위원 각 국가에서 6개월 소요되는 그 절차, 그것 말씀하시는 거죠?

<답변> 예. 그것을 조금 부연 설명을 드리면 저희가 추가 자료를 드렸습니다만, 저희가 초기 결정, 적정성 결정이 합의가 되었다는 것이 통과가 되고 나면, 결정이 되고 나면 EDPB라고 해서 EU의 회원국이 27개가 있는데 회원국 간 개인정보보호 감독기구연합회의가 있습니다. 거기에서 의사결정을 하게 되고 그 이후에 EU의 국무회의라 할 수 있는 국무회의 심의를 거쳐서 확정하게 됩니다.

저희가 알고 있기로는 정확한 어느 정도의 기간이 걸릴지는 정확하지는 않기 때문에 통상이라는 표현을 쓰는데, 통상 한 6개월 정도를 예상한다고 합니다. 다만, 실무적으로 얘기할 때는 저희가 이번에 법제 검토를 상당히 오래한 만큼 여러 가지 사항을 고려할 때 짧게는 2~3개월까지도 단축해서 할 수 있을 것이라는 얘기를 실무적 입장을 서로 교환한 바 있다는 말씀을 드립니다.

<질문> 제가 추가 드리면요. 2페이지 하단에, EU에 이어서 미국시장은 어떻습니까? 미국 같은 경우에.

<답변> 미국은, 이것은 EU가 갖고 있는 개인정보보호법제에 포함된 제도와 관련된 결정이 되는 거고요. 미국과는 다른 트랙으로 개인정보와 관련된 부분이 논의돼야 될 것으로 보이고요. 그것이 대표적인 게 CBPR, CBPR이 지금까지 작동하고 있는 체제인데, 다만 저희는 적극적으로 CBPR에는 참여하지는 않고 있고, 다만 여러 가지 이제 그것도 디지털 통상 차원에서 논의되고 있는 내용들이 있습니다. 그런 내용들은 그런 분야가 확정이 될 때 여러분들께 설명드리는 게 맞을 것 같습니다.

<질문> ***

<답변> 아니, 이것은 미국과는 관련 없는 사항입니다. EU와 우리나라와의 관계이기 때문에.

<질문> ***

<답변> 그것은 저희 혼자 단독으로 결정할 사안이 아니라, 이것은 아무래도 말씀드린 대로 디지털 통상 쪽과 관련되기 때문에 관계부처와 조율된 일정이 있어야지 말씀드릴 수 있습니다.

<질문> 아까 금융 분야 신용정보가 GDPR 제외된 것 관련해서 조금 더 구체적으로 여쭤보고 싶은데요. 두 가지 혜택 중의 첫 번째에서 여러 가지 리스크에서 그래도 자유로워지는 부분이 있을 거라고 판단하셨다고 했는데 그게 구체적으로 어떤 건지 궁금하고요.

이게 그래도 앞으로 지금, 제가 설명을 듣기로는 금융 분야는 다른 산업 분야에 비해서 유럽으로 진출이 그렇게까지 활발하지는 않아서, 아직은. 당장 큰... 꽤 이렇게 손해를 볼 거는 없다는 설명을 이전에 해 주셨는데, 그래도 앞으로 여러 가지 조금 더 핀테크라든가 이런 게 활발히 되면 지금 빠진 부분이 걸림돌이 될 수도 있을 것 같아서, 향후 이런 부분 보완하기 위한 추가 협의가 있을 것인지가 궁금하고요.

두 번째 질문은 이게 지금 일본을 예시로 들어주셨는데, 일본 외에 다른 나라가 GDPR 적정성 결정이 내려진 국가 사례가 있는지, 만약에 우리가 두 번째라면 그거대로 그냥 의미가 있는 거겠지만, 그리고 만약에 있다면 그 나라와의 적정성 결정 수준과 지금 우리나라 초기결정 수준 내려진 것과 비교해 주시면 감사하겠습니다.

<답변> 말씀하신 부분 아까 조금 보완, 금융기관 등이 이번에 적정성 결정에서 포함되지 않은 것에 관한 문제와 관련해서 이를 최소화할 수 있는 것으로 첫 번째로, 최근 EU가 적정성 결정을 받지 못한 나라의 기업이 표준계약을 이용해서 개인정보를 이전하는 경우에 표준계약에 대해서 검토한 후에 필요시 국외이전을 중단시키도록 하는 조치들을 취하고 있는 케이스가 있습니다.

그런 부분들이 기업 입장에서는 불확실성이라고 표현하고 있는데, 최소한 그런 부분에 있어서는 표준계약조항을 이용한다 하더라도 우리 기업의 불편함은 적을 것이다, 우리나라 전체가 적격성 결정이 되었기 때문에 이렇게 판단하고 있다는 말씀을 드리고요. 제가 말씀드린 것 외에 추가적인 사례가 혹시 있으면 담당과장이 설명토록 하겠습니다. 이와 관련된 추가 협의는 현재로서는 예정된 바는 없고요. 일단 이번에는 이 적정성 결정이 저희가 EU와 협의된 대로 발효될 수 있도록 하는 게 중요한 관건일 것 같고요.

그다음에 지금 저희가 알기로는 GDPR 제도 자체가... 그러니까 이 적정성결정제도, GDPR이 제정된 이후에는 일본하고 그다음에 저희가 두 번째인 것 같습니다. 그전에 Directive 95 시절에 포함되어 있던 나라들은 GDPR이 발효되면서 자동적으로 그 지위가 승계됐기 때문에 그 나라들은 EU 회원국 또는 거기에 포함된 나라들로서 적정성결정제도 혜택을 승계받아 있고요. GDPR이 제정된 2018년, 시행된 2018년 6월 이후부터는 2019년 1월 일본에 이어서 저희가 두 번째인 것으로 알고 있습니다.

첫 번째 혹시 말씀하신, 권 기자님께서 말씀하신 것 관련해서 추가로 답변하세요.

<답변> (여상수 국제협력담당관 과장) 국제협력담당관 여상수 과장입니다. 먼저, 작년 2020년 7월 16일에 유럽사법재판소에서 미국 프라이버시 쉴드를 무효화하는 판결을 냈습니다. 그 판결과 더불어서 SCC(표준계약조항)을 사용해서 이전하는 경우에라도 그 이전을 받는 기업이 있는 나라에, 국가에 적정성 결정이 없다면 그 안전성을 따져봐서 문제가 있다면 적정성 결정 이전이 중지가 돼야 된다... 아니죠, 죄송합니다. 표준계약조항으로 이전하는 것이 중지가 될 수 있다, 거기에 대해서 각 회원국들은 꼼꼼하게 살펴 달라, 이런 얘기들을 해 왔습니다.

두 번째로 적정성 결정 받은 나라는 2018년 5월에 GDPR이 시행됐습니다. 그 이후에 적정성 결정을 받은 나라는 일본 이외에는 없고요. 그전, 시행 전에 받은 국가는 11개국이 되겠습니다. 보도자료 ‘참고3’의 하단부에 그 나라들이 자세히 나와 있습니다, 일자와 함께. 참고해 주시면 고맙겠습니다.

<질문> 방금 설명해 주신 대로 그러면, 말씀하셨던 게 지난해 7월에 미국 프라이버시 쉴드를 무효화하는 판결을 내린 것, 그게 미국의 적정성 결정이 충분... 그러니까 적정성이 충분하지 않다고 판단해서 이전을 중지하는 건데, 우리는 어쨌든 적정성 결정을 받았으니까 이런 경우에서는 자유로울 수 있을 것이다, 라고 말씀을 의미하시는 거죠? 그렇게 해석하면 되겠죠?

<답변> 예, 그렇습니다.

<질문> 그리고 두 번째는 금융, 아까도 금융 분야 관련해서 질문하셨는데, 이게 핀테크도 자꾸 산업이 활성화되고 있어서 이 부분도 충분히 논의가 돼야 될 필요가 있다고 보는데, 그러면 4년마다 검토, 리뷰 검토할 때 그때 나중에 다시 이 부분에 대해서 일단... 이번에는 일단 발효를 시키고 4년 후에 리뷰 검토할 때 그때 이 부분을 다시 논의할 계획이신지 한번 여쭤보겠습니다.

<답변> 예, 당연히 4년 후에 리뷰 할 때 논의할 수 있을 것으로 생각합니다.

<질문> 이게 아까 전에 금융 쪽이 안 됐던 이유에 대해서 말씀... 좀 인정이 안 됐던 부분에 대해서 금융위원회가 지금 개인 신용정보를 다루는 국가, 산업진흥을 둘 다... ‘산업진흥 기능을 둘 다 갖고 있어서 좀 어려웠다.’ 이렇게 말씀하셨는데, 그러면 4년 후든 언제든 지금 당장은 아니더라도 추후 입법, 정부조직법 개정이나 이런 것으로 금융위의 기능을 좀 그러면 분산시킨다든지 그런 계획이 좀 정부 차원에서 있으신지 궁금합니다.

<답변> 그것은 없습니다.

<질문> 두 가지 질문드릴게요. 앞서 말씀해 주신 대로 일본과 달리 민간 분야뿐만 아니고 공공 분야까지 포함돼서 적정성 결정 승인받으셨다고 했는데, 이 부분 좀 궁금한데요. 추가적으로 강화된 기준을 저희 국내가 충족을 한 건지, 아니면 EU가 올해부터 달라진 적정성 승인 이런 기준이 있었던 건지, 1번으로 그게 좀 궁금하고요.

두 번째로는 적정성 승인에 대해서 올해 안에 최종적으로 받으시겠다고 했는데, 제가 알기로는 초기 말고 중기 그다음에 말기 이렇게 해서 결정 승인이 돼야 된다고, 단계별로 있다고 들었거든요. 그래서 그 과정 어떻게 있는지 궁금합니다.

<답변> 일본과 적정성 결정의 차이점에 대해서 저희 보도자료에도 설명을 드렸습니다만, 하나는 말씀드린 것처럼 공공 분야의 개인정보가 포함, 이전이 포함되었다는 것 하나.

그다음에 저희 법... 이번에 데이터3법 개정하면서 가명정보의 활용에 관한 부분이 포함되었고, 그 부분을 이제 EU하고 협의를 했는데, 그 부분도 EU에서는 크게 문제제기를 하지 않았다는 점, 그런 측면에서 놓고 보면, 일본의 경우에는 EU 시민의 개인정보를 일본으로 이전한다 하더라도 일본 개인보호정보법상 소위 ‘익명가공정보’, 저희는 ‘가명정보’에 해당하는데, 이로 처리 활용하지 못하도록 하는 규정을 우리는 적용받지 않는다는 점이 두 번째 차이점이고요.

세 번째는 이번에는 저희가 아까 설명드린 대로 EU 시민의 개인정보를 우리나라로 이전해서 처리하는 것에 관한 승인이 된 건데, 일본은 2019년 1월에 적정성 결정을 하면서 상호주의적 관점에서 일본 시민의 개인정보를 EU로도 자유롭게 가져갈 수 있도록 하는 것들이 포함되어 있었습니다. 그런 세 가지 점에서 일본하고는 차이점이라고 말씀드릴 수 있을 것 같고요.

그다음에 그 세부 절차에 대해서는 저희가 이제 참고 표에 나눠드린 것을 한번 더 설명을 좀 드려야 될 것 같은데요. 아까 제가 표가 있어서 구두로만 말씀드렸던 건데, 이번 결정은 EU 집행위원회, 사법총국이라는 기관, 장관급 기관에서 저희와 협의를 이제 완료한, ‘그림’ 표에서 보면 1단계가 되겠습니다.

이제 이것이 사실은 전체 프로세스의 80~90%를 사실 차지하고요. 이에 관한 드래프트를 확정하면 그 드래프트를 EU 정보보호이사회, ‘EDPB’라고 하는 정보보호이사회의 의견을 듣고 반영을 하게 되고요. 3단계로 EU 집행위원회 전원회의의 의결을 거치는 그런 과정을 거치게 됩니다.

그래서 이 2·3단계는 지금까지 1단계처럼 그렇게 길지는 않고, 통상 한 6개월 정도로 얘기를 할 수 있는데, 저희 희망은 또는 실무적으로 의견 교환을 하는 과정에서는 그간 1단계 과정이 법제 검토를 하는 데 상당히 시간이 걸린 만큼 2·3단계는 조금 더, 통상적으로 걸리는 6개월보다는 조금 더 단축할 수 있을 것이다, 라는 얘기가 있었다는 말씀을 드리는 것이고요. 저희는 그런 측면에서 상반기 내 또는 늦어도 하반기까지는 될 것으로 이렇게 아까 말씀드린 바 있습니다.

됐나요? 또 혹시 빼놓은 것은.

<질문> 아까 일본 같은 경우는 일본의 개인정보를 EU로도 이전할 수 있도록 하는 내용으로 협의를 하셨다 그랬는데, 저희는 EU와 논의하는 차원에서 우리 국민의 개인정보를 EU로 이전하는 방안은 논의를 안 했는지, 그런 배경이 있었는지, 그리고 추후 우리 국민을 EU에 개인정보를 이전하는 내용도 협의할 계획이 있는지 여쭤보고 싶습니다.

<답변> 말씀, 박 기자님께서 말씀하신 것처럼 저희는 저희 개인정보보호법에 일부... 지금 말씀드린 EU의 GDPR의 적정성 제도 같은 게 없어요. 없어서 저희를 상호주의적으로 제도적으로 우리 국민의 개인정보를 EU 기업이 갖고 가게 이렇게 할 수 있는 방법이 없습니다. 그래서 이번에는 일방주의적으로 이렇게 된 것이고요.

이번에 저희 그런 측면에서 개인정보보호법 개정안에 이 적정성 제도를 저희가 담았습니다. 담아서 그게 되면 그다음에 저희도 EU의 개인정보보호 법제를 심사해서 우리와 동등하다고 판단되면 보낼 수 있는 근거가 생기는 것이고요. 그런 측면에서 개인정보보호법 2차 개정안, 이번에 낸 개정안이 이제 국회의 심의를 거치게 되면 그때 한번 논의될 수 있을 것으로 그렇게 보여집니다.

다만, 저희가 이번 심의를 하는 과정에서 2차 개인정보보호법 초안도 함께 논의 테이블에서 논의한 바 있고요. 그 2차 개인정보보호법 초안에 대한 EU의 평가는 상당히 긍정적이었습니다. 그래서 이번에 개인정보보호법이 향후에 통과되더라도 4년 후에 있을 리뷰에는 긍정적인 영향이 오히려 있을 것으로 저희는 그렇게 보고 있다, 라는 말씀을 드리겠습니다.

<질문> 아까 금융기관 관련해서 아까 조직, 정부조직법 얘기까지 나왔지만 그러면 거기까지 안 가더라도 예컨대, 금융신고... 신용정보 관리 권한을 개인정보위로 가져온다든지 그 정도의 제도개선은 검토 가능한지.

그리고 제가 아까 일본 이후, 적정성 결정 이후에... 아니, DGPR 발효 이후에는 일본 다음이라고 하셨는데 초기 결정까지 따지면 영국이 최근에 난 것으로 알고 있는데 초기 결정까지 따지면 그렇지 않나요?

<답변> 그럴 수 있습니다. 마지막 것을 먼저 답변드리면, 그럴 수 있고요. 영국은 원래 EU 회원국이었다가 이번에 EU에서 탈퇴함으로써 적정성 결정은 오히려 밟고 있는 단계기 때문에 조금 저희와 다른 경우로 보여지는데, 실제로 말씀하신, 기자님 말씀하신 부분이 맞는 것 같고요.

금융기관 등이 이번에 적정성 결정에서 제외됐다 해서 아까 말씀드린 대로 큰 여러 가지 충격이나 이런 것은 저희는 없을 것으로 지금 보고 있고요. 그와 관련돼서 다른 얘기를 하고 있는 것은 아닙니다.

다만, 저희가 실무적으로는 EU와 계속 금융위와 같이 협의를 해 왔다는 말씀을 드리고, 이것은 EU의 판단이기 때문에 저희가 그에 대해서 추가적으로 다른 말씀을 드릴 것은 없습니다.

<질문> 이것 브리핑 끝나도 괜찮고요. 3페이지 상단에 시간비용 절감 있는데요. 절감효과를 비용으로 환산한 게 혹시 있으면, 숫자로 주시면 저희들이 전달할 때 좀 괜찮은데, 지금 주셔도 되고 아니면 혹시 있으면 끝나고 주셔도 되고 그렇습니다.

<답변> 예, 그것은 따로 답변을 드리도록 하겠습니다.

<질문> 금융위 빠졌다는 게 그게 헷갈리거든요. 그러니까 금융정보를 얘기하는 것인지, 금융기업이나 기관을 얘기하는 것인지, 이게 뭐냐면 혜택 사례를 봤을 때 여기 쇼핑정보 언급이 되어 있잖아요.

쇼핑정보... EU 시민이 쇼핑한 정보를 국내로 이전할 수도 있게 될 전망이다, 이런 것인데, 그런데 지금 우리나라에서도 쇼핑정보가 금융정보니 뭐니 이런 얘기가 있잖아요. 그러면 GDPR에서 금융위 빠졌... 금융 분야가 빠졌다는 것은 쇼핑정보나 이런 것은 해당이 안 되는 것인지, 어떻게 되는 것인지 좀 헷갈리네요.

<답변> (여상수 국제협력담당관 과장) 지금 말씀하신 부분은 신용도 판단 등을 위해서 금융기관 등이, 금융기관 등이라고 하면 신용정보법상 금융위원회의 감독을 받는 일부 기관들을 말씀드리는데요. 그 기관들이 신용도 판단을 위해서 개인정보를 이전하는 부분만 빠졌다는 것입니다.

그래서 개인정보법상 다 커버가 되는 부분이라든지, 아니면 신용정보법에서도 개인정보보호위원회가 감독하고 있는 일반 상거래기업 및 법인에 대해서는 적정성 결정 범위에 포함되어 있다고 말씀드릴 수 있습니다.

<질문> 아까 말씀해 주신 것 중에 조금 더 정확하게 이해를... 확인차 질문드리는데, 그러니까 일본은 저희 같은 가명정보 관련된 부분까지 합의한 게 없기 때문에 EU 시민의 개인정보를 가져가서 일본 내에서 활용하려면 익명정보 형태로 써야 하지만, 우리는 가명정보 관련 내용이 포함돼 있고 그 부분에 대해서 이의를 제기... EU에서 이의를 제기하지 않았기 때문에 EU 시민의 개인정보를 가져와서 가명정보 형태로 가공해서 다른 목적으로 저희가 연구나 이런 것으로 활용 가능하다는 말씀이신 거죠?

<답변> 일단은 실무적으로는 그렇게 얘기를 했는데, 저희가 합의문에는 그 내용이 포함돼 있지는 않습니다. 그래서 저희 법 전체를 갖다가 그쪽에서는 동등하다고 했기 때문에 그 조항은 제외되어 있지 않다는 말씀을 드리는 것이거든요.

그렇다면 적정성 결정을 통해서 우리, 예를 들면 EU 진출 기업이 EU 시민의 정보를 갖고 와서 우리 법제에 따라서 처리하는 것 자체를 EU가 부정하고 있지는 않다, 라는 취지로 말씀드리고요.

그것을 EU 시민의 정보를 순전히 무슨, 지금 말씀하신 그 목적으로만 하는 게 가능한지 등 세부적인 부분은 좀 더 논의를 해 봐야 알 수 있을 것으로 보이고요. ‘저희 법에 정해진 방식 그 자체를 EU에서는 인정했다.’라고만 이해해 주시면 될 것 같습니다.

<질문> ***

<답변> 그런 건 적정성 결정된 이후에도 EU와 이렇게 협의를 해 나가면서 하나하나 세부적으로 정리를 해 나가야 될 것으로 그렇게 보입니다.

<질문> ***

<답변> 예.

<질문> ***

<답변> 다시 한번, 제가 못 들었습니다.

<질문> ***

<답변> 저희 개인정보보호법에는 기업이 수집한 개인정보 또는 어떤 기관이 됐든 수집한 개인정보를 동의 없이 해외로 나가도록 하는 것이 지금 제한이 되어 있습니다. 그래서 이제 그런 부분이 사실은 EU 같은, EU GDPR이 갖고 있는 적정성결정제도와 저희 법제가 조금 다른 부분인데, 그런 부분들은 저희도 2차 개인정보보호법 개정안에 담아서 개인정보 이전을 상호주의적 관점에서라도 이전을 허용할 수 있는 법제를 갖춰야 된다는 생각인데요.

이게 왜 그러냐면, 개인정보는 보호도 중요하지만 개인정보 이전 활용을 통한 소위 정보의 영역을 확대하는 것도 굉장히 중요한 어떤 국가의 이해관계가 걸린 일입니다. 그래서 EU 입장에서 놓고 보면 우리가 EU와 동등한 개인정보보호 법제를 갖고 있다고 인정이 된다면 그 나라에 EU 시민의 개인정보를 갖다가 쓸 수 있게 해 주는 것도 본인들이 추구하고 있는 바, GDPR의 목적인 개인정보의 안전한, 자유롭고 안전한 활용이라는 관점에서 필요하다고 봐서 저희한테 이런 결정을 하게 되는 거고요.

그런 측면에서 지금 EU가 적정성 결정을 계속 하고 있는 브라질, 인도, 필리핀 이런 나라하고도 지금 계속 EU가 이어나가고 갈 텐데, 결국 이 부분은 EU 관점에서 놓고 보면 소위 정보의 이동성과 관련된 영토의 확장이라는 측면을 배제할 수 없습니다. 그런 측면이라면 저희도 사실은 그런 부분에서 적격성제도라든지, 아니면 표준계약조항이라든지 아니면 내부 기업규칙이라든지 등 다양한 제도의 도입을 검토할 필요성이 있다고 보여지거든요. 그런 측면에서 이해를 해 주시면 될 것 같습니다.

<질문> 그게 꼭 저희 국민의 개인정보 유출로만 볼 것은 아니라는 말씀이신가요?

<답변> 물론입니다. 안전...

<질문> 일반적인 입장에서는 사실 조금 겁나기는 하거든요.

<답변> 그래서 왜냐하면 EU가 만약에 ‘저희 개인정보보호 법제가 EU와 동등한 수준이다.’라고 제가 강조해서 말씀드린 이유는 EU가 우리나라에 EU 시민의 개인정보를 보내도, 그래서 우리 개인정보보호 법제에 의해서 보호가 되어도 EU에서 보호되는 것과 크게 다르지 않다는 판단을 하고 있기 때문에 그런 거거든요.

그래서 적격성 결정을 한다는 말은 그 나라 법제를 샅샅이 뒤져보고 난 다음에 판단을 한다는 말입니다. 그렇기 때문에 이게 보호가 되면서 활용이 된다는 콘셉트가 되는 거죠. 그렇게 이해를 하시면 더 쉽지 않을까 싶습니다.

<질문> 방금 답변을 주신 것 관련해서 조금만 추가 질문을 드리자면, 그러면 법제에 지금은, 기존 개정안에는 없었는데, ‘EU GDPR에 준용해서 국외이전을 허용한다.’ 이런 식으로 국외이전 규정이 바뀌는 그런 부분인 건가요?

<답변> 개인정보보호법에 그렇게 할 수 있는 방법을 추가해서 저희가 입법예고를 했습니다. 그것이 이제 제가 설명드린 내용입니다.

<질문> 한 가지만 더 여쭤보면, 이게 크게 보면 미국과 EU의 패러다임 전쟁 같은 맥락에서 이해할 수 있을 텐데, EU는 미국 디지털기업을 견제하기 위해서 나름대로 자기 나름의 법제를 어떻게 세계에 컨센서스화 시키려는 움직임인 거고, 그런데 반면에 미국은 법제가 달라서 이것, 적정성 결정도 못 받고 그런 상황이긴 한데요.

혹시 미국에서... 그러니까 어떻게 보면 EU 차원에서는 GDPR을 이렇게 넓혀 나가는 게 자기네의 패러다임을 확장시키는 그런 노력이라고 보이는데, 우리가 이런 것을 받는 것에 대해서 혹시 미국이 좀 견제를 한다거나, 아무튼 미국이 이것에 대해서 어떤 입장을 혹시 보내고 있는지 그런 게 확인이 되나요?

<답변> 글쎄요. 그 부분은... EU하고 미국 간에도 아까 말씀드렸듯이 프라이버시 쉴드라든지 해서 다양한 형태의 정보 이전과 관련된 내용들을 하고 있기 때문에 전 세계적으로 정보 이전의 필요성에 대해서는 다들 공감하고 있는 바라고 생각을 하고 있고요.

아까 우리 기자님 질문하신 것처럼 이 부분은 또 디지털 통상의 주요 이슈이기도 하기 때문에 앞으로 데이터경제 시대가 도래하면 도래할수록 이런 부분에 있어서는 자유로운 이전, 대신 보호되면서 자유로운 이전을 하는 것이 아마 세계적인 트렌드가 되지 않을까 싶습니다.

고맙습니다. 수고하셨습니다.

<끝>