안녕하십니까? 개인정보보호위원회 위원장입니다.

한국에 대한 EU의 개인정보보호 적정성 결정이 지난 5년간의 논의 끝에 최종 절차를 마무리하고, 12월 17일 오후 6시부터 채택·발효됩니다.

이번 결정으로 앞으로 한국 기업들은 EU 시민의 개인정보를 추가적인 인증이나 절차 없이 국내로 이전할 수 있게 됩니다.

양측의, EU와 한국의 양측 담당 장관인 저와 디디에 레인더스(Didier Reynders) EU 집행위원회 사법총국 커미셔너는 한국과 EU 간의 높은 수준의 정보보호에 대한 공유된 의지와 한국의 우수한 개인정보보호 법제가 이번 적정성 결정의 토대가 되었음을 확인하였습니다.

나아가 이번 결정이 개인정보보호 강화가 국제무역을 촉진할 수 있음을 보여주는 사례로서, 한-EU 자유무역협정을 보완하기 위하여 디지털 분야의 양측 간 협력을 강화할 것이라는 데 대해서 상호 공감하였습니다.

지난 2017년 1월, 한-EU 간 적정성 협의가 공식 개시된 이래 핵심 요건인 개인정보 감독기구의 독립성 미충족으로 협의가 두 차례 중단되기도 하였으나, 지난해 데이터 3법의 개정으로 2020년 8월 개인정보위가 독립 감독기구로 확대 출범함에 따라 논의가 본격 재개되었습니다.

한-EU는 지난 5년여 기간 동안 총 60회 이상의 실무회의를 통해 한국의 개인정보보호법 등 관련 법제 및 정부기관별 소관 업무 등에 대한 심층적인 검토를 거쳤습니다. 이를 통해 한국의 개인정보보호법 체계가 EU와 동등한 수준임을 확인하였습니다.

그간 우리 정부는 개인정보위를 주축으로 외교부, 법무부, 행안부, 방통위, 국정원, 한국인터넷진흥원 등 관계기관이 긴밀히 협조하였습니다.

특히, 작년 7월 유럽사법재판소가 미국에 대한 적정성 결정인 프라이버시 실드를 무효화하면서 적정성 결정 심사기준이 대폭 강화되었습니다. 이로 인해 추가 보완책을 마련해야 하는 어려운 상황에서도 관계기관과 긴밀히 협조하여 EU와의 협의를 성공적으로 마무리하였습니다.

그 결과 EU의 독립 심의기구인 유럽정보보호이사회가 한국 법제의 우수성을 언급하면서 한-EU 법제 간 차이를 조정하기 위한 한국 정부의 노력을 높이 평가했습니다.

또한, EU 개별 회원국들도 EU 집행위원회의 회원국 승인절차 과정에서 만장일치로 한국 적정성 결정을 승인하였습니다.

그간 EU 진출 한국 주요 기업들은 EU 개인정보를 국내로 이전하기 위해 많은 시간과 비용을 투자해 왔음에도 불구하고 EU 관련법 위반에 대한 큰 부담을 안고 있었으며, 중소기업의 경우에는 EU 진출을 미리 포기하는 사례도 있었던 것으로 알고 있습니다.

이번 적정성 결정으로 한국이 개인정보 국외이전에 있어 EU 회원국에 준하는 지위를 부여받게 됨에 따라 한국 기업들의 경우 기존의 까다로운 절차가 면제됩니다. 이로 인해 한국 기업들의 EU 진출이 늘어나고 이를 위해 기업이 들여야 했던 시간과 비용이 대폭 절감될 것으로 기대합니다.

나아가 한-EU 기업 간 데이터 교류, 협력 강화로 인해 국내 데이터경제 활성화에도 크게 기여할 것으로 기대합니다.

또한, 민간데이터 이전에 국한되었던 일본에 대한 적정성 결정과는 달리 이번 한국에 대한 적정성 결정은 공공데이터 이전에도 적용됩니다. 이에 따라 규제협력 등 한-EU 정부 간 공공분야 협력도 강화될 것으로 기대합니다.

무엇보다도 이번 적정성 결정을 계기로 한층 강화된 한-EU 간 디지털 협력 기반을 토대로 한국이 EU와 함께 국제 무대에서 개인정보 분야의 글로벌 표준 정립에 있어 주도적 역할을 할 수 있게 되었습니다.

정부는 향후 EU 외에도 영국 등 비EU권 국가들과의 적정성 결정을 협의해 나갈 예정입니다.

마지막으로, 지난 5년간 관심과 지지를 보내주신 국민 여러분께 감사드립니다. 그리고 60회 이상의 실무협의 과정에서 끝까지 최선을 다해 준 관계부처, 공직자분들께도 심심한 감사의 말씀을 드립니다. 고맙습니다.


[질문·답변]
※마이크 미사용으로 확인되지 않는 내용은 별표(***)로 표기하였으니 양해 바랍니다.

<질문> 프라이버시 실드 이후로 적정성 결정 심사기준이 대폭 강화됐다고 했는데 제가 잘 몰라서, 어떤 점이 강화됐는지 말씀해 주시고 우리나라는 법제적으로 추가 보완을 한 점은 어떤 부분인지 궁금하고요. 일단은 그렇게.

<답변> 그것은 세부적인 내용이라 우리 담당 과장님께서 설명드리시는 게 나을 것 같습니다.

<답변> (관계자) 방금 말씀하신 부분 중에서 미국과 EU 간의 적정성 결정인 프라이버시 실드 같은... 예, 알겠습니다.

한-미국... EU와 미국 간의 EU 적정성 결정인 프라이버시 실드 같은 경우에는 작년 유럽사법재판소의 무효 결정에 따라서... 잠정적으로 무효화된 상태이기는 합니다만, 이러한 EU의... EU에서는 미국의 국가에 대한 정보 접근에 대해서 굉장히 강화된 기준을 적용했습니다.

따라서 이러한 접근 기준도 마찬가지로 우리나라에 대해서 조건을 강화하는 기준을 적용하는 바람에 약간의 채택 과정에서 약간 좀 강화되고 지연된 점이 없지 않아 있었던 점을 말씀드립니다.

<답변> 제가 조금 보완 설명을 드리면, 우리 김 기자님 좋은 질문해 주셨고요. 슈렘스 판결에 따라서 유럽사법재판소가 실드를 무효화한 배경은 그 있는 것처럼 미국 내에서의 국가기관에 의한 개인정보 수집 과정에 대한 보다 철저한 유럽의 기준을 적용해 달라는 요구를 미국이 충족시키지 못했다, 라는 이유 때문에 무효화한 것이고요.

그런 유럽재판소의 판결이 있는 과정에 저희가 적정성 결정이 진행되는 중이었기 때문에 저희에게도 유럽 EU 집행위원회 사법총국에서는 같은 기준의 조치들을 저희한테 요청했던 것이고요.

저희는 그와 관련돼서 아까 말씀드린 것처럼 관계부처 간 협의를 통해서 그 규칙을 충족하는 내용의 서류를 제출함으로써 그 과정을 조금... 그 과정이 통과가 됐고, 다만 그 과정에서 시간이 좀 걸렸습니다. 걸렸고, 부처 간의 협의가 필요한 사안이 많아졌었고 그런 내용이 되겠습니다.

<질문> 한국과 EU의 법제 간 차이를 조정하기 위해 구체적으로 개인정보위가 어떤 노력을 하셨는지 궁금하고요.

GDPR 관련 규정 위반에 따른 과징금이 최대 전 세계 매출 4%라고 하셨는데, 전 세계 매출 4%가 무엇인지도 궁금합니다.

<답변> 한-EU 간의 개인정보보호 법제가 이번 적정성 결정을 통해서 동등한 수준임은 확인했지만 그 과정에서 개별 법제는 조금씩 다 다릅니다. 그 차이가 있는 부분들을 어떻게 해서든 정리를 해줘야 되거든요.

그래서 저희가 한 2번에 걸쳐서 개인정보보호위원회 전체 위원회의 의결을 거쳐서 개인정보보호위원회 고시 개정을 통해서 그 차이를 조정하는 고시를 지금 제정해서 그것을 처리해 줬다는 말씀을 드리는 것이고요.

그다음에 전 세계 매출액의 4%는 그냥 유럽의 개인정보보호 법규인 GDPR 규정을 보면 전 세계의, 그러니까 토털 turnover라 그러죠? 글로벌 turnover의 4%가 과징금의 최대 금액으로 명시돼 있다는 말씀입니다.

그래서 저희 기업의 경우에 통상은 그런 경우는 발생하지도 않았지만, 다만 소위 표준계약조항이라고 하는 SCC를 통해서 EU 시민의 개인정보를 국내로 들어오는 경우에도, SCC를 통해 들어오는 경우에도 어떤 위험요인은 갖고 있었다, 그런 취지로 아마 말씀을 드린 것 같습니다.

<질문> 자료 보면 EU 시민의 공공데이터까지도 우리나라로 전송 가능하다고 나와 있는데, 실제로 우리나라 민간업체에서 이런 수요가 있는지 궁금하고요. 없다고 하더라도 활용 가능성이 높을 것 같아요. 그래서 어떤 기대효과를 갖고 계신지 말씀 부탁드립니다.

<답변> 이 부분은 공공데이터를 EU에서도 적정성 결정을 통해서 EU 외 국가에게 전송하는 경우는 그렇게, 제가 아는 범위 내에서는 최초 같아요.

그래서 EU와 저희 간에는 규제협력 같은 분야를 저희 설명자료에서 말씀드린 것처럼 협조 가능한 분야로 예시를 하고 있어서 그 외의 다른 분야를 협의가 안 된 상태에서 추가로 말씀드리긴 어렵고, 앞으로 저희가 EU하고 협의를 하면서 공공데이터 이전을 통해서 부처 간 또는 공공기관 간 협의를 아마 만들어나가야 될 것으로 생각을 합니다.

다만, 상식적으로 생각해 보면 EU 국민의 예를 들면 건강에 관한 공공, 통계적인 공공데이터가 있다고 하면 그것을 통해서 우리 기업이 새로운 그와 관련된 서비스를 개발한다든지 하는 등 다양한 문은 열려 있을 것 같은데 아직까지는 우리 EU와의 협의를 통해서 만들어나가야 된다, 라고는 말씀드릴 수 있을 것 같아요.

<질문> 이어서 관련해서 질문드리고 싶은데, 우리나라는 공공 분야에서도 GDPR이 적정성 결정이 난 것이고 일본은 그게 빠졌다 그랬잖아요. 그러면 공공 개인정보를 다루는 법제 측면에서 약간 우리나라 더 우수하다거나 아니면 GDPR하고 더 뭔가 부합하는 부분이 있어서 이게 된 것인지, 그러니까 일본은 안 되고 왜 우리나라는 이렇게 되는지.

<답변> 그것은 제가 이해하는 범위 내에서는 2019년 1월에 일본이 EU로부터 적정성 결정을 받을 때 지금은 바뀌었습니다만 그 당시는 일본의 개인정보를 감독하는 감독기구가, 감독기구가, 즉 개인... 감독기구와 그 개인정보보호법 자체가 민간의 개인정보만을 관할하고 있었습니다.

그래서 아마 그 감독, 독립적인 감독기구가 굉장히 중요한 요건인데, 그 감독기구가 관할하고 있는 법과 관할 범위가 민간 분야의 개인정보에만 국한되었기 때문에 그 분야에 관한 적정성 결정을 한 것으로 보이고요.

그와는 달리 저희는 개인정보보호법상 공공, 민간을 구분하지 않는 개인정보를 저희가 관할하고 있기 때문에 그에 관한 독립성, 감독... 독립적 감독성을 이해한 것으로 이렇게 이해하시면 될 것 같아요.

<질문> 이번에 어쨌든 GDPR, EU의 GDPR 적정성 결정을 받으면서 말씀하신 대로 한국이 EU와 동등한 수준을 인정받은 것이잖아요. 그래서 이를 바탕으로 해서 영국 등 비EU권 국가들과도 추진한다고 하셨는데, 영국은 그러면 내년 목표로 그렇게 추진하시는 건가요? 아니면 어쨌든 이번에 이것을 받았으니까 하나의 사례가 됐기 때문에 좀 더 속도를 낼 수 있을 것으로 보이는데 어떻게 되는.

<답변> 좋은 질문이신데요. 어쨌든 국제적으로 보면 EU의 GDPR이 개인정보 보호에 있어서 상당히 국제 규범적 역할을 담당하고 있다는 측면 그리고 그와 동등한 수준을 인정받은 게 이 적정성 결정의 본체이기 때문에 그러한 사실로 미루어 봐서 다른 나라와의 적정성 결정과 유사한 정보의 흐름을 자유롭게 하는 이런 조치들이 연이어서 발생할 수 있다고 보여지고요.

말씀드린 영국의 경우에는 원래 EU 국가였다가 지금은 브렉시트 과정을 거치면서 독립되어 있지만 저희 적정성 결정 이전에 바로 앞서서 영국에 대한 적정성 결정이 또 EU에서 있었어요. 그런 흐름을 감안해 봤을 때 영국과의 적정성 결정을 추진하는 것이 다음번 저희 목표로 일단 보여지고, 실무적으로는 영국에서도 긍정적인 반응을 보였다는 것으로 알고 있습니다. 그래서... 되고요.

그 이후에도 사실은 적정성 결정이 개인정보가 안전한 활용이 주요한 목표이고 그것은 EU도 마찬가지인데, EU가 적정성 결정을 우리나라에 대해서 하는 것은 우리나라의 안전성을 인정하면서도 EU 시민의 개인정보를 자유롭게 흐르게 해서 데이터경제 시대에 이를 활용하겠다는 또 측면도 없지 않습니다.

그래서 이러한 소위 데이터를 이용한 EU와 우리나라와의 협력 강화 또는 서로 상호 간의 데이터경제 활성화를 위한 노력 이런 부분들도 이번 적정성 결정의 주요한 목적이거든요.

그런 측면에서 놓고 보면 앞으로 이런 적정성 결정 또는 이와 유사한 제도를 통해서 우리나라도 다른 나라와의 데이터경제에서의 중요한 어떤 요소인 개인정보 활용을 위한, 안전한 활용을 위한 협력을 더욱더 강화하는 계기가 될 것으로 생각을 하고 있고요.

이와 관련해서 제가 그전에도 설명드렸던 것처럼 저희도 다른 나라를 이러한 적정성 결정과 유사한 제도를 통해서 다른 나라의 개인정보보호 법제를 인증해 줄 수 있는, 우리나라 개인정보를 다른 나라, 국외로 이전할 수 있는 제도를 도입하는 것이 바람직하다고 생각하고, 그와 관련된 개인정보보호법 개정안을 국회에 지난 9월 28일에 제출해 놓은 상태에 있다는 말씀을 추가적으로 드릴 수 있을 것 같습니다.

<질문> 이게 브리핑 여러 번 했어도 헷갈려서. 이게 코로나 관련된 방역 관련 정보라든지 그런 의료 분야에 해당하는 민감 정보 같은 것도 가져와서 분석을 할 수 있게 된 것인지 그것하고, 방금 법 개정안 9월에 제출하셨다고 하셨는데 이게 원래는 연말까지 통과를 시키도록 부처에서 노력한다고 말씀해 주셨었는데 지금 논의 현황은 어떤 상태인지 말씀해 주시면 좋겠습니다.

<답변> 아까 말씀드린 것처럼 어느 분야의 어떤 정보를 서로 공유하면서 일을 해나갈 것이냐 하는 것은 저 일방의 의지로만 되는 것은 아니고요. 이것은 다 상호적인 것이라서 지금 어떤 특정 분야를 딱 정해서 말씀드리긴 어려워요, 김 기자님. 그것은 아까 말씀드렸던 것처럼,

<질문> ***

<답변> 그러니까 논의를 해서 그쪽도 좋다고 하고 저희도 가능하다고 하면 할 수 있는 것이고요.

그래서 그것은 지금 말씀드릴 수는 없을 것 같고, 법 개정은 조금 이것과는 다른 것입니다만 관련이 있으니까 말씀을 드리면 지난 정무위에 상정이 됐고, 그다음에 법안소위에서 한번 논의한 상태에 있습니다. 그래서 앞으로 법안소위에서 추가 논의가 있을 예정입니다.

한 가지만 제가 마지막으로 이 부분에 관해서, 어렵긴 한데 어쨌든 개별적으로 기업들이 받았던 이전에 관한 인증이나 어떤 이런 부분들을 국가 단위로 이제 받았다, 이렇게 보시면 될 것 같고요.

그래서 우리 기업이 EU 시민의 개인정보를 갖고 오는 데 있어서의 관리적 비용을 상당히 절감할 수 있을뿐더러 우리 기업이 EU에 진출함에 있어서도 EU 시민의 정보를 수집해서 국내에서도 분석할 수 있다.

그래서 특히 우리나라는 여러 가지 IT 기술 또는 아이디어 측면에서 상당히 발전하고 있고, 또 디지털경제를 선도할 수 있는 국가이기 때문에 EU와의 이런 협력을 통해서 디지털경제를 조금 더 확산시키는 중요한 역할을 할 수 있을 것으로 보고요.

기술적으로는 AI나 이런 분야에 있어서의 알고리즘을 발전시켜 나가는 데도 좋은 역할을 할 것으로 기대가 됩니다.

그래서 처음이긴 하지만, 저희도. 이런 오랜 기간에 걸쳐서 지금 데이터경제로 확산되는 이런 시기에 이런 적정성 결정을 하게 되어서 저는 굉장히 기쁘게 생각하고, 아까 모두에서 말씀드렸던 것처럼 여러 분야의 여러 기관의 공무원분들께서 정말 고생 많으셨다는 말씀을 꼭 좀 드리고 싶습니다.

감사합니다. 이상으로 마치겠습니다.

<끝>

이전다음기사

다음기사소상공인 지원관련 합동브리핑