유럽 개인정보보호법 25일 발효
전세계 매출의 4%..최대 2000만유로.. 엄청난 규모의 과징금 겁먹을 필요없어
의도성.과거의 위반 여부.협조 수준 등 11개 기준에 맞춰 합리적으로 부과
GDPR 잘 대비해 준수한다면 나라마다 다른 규제로 인한 비용 줄고 개인정보 이동권 보장으로 경쟁력 향상
전세계 매출의 4%..최대 2000만유로.. 엄청난 규모의 과징금 겁먹을 필요없어
의도성.과거의 위반 여부.협조 수준 등 11개 기준에 맞춰 합리적으로 부과
GDPR 잘 대비해 준수한다면 나라마다 다른 규제로 인한 비용 줄고 개인정보 이동권 보장으로 경쟁력 향상
'23일 앞으로 다가온 유럽 개인정보보호법(GDPR) 발효는 한국 기업에게 위기일까, 기회일까'
오는 25일 GDPR 발효를 앞두고 유럽 시장을 공략하는 한국 기업의 위기감이 높아지고 있지만 GDPR을 선제적으로 잘 대비한 기업의 경우 규제 비용을 줄이고 글로벌 시장에 진출할 수 있어 기회라는 분석이 나오고 있다. GDPR의 취지가 유럽의 디지털 단일 시장을 조성하는 데 있고 GDPR이 글로벌 개인정보보호 스탠다드가 될 경우 GDPR만 잘 지키면 유럽은 물론 글로벌 진출도 용이할 수 있다는 것이다.
약 248억원(2000만 유로)에 달하는 최대 과징금도 GDPR 준수 노력과 위배 시 경감 조치 과정을 감안해 11개 기준으로 세부적으로 평가하기 때문에 과징금 리스크에 대한 지나친 공포를 가질 필요는 없다는 지적이다. 또 연내에 EU 집행위원회가 한국을 GDPR 적정성 국가로 평가할 경우 한국 기업은 GDPR을 잘 준수하는 조건 하에 유럽 밖으로 개인정보의 자유로운 이동권도 보장받을 수 있다는 기대감이 커지고 있다.
■규제비용 1/28 줄고 시장 확대
1일 관련 업계와 한국인터넷진흥원에 따르면 GDPR은 EU 28개국에 오는 25일부터 일괄 적용된다. 기업이 GDPR 대응 시스템을 완비해놓으면 EU 어떤 국가에 진출해도 하나의 개인정보보호 규제를 지키면 되는 것으로 규제비용이 28분의 1로 줄고, 시장은 28개국으로 확대된다는 의미다.
이는 GDPR의 취지가 개인정보 보호 수준을 높이는 동시에 '유럽의 단일한 디지털 마켓' 내에서 활용도 자유롭게 하자는 데 있기 때문이다. 특히 GDPR은 개인정보와 가명정보, 익명정보를 분리하고 가명정보, 익명정보는 상업적 통계와 연구목적으로 활용할 있도록 법적으로 명시하기도 했다. 이를 통해 4차 산업혁명의 '원유'라고 불리는 빅데이터 산업의 패권을 유럽이 쥐려고 하는 것이 아니냐는 분석이 제기되기도 했다.
하지만 국내.외 GDPR 전문가들은 빅데이터, 5G 시대에 중국, 러시아 등이 개인정보보호 강화 추세로 가고 있어 GDPR 시스템만 구축해도 글로벌 규제 비용은 크게 줄일 수 있다고 판단하고 있다.
이상직 법무법인 태평양 변호사는 "GDPR은 결국 하나의 글로벌 스탠다드의 기준으로 적용될 것"이라며 "국가마다 다른 규제를 맞춰야 하는 불편함이 줄면 사업자 기준에서 엄청난 규제 비용이 줄어들기 때문에 오히려 기회가 될 수 있다"고 내다봤다. 이를 테면 게임사는 200개 국가에서 동시 출시를 하는데 앞으로는 유럽, 미국 등의 가입자를 동일한 개인정보보호 기준으로 보호할 수 있다는 의미라고 이 변화사는 설명했다. 그는 "아직 GDPR을 완전히 준비한 한국 기업도 대기업 등 소수로 GDPR 대응이 기업의 경쟁력으로 이어질 것"이라고 덧붙였다.
■과징급 합리적 부과 기대
세계 매출액의 4% 또는 약 248억원 중 높은 금액에 달하는 최대 과징금도 '심각한' 수준의 개인정보 유출 사고에 해당하는 것으로 과도한 리스크로 받아들일 필요는 없다는 분석이다.
GDPR 과징금 부과 기준에 따라 의도성, 태만, 과거의 위반 여부, 협조 수준 등 GDPR을 준수하려는 의지와 노력, 위배 시 이를 해결하고 경감하기 위한 조치를 얼마나 했는지 과정을 종합적으로 평가해 항목별로 상중하로 나눠 부과한다는 것이다.
과징금 부과 11가지 기준을 살펴보면 △위반의 의도성과 태만 여부 △컨트롤러 또는 프로세서가 이전에 범했던 법규 위반 여부 △위반을 해결하고 위반으로 인한 부정적 영향을 경감하기 위한 감독기구와의 협조 수준 △동일한 사안에 대해 감독기구 명령이 부과된적이 있는지 여부 등 과거의 이력, 해결해나가는 과정을 평가하는 항목이 눈에 띈다.
인터넷진흥원 관계자는 "GDPR은 개인정보보호를 지속적으로 관리해나가는데 초점이 맞춰져 있어 성실하게 이를 준수했는지, 위배했을 때 이를 절차에 맞춰 아는대로 신고했는지 등을 따진다"면서 "또 11개 기준을 비례적으로 사안의 경중 등에 맞춰 상중하로 평가하기 때문에 과징금을 부과하더라도 합리적일 것"이라고 설명했다. 만약 한 기업에 대한 과도한 과징금이 부과된다면 '통상 전쟁'으로도 이어질 수 있는 만큼 합리적인 규제선을 지킬 것이라게 당국과 업계의 관측이다.
아울러 인터넷진흥원이 추진하고 있는 적정성 평가를 연내에 한국이 받을 경우 기업의 그룹 내 개인정보 이동이 자유로워질 수 있다는 기대도 나온다.
gogosing@fnnews.com 박소현 기자
※ 저작권자 ⓒ 파이낸셜뉴스, 무단전재-재배포 금지