금융·증권
부동산
산업·IT
경제
정치
사회
국제
라이프
오피니언
기획·연재
fnEdition
IT 보안/해킹

[데이터시대 책갈피] 개인정보보호법 개정, 대비 않는 K기업들

파이낸셜뉴스

입력 2024.03.20 15:26

수정 2024.03.20 18:22
한승조 룰루메딕 사업전략이사
한승조 룰루메딕 사업전략이사
한승조 룰루메딕 사업전략이사

[파이낸셜뉴스] 지난해 9월 개인정보보호법 내 데이터 국외이전에 대한 조항이 개정되었다. 개인정보보호법 제28조8에 의하면 국내외의 모든 기업들은 개인정보를 국외로 이전할 수 없으며, 불가피하게 국외로 개인정보를 이전해야 할 경우에는 국가가 정한 규정에 의거하여 적정한 보호체계 보장과 개별적인 동의 여부 등을 준수해야 한다.

이러한 국외이전에 대한 조항이 개정되고 난 후 가장 먼저 이슈가 된 것은 알리와 테무와 같은 중국 E커머스 업체들이었다. 최근 중국 직구의 규모가 미국을 제치고 1위로 올라서면서 국내 유저 개인정보의 수집과 처리에 대한 문제가 기사화되었다. 특히 3자 제공 동의 등의 약관을 통해 중국 업체로의 무분별한 이전 여부가 문제되어 해당 중국 플랫폼에 대한 개인정보보호위원회의 조사가 예정되어 있다.

하지만 개인정보의 국외이전에 대한 규제는 외국계 대형 플랫폼만의 문제가 아니다.
큰 이슈에 가려져 있지만 국외이전에 대한 규제 개정은 국내 기업의 해외 주재원이나 파견자, 현지 채용 인력에 대한 개인정보 국외이전에도 영향을 미칠 것으로 예상된다. 기업들은 안정적인 해외 근무 환경 조성을 위한 현지의 업체를 활용하여 다양한 인사 서비스를 제공하고 이를 위해 개인정보를 해외 제휴 업체나 현지 법인에 이전하게 되는 경우가 많다. 이 때 기업은 반드시 개인정보보호법의 규정을 준수하여야 하며, 이전 대상 국가의 개인정보 보호 수준이 한국 수준과 동등하다는 것을 증명해야 한다. 단순히 근로계약서 등에 개인 정보의 국외이전 동의를 명시한 것으로는 해결되지 않는다. 개정된 시행령에 의하면 이러한 동의는 고용주와 피고용인 사이에 동등한 관계가 성립된 명시적 동의로 인정받기 어려우며, 개인의 건강 등과 연관된 민감데이터의 경우 변동 시에 매번 개별 동의 확보가 필수적이기 때문이다.

■국내 대형 건설사 등 EPC 매출의 최대 3%의 과징금 우려

대표적인 예를 들어 보자. 대형 건설사들은 해외 EPC 프로젝트를 수주하면서 현지의 채용자와 파견자들을 대상으로 해외 의료비 지원과 긴급 이후송 서비스를 제공하고 있다. 현행의 중대재해법 하에서는 본사의 지배운영관리를 받는 해외 현장에서 본사의 책임을 강구하기 위하여 안전과 보건 조치는 필수적인 사항이다. 그러나 현지 근로자의 건강관리를 위해 한국에서 받은 검진 결과 등을 해외 업체에 전달하거나 의료비 지원을 위해 진료 결과를 첨부한다면 문제가 된다. 또한 안전상, 건강상의 긴급 상황이 발생하여 본국으로 이후송하기 위해 항공권을 제공하거나 에어 앰뷸런스를 부르는 것도 문제가 된다. 개인정보보호법상 개인의 의료 정보나 여권정보는 모두 추가적인 동의가 필요한 민감 정보이거나 고유 식별 정보이다.

이를 위반할 시엔 즉각적인 개인정보의 국외 이전이 중단되고 과실의 경중에 따라 전체 매출의 최대 3%의 과징금이 부과되며 매출이 없는 경우 최대 20억까지 정액 과징금이 부과될 수 있다. 위탁 업체를 통해 해당 업무를 처리해도 회수 파기에 대한 관리가 이뤄지지 않는다면 정보 제공자인 본사의 책임을 회피할 수 없다. 기업 내 관리부서를 분리하여 인적사항에 대한 정보와 보건 안전에 대한 정보를 별도 분리 보관한다 할지라도 개인정보의 민감도는 낮아지지 않는다.

■ISMS-P 인증을 통해 안전한 관리 필요

이러한 문제를 피하기 위해서는 어떻게 해야 할까? 김앤장 법무법인의 이병남 고문은 “개인정보보호위원회에서 고시한 ISMS-P 인증을 획득하였다면 개정된 법 28조의8에 의한 개인정보의 국외 이전에 대한 적법요건을 갖추게 된 것이다.”라고 코멘트하며 개인정보보호법 안에 해답이 있다고 말한다.

실제로 개인정보 보호 위원회는 ISMS-P 인증을 획득하였다면 북미의 CBPR보다 상위의 안정성을 보유하고, 유럽의 GDPR과 동등한 안정성 보호 조치를 보유한 것으로 본다. ISMS-P 인증은 개인정보 보호 체계, 정보주체 권리보장 범위 측면에서 적어도 글로벌 스탠다드와 동등한 수준 이상의 관리체계를 갖춘 경우에만 부여하기 때문이다.

해외 임직원의 안전과 보건을 위탁 관리하기 위해서는 적법한 업체를 선정하는 것도 방법이다. 특히 개인정보를 빈번하게 다루는 주재원 보험, 해외 의료지원, 항공 발권에 관련된 업체와는 반드시 개인정보 관리에 관한 별도의 계약을 체결하여 유출을 방지해야 한다. 특히 여권 사본이나 의료기록 같은 정보가 회수 파기되어 있는지 관리 감독이 필요하다.

최근 생성형 AI 기술이 급격히 발달하면서 전 세계가 다양한 경로로 개인정보를 취득하기 위하여 경쟁하고 있다.
생성형 AI 모델은 실제 데이터를 기반으로 학습하기 때문에, 모델 학습에 사용되는 데이터에 개인 식별 정보가 담긴 여권 정보나 의료 기록 같은 개인정보가 포함되어 있을 경우 악의적인 사용자에 의한 정보 유출 가능성이 높다. 개인정보의 국외이전 제한은 이러한 부작용을 막고 글로벌 데이터 경쟁력을 제고하기 위한 장치이다.
기업들은 이러한 법의 변화를 가장 먼저 대응하여 경쟁력을 높여야 한다.

※ 저작권자 ⓒ 파이낸셜뉴스, 무단전재-재배포 금지

fnSurvey