유럽연합(EU)의 강력한 개인정보 보호법(GDPR)이 지난 달 25일부터 시행되면서 국내 기업의 현지 사업에 제약이 생겼지만 이를 해소하기 위한 국내 관련법 개정안은 국회에서 ‘낮잠’을 자고 있어 논란이다. 국내 기업이 유럽 지역에서 개인정보를 수집해 사업에 활용하려면 한국 정부가 EU 집행위원회로부터 일종의 개인정보 보호 체계의 인증인 ‘적정성 평가’를 받아야 하는데 국회의 입법 미비로 조건을 맞추지 못하고 있기 때문이다.
17일 방송통신위원회와 국회 과학기술정보방송통신위원회에 따르면 기업이 해외에서 가져온 개인정보를 제3국으로 다시 이전할 때 동의를 받도록 규정하는 내용의 ‘정보통신망 이용촉진 및 정보보호 등에 관한 법률’ 개정안이 정부에 의해 발의된 후 무려 1년 3개월 동안 입법부에서 논의되지 못한 것으로 나타났다. 박대출 자유한국당 의원도 지난 3월 비슷한 내용의 정보통신망법 개정안을 대표 발의했지만 논의 주체인 국회 과기방통위에 상정 조차 되지 않은 상황이다.
재이전 보호 규정은 EU 집행위의 개인정보 보호 적정성 평가 통과를 위해 반드시 법적으로 완비해야 하는 내용이다. EU 집행위는 자체 적정성 평가를 통과한 국가의 기업에게만 기존에 수집한 역내 시민의 개인정보를 역외 지역으로 이전하도록 허용하고 있다. 만약 적정성 평가를 통과하지 않은 국가의 기업이 EU 시민의 개인정보를 역외로 이전하려면 사용자의 동의를 일일이 받는 수고로움을 감수할 수밖에 없다.
게다가 이를 어기면 GDPR 규정에 따라 해당 기업은 전 세계 매출액의 2% 또는 4%에 달하는 막대한 과징금을 EU 집행위에 물어야 해 큰 부담이 된다. 지금까지 EU 집행위의 개인정보 보호 적정성 평가를 통과한 국가는 미국 등 총 12개국이며 한국과 일본이 절차를 밟고 있다. 한국보다 일찍 EU 집행위와 논의를 시작한 일본은 이르면 다음 달 초 적정성 평가에서 통과될 것으로 전해졌다. 김재영 방통위 이용자정책국장은 “범정부 차원에서 EU 집행위와 적정성 평가를 논의해왔는데 대부분 조건은 충족돼 정보통신망법에 개인정보 재이전 관련 보호 조처를 명시하는 일만 남았다”고 설명했다.
이에 따라 방통위는 정보통신망법 개정안의 하반기 처리를 최우선 과제로 설정하고 국회 논의 과정에 참여한다는 방침이다. 방통위는 6·13 전국 동시 지방선거가 마무리 된데다 여야 이견이 없는 내용이어서 정보통신망법 개정안의 통과 가능성을 높게 보고 있다. 국회 통과가 이뤄지면 연내 정부 최고위급 인사가 EU 집행위를 방문해 관련 절차를 마무리할 예정이다.
이효성 방송통신위원장은 “EU 집행위의 개인정보 보호 적정성 평가를 통과하면 국내 기업이 유럽 내 개인정보를 한국과 제3국으로 자유롭게 이전할 수 있어 사업 추진이 한결 수월해질 것”이라면서 “여야가 합의해서 중소·벤처기업이 해외에서 겪는 어려움을 서둘러 해소해주길 기대한다”고 강조했다.
/지민구기자 mingu@sedaily.com
< 저작권자 ⓒ 서울경제, 무단 전재 및 재배포 금지 >