"EU와 공동연구 쉬워지겠네"…자유로운 개인정보 이전 체계 구축

한국, EU 개인정보 보호 '동등성 인정'
총 30개국에 개인정보 이전 가능해져
"양측의 데이터 협력 더욱 강화될 것"

오늘(16일)부터 국내 소재 기업이나 공공기관이 직원이나 고객 등의 개인정보를 유럽연합(EU)에 소재한 지사나 다른 기업 등에 이전하는 것이 본인 동의 등의 추가 요건 없이도 가능해진다.

고학수 개인정보보호위원회 위원장(오른쪽)이 16일 서울 용산구 그랜드 하얏트 서울에서 개최된 '글로벌 프라이버시 총회(GPA)'에서 EU 민주주의·사법·법치 및 소비자 보호 담당 마이클 맥그라스 집행위원과 함께 한-EU 상호 동등성 인정 발표문을 공개했다. 개인정보위 제공

이는 개인정보보호위원회가 EU의 개인정보 보호 수준이 우리나라와 실질적으로 같은 수준이라고 인정한 일명 '동등성 인정'을 한 결과다. 2023년 9월 개인정보 보호법을 개정해 동등성 인정 제도를 도입한 이후 EU가 첫 번째 인정 대상이 됐다.

그간 정보 이전을 하려면 동의 등 별도 요건이 필요해 EU 연구기관과의 가명정보 분석 연구가 제한되고, 이전된 정보의 보호 책임은 정보주체가 부담해야 하는 문제가 있었다.

앞서 2021년 12월 EU지역에서 우리나라로 개인정보의 자유로운 이전을 허용한 EU의 적정성 결정과 함께, 한-EU 양방향으로 개인정보가 자유롭게 이전될 수 있는 체계를 갖추게 됐다. 개인정보 이전에는 제공과 조회, 처리 위탁, EU 지역에 소재한 클라우드에 보관하는 경우 등이 모두 해당된다.

고학수 개인정보위 위원장은 16일 글로벌 프라이버시 총회(GPA) 참석 차 방한 중인 EU 민주주의·사법·법치 및 소비자 보호 담당 마이클 맥그라스 집행위원(장관급)과 함께 이와 같은 내용을 담은 공동발표문을 공개했다.

동등성 인정 제도는 개인정보의 국경을 넘어선 흐름이 일상화된 인공지능(AI)·데이터 시대에 개인정보가 안전하면서도 자유롭게 국가·지역 간 오갈수 있게 하도록 마련된 제도이다. EU의 적정성 결정과 같은 취지이다.

제도 도입 후 전문가와 관계 부처로 구성된 그룹을 구성하고 한-EU 실무회의를 11차례 거쳐 EU의 ▲개인정보 보호체계 ▲정보주체 권리보장 가능성 ▲감독체계 ▲피해구제 절차 등을 살폈다.

이번 동등성 인정에 따라 민간·공공의 개인정보처리자는 EU GDPR을 적용받는 EU 역내 국가 27개국 및 유럽경제지역(EEA)에 포함되는 3개국(노르웨이, 리히텐슈타인, 아이슬란드) 등 총 30개국에 추가적 요건없이 개인정보를 이전할 수 있다. 다만, 이번 동등성 인정은 주민등록번호와 개인신용정보의 이전에 관해서는 영향을 미치지 아니한다.

이번 동등성 인정은 2028년 9월15일로부터 3개월 전에 재검토를 시작해 검토 결과 동등한 수준이 유지되지 않는다고 판단되면 동등성 인정의 변경이나 취소가 가능하다. 또한 이전된 개인정보가 적절하게 보호되지 않아 정보주체의 피해가 발생하거나 발생 우려가 현저한 경우에는 개인정보위가 개인정보 이전의 중지를 명할 수 있다.

고학수 개인정보위 위원장은 "한국과 EU는 민간과 공공 전 영역에서 안전하고 자유로운 데이터 이전 체계가 갖추어진 만큼 앞으로 양측의 데이터 협력이 더욱 강화될 것을 기대한다"고 밝혔다.

김보경 기자 bkly477@asiae.co.kr