◎ GDPR, 고객의 사생활 보호

개인정보 유출 사건 소송은 기업에 유리한 판례가 대부분이다. 문제를 일으킨 기업들은 사과와 함께 피해 보상을 약속했지만 그간 국내 소송에서의 최대 보상액은 개인당 10만 원에 불과했다. 그나마 소송에 참여하지 않은 피해자들은 보상조차 받지 못했다.

외국의 상황도 크게 다르지 않다. 미국 유통기업 타깃의 경우 2014년 해킹으로 1억 건이 넘는 개인정보가 유출됐다. 타깃 측은 피해 고객들에게 ‘신용 확인 절차를 무상으로 지원했고 유출된 카드를 교체해주는 서비스를 제공했다’며 앞으로 정보가 남용될 소지를 논하는 것은 ‘사실상의 피해 여부’에 해당되지 않는다고 주장했다. 2006년 판결난 민간 데이터 기업 액시엄의 16억 건 고객 정보 유출 사건 역시 ‘사실상의 피해 여부’ 검열을 통과하지 못했다. 고객들은 사회보장번호, 전화번호 등의 개인정보가 유출돼 스팸메일과 스팸전화에 시달렸지만 주 연방법원은 이를 피해라고 보기 어렵고 명의 도용의 가능성 역시 피해라고 규정지을 수 없다고 판결한 것이다.

보다 실효성 있는 정보보호를 위해 유럽이 도입한 제도가 바로 GDPR(General Data Protection Regulation, 일반정보보호 규정)이다. 올해 5월 25일부터 발효된 GDPR은 유럽연합의 개인정보보호법이다. 기업이 고객의 정보를 사용하려면 동의를 얻어야 하고 권리를 침해한 경우 72시간 내에 감독기관에 알려야 한다. 이를 위반한 기업은 글로벌 매출액의 4% 또는 2,000만 유로(약 260억 원) 중 높은 금액을 벌금으로 내야 한다. EU회원국은 물론 EU에 법인이나 지점이 있는 외국기업, 유럽 시민에게 서비스 및 제품을 공급하는 외국 기업에도 적용된다.

GDPR은 정보 주체의 개인정보 자기결정권을 보장하기 위한 ‘개인정보 제공 사전 동의 규정’이 보강됐다. 프로파일링*에 의한 의사결정 거부권, 잊힐 권리, 자기정보 이전권 등이 그것이다. GDPR은 개인정보보호 외에 EU기업의 경쟁력 강화까지 목표로 하고 있다. 개인정보를 위탁 받아 서비스를 제공하는 업체를 선택할 수 있는 자기정보 이전권은 스타트업과 중소기업의 빅데이터 역량 고취에 큰 도움이 될 것으로 예상되기 때문이다. 즉 GDPR은 미래 사회 핵심자산인 데이터 선점 싸움에서 미국에 주도권을 뺏기지 않으려는 EU의 노력 중 하나이기도 한 것이다.

◎ 아이캔-에팍재판, 필요한 정보만 최소한 수집

GDPR이 발효된 지 4일 후인 5월 29일, 독일 본(Bonn)에서는 GDPR 적용 여부를 둘러싼 첫 재판이 열렸다. 원고는 세계 각국을 대상으로 IP주소 배급을 관장하는 비영리기구 아이캔(ICANN), 피고는 도메인*등록 대행업체이면서 아이캔의 서비스 사용자이기도 한 에팍(EPAG)이었다. 아이캔의 다양한 서비스 중 하나인 후이즈(WHOIS)는 인터넷 IP 보유자의 기본정보가 담긴 데이터베이스를 기반으로 서비스 이용자가 특정 IP주소 보유자의 정보에 대해 질문하면 답해주는 프로토콜이다. 이를 위해 후이즈는 IP주소를 등록하려는 사용자에게 이름, 주소, 전화번호, 이메일 등을 요구한다. 이때 IP 등록업체 대표뿐 아니라 관리자, 기술 책임자, 연락처까지 제공해야 한다. 도메인을 받기 위해 이런 정보까지 다 제공해야 하나 싶은 사용자들이 분명히 있을 테지만 지금까지 별다른 이의를 제기하지 못하고 넘어갔던 것이다. 에팍은 후이즈 시스템을 사용해온 고객으로 EU국가 중 GDPR을 앞장서서 실천하고 있는 독일이 주된 시장이다. 따라서 에팍은 GDPR을 위반하면 엄청난 벌금을 물게 되는 만큼 관리·기술 책임자의 정보 수집을 못하겠다고 선언했고, 아이캔은 ‘에팍의 행동은 명백한 계약 위반’이라며 에팍을 독일 본의 지방법원에 고소하게 된다.

독일 법원은 이튿날인 30일에 판결을 내렸다. ‘GDPR이 발효된 이상 향후 고객 정보는 꼭 필요한 것만 최소한으로 수집하겠다’는 에팍의 입장이 계약 위반이 아니라는 것이었다. GDPR이 과연 얼마나 실효성을 가질까 하며 재판을 예의 주시하던 IT 서비스 업체들에게 보내는 경고 메시지였다.

◎ 국내 개인정보보호 강화

GDPR은 1995년부터 시행된 EU의 개인정보보호지침을 수정, 보완한 후 법령화한 것이다. 우리의 개인정보보호법은 EU의 개인정보보호 지침사항을 참조해 제정한 것이라 GDPR과 거의 비슷한 골격을 가지고 있다. 국내 개인정보보호법처럼 GDPR도 개인정보의 정의와 범위를 폭넓게 규정하고 있다. 다만 GDPR은 개인정보 처리의 동의를 필요할 때만 받게 돼 있고 개인정보 주체는 그 동의를 언제든 철회할 수 있다. 그래서 EU에서는 동의 여부에 근거한 개인정보 활용 빈도가 낮다. 동의를 개인정보 처리 원칙처럼 다루는 한국과는 상반된다.

개인정보 처리의 주체가 정보를 제공하는 사용자인 만큼 GDPR은 기업을 개인정보의 수탁자 개념으로 보고 있다. 기업이 위탁자의 업무와 책임을 상당 부분 대신하도록 규정하고 있는 우리 법하고는 다른 지점이다. 즉 GDPR은 개인정보에 대한 법적인 모든 책임이 행위의 주체에 있다고 보는 것이다.

우리 정부와 유관기관들은 지난 2년 동안 GDPR 발효에 철저히 대비해 왔다. 행정안전부는 한국의 개인정보보호법이 유럽의 것을 참고해서 만들어진 만큼 국내 법률을 성실히 준수해 온 기업이라면 EU의 개인정보보호 방침에서 바뀐 규정을 중심으로 대응하고, 현재 EU 집행부의 세부 가이드라인 수립이 늦어지고 있는 만큼 EU 집행부의 움직임을 지켜봐야 할 필요가 있다고 했다. 또한 정부는 관련 부처를 중심으로 GDPR 대응을 위해 기업 인식 제고, 교육 상담 등 다방면의 지원책을 내놓고 있다.

고객은 사생활을 보호 받을 권리가 있다. 고객의 사생활 보호를 위해 명쾌한 법적 기준을 제시하고 있는 GDPR은 보안 윤리의식이 낮은 우리 기업들이 글로벌 시장에서 성공적인 비즈니스 활동을 위한 주요한 지침이 될 것이다.

GDPR 관련 문의사항은 무역협회, KOTRA, 중소기업수출지원센터, 중소기업중앙회 등에서 운영하는 애로사항 접수창구를 이용할 수 있고 전문적인 상담은 한국인터넷진흥원에서 제공하는 상담 서비스를 활용하면 된다.

*스미싱(smishing) : SMS와 phishing(민감정보 수집을 위한 사기수법)의 합성어로, 인터넷주소를 클릭하면 악성코드가 설치되는 휴대폰 해킹 기법
*프로파일링(profiling) : 자료수집을 뜻하는 말
*도메인(domain) : 숫자로 이루어진 인터넷주소를 알기 쉬운 영문으로 표현한 것

---

참고

• 참고자료링크
• 참고자료링크
• 참고자료링크
• 참고자료링크
• 참고자료링크
• 참고자료링크
• 참고자료링크
• 참고자료링크