데이터 3법의 통과로 핀테크 업계에 훈풍이 불고 있습니다. 데이터 3법의 통과는 EU의 GDPR과도 밀접한 관련이 있는데요, EU가 GDPR과 같은 수준의 개인정보보호 제도를 갖춘 나라를 ‘적정성 결정 국가’로 인정해 별도 인가 없이 개인정보를 외부로 이전할 수 있도록 허가하고 있기 때문입니다. 애초 EU는 2년의 적용 유예기간을 뒀으며, 대한민국이 오는 5월까지 적정성 결정 국가로 인정되지 못하면 개별 기업이 GDPR을 충족하는 인증을 갖춰야 하는 번거로움을 감당해야 하기 때문이죠. 데이터 3법의 통과로 GDPR의 적정성 결정 국가 인정에 대한 기대가 한층 올라가고 있습니다.

그렇다면 GDPR은 정확하게 무엇을 말하며, 어떻게 적용이 되는지, 이에 따른 변화가 무엇인 지 알아보도록 할까요?

GDPR의 정의

GDPR은 2018년 5월부터 시행된 EU의 개인정보보호 법령으로, 정보주체의 권리와 기업의 책임성 강화, 개인정보의 EU역외이전 요건 명확화 등을 주요 내용으로 합니다. GDPR의 제정 목적은 1) 디지털 단일시장에 적합한 통일되고 단순화된 프레임워크, 2)권리와 의무 강화, 3) 현대화된 개인정보보호 거버넌스 체계 마련입니다. 표면적으로는 기업이 강력하게 고객의 개인정보를 보호해야 한다는 규제로 인식되지만 사실 개인의 데이터 결정권을 기업이 아닌 개인에게 돌려준다는데 더 큰 의미가 있습니다.

GettyImages-1158918407-1

출처: Getty Images

GDPR제정 전후 비교

EU는 Data Protection Directive (DPD 95/46 EC) 를 1995년 부터 채택 및 시행해 왔습니다. 하지만, 각 회원국 법령간 규제의 수준 차이가 발생했고 DPD제정 이후로 인터넷 기술환경이 급격하게 변화되어 왔기 때문에 법령의 변화가 필요했습니다.

​이러한 필요에 의해 2012년 GDPR (General Data Protection Regulation)이 처음으로 제안된 이후, 4년 간의 합의를 거쳐 2016년 채택, 2018년부터 시행되었습니다. 이로 인해 모든 EU회원국에게 직접적으로 적용이 가능해졌으며, 회원국간 통일된 법 적용 및 규제가 가능해 진 것입니다.

​GDPR 시행 이전, 개인정보는 기업의 책임이었으며, 정보주체 (개인)의 권리는 열람 청구권 까지였고, 개인정보 관리 부주의로 인한 과징금 또한 회원국 별 자체 법규에 따라 부과되었습니다. GDPR의 시행 이후로 개인정보에 대한 기업의 책임이 강화되었으며 정보주체 (개인)의 정보이동권 등에 대한 권리가 강화되었고, 모든 회원국이 통일된 기준으로 과징금을 부과할 수 있게 되었습니다.

Screen-Shot-2021-03-18-at-10.16.46-AM-1

출처: 행정안전부

하지만, GDPR 역시 30개 이상의 영역에서 회원국 개별 조항 제정을 허용하여 해당 항목들에 대한 회원국 간 다양한 해석과 시행이 가능합니다. 때문에, 회원국 간 세부적이고 절차적인 면에서 중대한 차이가 발생할 가능성은 여전히 존재하죠.

GDPR적용대상 및 범위

​GDPR은 EU 내 사업장을 운영하고, 개인정보 처리를 하는 모든 기업에게 적용이 됩니다. EU국적이 적용대상이 아니기 때문에 EU국적자의 개인정보가 한국에서 수집되거나 처리되지 않는 경우, GDPR이 적용되지 않을 수 있지만 한국인의 정보가 EU역내에서 수집되거나 처리되면 EU거주자에 해당되어 GDPR이 적용될 수 있는 것입니다.

GettyImages-1185388154-1

출처: Getty Images

또한 EU지역에 사업장은 없지만 인터넷 홈페이지를 통해 EU거주 주민에게 재화나 서비스를 회원국의 언어로 구성하고 유로화로 유통할 경우 명백한 타겟팅의 근거가 됩니다. 하지만, 영어 및 달러화만을 활용할 경우 GDPR의 규제대상이 되지 않을 수 있습니다.

​덧붙여, 한국에서 사업을 운영한다 해도 EU주민의 행동을 모니터 하는 기업에게도 적용된다고 합니다. 특히나 EU주민의 민감한 정보 (건강, 유전자, 범죄경력 등)를 처리하거나, 아동의 정보를 처리하는 기업과 공개적으로 접근 가능한 장소에 대한 대규모의 체계적인 모니터링을 하는 기업 (ex. CCTV)이 해당하기 때문에 특별히 주의를 요한다고 합니다.

GDPR에 따른 기업의 책임 강화

GDPR은 전문지식을 갖춘 개인정보보호 책임자 (DPO, Data Protection Officer) 의 지정이 요구되며, 민감한 정보를 대규모로 처리하는 기업 등의 경우에는 개인정보 영향평가가 실시되어야 합니다. GDPR을 준수하고 있음을 입증하기 위해 개인정보 처리활동에 관한 기록도 유지해야 하죠.

GettyImages-1130879523-1

출처: 행정안전부

EU외 지역에서 EU주민의 개인정보를 대규모로 처리하는 경우엔 EU역내에 대리인을 지정해야 하고, 해킹 등 유출사고 발생 시 감독기구에 신고하고, 중대한 위험 가능성이 있는 경우에는 정보주체에게 통지해야 합니다. 또한, 정기적인 검사 및 평가 등 적절한 기술 및 관리 조치가 이행되어야 하고, 정보주체의 권리 보장을 위한 절차가 마련되고 이행되어야 하는 등 기업의 책임이 이전보다 강화되었습니다.

GDPR에서는 정보주체인 개인의 권리 또한 대폭 강화되었는데요, 처리제한권과 정보이동권이 신설 되었으며 삭제권과 프로파일링 거부권이 강화되었습니다.

Screen-Shot-2021-03-18-at-10.17.50-AM-2

출처: 행정안전부

GDPR은 가이드라인 수준이 아니라 명확하고 강제적인 법 규정으로 이를 위반할 경우 전년도 전 세계 매출의 최대 4% 또는 2천만 유로 중 큰 금액의 벌금이 부과될 수 있습니다. 무엇보다 GDPR은 개인정보의 암호화와 가명 처리 등의 안전조치 마련, 독립 감독 기구 운영 등이 핵심이 되는 법안으로 국내외 핀테크 산업에 적지 않은 영향을 미치기 때문에, 이에 대응하기 위해 국내에서도 데이터 3법의 시행을 앞두고 있죠. 다음 포스팅에서는 핀테크 산업에서 데이터 이슈와 관련하여 많이 회자되는 GDPR과 PSD2 (2차 지급결제 서비스)의 관련성과 특징에 대해 알아보도록 하겠습니다.

210304-blog-banner@2x-12