한-EU, 개인정보 이전체계 구축

한국과 유럽연합(EU)이 자유로운 개인정보 이전체계를 구축했다. 국내 기업·공공기관이 직원·고객 개인정보를 EU에 소재한 지사나 다른 기업 등에 이전하는 것이 본인 동의 등의 추가적 요건 없이도 가능해졌다.

고학수 개인정보보호위회 위원장은 16일 열린 글로벌 프라이버시 총회에서 마이클 맥그라스 EU 민주주의·사법·법치 및 소비자 보호 담당 집행위원과 함께 이와 같은 내용을 담은 공동언론발표문을 공개했다.

2023년 9월 개인정보 보호법을 개정으로 동등성 인정 제도를 도입된 뒤 EU가 그 첫 번째 인정 대상이 된 것이다. EU는 2021년 12월 EU지역에서 우리나라로 개인정보의 자유로운 이전을 허용한 EU의 일반개인정보보호법(GDPR) 적정성 결정과 함께 한-EU 양방향으로 개인정보가 자유롭게 이전될 수 있는 체계를 갖추게 됐다.

동등성 인정 제도는 개인정보의 국경을 넘어선 흐름이 일상화된 인공지능(AI)·데이터 시대에 개인정보가 안전하면서도 자유롭게 국가·지역 간 오갈 수 있게 하도록 마련된 제도이다. EU의 적정성 결정과 같은 취지이다.

개인정보위는 법률·산업계 전문가, 시민단체 등이 참여한 동등성 태스크포스(TF)와 국외이전전문위원회, 11차례의 한-EU 실무회의 등을 통해 EU의 △개인정보 보호체계 △정보주체 권리보장 가능성 △감독체계 △피해구제 절차 등을 검토했다.

이번 동등성 인정으로 개인정보 제공, 조회 가능, 위탁 처리, EU 지역 클라우드 보관 등 다양한 형태의 이전이 가능하다. 다만 주민등록번호와 개인신용정보 이전은 불가능하다.

이번 동등성 인정에 따라 민간·공공의 개인정보처리자는 EU GDPR을 적용받는 EU 27개 회원국 및 유럽경제지역(EEA)에 속한 3개국(노르웨이, 리히텐슈타인, 아이슬란드) 등 총 30개국에 추가적 요건없이 개인정보를 이전할 수 있게 됐다. 국외이전 비용부담도 대폭 줄어든다.

EU 회원국에서 개인정보 침해가 발생한 경우 정보주체가 해당 회원국에 조사 및 처분을 요청할 수 있도록 하고, 해당 정보주체가 어려움을 겪는 경우에는 개인정보위가 유럽집행위원회(EC) 또는 유럽개인정보이사회(EDPB)의 도움을 받아 대신 요청하고 그 결과를 받을 수도 있도록 협의했다.

이번 동등성 인정은 이날 16일부터 효력이 발생한다. 3년이 되는 날인 2028년 9월 15일 3개월 전에 재검토를 시작해 검토 결과 동등한 수준이 유지되지 않는다고 판단되면, 동등성 인정의 변경이나 취소가 가능하다. 또한 이전된 개인정보가 적절하게 보호되지 않아 정보주체의 피해가 발생하거나 발생 우려가 현저한 경우에는 개인정보위가 개인정보 이전의 중지를 명할 수 있다.

고학수 개인정보위 위원장은 “한국과 EU는 민간과 공공 전 영역에서 안전하고 자유로운 데이터 이전 체계가 갖추어진 만큼 앞으로 양측의 데이터 협력이 더욱 강화될 것을 기대한다”고 전했다.