교포신문사는 독일에 진출한 기업과 재독 한인들을 대상으로 이충수 개인정보 보호책임자의 개인정보 보호 관련 상식을 격주로 연재한다. 이충수 개인정보 보호책임자는 다년간 국내 기업에서 개인정보 보호책임자(DPO/Datenschutzbeauftragter)로서 근무하였으며, 현재 교포신문의 개인정보 보호책임을 맡고 있다. lee@mygood.company
디지털 기술이 일상에 깊숙이 자리 잡으면서, 우리가 인터넷을 통해 남기는 다양한 정보들이 이전보다 훨씬 더 중요한 자산으로 인식되고 있다. 스마트폰을 통해 위치를 공유하고, SNS에 사진을 올리며, 온라인 쇼핑과 금융 거래를 하면서 우리는 매일같이 수많은 개인정보를 생성하고 공유한다. 이처럼 디지털 환경에서의 활동이 증가하면서 개인정보의 수집, 저장, 처리 방식에 대한 관심과 우려 역시 세계 곳곳에서 커지고 있다. 단순히 정보 유출의 위험을 넘어, 개인의 사생활 침해, 기업의 책임, 그리고 정보 활용의 윤리성에 대한 문제까지 다양한 쟁점이 등장하고 있다.
이에 따라 각국은 자국민의 개인정보를 보호하고, 동시에 국제적 기준에 부합하는 법제도를 마련하기 위한 노력을 꾸준히 기울이고 있다. 그 중심에는 유럽연합의 GDPR이 있으며, 대한민국은 PIPA를 통해 강력한 보호 체계를 구축하고 있다. 여기에 더해 일본, 중국, 미국 등 주요국들도 자국의 상황에 맞는 법적 제도와 정책을 마련하며 개인정보 보호에 나서고 있다.
GDPR: 개인정보 보호의 글로벌 기준
유럽연합(EU)의 개인정보보호법(GDPR: General Data Protection Regulation)은 2018년 5월부터 본격 시행되었으며, 개인정보 보호에 있어 사실상 전 세계적 기준이 되는 법률로 평가받고 있다. GDPR은 EU 시민의 개인정보를 보호하기 위해 고안된 법이지만, 그 영향력은 EU 국경을 넘어 전 세계로 확대되었다. EU 시민에게 서비스를 제공하거나 이들의 데이터를 처리하는 모든 글로벌 기업들이 해당 법의 적용을 받기 때문이다.
이로 인해 페이스북, 구글, 아마존과 같은 거대 기술기업뿐 아니라, 유럽과 거래하는 중소기업들까지 GDPR을 준수해야 하는 상황이 되었다. GDPR의 핵심은 정보주체의 권리 강화에 있으며, 정보주체는 자신의 개인정보에 대해 접근, 정정, 삭제, 처리 제한, 데이터 이동 등의 다양한 권리를 가진다. 기업은 명확하고 구체적인 동의를 받아야 하며, 동의 없이 수집하거나 목적 외로 활용하는 행위는 엄격히 금지된다.
위반 시 최대 2천만 유로 또는 전 세계 연매출의 4% 중 더 큰 금액이 과징금으로 부과될 수 있어, 기업들은 단순한 법적 준수를 넘어, 전사적인 데이터 보호 전략을 수립하게 되었다. 이로 인해 기업 내부의 데이터 거버넌스 체계가 강화되고, 개인정보를 포함한 데이터의 생애주기 전반에 걸친 관리 필요성이 부각되고 있다.
대한민국의 PIPA: 포괄적 보호체계와 국제 기준의 조화
대한민국의 개인정보 보호법(PIPA: Personal Information Protection Act)은 2011년 제정되어 시행된 이래, 지속적인 개정을 통해 국내외 환경 변화에 대응해왔다. PIPA는 공공과 민간 영역 모두를 아우르는 포괄적인 개인정보 보호 체계를 제공하며, 국민의 개인정보 자기결정권을 실질적으로 보장하기 위한 법적 기반을 갖추고 있다.
특히 2020년 개정에서는 독립적인 중앙행정기관인 개인정보보호위원회가 설치되어, 법 집행과 정책 조정의 일관성이 대폭 향상되었다. 이후 2023년 개정을 통해서는 데이터의 안전한 활용과 개인정보 보호 간의 균형을 보다 정교하게 조율하려는 노력이 돋보인다. 예를 들어, 가명정보의 활용을 통한 빅데이터 산업 활성화, 해외 이전에 대한 관리 강화, 정보주체의 열람•삭제 권한 확대 등은 실무 현장에서 매우 중요한 변화로 여겨진다.
또한 대한민국은 2023년 유럽연합(EU)으로부터 개인정보 보호 수준에 대한 적정성 평가(Adequacy Decision)를 통과함으로써, EU와의 데이터 이전이 별도의 추가 조치 없이도 가능해졌다. 이는 대한민국의 개인정보 보호 체계가 GDPR과 동등한 수준임을 국제적으로 인정받은 것으로, 국내 기업들의 유럽 시장 진출에 있어 중요한 기반이 되고 있다.
PIPA는 GDPR과 유사한 수준의 정보주체 권리 보장과 기업 책임 강화를 지향하면서도, 한국의 디지털 환경과 법문화에 맞춘 유연한 접근 방식을 취하고 있다. 특히 기술 변화에 민첩하게 대응하기 위해 시행령과 고시를 통해 실무지침을 구체화하고 있으며, 공공기관의 개인정보 관리도 강화되는 추세다.
전 세계 개인정보 보호 동향
전 세계적으로 개인정보 보호는 단순한 법제도를 넘어, 기업과 정부의 신뢰도, 국제 거래의 기본 조건, 시민의 권리 보장 등과 연결되는 중요한 의제로 떠오르고 있다. 국가마다 구체적인 법 구조는 다르지만, 공통적으로 정보주체의 권리 보호와 데이터 활용의 투명성을 중심으로 정책이 마련되고 있다.
미국은 아직 연방 차원의 통합된 개인정보 보호법은 없지만, 주 단위에서 강력한 법률이 시행되고 있다. 대표적으로 캘리포니아주의 CCPA(California Consumer Privacy Act)는 소비자에게 정보 열람, 삭제, 제3자 제공 거부 등의 권리를 부여하며, 이후 이를 보완한 CPRA(California Privacy Rights Act)를 통해 규제 범위가 확대되었다. 연방 차원에서도 개인정보보호법 제정에 대한 논의가 이어지고 있으며, 최근 몇 년간 그 흐름은 점차 GDPR과 유사한 방향으로 가고 있다.
일본은 ‘개인정보 보호법(APPI)’을 통해 민간과 공공기관 모두에 적용되는 단일한 법체계를 유지하고 있으며, GDPR과의 적정성 평가를 통해 EU와 자유롭게 데이터를 주고받을 수 있다. 2022년 개정에서는 정보주체의 동의 절차 강화, 데이터의 안전한 저장, 그리고 감독기관의 권한 확대 등이 이루어졌고, 기업들의 대응 체계도 빠르게 정비되고 있다.
중국은 2021년 제정된 ‘개인정보보호법(PIPL: Personal Information Protection Law)’을 통해 GDPR 못지않은 엄격한 개인정보 보호체계를 마련하였다. 특히 국외로의 데이터 이전에 대해 국가 보안심사를 요구하고, 처리 목적의 최소화, 명확한 동의 절차 등을 법으로 의무화하고 있다. 이 법은 단순히 개인정보를 보호하는 데 그치지 않고, 국가 안보와 사회 질서의 관점에서 데이터 활용을 통제하려는 중국 정부의 정책 기조가 반영되어 있다.
그 외 아시아, 중남미, 아프리카 등 여러 국가들도 GDPR의 체계를 참조하며 자국의 현실에 맞춘 법제도를 정비하고 있으며, 국제 데이터 이전과 글로벌 비즈니스의 연계를 위한 법적 정합성을 추구하는 노력이 지속되고 있다.
디지털 시대의 공존을 위한 준비
GDPR은 국제적으로 개인정보 보호의 기준을 제시하며, 많은 나라들이 이를 참고하여 자국의 법제를 발전시키고 있다. 대한민국은 PIPA를 통해 GDPR과 유사한 수준의 보호 체계를 구축하였고, 일본과 중국 역시 각각의 사회적 맥락에 맞는 강력한 개인정보 보호 법제를 도입했다.
이러한 흐름은 단지 법률 개정에 그치지 않고, 개인정보의 자기결정권과 투명성, 기업의 책임성을 강화하는 방향으로 이어지고 있다. 결과적으로 이는 데이터 경제 시대의 기반이 되어, 안전하고 신뢰할 수 있는 디지털 생태계를 만들어가는 데 중요한 역할을 하게 될 것이다.
[연재 예고]
앞으로 이 연재에서는 일상에서 자주 마주치는 개인정보 관련 사례들을 중심으로, 우리가 꼭 알아야 할 디지털 에티켓을 하나씩 소개해 나갈 예정이다.
실생활 속에서 개인정보를 어떻게 다뤄야 할지 고민하는 분들에게 작지만 실용적인 도움이 되기를 바랍니다.
1415호 16면, 2025년 6월 20일