정수연(EU 개인정보보호 협력센터장)
위 금액은 지난 5월 아일랜드 개인정보 감독기관(Data Protection Commission, 이하 DPC)이 미국의 대표적인 소셜 네트워크 기업인 Meta에게 GDPR의 개인정보 역외이전을 위한 추가적 보호조치 위반(GDPR 제46조)에 따른 과징금으로 부과한 금액이다. 약 1조 7300억 원에 달하는 해당 과징금은 GDPR 시행 이래 부과된 가장 높은 과징금이다.
GDPR과 역외이전
Meta에 대한 DPC의 처분을 이해하기 위해서는 GDPR 내에서의 개인정보 역외이전에 대한 이해가 전제되어야 한다. EU는 견고한 법적 테두리를 만들어 높은 수준으로 개인정보를 보호하는 동시에 울타리 내에서는 개인정보를 자유롭게 이전하고 처리할 수 있는 환경을 조성하기 위해 GDPR을 제정했다.
EU는 GDPR의 울타리 밖, 즉 GDPR이 요구하는 수준의 보호 수준이 보장되지 않는 곳으로의 개인정보 역외이전을 원칙적으로 허용하지 않는다. 단, GDPR이 요구하는 추가적 보호조치를 취한 경우에 한정하여 개인정보의 역외이전을 허용하고 있다.
추가적 보호조치를 포함하여 개인정보 역외이전에 대해 GDPR은 제5장(제44조~49조)에서 규정하고 있다. 개인정보 역외이전을 허용하는 조건은 1. 적정성 결정, 2. 적정성 결정 외 적절한 보호조치에 의한 이전, 3. 특정 상황에 대한 예외 등 3가지가 있다.
두 번째 적정성 결정 외 적절한 보호조치로는 ① 표준계약조항(SCCs), ② 구속력 있는 기업규칙(BCRs), ③ 행동규약, ④ 인증 메커니즘 등이 있다. 이중 가장 많이 활용되고, 대표적인 조치는 표준계약조항(Standard Contractual Clauses)이다. 보다 상세한 내용은 ‘우리 기업을 위한 EU 일반 개인정보 보호법 가이드북 2022 개정판’에서 확인할 수 있다.
아일랜드 DPC vs Meta
다시 Meta의 사례로 돌아와서,
2016년 EU에서 수집된 개인정보를 미국으로 이전할 수 있도록 EU와 미국은 프라이버시 쉴드(EU-US Privacy Shield)를 체결했다. 하지만, 유럽사법재판소(CJEU)는 프라이버시 쉴드에 근거하여 미국으로 이전된 개인정보는 GDPR에서 요구하는 수준의 충분한 보호를 받지 못하며, 특히 미국의 법 집행 기관(예, 영장을 사용하는 연방 기관 등)이 개인정보 처리자에게 정보주체의 동의 없이 개인정보를 공개하도록 강제할 수 있는 점 등을 근거로 프라이버시 쉴드를 무효화(2020.7.16.)했다. 이에 따라 EU에서 미국으로 개인정보를 이전하는 많은 기업에서는 표준계약조항을 근거로 개인정보 역외이전을 진행했다.
표준계약조항은 EU에서 수집된 개인정보를 역외로 이전하기에 앞서, 적절한 보호 체계와 수단이 제공될 수 있도록 하기 위한 표준화 된 계약으로, EU 집행위는 개인정보를 이전하는 기업·기관 등을 위해 표준 양식(4종)을 개발하여 공식 홈페이지에 공개하고 있다.
프라이버시 쉴드 무효 판결 후, DPC는 Meta의 개인정보 역외이전에 대한 조사를 진행했다. 해당 조사에서 Meta는 표준계약조항을 기반으로 개인정보를 이전하고 있다고 밝혔다. 하지만 DPC는 Meta가 개인정보 역외이전을 위해 체결한 표준계약조항으로는 정보주체의 기본권과 자유를 보호하고 이와 관련한 위험을 해결하기 충분하지 못함을 지적하며, GDPR 제46조(적정성 결정 외 적절한 보호조치에 의한 이전)를 위반했다 판단했다. 이에 따라 DPC는 Meta에 과징금 12억 유로를 부과하고, 결정이 통보된 날로부터 5개월 이내에 미국으로 개인정보 전송을 중단하라는 명령을 내렸다.
이번 Meta의 사례를 통해 개인정보 역외이전의 조건으로 표준계약조항은 불완전할 수 있음을 확인할 수 있었다.
적정성 결정(adequacy decision)
EU 집행위는 적정성 결정을 가장 효과적이고 효율적이며, 포괄적이라고 평가한다.
적정성 결정은 EU 집행위가 제3국의 개인정보보호 수준이 EU와 비교하여 적정한 수준인지를 검토하여 내리는 결정이다. 적정성 결정을 위해 EU 집행위는 제3국의 법치주의, 인권과 기본권의 존중 여부, 정보주체의 권리가 효과적으로 보호받는지, 제3국에 독립적인 개인정보보호 감독기관의 존재 여부와 역할·기능 등을 분석하고 검토한다. EU 집행위의 적정성 결정을 지원하기 위해 제3국의 감독기관이 카운트 파트너로서 대응하는데, 우리나라의 경우 개인정보보호위원회가 그 역할을 맡았다.
EU 집행위에서 제3국이 EU의 수준과 비교하여 적정한 수준의 개인정보보호를 제공한다고 판단하여 적정성 결정을 채택하면 EU에서 수집된 개인정보는 제3국의 기업이나 기관으로 추가적 보호조치 없이 이전될 수 있다. 하지만 개인정보를 처리하는 기업·기관 등은 개인정보 처리에 대한 각자의 역할 즉, 컨트롤러·프로세서로서의 의무와 책임을 지며, GDPR의 주요 원칙을 준수해야 한다.
현재까지 EU의 적정성 결정을 받은 국가로는 안도라(Andorra), 아르헨티나(Argentina), 캐나다(Canada), 페로 제도(Faroe Islands), 건지(Guernsey), 이스라엘(Israel), 맨섬(Isle of Man), 일본(Japan), 저지(Jersey), 뉴질랜드(New Zealand), 대한민국(Republic of Korea), 스위스(Switzerland), 영국(the United Kingdom), 우루과이(Uruguay)가 있으며, 지난 7월 승인된 EU와 미국의 데이터 프라이버시 프레임워크 협정 역시 적정성 결정의 일환으로 볼 수 있다.
우리 정부는 EU에 진출한 한국기업의 개인정보 역외이전에 따른 추가적 부담을 완화하기 위해 2017년부터 EU 집행위와 적정성 결정을 위한 실무협의를 진행해온 결과, EU 집행위는 2021년 12월 GDPR 시행 후 일본·영국에 이어 세 번째 국가로 우리나라의 적정성 결정을 최종 통과했다.
이로써 EU에서 수집된 개인정보를 한국으로 이전하기 위해 개별적으로 진행해야 했던 추가적 보호조치 즉, 표준계약조항 등 없이도 개인정보를 이전할 수 있게 됐다.
EU의 GDPR과 한국의 개인정보 보호법은 정보주체의 권리를 보호하고 개인정보 처리자의 책임과 의무를 강조하며, 궁극적으로 안전한 개인정보 처리를 통해 더 나은 사회로의 발전을 추구하는 등 많은 부분 서로 닮았지만, 사회적·문화적 차이로 법을 구현하고 적용하는 부분에서 다소 차이가 있다.
이러한 차이를 보완하여 EU의 정보주체의 권리를 보호하고, 개인정보를 이전하고 이전받는 기업을 위해 개인정보보호위원회는 ‘한국으로 이전된 개인정보의 처리와 관련한 ’개인정보 보호법‘의 해석과 적용을 위한 보완규정(고시)’을 마련했다. EU로부터 개인정보를 이전받는 기업은 해당 규정에 대한 준수 의무가 있음을 명심해야 한다.
지난해 9월 개인정보보호위원회는 구글과 메타에 개인정보 불법 수집에 대해 시정명령과 각각 692억원과 308억원의 과징금을 부과했다. 이는 한국의 개인정보보호법 위반으로 부과된 과징금 중 가장 큰 규모에 해당된다.
글로벌 빅테크 기업에 대한 규제 강화는 몇몇 국가만의 이슈가 아니다.
스마트폰의 보급과 인터넷의 일상화로 인해 개인정보와 같은 데이터를 매개로 하는 글로벌 빅테크 기업은 이미 온라인 시장을 장악하고 있다. 감독기관들은 안전한 규제의 테두리 안에서 글로벌 빅테크 기업을 관리·감독하기 위해 글로벌 협력을 강조·강화하고 있다.
긴밀한 감독기관 간 협력을 통해 글로벌 개인정보보호 수준의 향상과 정보주체와 기업의 개인정보보호 인식 제고를 통해 전 세계 어디서나 안전하고 신뢰할 수 있는 환경에서 소중한 개인정보가 처리될 수 있는 그런 세상이 어서 도래되길 간절히 바라본다.
개인정보보호위원회와 한국인터넷진흥원은 독일 에쉬본에 EU 개인정보보호 협력센터를 설립(‘21.11.10.)하여, 우리 기업의 개인정보보호 활동을 지원하고 있습니다.
이번 기고에서 언급된 ‘우리기업을 위한 EU 일반 개인정보보호법 가이드북 2022 개정판은 GDPR 대응지원센터 홈페이지(https://gdpr.kisa.or.kr/)에서 확인하실 수 있습니다.
o GDPR 대응지원센터 홈페이지 → 자료실 → 가이드북
1328호 17면, 2023년 8월 25일