검색
LAW&스마트

유럽연합의 적합성평가 제도

전응준 변호사 (법무법인 유미)

유럽연합(EU)의 개인정보보호법제는 EU시민의 개인정보가 EU 역외로 이전되는 요건으로서 역외 이전에 관하여 정보주체의 명백한 동의가 있는 경우뿐만 아니라 EU 집행위원회가 이전받는 국가의 개인정보 보호수준을 평가하여 이를 적정하다고 판정하는 경우를 포함하고 있다. 후자의 경우 개인정보 수집에 관한 동의는 필요하지만 역외 이전에 관한 동의는 필요하지 않으므로, EU 역외의 기업이 EU시민의 개인정보를 수집하여 자국의 서버에 저장하려는 때에 매우 유용하게 활용될 수 있다. 다만, 현재 적합성 평가를 받은 나라는 스위스 등 11개국에 불과하여 아직 많이 활용되지는 않고 있다.

이와 관련하여, 최근 행정자치부는 2017년 하반기 승인을 목표로 내년 중 EU 집행위원회에 적합성 평가를 신청할 것이라고 한다. 만약 우리나라가 적합성 판정을 받는다면 EU로 진출한 국내 기업에게는 큰 도움이 될 것이 분명하다. 현재 거의 확정된 EU 개인정보보호규정(GDPR)은 법위반 기업에게 전 세계 매출액의 4%까지 행정벌을 과할 수 있도록 하고 있는데, 이에 따라 우리나라 기업들도 역외이전 규정 위반을 두려워하여 EU지역에 별도의 데이터센터를 운영하고 있는 실정이다. 우리나라의 개인정보보호의 수준은 EU의 그것에 비하여 결코 낮지 않으므로 국제적 기준에 입각하여 우리의 법제를 정비하는 것은 크게 어렵지 않을 것으로 보인다.


한편, 이러한 EU의 적합성평가 제도는 정보주체의 동의가 없는 경우에도 개인정보의 국외 이전을 허용하고 있다는 점에서 우리 법제에서도 수용될 만하다. 우리의 법제는 국외 이전에 대한 정보주체의 동의가 있는 경우에만 이를 허용하고 있는데, 현실적으로 정보주체의 동의가 형식화되고 있다는 점을 고려한다면 EU와 같이 타국의 개인정보 보호수준을 평가하여 적정하다고 판단되는 경우에 개인정보의 국외 이전을 허용하는 것이 우리 국민의 개인정보를 실질적으로 보호하는 것이 아닌가 한다. 이념적 원칙으로 동의를 강조하는 것이 실제적으로 얼마나 개인정보 보호에 기여하고 있는지 깊게 고민할 필요가 있다고 생각한다.
미국변호사