유럽 진출 기업의 필수 관문 GDPR, 마케팅에 개인 정보 보호 부각 필요
[글로벌 현장] 지난 3월 말 유럽에 진출해 있거나 유럽 진출을 계획하는 한국 기업들에 희소식이 날아왔다. 유럽연합(EU) 집행위원회가 한국의 개인정보보호위원회와 EU 일반개인정보보호법(GDPR) 관련 적정성 협의를 성공적으로 마무리했다고 발표했다. 즉, EU 집행위는 한국에 대한 초기 적정성 결정으로 한국의 개인정보보호법이 EU의 개인 정보 보호 법제인 GDPR의 보호와 동등한 보호 수준을 제공한다는 것을 인정했다. 이에 따라 한국 기업들은 기존에 사용하던 표준 계약 조항(SCC : Standard Contractual Clause)과 같은 별도의 절차 없이 EU 시민의 개인 정보를 자국으로 이전하거나 처리가 가능해진다.GDPR 초기 적정성 결정의 의미
표준 계약 조항은 EU 집행위가 기본 원칙, 내부 규율, 피해 보상 등 개인 정보 보호에 관한 필수 조항을 계약서 형식으로 표준화한 조항으로, 기업들은 이에 많은 시간과 비용을 투자해 왔다. 그럼에도 불구하고 기업들은 GDPR 규정 위반에 따른 과징금에 대한 부담을 지속적으로 안고 있어야 했었다. 과징금은 해당 기업의 전 세계 연간 매출의 최대 4% 또는 2000만 유로(약 260억원) 중 높은 금액으로 부과되기 때문에 기업에 큰 손실이 된다.
한 예로 2019년 독일 H&M의 서비스센터 직원 600여 명의 개인 민감 정보가 유출됐고 이에 대해 독일 함부르크의 개인 정보 보호 감독 기구는 과징금으로 3525만8708유로(약 482억1730만원)를 부과하며 개인 정보 침해에 대한 심각성을 기업에 알리는 ‘적절’한 규모의 과징금을 산정했다고 발표해 큰 화제가 됐다. 이처럼 유럽은 개인 정보 보호에 대한 규제가 확실하기 때문에 유럽 시장에 진출하는 기업들은 반드시 이에 대한 철저한 대비가 필요하고 이를 위한 법적 요건 준수를 초기 비즈니스 모델에서부터 적용할 필요가 있다.
EU는 2018년 5월 25일 GDPR을 본격적으로 시행했다. 이는 모든 회원국에 직접적으로 적용되는 법이기 때문에 각국은 자국의 입법권이 GDPR과 충돌되지 않게 개인 정보 보호 법제를 정비하면서 유럽 전체가 하나의 개인 정보 보호 법제를 형성하게 됐다. GDPR을 위반하면 과징금 등을 부과할 수 있고 EU 내 사업장이 없더라도 EU를 대상으로 사업을 한다면 적용 대상이 될 수 있어 한국 기업의 주의가 필요한 영역이었다.
GDPR이 시행되면서 개인정보보호책임자(DPO)를 지정하고 영향 평가를 시행하는 등 기업의 책임이 강화됐고 정보 주체들은 기존에 자기 정보 열람권 등에서 삭제권(잊힐 권리)과 정보 이동권 등의 새로운 권리가 추가되면서 더 강화된 권리를 갖게 됐다. GDPR은 △EU 내에서 사업장을 운영하며 개인 정보를 처리하는 기업 △EU 내에 사업장이 없지만 EU 거주자에게 재화나 서비스를 제공하는 기업에 모두 적용되기 때문에 ‘유럽 진출 기업’이 아니더라도 이에 촉각을 곤두세울 수밖에 없었다.
정부는 한국 기업들의 EU 데이터 이전 편의를 증진하기 위해 지난 4년 동안 유관 부처들이 협업해 EU 측과 총 53회 정도의 실무 협의를 진행했고 이를 통해 한국의 개인 정보 보호 법체계가 GDPR과 동등한 수준이라는 것을 확인한 것이 이번 초기 적정성 결정의 성과다. 개인정보보호위원회에 따르면 기존에 중소기업은 표준 계약 절차를 통해 한국으로 개인 정보를 이전하는 과정이 어려워 EU 시장 진출을 포기했던 사례도 있었다.
따라서 이번 협의 이후 유럽 정보보호이사회(EDPB)와 EU 회원국 등의 검토로 늦어도 올해 안에 최종 결정되면 한국 기업들의 EU 시장 진출이 한층 쉬워질 것으로 전망된다. 또한 높은 수준의 개인 정보 보호를 요구하는 유럽과의 교류를 통해 한국의 데이터 산업 활성화에도 크게 기여할 것으로 예상된다. 한국은 일본과 영국에 이어 셋째로 초기 적정성 결정을 획득한 국가로, 이를 통해 앞으로 EU와의 협력이 증진될 것으로 예상된다.
유럽의 정보 보호 관련 규제⋯주목 필요
유럽은 개인 정보 보호 규제와 관련해 세계에서 가장 선도적인 지역이다. 그뿐만 아니라 유럽 소비자들도 다른 어느 지역보다 개인 정보에 대한 민감도가 높은 편이다. 따라서 유럽 진출 기업들은 GDPR뿐만 아니라 정보 보호와 관련한 각종 규제에 대한 EU 정책에 대해 주목할 필요가 있다.
먼저 지난해 12월 EU 집행위원회는 ‘디지털 서비스법’을 제안했다. 이는 온라인상의 불법 콘텐츠 삭제, 이용자의 기본권 보호, 사업자의 책임 조정을 내용으로 삼고 있다. 기존에는 전자 상거래 관련 지침만 있었지만 다양한 온라인 서비스가 탄생하고 대규모 온라인 플랫폼이 나오는 등 디지털 환경의 급격한 변화로 이에 맞는 법체계가 요구됐다. 또한 플랫폼에 의해 온라인 광고와 추천 콘텐츠가 인공지능(AI) 알고리즘이 적용된 시스템으로 확대되면서 소비자들이 다양한 관점을 접할 기회를 차단당하고 확증 편향 등의 부작용을 야기한다는 지적도 나왔다. 여기에 장기적으로는 이용자의 주체적인 의사 결정 능력을 퇴화시킨다는 문제점이 지속적으로 제기된 바 있다.
디지털 서비스법은 이용자에게 심각한 피해가 우려되면 대규모 온라인 플랫폼에 임시 조치를 명령할 수 있고 대규모 온라인 플랫폼에 데이터베이스와 알고리즘에 대한 접근 권한과 관련 설명을 제공하도록 명령할 수 있다. 또한 불법 콘텐츠를 배포하는 이용자에 대해 플랫폼 서비스 제공 중단을 의무화한 점도 의미가 있다. 디지털 서비스법은 EU 회원국의 4600만 명 이상의 사용자를 보유한 플랫폼 사업자가 대상이고 연매출의 최대 6%까지 과징금을 부과할 수 있다.
EU는 같은 날 ‘디지털 시장법’도 제안했다. 디지털 서비스법이 소비자 보호를 주 내용으로 한다면 디지털 시장법은 플랫폼 사업자 간의 공정 경쟁을 주 내용으로 삼고 있다. 즉, 글로벌 시장 자산 가치가 650억 유로 이상 또는 유럽 경제 지역(EEA) 내 매출이 65억 유로 이상인 플랫폼 중 3개 이상 회원국에서 핵심 플랫폼 서비스를 제공하며 1만 개의 비즈니스 사용자와 4500만 명의 개인 사용자를 최소 3년 이상 보유한 플랫폼이 그 대상이다. 여기에는 사실상 페이스북·구글·아마존 등의 미국의 거대 정보기술(IT) 기업이 해당되고 EU 기업으로는 SAP 등 극히 일부 기업만 해당된다. 해당 기업은 자사에서 운영하는 복수의 플랫폼에서 수입된 개인 정보 연계가 금지되고 자사 상품 우대가 금지되며 플랫폼 비즈니스 사업자 간 공정한 경쟁 환경 유지 등의 의무가 부여된다. 이를 이행하지 않으면 전 세계 연간 매출의 최대 10%가 부과될 예정이다. 이는 그동안 사후 규제 방식을 취해 왔던 플랫폼업계에 ‘사전 규제’ 방식을 도입함으로써 큰 영향을 미치게 될 것으로 전망된다.
GDPR을 필두로 유럽의 다양한 규제 관련 법들은 플랫폼 시장뿐만 아니라 4차 산업혁명을 선도하는 주요 신기술인 블록체인·AI·빅데이터 등과 지속적으로 상충된 이슈가 제기되고 있다. 하지만 이러한 개인 정보 관련 법 준수를 위한 관련 기술 산업이 발전이 예상되고 개인 정보 보호가 별도의 서비스 영역으로 확대될 것으로 보인다. 유럽 진출 기업들은 위와 같은 이슈를 염두에 두고 개인 정보 보호를 적극적인 마케팅 포인트로 삼는 등 다양한 노력이 필요한 시점이다.
베를린(독일)= 이은서 통신원
© 매거진한경, 무단전재 및 재배포 금지