행정안전부와 한국인터넷진흥원은 유럽연합(EU)의 일반개인정보보호규정(GDPR)이 국내 개인정보보호법과 의미가 다르거나 우리 법에 없는 개념이 정의됐다고 분석했다. 각 용어의 정확한 의미 이해가 필요하다.
두 기관이 내놓은 '우리 기업을 위한 GDPR 안내서'에 따르면 GDPR에서 개인 정보란 식별됐거나 식별 가능한 자연인(정보주체)과 관련된 모든 정보를 의미한다. 자연인을 직간접 식별 가능한 경우라면 이름, 전화번호 등과 같은 일반 개인 정보 외에 온라인 식별자나 위치 정보도 GDPR가 정의하는 개인 정보에 포함된다. 기존의 개인 정보 정의에 명시돼 있지 않은 위치 정보, 온라인 식별자, 유전자 정보 등이 포함됐다.
GDPR에는 컨트롤러가 명시됐다. 컨트롤러란 개인 정보 처리 목적과 수단을 결정하는 주체다. 자연인을 비롯해 법인, 공공기관, 기타 단체 등이 컨트롤러가 될 수 있다. 컨트롤러 지명이나 지명 특정 기준은 EU나 회원국 법률에 규정될 수 있다.
프로세서란 컨트롤러를 대신해 개인 정보를 처리하는 자연인, 법인, 공공기관, 기타 단체를 의미한다. 컨트롤러의 지시에 따라 개인 정보를 처리한다. 컨트롤러는 반드시 구속력 있는 서면 계약에 따라 프로세서를 지정해야 한다. GDPR의 컨트롤러와 프로세서는 국내 개인정보보호법에서 정하고 있는 위탁사, 수탁사와 개념은 약간 유사하지만 차이가 있다.
김인순 보안 전문기자 insoon@etnews.com