개인정보보호위원회가 유럽 일반개인정보보호규정(GDPR)에 대응하는 정부 전략에 이견을 제시했다. '정보통신망 이용촉진 및 정보보호 등에 관한 법률(이하 망법)'만 우선 EU 적정성 평가 대상으로 삼은 정부 전략을 개인정보보호법까지 포함하는 방향으로 신속히 전환해야 한다고 강조했다. 방송통신위원회는 이에 대해 지난달 관련 기관·위원회 간 의견이 모였다는 입장이다. 개인정보보호위원회 독립성 여부가 향후 논의될 전망이다.
5일 정부 등에 따르면, 개인정보보호위원회는 지난달 13일 의결한 'EU 부분적정성 평가 전환 추진 개선에 관한 건'에서 현재 망법을 우선 EU GDPR 적정성 대상으로 삼는 정부 전략에 반대 의견을 표했다. 행정안전부 장관에게 망법 뿐만 아니라 개인정보보호법도 EU GDPR 적정성 평가 대상으로 삼는 '전체 적정성 결정'으로 대응할 것을 권고했다. 이와 함께 개인정보보호위원회 직권조사권, 운영 독립성 등 권한을 확충하라고 주문했다. 방통위원장에게는 '전체적정성 결정' 추진에 협조할 것을 요청했다.
현재 정부는 방통위를 중심으로 망법을 위주로 EU 적정성 평가를 받고 있다. 방통위는 지난달 유럽연합 사법총국과 EU 시민 개인정보를 자유롭게 이전하도록 하는 적정성평가를 내년 내에 달성하기로 공동 성명을 발표하기도 했다. 애초 행정안전부가 관할하는 개인정보보호법을 적정성 평가 승인 대상으로 삼는 방안도 고려했지만 행안부가 EU에서 요구하는 감독기구 독립성 요건 충족이 어려웠다. 이에 방통위가 관할하는 망법으로 우선 적정성 평가를 받고, 이후 개인정보보호법을 포함한 전체 적정성 평가를 받는다는 구상이다.
개인정보보호위원회는 이 같은 정부 전략이 실효성이 적다고 우려했다. 개인정보보호위원회는 지난 10월 EU 진출 모기업 380곳을 대상으로 실태조사한 결과, 망법 적용 대상은 3곳에 불과한 것으로 파악했다.
개인정보보호위원회의 한 위원은 “망법은 온라인 서비스 제공자와 이용자 사이에서만 적용되는 법으로 게시물에 등장하는 제3자 등 이용자가 아닌 정보가 있을 수 있다”며 “망법 대상에는 오프라인 사업자와 공공단체 등 비영리 기관도 포함하지 않아, 영리·비영리 불문하고 적용되는 GDPR에서 빠지는 영역이 많다”고 지적했다.
개인정보보호위원회는 우리나라와 같이 EU 적정성 평가 대상에 들어간 일본과 앞서 EU 적정성평가를 받은 국가를 비교대상으로 지목했다. 개인정보보호위원회에 따르면, 일본은 EU GDPR 대응을 위해 지난해 개인정보보호위원회를 창설하고 '전체 적정성 결정'을 추진한다. 현재까지 EU 적정성 평가를 받은 국가 12개국 중 캐나다를 제외한 11개국이 전체 적정성 평가를 받았다.
이에 대해 방통위는 개인정보보호위원회 주장 근거가 부족하다는 입장이다. 지난달 행정안전부와 개인정보보호위원회와 함께 현행 부분 적정성 우선추진에 대해 의견이 모였다고도 했다.
방통위 관계자는 “개인정보보위원회 실태조사는 설문조사 모집단이 많지 않아, 본 설문이 우리 기업 전체를 대표한다고 보기엔 다소 무리가 있다”며 “적정성을 받은 국가 중 캐나다, 미국 등도 부분 적정성으로 진행한다”고 밝혔다. 이어 “지난달 청와대 회의와 개인정보 국제협력 민관 협의회를 거치면서 우선 방통위 중심 부분 적정성 평가를 추진하고, 동시에 전체 적정성 추진을 위한 준비를 병행하는 것에 3개 부처·위원회 의견이 모였다”고 덧붙였다.
이에 따라 향후 개인정보보호법 EU 적정성 평가 작업이 진행된다. 개인정보보호위원회의 인사·예산 독립성, 직권조사·제재권 부여 등 개인정보보호위원회 독립성을 둘러싼 논의가 이어질 전망이다.
개인정보보호위원회 관계자는 “행안부와 방통위 개인정보보호위원회가 TF에서 개인정보보호위원회 독립성 등 쟁점을 논의할 것”이라고 밝혔다.
변상근기자 sgbyun@etnews.com
