유럽연합(EU)은 중국과 미국에 이어 한국에 3위의 무역 대상이기 때문에 우리 경제에 미치는 영향이 매우 큰 시장이다. 문재인 대통령도 이미 몇 차례 EU 국가들을 방문했다. 그러나 정작 정부의 늑장 대처로 말미암아 EU에 진출해 있거나 이들 국가를 상대로 사업하는 국내 기업이 불안해 하고 있다. 지난해 5월부터 시행하고 있는 EU의 개인정보보호법(GDPR)에 제대로 대처하지 못하고 있기 때문이다. 이 법의 규정을 위반한 기업은 2000만유로(약 260억원) 또는 세계 매출의 4%에 해당하는 과징금을 내야 하기 때문에 심각하다. 실제로 GDPR가 요구하는 수준의 체계를 갖출 능력이 있는 대기업과 달리 중소기업이나 스타트업은 속수무책이다. 결국 규제 준수에 필요한 비용 부담으로 인해 라그나로크, 슈퍼먼데이나이트컴뱃 등 국내 다수의 온라인서비스 기업이 EU 지역 접속을 차단하거나 사업을 철수했다.
EU는 특정 국가의 개인정보 보호 체계가 EU가 기대하는 보호 수준과 유사하다는 '적정성 평가'를 받은 국가 소속 기업에는 예외를 뒀다. 적정성 평가는 GDPR가 제정된 2016년 5월 이전 '정보보호지침' 단계 때부터 존재하던 제도로, 이미 미국과 캐나다 등은 물론 심지어 아르헨티나·우루과이 등도 적정성을 인정받았다. 그러나 정작 세계에서 가장 높은 개인정보 보호 규제 수준인 우리 정부는 두 차례나 평가에서 탈락했다. 한마디로 정부의 디지털경제 외교 의지와 능력을 그대로 보여 준 결과다.
일본은 일찌감치 GDPR가 일본의 데이터 경제와 일본 기업 보호에 중요하다는 점을 인식하고 노력한 결과 지난 2019년 1월 유럽집행위원회로부터 GDPR 시행 이후 최초로 일본의 개인정보 보호 수준 적정성을 인정받았다. 이로 인해 EU 시장에 진출해 있는 일본 상품, 서비스 기업들이 EU 정보 주체의 개인정보에 대한 별도의 사전 동의 없이도 일본 영역으로 자유롭게 이전할 수 있게 됐다. 그 덕분에 세계 사물인터넷(IoT) 센서 시장 40%를 점유하고 있는 일본 기업들은 유럽 시장 내 자사의 IoT 센서를 통해 수집된 수많은 데이터를 일본 본사로 이전, 빅데이터 분석을 할 수 있게 된 것이다. 일본 정부는 2020년 목표로 IoT 데이터 거래소를 설립할 계획이다. 빅데이터 활용을 통해 새로운 수익 창출을 위한 산업 생산성을 향상시킬 기반을 구축한 것이다.
반면에 우리 정부는 여전히 우왕좌왕이다. 2015년 행정안전부가 적정성 평가를 진행했지만 감독 기구인 개인정보보호위원회가 평가에서 가장 중요한 요인인 독립성이 약해 거부됐다. 또 2018년 방송통신위원회 역시 부분 적정성 결정을 받기 위해 제도 정비 등 여러 노력을 했지만 유럽집행위는 정보통신망법이 개인정보 보호를 모두 포괄하지는 못한다고 판단, 또다시 결정을 보류했다. 이에 정부가 지난해 11월 개인정보보호법 개정안을 만들어 개인정보보호위를 독립기구로 강화했다. 그러나 이 개정법안은 수개월째 국회에서 잠만 자고 있다.
얼마 전 정부는 EU 적정성 심사에 제대로 대응하지 못했다는 언론 지적에 해명자료를 내고 한국 기업의 EU GDPR 대응을 위해 지속 노력해 왔다고 해명했다. 그러나 여전히 부처 이기주의를 벗지 못하고 있다는 비판에 떳떳한지 묻고 싶다. 국회 역시 이 법안의 중요성을 망각한 채 우리 기업을 사지에서 떨게 한 책무 방기 후폭풍을 어떻게 감당하려는지 묻고 싶다.
성동규 중앙대 미디어커뮤니케이션학부 교수 dksung@cau.ac.kr
-
김현민 기자기사 더보기