입력 2018.05.19 03:00
EU 개인정보보호법 GDPR 25일 발효
이미지 크게보기"우리 모두 데이터 보호에 대한 종전 사고방식을 바꿔야 할 겁니다."영국 정보위원회(ICO) 위원장 엘리자베스 데넘(Denham)이 오는 25일 유럽연합(EU) '일반 개인정보보호법(GDPR·General Data Protection Regulation)' 적용을 앞두고 한 말이다. GDPR은 전문 173조, 본문 11장 및 99조로 2016년 4월 제정됐다.
2016년 5월 제정했지만 2년 유예 기간을 가졌다. "개인 정보 보호법을 뿌리부터 바꾸는 것"이라는 말이 나올 만큼 변화 폭이 너무 커 대처할 시간을 준 것이다. 적용 대상은 사실상 '글로벌 서비스를 하는 전 세계 기업'으로 봐야 한다. EU 법이기 때문에 기본적으로 EU 회원국 거주자에게 개인 정보 데이터 관련 서비스를 제공하는 기업에 적용한다. 그러나 EU 회원국에서 영업하지 않더라도 적용 대상이 될 수 있다. EU 회원국 거주자 데이터를 보유 처리하는 것만으로도 대상이 된다. GDPR 적용 대상 기업과 거래하는 기업에 대해서도 일정 수준 검증을 요구한다.
2016년 5월 제정했지만 2년 유예 기간을 가졌다. "개인 정보 보호법을 뿌리부터 바꾸는 것"이라는 말이 나올 만큼 변화 폭이 너무 커 대처할 시간을 준 것이다. 적용 대상은 사실상 '글로벌 서비스를 하는 전 세계 기업'으로 봐야 한다. EU 법이기 때문에 기본적으로 EU 회원국 거주자에게 개인 정보 데이터 관련 서비스를 제공하는 기업에 적용한다. 그러나 EU 회원국에서 영업하지 않더라도 적용 대상이 될 수 있다. EU 회원국 거주자 데이터를 보유 처리하는 것만으로도 대상이 된다. GDPR 적용 대상 기업과 거래하는 기업에 대해서도 일정 수준 검증을 요구한다.
매출액 4% 과징금, 공포의 대상
GDPR이 기업들에 공포의 대상이 된 이유는 또 있다. 어마어마한 과징금 규모다. 데이터 역외 이전 관련 규정, 정보 주체 권리 보장 준수 의무 등 중요 기준을 못 지킨 경우, 전 세계 매출의 4% 또는 2000만유로(약 260억원) 중 많은 쪽을 과징금으로 내도록 한다. 예컨대 삼성전자가 GDPR 주요 규정을 어긴다면, 지난해 매출 240조원의 4%인 9조6000억원을 과징금으로 부과받는 셈이다. 삼성전자 지난해 영업 이익이 54조원이니, 연간 영업 이익의 6분의 1이 넘는 규모다.
개인 정보라고 정한 범위 또한 넓다. 나이, 성별, 주소 등 일반적 개인 식별 정보 외에도 종교, 인종, 건강, 유전 정보, 생체 정보 등을 포함한다. IP 주소, MAC 주소, 위치 정보, 온라인 쿠키를 통해 개인을 식별할 수 있는 정보도 해당한다. 모두 대다수 인터넷 광고 업체들이 효율적 마케팅 집행과 광고 노출을 위해 수집하는 정보다. GDPR 적용은 코앞에 다가왔지만, 다수 기업은 아직 준비가 덜 됐다. IT 컨설팅 업체 가트너는 올해 말까지 GDPR 규정이 적용되는 기업 중 이를 준수할 수 있는 곳은 절반에도 못 미친다고 내다봤다. 영국 정부 조사에 따르면, 응답 기업 235사 중 GDPR에 대해 알고 있다고 답한 곳은 38%에 불과했다.
'유럽 시장 철수' 해프닝도 있었다. 지난달 중국 인터넷 포털 바이두 검색어 순위 1위에 '텐센트 QQi(텐센트의 인터넷 메신저 서비스 'QQ'의 글로벌 버전) 유럽 서비스 중단'이 떴다. 텐센트가 "오는 5월 20일부터 QQi 서비스를 제공하지 않겠다"는 메시지를 보냈다는 것. 중국 전문가들은 텐센트가 GDPR 시행을 앞두고 유럽 시장을 포기한 것이라고 떠들었다. 다음 날 텐센트가 "유럽에서 QQi 서비스를 지속할 예정이며, 끊임없는 모니터링과 업그레이드를 통해 개선하겠다"고 밝히면서 단순 소동으로 끝났지만 그만큼 기업들이 고민하고 있다는 방증으로 풀이됐다.
GDPR이 기업들에 공포의 대상이 된 이유는 또 있다. 어마어마한 과징금 규모다. 데이터 역외 이전 관련 규정, 정보 주체 권리 보장 준수 의무 등 중요 기준을 못 지킨 경우, 전 세계 매출의 4% 또는 2000만유로(약 260억원) 중 많은 쪽을 과징금으로 내도록 한다. 예컨대 삼성전자가 GDPR 주요 규정을 어긴다면, 지난해 매출 240조원의 4%인 9조6000억원을 과징금으로 부과받는 셈이다. 삼성전자 지난해 영업 이익이 54조원이니, 연간 영업 이익의 6분의 1이 넘는 규모다.
개인 정보라고 정한 범위 또한 넓다. 나이, 성별, 주소 등 일반적 개인 식별 정보 외에도 종교, 인종, 건강, 유전 정보, 생체 정보 등을 포함한다. IP 주소, MAC 주소, 위치 정보, 온라인 쿠키를 통해 개인을 식별할 수 있는 정보도 해당한다. 모두 대다수 인터넷 광고 업체들이 효율적 마케팅 집행과 광고 노출을 위해 수집하는 정보다. GDPR 적용은 코앞에 다가왔지만, 다수 기업은 아직 준비가 덜 됐다. IT 컨설팅 업체 가트너는 올해 말까지 GDPR 규정이 적용되는 기업 중 이를 준수할 수 있는 곳은 절반에도 못 미친다고 내다봤다. 영국 정부 조사에 따르면, 응답 기업 235사 중 GDPR에 대해 알고 있다고 답한 곳은 38%에 불과했다.
'유럽 시장 철수' 해프닝도 있었다. 지난달 중국 인터넷 포털 바이두 검색어 순위 1위에 '텐센트 QQi(텐센트의 인터넷 메신저 서비스 'QQ'의 글로벌 버전) 유럽 서비스 중단'이 떴다. 텐센트가 "오는 5월 20일부터 QQi 서비스를 제공하지 않겠다"는 메시지를 보냈다는 것. 중국 전문가들은 텐센트가 GDPR 시행을 앞두고 유럽 시장을 포기한 것이라고 떠들었다. 다음 날 텐센트가 "유럽에서 QQi 서비스를 지속할 예정이며, 끊임없는 모니터링과 업그레이드를 통해 개선하겠다"고 밝히면서 단순 소동으로 끝났지만 그만큼 기업들이 고민하고 있다는 방증으로 풀이됐다.
정보 보호 관련 기업 호황 조짐
정보 보호 분야 기업들은 갑작스러운 호황에 들뜨고 있다. 글로벌 컨설팅사 언스트영이 진행한 설문조사에 따르면, 포천 500대 기업이 총 78억달러(약 8조3300억)를 GDPR 준수에 투입할 것으로 관측됐다. 기업당 평균 1600만달러(약 170억원)에 달한다. 미국 뉴욕 법률 서비스 회사 액시엄은 전체의 6분의 1에 해당하는 변호사 약 200명을 GDPR 프로젝트에 투입했다.
GDPR이 유럽이 인터넷 세계에서 잃어버린 패권을 찾기 위해 동원한 무기란 견해도 있다. 정치 외교 분야 전문지 폴리티코 유럽판은 지난달 "유럽이 총칼 대신 법률로 다시 세계를 점령하려 한다"며 "샌프란시스코부터 서울까지 전 세계 정부와 기업을 겨누고 있다"고 했다. 세계 각국은 잇따라 GDPR 수준에 맞춰 개인 정보 보호법을 수정하고 있다. EU가 FTA(자유무역협정) 협상과 연계해 프라이버시 보호 수준을 높이도록 요구하고 있기 때문이다. 이스라엘과 뉴질랜드는 이미 GDPR 수준에 맞췄고, 데이터 이전 및 처리에 특혜국으로 지정됐다. 일본 역시 GDPR을 그대로 흉내 낸 법을 국회에서 통과시켰다. 한국도 GDPR과 비슷한 형태로 정보 보호법이 개정될 것으로 전망된다. 대통령 직속 4차산업혁명위원회는 지난 2월 개인정보보호법에 규정된 개인 정보 관련 법적 개념을 '개인 정보' '가명 정보' '익명 정보'로 구분해 정비하기로 했다. 이 중 익명 정보는 GDPR을 참조해 개인 정보와 가명 정보 개념을 보완하는 방식으로 개념을 정리하기로 했다.
정보 보호 분야 기업들은 갑작스러운 호황에 들뜨고 있다. 글로벌 컨설팅사 언스트영이 진행한 설문조사에 따르면, 포천 500대 기업이 총 78억달러(약 8조3300억)를 GDPR 준수에 투입할 것으로 관측됐다. 기업당 평균 1600만달러(약 170억원)에 달한다. 미국 뉴욕 법률 서비스 회사 액시엄은 전체의 6분의 1에 해당하는 변호사 약 200명을 GDPR 프로젝트에 투입했다.
GDPR이 유럽이 인터넷 세계에서 잃어버린 패권을 찾기 위해 동원한 무기란 견해도 있다. 정치 외교 분야 전문지 폴리티코 유럽판은 지난달 "유럽이 총칼 대신 법률로 다시 세계를 점령하려 한다"며 "샌프란시스코부터 서울까지 전 세계 정부와 기업을 겨누고 있다"고 했다. 세계 각국은 잇따라 GDPR 수준에 맞춰 개인 정보 보호법을 수정하고 있다. EU가 FTA(자유무역협정) 협상과 연계해 프라이버시 보호 수준을 높이도록 요구하고 있기 때문이다. 이스라엘과 뉴질랜드는 이미 GDPR 수준에 맞췄고, 데이터 이전 및 처리에 특혜국으로 지정됐다. 일본 역시 GDPR을 그대로 흉내 낸 법을 국회에서 통과시켰다. 한국도 GDPR과 비슷한 형태로 정보 보호법이 개정될 것으로 전망된다. 대통령 직속 4차산업혁명위원회는 지난 2월 개인정보보호법에 규정된 개인 정보 관련 법적 개념을 '개인 정보' '가명 정보' '익명 정보'로 구분해 정비하기로 했다. 이 중 익명 정보는 GDPR을 참조해 개인 정보와 가명 정보 개념을 보완하는 방식으로 개념을 정리하기로 했다.
이미지 크게보기
기업에 따라 희비 엇갈려
GDPR이 정작 견제 대상인 미국의 기존 IT 대기업을 살찌울 수 있다는 지적도 있다. EU 사법위원회의 베라 주로바(Jourov)는 지난해 실리콘밸리에서 전 세계 인터넷 광고 시장을 양분하고 있는 구글과 페이스북 담당자들을 만났다. 그는 이들이 긴장하고 있을 것이라 짐작했지만 실제는 정반대였다. "그들은 편안해했고, 오히려 내가 더 긴장했어요. 돈도 있고, 변호사도 있고, 기술자도 수도 없이 많고, 그 외 자원도 잔뜩 있더군요." 구글은 이미 지난 3월 자사 광고 서비스를 이용해 매출을 올리는 웹사이트, 앱 운영자들에게 "맞춤형 광고에 대한 사용자 동의를 받지 못하면 더 이상 구글 광고를 게재할 수 없다"고 통지했다. 페이스북 역시 유럽 지역 사용자 2억7700여 명에게 "GDPR로 인해 개인 정보 보호 정책이 바뀌었고, 이에 동의해야만 페이스북을 계속 사용할 수 있다"고 안내했다. GDPR에 끄떡없는 모습을 보인 셈이다. 정작 '애드테크(ad tech)' 기업이라는 디지털 광고 기업들이 불안감을 표출하고 있다. 애드테크 기업 애드유엑스(AdUX)는 최근 스마트폰 위치 정보를 이용해 맞춤형 광고를 보여주는 상품을 폐기했다. 애드테크 회사 버브(Verve)는 지난달 런던과 뮌헨에 있는 사무실을 폐쇄하고 유럽 사업을 포기했다. 맞춤형 광고를 제공하는 드로브리지 역시 런던 사무실을 폐쇄하고 유럽 광고 시장에서 철수하기로 했다.
GDPR이 정작 견제 대상인 미국의 기존 IT 대기업을 살찌울 수 있다는 지적도 있다. EU 사법위원회의 베라 주로바(Jourov)는 지난해 실리콘밸리에서 전 세계 인터넷 광고 시장을 양분하고 있는 구글과 페이스북 담당자들을 만났다. 그는 이들이 긴장하고 있을 것이라 짐작했지만 실제는 정반대였다. "그들은 편안해했고, 오히려 내가 더 긴장했어요. 돈도 있고, 변호사도 있고, 기술자도 수도 없이 많고, 그 외 자원도 잔뜩 있더군요." 구글은 이미 지난 3월 자사 광고 서비스를 이용해 매출을 올리는 웹사이트, 앱 운영자들에게 "맞춤형 광고에 대한 사용자 동의를 받지 못하면 더 이상 구글 광고를 게재할 수 없다"고 통지했다. 페이스북 역시 유럽 지역 사용자 2억7700여 명에게 "GDPR로 인해 개인 정보 보호 정책이 바뀌었고, 이에 동의해야만 페이스북을 계속 사용할 수 있다"고 안내했다. GDPR에 끄떡없는 모습을 보인 셈이다. 정작 '애드테크(ad tech)' 기업이라는 디지털 광고 기업들이 불안감을 표출하고 있다. 애드테크 기업 애드유엑스(AdUX)는 최근 스마트폰 위치 정보를 이용해 맞춤형 광고를 보여주는 상품을 폐기했다. 애드테크 회사 버브(Verve)는 지난달 런던과 뮌헨에 있는 사무실을 폐쇄하고 유럽 사업을 포기했다. 맞춤형 광고를 제공하는 드로브리지 역시 런던 사무실을 폐쇄하고 유럽 광고 시장에서 철수하기로 했다.
Copyright ⓒ WEEKLY BIZ. All Rights Reserved
위클리비즈 구독신청