[EU, 유럽연합이 5월 25일부터 강력한 개인정보보호법을 시작했다. 이미지 출처: DMN]

지난 3월 페이스북 개인정보 유출 사건으로 온라인 상의 개인 정보 보호에 대한 관심이 높아진 가운데 지난 달 25일부터 유럽 개인정보보호법(GDPR-General Data Protection Regulation)이 본격적으로 시행되었다. 이에 따라 페이스북, 구글 등 주요 SNS 서비스들은 물론 온라인 쇼핑몰 등에서 새로운 정보보호 규정에 대한 동의를 요청하는 이메일 등을 많이 받았다. EU에서 시작됐지만 미국, 한국 정부와 기업들도 GDPR에 적극적으로 대처하는 한편 개인 정보 보호 대책을 온라인 서비스 사업자들에게 권고할 것으로 보인다. GDPR에 대해서 자세히 알아본다.

정보 이동, 열람, 정정, 삭제권 등 규정

IP주소, 신상 정보, 의견, 취향도 포함

▶ GDPR배경은

EU는 1995년 만들어진 개인정보보호지침(Data Protection Directive 95/46/EC)을 강화해 EU 회원국 28개국 거주자의 개인 정보 보호를 강화하고 표준화하기 위해 2016년 제정했으며 2년간의 유예기간을 거쳐 시행되었다.

GDPR은 온라인 서비스 제공자의 개인 정보 활용을 제한하는 한편 개인 정보 보호의 중요성을 강조하는데 초점이 맞춰져 있다. 적용 대상은 EU내 거주자에게 재화나 서비스를 제공하는 기업, 기관, 단체 등 모두에게 해당된다. 예를 들어 미국 또는 한국에 본사가 있는 기업이 EU 회원국 거주자에게 현지 언어로 서비스를 제공할 경우 법 적용 대상이 된다.

▶ GDPR 내용은

사용자, 개인에 대한 권리가 이전보다 크게 확대됐다. 유저는 저장된 정보의 사본을 요구할 수 있다. 또한 잊혀질 권리, 즉 정보 삭제권도 새로 생겼으며 EU이외 3국으로 정보를 이전할 경우 당사자에게 알리고 동의를 구해야 되는 등 세부적인 내용도 포함됐다. 서비스 제공자들은 개인 정보 보안에 위험 소지가 있는 모든 침해 사실을 사용자에게 알려야 한다. 더욱이 개인 정보 사용 동의 요구시 명확한 문구와 내용으로 알기 쉽게 설명하고 동의를 얻어야 한다.

▶ GDPR개인정보 정의

법에서 정의하는 개인 정보의 범위는 이름, 주소, 아이디 등 기본 신상 정보를 비롯해 웹 정보도 포함된다. 웹 정보는 IP주소, 쿠키 데이터, RFID 태그 등이다. 또한 개인 건강, 유전 등 생체 정보도 포함된다. 사용자의 성향 또는 의견 등도 개인 정보로 포함돼 인종 또는 민족정보, 정치적 의견, 개인의 취향 등도 보호를 받게 된다.

`EU거주자 대상 서비스시 법 숙지해야`

`미국, 한국 등 글로벌 적용 가능성도 대두`

▶ GDPR 집행 및 처벌

법은 구체적인 이행 조치들도 포함하고 있다. 개인 정보가 침해됐을 경우 72시간 내에 감독 기구에 알려야 한다. 또한 피고용인이 250명이상일 경우 정보 보호 책임자(DPO-Data Protection Officer)를 지정해 개인 정보 처리활동 기록을 문서화 하도록 규정해 책임 부분을 명확히 규정했다.

법을 위반할 경우 개인 정보 유출, 악용 등 피해 정도를 고려해 벌금을 부과한다. 사안이 심각할 경우 전 세계 연간 매출의 4% 또는 2000만 유로 중 높은 금액이 부과된다.

▶ GDPR 영향

법이 시행되자 페이스북 및 인스타그램과 구글이 첫 타깃이 됐다. 오스트리아의 개인정보 보호단체인 ‘Noyb’가 두 기업이 약관 동의를강요했다고 소송을 제기한 것. 또한 법을 준수하기 힘들 것으로 판단한 기업들의 서비스 중단 조치도 나왔다. LA타임스, 시카고 트리뷴등이 유럽 지역 서비스를 포기했으며 구글 광고 중지도 잇따르며 광고 업계에도 파장이 미치고 있다. 시행 초기라 글로벌 기업들의 준비도 아직 미미한 수준이다. 글로벌 리서치사인 SAS의 GDPR 담당자 설문조사에서 전체 183명 중 7%만이 완벽히 대응하고 있다고 대답했다.

▶ GDPR 대책

일단 EU 거주자들에게 서비스를 제공하고 있거나 계획 중이라면 법에 대한 정확한 이해가 필요하다. 기본적으로는 사용자, 웹 또는 앱방문자로부터 개인 정보 사용에 대한 합법적인 동의를 무조건 얻어야 한다. 동의 받은 내용은 기록으로 남겨야 한다.

장기적으로는GDPR은 앞으로 개인 정보 보호의 표준으로 확대될 가능성이 높아지고 있어 EU지역이 아니더라도 미국, 한국 등에 비즈니스 계획 및 확장시 이에 대한 준비를 철저히 하는 것이 필요하다.

백정환 IT컨설턴트

jbaek@dobobs.com