중동부유럽

□ EU는 2018년 5월 25일부터 개인정보 처리와 이동에 관한 “일반개인정보보호법(General Data Protection Regulation: 이하 GDPR)” 시행

 ◦ GDPR은 EU 회원국 모두에게 동일하게 적용되는 개인정보보호 일반법으로 우리나라의 개인정보보호법과 유사한 성격
 ◦ GDPR은 4차산업혁명 시대의 새로운 규제 패러다임을 제시, 한국을 비롯한 각국 개인정보 보호법제의 벤치마크가 될 전망

□ GDPR은 기업 규제환경의 큰 변화를 초래하여, EU 역내 투자기업은 물론, EU 거주민을 대상으로 하는 다양한 기업 활동에 영향
 ◦ (넓은 지리적 적용범위) EU 역내에서 거점(establishment)을 운영하면서 그 활동이 개인정보의 처리를 포함하는 경우는 물론, 역외에 위치하면서 EU 거주 정보주체에게 재화·서비스 제공하는 경우에도 적용*
    * 예: 유럽 대상 전자상거래 수출 기업, 시청각콘텐츠 공급 기업, 소비재와 IoT를 결합한 B2C 비즈니스를 추진하는 제조기업 등
  - 또한 역외로 이전된 정보를 제3국으로 다시 이전하여 처리할 경우에도 적용
 ◦ (개인정보범위의확대) IP 주소, 쿠키, RFID(radio frequency identification tags), 위치정보 등도 개인정보로 간주되며, 민감 개인정보를 규정하고 유전정보와 바이오정보 등을 포함
 ◦ (개인정보 국외이전 메커니즘) 적정성평가* 또는 구속력 있는 기업규칙(Binding Corporate Rules), 표준계약서(Standard Contractual Clauses)*, 인증(Certificate) 등을 통한 국외 이전 가능
    * 한국은 EU로부터 적정한 개인정보 보호조치를 운영하는 것으로 인정받기 위해 적정성 평가(adequacy decision)를 진행 중
    * BCR은 기업 내부 이전시 활용, 표준계약조항은 EU 집행위가 제시한 규정에 준함.
 ◦ 정보주체의 권리와 정보 프로세서의 의무 강화, 기업의 DPO(Data Protection Officer)* 임명 의무 등 책임성 강화
    * DPO는 기업 내의 GDPR 등 정보보호 법규 이행상황을 모니터링하는 등의 업무 수행

□ GDPR은 통합된 EU 디지털시장을 창출하는 데 기여할 전망이나, 단기적으로 장벽요인으로 작용하여 기업 활동에 부정적 영향을 줄 가능성 내포
 ◦ 역내 규제 조화를 통해 시장을 확대하고, 혁신을 촉진할 것으로 기대
 ◦ 그러나기업들이 당분간 상당한 적응비용을 부담하고, 불확실성에 직면
  - 개인정보 활용 제약에 따른 역내 투자기업의 비즈니스 혁신 둔화 가능성
  - EU 역내기업이 법 적용의 불확실성을 우려하여 서비스 조달처를 역내로 전환하거나 데이터 분석 업무를 직접 수행할 경우, 역외기업의 수출·투자에 부정적 영향
 ◦ 우리나라는 對EU 무역투자 특성상 GDPR 대응에 노력을 기울일 필요성이 높음.
  - 우리 기업과 스타트업의 최근 對EU 진출은 데이터 혁신과 직간접적으로 연계된 전자·전기, 소비재, 통신업, 정보서비스업 등이 중심

□ GDPR을 단순히 규제요인으로 인식할 것이 아니라, 개인정보보호 규제 컴플라이언스 수준을 높이는 기회로 활용할 필요
 ◦ 개인정보 보호역량 강화를 통해 기업 경쟁력 강화, 신뢰도 향상*
    * 영국 사례: 개인정보 제공이 필요한 거래에서 기업에 대한 신뢰도가 경제적 동기(저렴한 상품 구매 등)보다 더 중요하게 작용
 ◦ 국내외 인증제도를 활용하여 개인정보 보호 역량 강화
  - ISO 27001 획득은 글로벌 비즈니스의 필수조건, GDPR 이행에도 기여
 ◦ 선진적인 개인정보 보호체제 도입
  - 개인정보보호 영향평가도입*, 개인정보책임자(DPO)** 확보·역량강화 등
    * 한국은 공공부문만 의무로 규정하나, GDPR의 경우와 같이 민간으로 확대되는 추세
    ** DPO는 개인정보 관련 기술·법률적 지식을 두루 갖춘 인력
 ◦ 산업 생태계 차원의 개인정보 체제 구축
  - GVC의 성숙과 더불어 해외 협력업체의 개인정보 보호역량도 중요해지고 있는바, 보안조치에 대한 협력 파트너간 상호계약 등이 요구됨.