개인정보 동의 했는데 '중국앱'…해외로 빼돌리기 전에 막는다

'인증'받은 국가로만 개인정보 이전 가능…'동의' 만능주의 깬다

개인정보보호위원회 전체회의/뉴시스

#올해 초 과거 싸이월드 미니홈피와 유사한 폐쇄형 SNS '본디'가 선풍적인 인기를 끌었다. 몇달 간 500만명이 넘는 사람들이 다운로드하며 인기를 끌던 본디는 과거 개인정보 유출 이슈가 있었던 중국 기업의 앱이었다는 사실이 밝혀지며 하락세를 걸었다. 본디를 인수한 메타드림 측은 개인정보보호를 위해 노력 중이라고 해명했으나 이용약관에 개인정보를 임의로 사용할 수 있다는 내용이 포함된 사실까지 알려지면서 본디의 인기는 막을 내렸다. 개인정보 중국 이전 의혹으로 여러 나라에서 금지당한 틱톡 사례처럼 자신의 개인정보가 유출될 것을 우려한 사용자들이 일시에 대거 탈퇴한 것이다.

이처럼 개인정보 국외 이전 우려가 커지자 개인정보보호위원회가 인증제를 도입해 9월부터 시행한다. 당국이 안전하다고 인증한 국가로는 정보주체의 별도 동의를 받지 않고도 개인정보를 이전할 수 있지만 인증받지 않은 국가로의 이전은 불가능한 방식이다. 인증받은 국가라 하더라도 향후 위험성이 발견되면 국외 이전 중지 명령도 내릴 수 있다.

개인정보위는 9월 15일부터 시행될 개인정보보호법 시행령 개정안의 후속 조치로 이같은 내용을 담은 '개인정보 국외 이전 운영 등에 관한 규정' 제정고시안을 행정예고했다. 규정에는 △국외이전전문위원회 구성 및 운영 △개인정보 국외 이전 인증 △개인정보 국외 이전 대상국등 인정 △개인정보 국외 이전 중지 명령 등의 내용이 담겼다.

개인정보위는 이번 규정으로 이른바 '동의 만능주의' 문화를 타파한다는 계획이다. 현행 개인정보보호법 상 정보주체가 개인정보 위탁 시 국외이전 관련 별도 동의만 하면 위탁 사업자는 전세계 어느 국가로든 해당 개인정보를 이전할 수 있다. 개인정보위는 이같은 별도 동의 방식이 정보주체의 정보주권을 제대로 보호하지 못한다고 봤다.

이에 개인정보위는 개인정보 국외이전을 위한 별도 동의를 없애는 대신 개인정보 이전이 가능한 대상국을 국가 차원에서 인증할 계획이다. 또 국가 차원에서 기업의 개인정보보호 수준이나 보호 적절성 등을 평가해 인증할 방침이다. 이 인증을 취득하면 사업자는 별도 절차 없이 개인정보를 국외로 이전할 수 있다.

개인정보 국외 이전 중지 근거도 마련된다. 개인정보위는 개인정보가 이전되는 국가 또는 국제기구에서 중대한 개인정보 침해 사고가 발생하거나 정보주체의 피해구제를 위한 실효적인 절차를 갖추지 못한 것으로 판단되면 일정한 심의를 거쳐 개인정보 국외 이전을 중지시킬 수 있다.

국가 차원에서 개인정보 국외 이전 대상국을 인정하는 것은 전세계적인 추세다. 한국은 2021년 12월 EU(유럽연합)로부터 개인정보보호 적정성 인증을 받았다. 한국이 EU의 GDPR(개인정보보호 규정)과 동등한 수준의 개인정보보호를 제공한다는 인증이다. 이로 인해 국내 기업들은 EU 시민 개인정보를 별도 절차 없이 국내로 이전할 수 있게 됐다.

개인정보위 관계자는 "지금은 개인정보 국외 이전 관련 별도 동의만 받으면 개인정보보호 수준이 검증되지 않은 국가로도 개인정보 이전이 가능하다"며 "동의라는 이름으로 책임이 전가되는 모습이었다. 이번 규정은 개인정보보호 책임을 국가가 부담하겠다는 것"이라고 말했다.

이어 "EU로부터 적정성 인증 심사를 받으면서 개인정보보호 수준을 검증받고 부족한 부분에 대해선 보완 요청을 많이 받았다"며 "한국이 이같은 인증제를 시행한다면 우리 국민의 개인정보가 이전되는 국가에 대해서 EU처럼 우리가 원하는 수준까지 보완을 요청할 수 있어 개인정보보호 측면에서 훨씬 안전해질 것"이라고 설명했다.

이정현 기자 goronie@mt.co.kr