구글도 떠는 저승사자 “개인정보 보호 못하면 EU서 사업 곤란”

베라 요로바 유럽연합(EU) 사법총국 집행위원이 지난 1일 서울 남대문로 주한EU대표부에서 인터뷰를 하며 지난달 25일 시행된 일반개인정보보호규정(GDPR)에 대해 설명하고 있다. [김상선 기자]

베라 요로바(54) 유럽연합(EU) 사법·소비자·성평등 집행위원은 전 세계에서 가장 바쁜 인사 중 한 명이다. 그뿐만 아니다. 구글이나 페이스북 등 미국 정보기술(IT)업계에는 ‘저승사자’에 비견된다. 지난달 25일 시행된 EU의 일반개인정보보호규정(GDPR)을 담당하는 총책임자이기 때문이다.

GDPR은 기업의 개인정보 활용에 대한 강화된 규제다. 기업이 개인정보를 처리하기 전 당사자(정보 주체)의 동의를 받아야 한다. 정보 주체가 자신의 개인정보에 대한 열람을 청구하거나 삭제를 요청할 수 있다. 개인정보의 이동도 요구할 수 있다.

기업이 이 규정을 위반하면 과징금 폭탄을 맞는다. 전 세계 매출의 4% 또는 2000만 유로(약 251억원) 중 더 많은 금액을 내야 한다. EU에 법인이나 지점이 있는 외국 기업뿐만 아니라 EU 밖에서 전자상거래 등을 통해 EU 시민에게 제품을 팔거나 서비스를 제공하는 외국 기업에도 적용된다. GDPR을 지키기 않으면 5억 명의 인구가 있는 거대 유럽 시장에서의 사업이 힘들어진다.

전 세계 기업이 요로바 집행위원의 일거수일투족에 관심을 갖는 이유다. 방송통신위원회와 GDPR 적정성 평가 등에 관한 논의를 위해 방한한 그를 지난 1일 만났다.

현재 EU 시장에서 사업을 하는 국내 기업이 EU 시민의 정보를 국내로 옮겨오려면 당사자의 동의를 일일이 받아야 한다. 적정성 평가를 받으면 이런 절차 없이 정보를 이전해 올 수 있다.

현재 캐나다와 스위스 등 11개국이 이 평가를 통과했다. 적정성 평가를 통과하면 국내 기업의 부담은 한결 완화될 전망이다. 그는 “아직 논의해야 할 것은 많지만 한국의 정보보호 수준이면 올해 안에 협상을 마무리할 수 있을 것”이라고 말했다.

EU의 일반개인정보보호규제

제도의 단계적인 도입과 적용 방침에도 기업은 몸을 사리고 있다. GDPR의 첫 희생자가 되지 않기 위해서다. LA타임스 등 일부 미국 언론은 유럽에서 접속하는 IP 등을 차단했다.

그는 오히려 GDPR이 기업을 돕기 위한 제도라고 강조했다.

기업이 개인 정보를 제멋대로 쓸 수 있게 놔둔다면 더 큰 위험이 생길 수 있다고 그는 경고했다. 그 예로 든 것이 미국 대선 당시 사용자 정보가 유출된 페이스북 사태다. 그는 “작은 실수 하나로 8700만 명에 달하는 사람이 피해를 봤다. 이런 일이 다시는 일어나면 안 된다고 생각한다”며 “개인의 신상 정보가 단지 광고 수익을 올리거나 잘못된 목적으로 사용된다면 개개인이 자신의 권리를 주장해야 한다”고 말했다.

하현옥 기자 hyunock@joongang.co.kr