[이슈플러스]유럽은 촘촘한 개인정보 국외이전 규정…미국은 국가 안보 차원 선제적 조처

우리나라가 중국발 개인정보 유출 우려에 휩싸이면서 미국·유럽 등 주요국의 개인정보 보호책이 재조명되고 있다.

미국은 별도의 개인정보 국외이전 규정이 없지만 '틱톡금지법(틱톡의 미국 내 사업권 매각 강제법)' 제정 등 국가안보 차원에서 선제적 조처를, 유럽연합(EU)은 회원국 국민의 개인정보를 실질적으로 보호하기 위해 관련 규제를 마련했다.

국내 시장에 딥시크·로보락 등 중국산 제품이 덮치면서 개인정보 유출 우려가 제기됐다. 중국 인공지능(AI) 모델 딥시크는 사용자 정보를 중국 사회관계망서비스(SNS) 틱톡 모회사 '바이트댄스'에 넘긴 것으로 드러났다. 국내 로봇청소기 시장점유율 1위인 로보락은 개인정보 처리 방침에서 고객 동의 없이 정보를 다른 중국 기업과 공유할 수 있다는 조항이 포함된 것으로 확인됐다.

중국 기업의 개인정보 유출 우려가 단순한 기우는 아니다. 2021년 제정된 중국의 데이터보안법에 따르면, 기업은 중국 정부가 국가 안보 목적으로 데이터를 수집할 경우 협조해야 한다.

미국은 개인정보 국외이전을 국가안보 차원에서 접근하고 있다. 틱톡금지법이 대표적이다. 미국 연방의회는 지난해 4월 안보 우려를 이유로 틱톡 모회사 중국계 바이트댄스가 미국 내 사업권을 미국 기업에 매각하지 않을 경우 신규 다운로드를 금지하는 법률안을 제정한 바 있다.

EU는 한국보다 유연한 개인정보 국외이전 규정을 가지고 있다. EU의 일반개인정보보호규정(GDPR)을 살펴보면, EU와 실질적으로 동일한 수준의 법적 보호가 이뤄지는 상황에서 개인정보가 국외로 이전할 수 있도록 다양한 법적 근거를 마련했다. 국외 개인정보처리자들의 법 준수 실행 가능성과 유인을 높이는 동시에 실질적인 개인정보 보호와 오남용 방지를 이끌겠다는 취지다.

구체적으로 개인정보의 국외이전 허용 근거로 적정성 결정을 규정한다. 이는 EU 역외 국가가 GDPR이 요구하는 수준과 동일한 수준의 개인정보 보호조치가 이뤄지고 있다는 의미다. 만약 적절성 결정이 없는 경우 적절한 세이프가드에 의한 이전 조건을 규정한다. 세이프가드의 예로는 구속력 있는 기업 규칙, 감독기구가 채택하고 집행위원회가 승인한 표준 정보보호 조항 등이 있다.

반면, 우리나라 개인정보보호법은 개인정보의 국외이전이 가능한 경우를 정보주체로부터 국외 이전에 관한 별도의 동의를 받은 등 5개 항목으로 규정하고 있다. 유럽에 비해 경우의 수가 적어 경직적이라는 평가다.

전문가들은 2023년 신설된 개인정보 국외이전 제도를 운영한 경험이 쌓이며 국외이전 규정을 확대할 시점이 왔다고 강조한다. 실제 국내 한 의료기관의 국제 공동연구가 국외이전 규제에 가로막혔고, 규제 샌드박스를 통해 추진할 수 있게 됐다. 다만, 세계가 보호무역주의로 돌아선 데다 중국발 개인정보 유출 우려로 국외이전 활성화를 논하기는 녹록지 않은 상황이다. 우선 몇몇 국외이전 사례로 일반화하지 않고 모든 사례를 종합해 개인정보보호법 개정 필요성을 따져야 한다는 의견에 무게가 실린다.

최경진 가천대 교수는 “현행법상 국외이전이 합리적이지만 규제로 가로막힌 사례를 우선적으로 파악해야 한다”며 “동등한 조건에서 개인정보를 주고받을 수 있도록 디지털 통상 협정을 체결하는 등 외교통상적 관점까지 종합적으로 검토해야 한다”고 말했다.

조재학 기자 2jh@etnews.com