데이터3법(개인정보보호법·정보통신망법·신용정보법) 개정안이 1월 국회를 통과하면서 8월 5일부터 본격 시행된다. 국내 개인정보보호 연관 부처인 인터넷진흥원(KISA) 행보가 바빠진 이유다. KISA는 4월 초 시행령을 입법예고할 계획이다. 고시 등 행정규칙은 이르면 4월 말 행정예고할 전망이다. 유럽연합(EU) 개인정보보호법(GDPR) 적정성 결정도 진행한다.

오용석 개인정보정책단장이 유튜브 스트리밍으로 개인정보보호법 개정 이후 KISA의 후속 사업을 설명하고 있다. / 유튜브 스트리밍 갈무리
오용석 개인정보정책단장이 유튜브 스트리밍으로 개인정보보호법 개정 이후 KISA의 후속 사업을 설명하고 있다. / 유튜브 스트리밍 갈무리
KISA는 3월 27일 개인정보보호법 개정 이후 후속 사업 진행 현황을 소개하는 자리를 마련하고 "법 시행을 앞두고 법률 구체화를 위한 시행령과 행정규칙, 가이드라인 등을 정비한다"며 "유럽연합(EU) 개인정보보호법(GDPR) 적정성 결정도 진행하고 있다"고 말했다.

개인정보보호법 안착 높이는 시행령, 고시, 가이드라인 마련

개인정보보호법 개정안에 따라 정부는 개인정보보호위원회(개인정보보호위)를 총리실 산하 중앙행정기관으로 격상하고 독립된 감독기구로 둔다. 부처별 개인정보 업무를 개인정보보호위로 통합, 이관한다. 개인정보 개념을 명확히 해 데이터 활용 근거도 뒀다. 개인정보처리자 책임성을 강화해 가명정보의 안전한 활용을 이끈다.

KISA는 이같은 법 개정에 따라 법률의 구체성을 높이고자 개인정보보호위, 행정안전부(행안부), 방송통신위원회(방통위) 등 연관 부처와 행정 입법을 추진한다. 8월 5일 법 시행으로 발생할 혼란을 줄이고자 시행령과 고시 등의 행정규칙을 마련한다.

시행령은 행안부나 방통위에 산재한 소관 사항을 개인정보보호위로 이관하는 내용을 담았다. 가명정보 결합 전문기관 지정과 가명정보 결합·반출, 관리·감독 기준 마련 등도 있다. 정보통신망법 시행령에 있던 개인정보 보호 규정을 개인정보보호법 시행령으로 이관해 특례 조항을 신설한다.
행정규칙은 데이터 결합 세부 절차 등을 담은 고시 1종이 담겼다. 행안부와 방통위에서 따로 운영하던 개인정보 안전성 확보 조치를 위한 고시 통합도 추진한다.

오용석 KISA 개인정보정책단장은 "시행령은 차주 입법예고 한다"며 "고시 등 행정규칙은 4월 말에서 5월 초로 행정예고를 예상한다"고 설명했다.

KISA는 법 시행 후 안착을 위해 가이드라인과 법령 해설서도 마련한다. 의료와 복지, 금융 등 산업 분야별 특성을 반영해 기존 가이드라인을 개정한다. 해설서는 구체적 예시나 사례로 법 개념과 내용을 이해할 수 있도록 개정한다.

오 단장은 "8월 5일 법 시행 시 시행령과 행정규칙, 가이드라인, 해설서 등도 모두 함께 제공할 수 있도록 절차를 진행하겠다"는 계획을 밝혔다.

EU GDPR 적정성 결정 진행 경과와 결정 완료 시 얻을 기대 효과. / KISA 제공
EU GDPR 적정성 결정 진행 경과와 결정 완료 시 얻을 기대 효과. / KISA 제공
GDPR 적정성 눈앞에 뒀다…현지 연락사무소 개설 예정

데이터3법 통과에 따른 개인정보보호법 개정안은 개인정보보호위원회 독립성을 보장하면서 EU GDPR 적정성 결정을 받을 토대가 될 전망이다. GDPR 적정성 결정이란 EU가 상대국의 개인정보 보호 법제 수준을 살펴 EU와 상응한다고 판단될 때 내리는 평가다.

국내 기업은 EU에서 개인정보를 역외 이전할 때 기업별로 GDPR 규제 준수를 평가받아야만 했다. 이로인해 소모되는 비용이 상당했다는 지적이 나왔다. 일례로 국내 모기업은 GDPR 관련 자문 검토와 컨설팅 비용으로만 40억원을 처리했다. 국가 차원에서 적정성 결정을 받으면 기업별로 발생하던 비용을 줄일 수 있다.

KISA는 2018년 정부가 마련한 GDPR 범부처 대응 체계에서 적정성 결정 전담 부처다. 한국과 EU 간 적정성 결정 협의를 지원하고 국내 기업의 GDPR 준수를 돕는 종합 지원 사업도 실시한다.

오용석 단장은 "그간 GDPR 적정성 결정을 위해 EU 집행위원회와 검토를 진행했다"며 "추진에 걸림돌로 작용하던 개인정보보호위 독립성 문제가 데이터3법 통과로 해결되면서 올해 상반기에 결정이 완료할 것으로 기대했다"고 설명했다.

그는 이어 "최근 신종 코로나바이러스 감염증(코로나19)이 세계 곳곳으로 영향을 미치면서 추진이 지연됐다"며 "코로나19가 진정되면 3개월 안으로 타결될 것으로 예상한다"고 덧붙였다.

KISA는 국내 기업의 GDPR 규제 준수를 지원하고자 맞춤형 컨설팅과 교육, 수시 상담 등을 시행한다. 차주에는 실무자가 문답 형식으로 GDPR 준수 여부를 자가 점검하도록 진단 도구도 홈페이지에 올릴 예정이다.

오용석 개인정보정책단장은 "올해는 그간 추진해오던 서비스를 한 층 개선한다"며 "GDPR 주요 정보 상시 업데이트와 중소 영세 기업을 대상으로 한 무료 컨설팅, EU 현지 실무 교육 등을 확대할 예정이다"고 말했다. 이어 "기업이 요구하는 EU 현지어 번역 등의 실무 서비스도 포함한다"고 덧붙였다.

KISA는 유럽 현지 연락사무소 개설도 앞두고 있다. 현지 지원 역량을 높이고 EU 규제 당국과의 소통에 힘쓰기 위해서다. 현지에서 활동하는 국내 기업의 요구사항을 파악해 올해 안으로 적합한 지역을 찾아 개설을 마무리할 예정이다.