이진규 ([email protected])

네이버주식회사 개인정보보호책임자 (이사)

들어가며

우리나라 개인정보보호위원회 윤종인 위원장과 디디에 레인더스(Didier Reynders) 유럽연합 집행위원회(European Commission) 사법총국 커미셔너는 올해 3.30(화)에 유럽연합과 우리나라 사이의 적정성 논의가 성공적으로 마무리되었음을 확인하고 환영한다 밝혔다. 지난 2017년 1월 해당 논의가 공식적으로 개시된 이래 개인정보감독기구의 독립성 요건 미충족으로 인하여 협의가 두 차례 중단되기도 하였으나, 4년이 넘는 기간동안 40여회의 회의를 통해 심층적 검토를 거쳐 우리나라의 개인정보보호법 체계가 EU GDPR과 동등한 수준임을 확인하여, 본격적인 ‘적정성 결정(adequacy decision)’ 절차에 착수했음을 공식적으로 확인한 것이다.

유럽연합이 우리나라를 대상으로 하는 적정성 결정을 완료하는 경우, 이미 2019년도 1월에 적정성 결정을 확인한 일본, 그리고 ‘브렉시트(Brexit)’에 따라 적정성 결정 절차를 진행하고 있는 영국에 이어 GDPR의 적용 이후 세 번째 적정성 결정을 받는 국가가 될 것으로 보인다.⁽¹⁾ 적정한 개인정보보호 수준을 제공하고 있는 것으로 유럽연합이 현재까지 인정한 국가는 Andorra, Argentina, Canada(commercial organisations), Faroe Islands, Guernsey, Israel, Isle of Man, Japan, Jersey, new Zealand, Switzerland, Uruguay 등 12개국밖에 되지 않는다. 우리나라를 대상으로 한 적정성 결정이 완료 되는 경우, 유럽연합으로부터 13번째 내지 14번째로 ‘적정한 개인정보 보호수준을 제공하는’ 국가로 인정받게 되는 것이다.

그런데, 적정성 결정이 최종적으로 마무리되면 구체적으로 어떤 효과가 발생하는지, 비슷한 시점에 적정성 결정을 추진한 일본과 비교하여 우리나라의 적정성 결정이 2년 이상 뒤쳐진 배경은 무엇인지, 적정성 결정 과정에서 어떤 Lessons Learned를 얻었는지 등에 대한 논의는 충분하지 않다. 이에, 이 글은 적정성 결정이 우리에게 과연 어떤 의미인지 제대로 이해하는 동시에, 적정성 결정에도 불구하고 앞으로 우리에게 어떤 과제가 여전히 남아 있는지 확인해볼 것이다.

적정성 결정(Adequacy Decision) 이해하기

지난 2018년 5월 본격 적용된 유럽연합 일반 개인정보보호법(GDPR, General Data Protection Regulation)은 적정성 결정에 관련하여 다음과 같은 규정을 가지고 있다.

Article 45. Transfers on the basis of an adequacy decision   1. A transfer of personal data to a third country or an international organisation may take place where the Commission has decided that the third country, a territory or one or more specified sectors within that third country, or the international organisation in question ensures an adequate level of protection. Such a transfer shall not require any specific authorisation.   1. 제3국 또는 국제기구로의 개인정보 전송(transfer)은 집행위원회가 제3국, 해당 제3국의 영토나 하나 이상의 지정 부문, 또는 국제기구가 적정한 보호수준을 보장한다고 결정한 경우 진행할 수 있다. 그러한 전송에는 어떤 특정한 승인이 요구되지 않는다.

위의 규정에 따르면 유럽연합 집행위원회(European Commission)는 유럽연합 회원국이 아닌 제3국(또는 제3국의 특정한 영토 내지 부문)을 대상으로 “해당 국가(또는 영토 내지 부문)가 적정한 개인정보보호 수준을 제공하는지 여부를 결정할 수 있는 권한”을 보유하고 있으며, 그러한 결정을 통해 적정한 정보보호 수준이 입증된 국가(또는 영토 내지 부문)로의 개인정보 전송에 대해서는 별도의 승인 절차를 요구하지 않는다는 점을 확인할 수 있다. 즉, 적정성 결정을 확인한 국가로의 개인정보 전송은 GDPR이 정하는 개인정보의 역외 전송에 관한 별 다른 제약의 적용을 받지 아니한다는 의미이다.

유럽연합 의회(European Parliament 및 유럽평의회(Council of Europe)는 GDPR에 규정된 집행 권한을 초과한 것을 근거로 하여 언제라도 집행위원회로 하여금 적정성 결정을 유지, 수정, 철회하도록 요구할 수 있다. 적정성 결정이 확인되는 경우 유럽연합(노르웨이, 리히텐슈타인, 아이슬란드 포함)으로부터 제3국으로의 개인정보 전송은 ‘추가적 보호조치(additional safeguard)’를 요하지 않는다. 이는 적정성 결정이 확인된 “제3국으로의 개인정보 전송은 유럽연합 내의 데이터 전송에 동화(同化)된다(assimilated to intra-EU transmissions of data).”는 것을 의미한다. 즉, 적정성 결정이 확인된 국가로의 개인정보 전송은 유럽연합 회원국간의 개인정보 전송과 동일한 취급을 받는 것이다.⁽²⁾

이와 같은 적정성 결정이 중요한 이유는, 유럽연합으로부터 개인정보를 제3국으로 전송할 때 가장 먼저 검토하는 절차이기 때문이다. 적정성 결정이 확인된 제3국으로의 개인정보 전송은 승인이나 추가적 보호조치를 요구하지 않지만, 그렇지 않은 제3국으로의 전송에는 GDPR에 규정된 여러 역외전송 메커니즘(overseas transfer mechanism)의 다양한 요구사항을 준수해야 한다는 부담이 뒤따른다. 아래 표는 적정성 결정을 확인하지 못한 제3국으로의 개인정보 전송 시 준수해야 할 사항들을 설명한다.⁽³⁾

※ 참고: GDPR 제49조(특정 상황에 대한 예외)는 개인정보 역외이전에 대한 특례 규정이므로 엄격하게 해석되어야 하며, 제5조 및 제6조에 따른 개인정보 처리의 일반 원칙과 합법처리 근거를 준수하여야 함

적정성 결정의 채택에 있어 가장 중요한 점은, 결정의 대상이 되는 제3국이 “유럽연합 내에서 보장되는 것과 실질적으로 동등한(essentially equivalent) 것으로 인정될 수 있는 적합한 개인정보보호 수준”을 보장해야 한다는 것이다. ⁽⁴⁾ 이는 유럽연합의 개인정보보호 법제와 제3국의 법제가 동일할(identical) 것을 요구하지 않는다는 점에서 일정한 ‘정치적 가능성’을 열어 둔 지점이라 평가할 수 있다. 또한, 해당 제3국은 효과적인 독립 개인정보보호 감독 체계를 갖추어야 하며, 유럽연합 회원국 개인정보 감독당국과 협조할 수 있어야 하고, 정보주체에게 효과적이고 집행 가능한 권리 보호 및 보장(행정적, 사법적 구제수단의 마련을 포함)을 제공할 수 있어야 한다.⁽⁵⁾ 한편, 이와 같은 적정성 결정은 법 집행 기관의 데이터 전송에 대한 영역까지 규율하지는 않는다. 이는 별도의 법제인 Directive (EU) 2016/680에 의하여 규율되기 때문이다.⁽⁶⁾

요약하면, 적정성 결정은 유럽연합 역외로 개인정보를 전송할 때, 가장 먼저 검토되는 역외전송 메커니즘의 일환이며, 개인정보가 전송되는 제3국의 개인정보 보호 수준이 유럽연합의 개인정보 보호 수준과 실질적으로 동등한 것을 인정하는 것이다. 적정성 결정이 확인되는 국가로의 개인정보 전송은 별도의 추가적 보호조치를 요하지 않는다는 점에서 절차상의 이점을 제공하는 것으로 평가할 수 있다.

적정성 (초기) 결정 과정에서 확인된 우리나라와 일본의 차이점

유럽연합 집행위원회는 ‘19년 1월 23일에 일본에 대한 적정성 결정을 완료했다. ‘18년 9월에 정식으로 개시한 적정성 결정 절차가 5개월만에 마무리가 된 것이다.

우리나라의 (초기) 적정성 결정 절차와 비교하여 가장 두드러진 차이점은 적정성 결정을 쌍방간에 진행한 것이다. 즉, 유럽연합으로부터 일본으로 개인정보를 전송하는 일방적(unilateral) 데이터 흐름에 대한 결정이 아니라, 일본으로부터 유럽연합으로 개인정보를 전송하는 것을 포함하는 상호 적정성 결정(mutual adequacy decision)을 진행한 점이 가장 큰 차이점이라 할 수 있다. 이는 일본이 제3국을 대상으로 내린 최초의 적정성 결정(equivalency decision)인 동시에, 유럽연합이 취득한 최초의 상호 적정성 결정이기도 하다.⁽⁷⁾

개인정보보호법(APPI)을 제정(2003년)하여 발효(2005년 4월)되었던 당시엔 일본은 유럽연합으로부터의 적정성 결정을 전혀 고려하지 않고 있었던 것으로 확인된다. 이후에도 한동안 관련 논의를 하지 않다가, 일본 소비자청(The Consumer Affairs Agency)이 유럽연합 적정성 결정에 관한 연구 보고서를 발간한 이후에 국회 차원에서의 관심이 모아지기 시작했다.⁽⁸⁾ 이후, 개인정보보호법 개정 법률안이 일본 의회에 제출된 2015년 4월, 일본 정부는 유럽연합 집행위원회로 하여금 적정성 평가를 개시하도록 요청하는 것과 관련한 계획서(plan)를 발간했다. 당시 내각부 특명담당대신이었던 야마구치 슌이치는 의회에서 “유럽 역내에서의 기업 환경을 개선하기 위해, 개인정보보호법이 개정된 후 적정성 결정을 획득하는 절차를 진행할 것이다.”라고 밝혀 이를 공식화했다. 적정성 결정에 있어 일본의 전략은 민간 부문에 한정하여 적정성을 취득하는 것이었는데, 이는 일본 개인정보보호위원회가 법집행 및 국가안보와 관련한 기관을 감독할 권한이 없기 때문이었던 것으로 알려지고 있다. 일본 정부는 유럽연합에 공식 제안을 진행하기 전에 ▲독립 감독기구 ▲해외 전송 제한 ▲민감정보 관련규정 ▲중소기업에 대한 법 적용 예외규정 등이 부재한 점과 더불어, 열람권(right of access)에 대한 보충적 설명을 제시해야 할 필요성을 인식하고 있었다. 또한, 국제 프라이버시 비교법 분야의 석학인 호주의 Graham Greenleaf 교수의 조언에 따라 법 준수, 집행, 위반 및 개선 활동 등에 관한 보다 상세한 정보를 취합하여 발간하는 작업에도 나섰다. 결국 이와 같은 노력은 2015년 일본 개인정보보호법 개정에 적절하게 반영이 되었는데, 특히 독립성을 갖춘 개인정보보호위원회가 설립된 것이 적정성 결정에 가장 주요하게 작용했던 것으로 평가된다. 이후, 일부 미진한 법제도 영역에 대해서는 ‘가이드라인 (초안)’을 발간하여 유럽연합의 예상 요구사항에 맞추었고, 이는 향후 구속력을 갖는 ‘Supplementary Rules’로 개정되었다. 이와 같은 법개정 노력 외에도, 일본은 2017년에 “International Conference of Data Protection and Privacy Commissioners’ (ICDPPC, 현재 the Global Privacy Assembly)”의 정식 멤버로 가입하는 등 국제적 개인정보보호 커뮤니티의 일원이 되었다. 또한, Convention 108+에 참관인(observer) 자격으로 참여하는 등의 노력도 기울이고 있다.⁽⁹⁾ 일본은 이와 같이 오랜 기간에 걸쳐 전략적 초점을 잃지 않고, 1) 적정성 결정의 적용 범위를 명확히 하고, 2) 오랜 기간에 걸쳐 유럽 vs. 일본 법제의 간극을 메우는 작업을 수행하는 동시에, 3) 상호 적정성 결정을 통해 주권국가로서의 위상을 굳건히 하였다는 점에서 매우 성공적인 적정성 결정을 이끌어낸 것으로 평가할 수 있을 것이다.

이에 반해, 우리나라의 경우는 상호 적정성 결정이 아니라, (유럽연합의) 일방적 적정성 결정이라는 점에서 일본의 경우와 큰 대조를 보여주고 있다. 우리나라를 대상으로 하는 적정성 초기 결정에는 공공분야가 포함되기는 하였으나, 금융분야의 개인정보 처리에 관한 부문이 제외되었다. 개인정보보호위원회는 “금융기관 등에서의 개인정보 신용도 판단 등을 위해서 금융기관 등이, 금융기관 등이라고 하면 신용정보법상 금융위원회의 감독을 받는 일부 기관들을 (의미한다). 그 기관들이 신용도 판단을 위해서 개인정보를 이전하는 부분만 빠졌다.”라며 적정성 결정 브리핑에서 설명을 제시했는데, 이러한 결과가 초래된 배경에는 금융권의 개인정보보호 업무를 관할하는 금융위원회의 ‘독립성’이 부족한 점이 크게 작용하여, 결국 적정성 결정에서 해당 부문이 제외된 것으로 확인이 되었다.⁽¹⁰⁾

우리의 경우도 일본과 마찬가지로 통합 개인정보보호법 개정 이전부터 적정성 결정을 염두에 두고 수 많은 전문가 회의 등을 거쳐 법개정 논의를 진행하였으나, 금융부문이 적정성 결정에서 최종적으로 배제가 된 것은 결국 개인정보보호법과 신용정보법에 기반한 이원화된 개인정보 거버넌스 체계가 발목을 잡은 것으로 볼 수 밖에 없다. 적정성 결정은 매 4년마다 리뷰 절차를 거쳐 재승인을 진행하게 되기 때문에, 향후 금융부문까지 포섭하는 적정성 결정을 진행할지 여부에 대한 의사결정과, 그에 따른 법 개정 및 거버넌스 정리 논의를 지금부터 라도 시작해야 한다는 목소리가 나오고 있다.

여전히 남아있는 과제

적정성 초기 결정에 따라, 특별한 사정이 없는 이상 연내 적정성 결정이 완료될 것으로 예상된다. 그러나, 적정성 결정이 내려진다고 하여 모든 문제가 단번에 해결되는 것은 아니다. 오히려, 적정성 결정 과정에서 드러난 여러 문제점을 차제에 개선하기 위한 작업에 착수를 해야 한다는 목소리도 작지 않다. 이에 관해 간단히 살펴본다.

1. 거버넌스의 재조정

이번 적정성 초기 결정의 결과로 확인된 것은, 우리나라 금융 분야의 감독당국이 개인정보보호 업무를 수행함에 있어 (유럽연합의 관점에서) ‘독립성’이 부족하단 것이다. 이는 단순히 개인정보보호위원회와 금융위원회가 이원화된 개인정보 관리 체계를 가지고 있다는 것을 넘어, 금융부문에서 개인정보보호라는 가치가 다른 아젠다와 경합하는 상황에서 ‘외부의 영향’으로 인해 우선순위가 밀려날 수 있는 가능성이 존재한다는 것을 의미한다.

다음 그림에서도 확인할 수 있듯, 개인정보보호 감독기관인 개인정보보호위원회가 통합하여 출범하였음에도 불구하고 여전히 금융회사 등이 관리하는 개인신용정보 보호에 있어서는 신용정보법을 관할하는 금융위원회가, 위치정보에 있어서는 위치정보법을 관할하는 방송통신위원회가 주무부처로서 권한을 행사하고 있다. 방송통신위원회는 적정성 초기 결정 이전 논의 단계에서, 금융위원회는 이번 초기 결정을 통해 개인정보 감독당국으로서의 독립성 부족에 대한 판단이 확인되었기 때문에 이를 그대로 유지하는 것은 적절하지 않다. 파편화된 개인정보 거버넌스로 인해 발생하는 사회적 손실비용을 만회하려면 앞으로도 얼마나 많은 사회적 논쟁과 불필요한 리소스 낭비가 초래될지 알 수 없는 일이다.

적정성 초기 결정 과정에서 가장 크게 대두된 과제는 이와 같은 ‘미완의 개인정보 보호 거버넌스’를 통합하고, 이를 위한 관련 법제도를 정비하는 것이다. 이는 전국가적으로 해결해야 할 과제이기 때문에 개별 부처 사이의 협의로 가능한 일이 아닐 수 있다. 따라서, 미래를 준비하는 자세로 이에 관한 ‘범 부처 차원의 논의’를 개시해야 할 필요성이 있다.

2. 투명한 커뮤니케이션

적정성 결정에 관한 논의를 진행하면서 정부는 ‘멀지 않은 시점’에 적정성 결정이 내려질 것이라는 예측을 여러 차례 제시하였으나, 많은 경우 구체적 성과를 확인할 수는 없었다. 단적인 사례로, 2017년 11월에 방송통신위원회는 ‘한-EU 개인정보보호 협력을 위한 공동성명’을 발표하면서, “이날 발표한 공동성명을 통해 양측의 개인정보보호 체계 간 유사성을 확인했으며, 한국의 적정성 평가라는 목표를 2018년 내에 조속히 달성하기로 약속했다. 2018년 5월 GDPR 적용 이전까지 적정성 결정을 목표로 EU와 협의를 추진해온 정부의 계획에 청신호가 켜진 셈이다.”라고 평가했다. 그러나, 방송통신위원회가 희망적으로 제시한 ‘18년 연내 적정성 결정 가시화에 관한 실질적 성과가 제대로 설명된 것을 찾아보기는 힘들다. 이후, 같은 해 10월에는 당시 방송통신위원장이었던 이효성 위원장과 허욱 부위원장이 유럽의회 LIBE 위원회를 방문하기도 하였으나, 상호 보호체계의 ‘이해를 넓혔다.’는 것 이상의 진척을 이루어 내진 못했다.

이후 데이터 3법 개정 등과 맞물려 적정성 결정에 대한 진도가 제대로 나아가지 못하였고, 비로소 2020년 초에 적정성 승인을 받겠다는 통합 개인정보보호위원회의 발표가 있었다. 그러나, 개인정보보호위원회 역시 진척 사항에 대한 구체적 공개 없이 단편적 보도자료를 통해 외교부장관 주최 EU 26개국 대사단 간담회 참석(‘20년 초), 주한EU대사 면담(’20. 5. 27.) 등에 대한 소식만 전하는데 그쳤다. 적정성 초기 결정에 관한 협의가 어느 수준에서 진척이 진행되고 있는지에 관한 정보를 투명하게 공개하진 않았다.

이러한 지난한 과정에서, 적정성 결정 여하에 따라 사업의 진척에 크게 영향받는 기업들은 귀동냥으로 관련 정보를 취득하면서 적정성 결정을 기다려야 할지, ‘표준 계약(SCCs)’과 같은 개인정보 전송 메커니즘을 적용하여 유럽연합 진출 사업을 본격 개시해야 할지 판단을 내리지 못한 채 시간을 보내기 일쑤였다. 여기에는 최대 전체 매출액의 4%에 이르는 GDPR 위반 과징금 부과의 위험이 고려되기도 했지만, 자칫 “첫번째 시범케이스”가 될 수도 있다는 두려움이 ‘chilling effect’가 국내 다수 기업에 확산되었기 때문이기도 했다. 일반 국민을 대상으로 한 커뮤니케이션 부족과 더불어, 적정성 결정에 직간접적으로 참여했던 다수 전문가들을 대상으로 한 진행상황에 관한 정보 공유가 미흡했던 점도 문제점으로 지적된다. 민간 부문의 전문지식과 경험, 그리고 사회적 네트워크의 지원을 받았음에도, 적정성 결정이라는 국가적 과제를 수행함에 있어 민간부문을 중요한 파트너로 인식하지 않은 것은 아닌가 하는 추정이 제기된 것이다.

3. 개인정보 보호 분야에서의 장기 전략의 부재

일본은 지난 2012년도에 Directive 95/46/EC(Data Protection Directive)에 기반한 적정성 평가에 대하여 차분히 연구를 수행하는 동시에, 그에 관한 보고서를 발간하면서 의회 및 정부 차원에서 일관된 대응 방향성을 설정하고 적정성 결정이라는 목적을 향해 나아갔다. 이와 관련하여 법제를 개선하고, 필요한 정부부처(기관)를 출범시켰으며, 적정성 적용 범주(‘민간’에 한정)를 명확히 하여 불필요한 리소스가 낭비되지 않도록 국가적 역량을 집중하였다.

이에 반해, 우리나라의 경우 GDPR로 인해 유럽연합 디지털 시장 진출이 어려워졌다는 볼멘 목소리가 나오자, 그제서야 적정성 결정에 부랴부랴 착수하는 모습을 보였다. 충분히 준비되지 않았고, 초점을 어디에 맞춰야 할 것인지도 잘 몰랐다. 적정성 결정에 착수하려는 논의를 개시한 정부는 개인정보 보호 감독당국의 독립성이 적정성 결정의 가장 중요한 선결조건이라는 점을 뒤늦게 파악하고서, 정부로부터 독립성이 있는 것으로 판단되는 방송통신위원회로 하여금 적정성 결정을 추진하도록 하였다. 이로 인해, 적정성 결정의 기준이 되는 우리나라의 법률은 개인정보보호법이 아니라 ‘정보통신망법’으로 결정되었고, 결국 적정성 결정의 영향을 받는 대상이 ‘정보통신서비스제공자’로 제한되었다. 이와 같은 혼란이 발생한 것은 우리나라가 개인정보 보호 분야에서의 장기 전략이 부재한 것에 기인한 바가 크다.

당장에 이익이 되지 않더라도 중장기적 전략 목표를 가지고서 정책을 수립하고, 관련 예산을 확보하는 동시에 전문가 풀(pool)을 확보하여 충분한 기초 연구를 수행하지 않은 결과가 일본에 비해 한참 지연된 적정성 결정 결과로 나타난 것이다. 통합 개인정보보호위원회 출범 당시 유럽연합의 Article 29 Working Party(현, EDPB)와 같은 전문가 단체의 구성과 운영, 의견서(opinion)의 축적, 연구 수행 등의 필요성을 다수 개인정보 보호분야 전문가들이 제안하였으나 개인정보보호위원회가 출범한지 1년이 넘게 지난 현재에도 이러한 움직임이 구체적으로 확인되지는 않는 점은 매우 안타까운 지점이다. 개인정보보호위원회가 올해 4월 ‘새로운 개인정보 패러다임 모색’을 기치로 제1기 <개인정보 미래포럼>을 발족하고 1년간의 활동을 개시한다고 하였는데, 해당 포럼이 EDPB와 같은 전문가 단체 역할을 수행할 수 있을 것인지는 미지수다.⁽¹¹⁾

나가며

이번 적정성 초기 결정과 관련하여 한 가지 덧붙이고 싶은 안타까운 지점은 바로 ‘적정성 결정’의 사회적 효과가 무엇이며, 실제 적정성 결정으로 인해 기존과 비교하여 ‘변화하는 것’이 무엇인지에 대한 커뮤니케이션이 적절하게 제시되지 못하고 있다는 점이다. 적정성 결정만 마무리 되면 마치 유럽연합의 데이터 시장이 크게 열리고, 아무런 제약 없이 유럽연합 정보주체의 개인정보를 처리할 수 있을 것으로 생각하는 기업들이 많이 있다. 그런데, 실제 유럽연합의 정보주체로부터 직접 개인정보를 수집하여 국내에서 처리하는 경우에는 적정성 결정과 무관하게 “GDPR의 전체 규정이 직접 적용”된다는 점, 그리고 적정성 결정은 단순히 유럽연합 역내에 있는 개인정보를 우리나라로 전송(transfer)할 때, 별도의 추가적 보호조치 없이도 전송에 나설 수 있다는 변화 외에 기존과 특별히 달라지는 것이 없다는 사실을 제대로 알릴 필요가 있다. 정부의 투명하고 정확한 커뮤니케이션이 다시 한번 요구되는 지점이다.

추가로, 한-EU 공동언론발표문을 보면, 이번 적정성 초기 결정은 “민간분야(commercial operators)와공공분야(public sector)를 모두 적용대상에 포함(cover)함으로써, 적정성 확인은 양측 모두의 이익을 위해 민간기업의 상업적 운영뿐만 아니라 규제 협력 촉진을 위한 개인정보 이전도 지원(support)할 것이다.”라고 한다. 그런데, 이와 관련하여 비 상업적 운영자(non-commercial operators)인 개인정보처리자에게는 본 적정성 결정이 적용되지 않는 것인지에 대해서도 명확한 설명이 제시될 필요가 있는 것으로 보인다. 현재 알려진 바로는 금융분야를 제외한 전체 민간-공공 영역에서의 적정성 결정이 내려질 것이라 하지만, 공동언론발표문의 문언상으로 판단할 때에는 일반 국민들의 기대와는 달리 비상업 영역은 이번 적정성 결정의 혜택을 받지 못할 수도 있다는 우려도 일각에서 제기되는 만큼 이에 관한 정부의 명확한 설명이 나중에 라도 제시되어야 할 것으로 보인다.

적정성 결정에 대한 막연하고 과도한 기대보다는, 그 과정에서 확인된 여러 문제점들을 “Lessons Learned”로 삼고, 보다 선진적이고 선도적인 개인정보 보호 및 관리체계를 만들어 나가는데 집중할 필요가 있다. 적정성 결정은 그 자체로 목적이 아니라, 보다 큰 시장으로 나가기 위한 기회인 동시에 우리나라의 개인정보보호 법제의 글로벌 상호운영성을 확보할 수 있는 시작점이 될 수 있기 때문이다.

본 원고는 KISA Report에서 발췌된 것으로 한국인터넷진흥원 홈페이지(https://www.kisa.or.kr/public/library/IS_List.jsp)에서도 확인하실 수 있습니다.

KISA Report에 실린 내용은 필자의 개인적 견해이므로, 한국인터넷진흥원의 공식 견해와 다를 수 있습니다.

KISA Report의 내용은 무단 전재를 금하며, 가공 또는 인용할 경우 반드시 [한국인터넷진흥원,KISA Report]라고 출처를 밝혀주시기 바랍니다.