신고 건수 약 20만건 달해
[보안뉴스 엄호식 기자] 지난 2018년 5월 25일, 개인정보 처리와 이동에 관한 유럽연합(EU)의 일반 개인정보보호법(GDPR : General Data Protection Regulation)이 시행됐다. GDPR은 현재까지 존재해왔던 개인정보보호 관련법 중 가장 광범위하고 포괄적인 것으로 알려져 있다. 소비자 보호를 위한 사이버 보안 기술 및 정책과, 기술 기업들의 역할은 물론 대서양 연안 국가들(미국과 유럽국가들)의 미래까지도 담아내고 있다. 그렇다면 유럽연합 탈퇴(브렉시트)를 선언한 영국의 상황은 어떨까?
[이미지=iclickart]
EU 개인정보보호위원회(EDPB : European Data Production Board)가 2019년 2월에 발표한 GDPR 시행 1차 리뷰 보고서에 따르면, GDPR이 시행된 9개월 동안 유럽경제지역(EEA) 국가 중 11개국의 감독기관이 GDPR 위반 혐의로 기업에 부과한 과징금은 약 5,600만유로(한화 약 750억원)으로 집계됐다. 같은 기간 접수된 신고 건수는 약 20만건으로 이중 불만 접수가 9만 4,622건, 자진신고가 6만 4,684건이며 전체 신고건 중 52%의 조사가 종결됐다.
EDPB는 EU 회원국 간 상호협력체계와 일관성 있는 개인정보보호체제를 확립하는 데 있어서 GDPR 시행이 상당히 성공적이었다고 평가하는 한편, 회원국 간 긴밀한 협력을 위해 매일 수많은 연락이 오가고 있다고 밝혔다.
영국의 GDPR 적용
영국은 EU 회원국으로서 2019년 5월에 시행된 GDPR을 직접 적용받고 있다. 하지만 영국은 자국의 개인정보보호법 격인 DPA(Data Protection Act)와 마케팅 방식을 중점적으로 다루고 있는 영국의 PECR(The Privacy and Electronic Communications Regulations) 규정을 동시에 적용받고 있다.
PECR은 ‘The E-privacy Directive’라고도 불리는 유럽연합지침 2002/58/EC를 영국에서 시행·적용하는 자체 규정이다. B2B 마케팅 목적을 위해서라면 상대방이 TPS, CTPS 사이트의 ‘마케팅 연락 수신 거부 기업목록’에 등록돼 있지 않은 이상 사전 동의 없이도 전화 연락을 할 수 있도록 허용하고 있다. 이메일의 경우 회사 업무 담당자의 회사 메일만 B2B 마케팅 예외로 하며, 개인 메일로의 연락은 명시적인 수신 동의 없이 허용되지 않는다.
아직 영국에서 GDPR을 위반한 혐의로 과징금이 부과된 기업이나 단체는 없지만 최근 영국 개인정보보호 감독기관(ICO : Information Commissioner’s Office)이 EU 역외 기업에 대해 행정처분을 내린 사례가 있다.
[이미지=iclickart]
영국 현지 로펌에서 개인정보보호를 담당하는 변호사는 GDPR 시행 이후 전반적으로 정보 주체의 불만 접수 사례가 늘고 있으며, 일반 시민과 소비자, 직원들의 정보보호 권리에 대한 인식이 높아지고 있다고 전했다. 기업들 역시 개인정보보호가 언론의 조명을 받기 시작하면서 개인정보보호법 위반 사실이 밝혀질 경우 금전적 손해뿐만 아니라 기업 이미지에도 타격을 줄 수 있어 관심이 높아지고 있다고 덧붙였다.
영국에서의 GDPR 위반
영국 ICO는 현재까지 캐나다 소재 정치 컨설팅 테크 회사인 AggregateIQ Data Services Ltd.(이하 AIQ) 1개 기업에만 GDPR 위반 혐의로 공식 행정처분을 내렸다. 위반내용은 영국의 정치 관련 단체(Vote Leave, Beleave 등)로부터 적법한 절차 없이 영국 및 EU 시민의 이름과 이메일 주소 등 개인정보를 받아 소셜미디어를 통해 정치 광고 캠페인을 시행했다는 것이다. 이는 GDPR 5조(개인정보처리 원칙), 6조(개인정보처리의 적법성), 14조(정보주체로부터 정보를 획득하지 않았을 경우 개인정보처리자의 고지 의무) 위반에 해당한다.
이에 2018년 7월 6일 1차 행정처분으로 영국정치단체로부터 획득한 영국 및 EU 시민의 정보처리 중단을 요구했으나 AIQ에서 항소를 했다. 그리고 2018년 10월 24일 조치범위를 영국 시민으로 축소하는 2차 행정처분이 내려졌다. 2차 행정처분을 30일 내 미 이행 시, 2,000만유로 혹은 전 세계 매출액의 4% 중 더 높은 금액만큼 과징금으로 부과할 수 있다.
참고로 프랑스는 글로벌 기업 구글에 GDPR의 투명성(제5조 개인정보 처리원칙) 정책을 위반했다는 이유로 5,000만유로(약 653억원)의 과징금을 선고했으며, 포르투갈에서는 의료기관 ‘바리에로 몽티조’에 의사 이외 직원들에게 환자의 개인정보 접근 권한 부여 등을 이유로 40만유로(약 5억원)의 과징금을 부과했다.
▲2018~2019년 ICO 과징금 부과 기업[자료=Computer World UK]
덴마크 택시업체 ‘택사 4x35’는 보유 기간이 경과한 고객의 승차 정보를 보관했다는 이유로 과징금 16만유로(약 2억원)을, 독일의 채팅 애플리케이션 ‘크누델스’는 사용자 비밀번호 등 개인정보 암호화 미준수로 약 2만유로(약 2,600만원)의 과징금을 선고받았다.
올해 3월 런던에서 열린 개인정보보호 콘퍼런스에서 ICO의 책임자인 스테판 에커슬리는 “GDPR 시행 후 첫 달에만 약 1,700건의 신고가 들어왔지만, 현재는 매달 380~400건씩 접수되고 있다”고 전했다.
아직 영국에서 GDPR 위반을 근거로 부과된 벌금 조치 사례는 없지만, 최근 ICO는 GDPR 시행 이전에 적발된 페이스북과 에퀴팩스에 부과할 수 있는 최대 수준(50만유로)의 과징금을 부과한 전례가 있다. 50만유로는 DPA가 2018년에 개정되기 전까지 적용법령이었던 DPA 1998 하에서 부과할 수 있는 벌금의 최대 액수였다.
GDPR, 개인정보보호체제 확립 기여
GDPR은 정보처리자가 EU에 사업장을 가지고 있지 않더라도 EU 내에 있는 정보 주체에게 재화나 서비스를 제공하는 경우 강제 적용된다. 영국 ICO는 첫 제재로 EU 역외기업을 타깃으로 함으로써 영국 또는 EU 내에 거점이 있는지와 관계없이 GDPR을 위반하면 제재를 가하겠다는 입장을 분명히 했다.
이에 코트라 런던무역관은 영국은 지난 1년간 GDPR 위반으로 과징금을 부과한 프랑스와 독일, 포르투갈 등과 달리 아직 벌금 처분을 내린 기업이나 단체는 없다. 하지만 최근 들어 GDPR 시행 이전에 적발됐던 페이스북, 에퀴팩스 등에 기존 법을 기초로 부과할 수 있는 최대 수준의 과징금을 부과한 사실을 통해 개인정보보호법 위반에 대한 ICO의 권한 행사 의지를 확인할 수 있다고 전했다.
[엄호식 기자(eomhs@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>