GDPR, 무시무시한 벌금형에 대한 상징성 가져가
발효 이후 많은 국가들이 GDPR과 비교해가며 정책 수립할 듯
[보안뉴스 문가용 기자] 데이터 프라이버시 분야에서 요 근래 가장 중요한 키워드는 단연 GDPR이다. 일반정보보호규정(General Data Protection Regulation)이라는 이름으로 풀이되며, 유럽연합에서 2018년부터 발효시킬 정책이다. 하지만 GDPR만 안다고 해서 국제적인 데이터 프라이버시의 최근 현황을 다 이해한다고 말할 수는 없다.
전 세계적으로 봤을 때, 약 65개 국가에서 지난 3년 동안 새로운 프라이버시 관련 법안을 통과시켰거나 통과시키려고 하고 있다. 여기에는 놀랍게도 브라질과 중국이 포함되어 있다. 데이터 프라이버시에 대한 개념 자체에 대한 합의는 차처하더라도, 일단 그에 대한 관련 정책들이 자리를 잡아간다는 뜻이다. 이는 그 동안 기업과 기관들이 고객 정보를 소홀히 다뤄온 것에 대한 반발작용으로 볼 여지도 충분하다.
물론 세부 내용은 나라마다 천차만별이다. 데이터 프라이버시 위반 시 사법처리를 해버리는 곳도 있고, 그렇지 않은 곳도 있다. 벌금을 무시무시하게 거두는 나라가 있는가 하면, 아직 그 벌금을 정하지 못해 논의를 벌이는 곳도 있다. 다만, 평균적으로 봤을 때 두드러지는 현상은 1) 벌칙이 더 무거워지고 있고, 2) 벌금도 더 세지고 있으며, 3) 이 두 가지 현상 때문에 정책 적용이 더 편리해지고 있다는 것이다.
이런 시점에서 GDPR의 존재 의의는 ‘데이터 프라이버시’라는 개념을 보다 널리 알렸다는 사실이다. 여태까지는 예행연습이었고, GDPR부터 본격적인 디지털 시대로 접어드는 것이라고 분류하는 사람도 있을 정도다. 사람마다 느끼는 ‘정도’에는 차이가 있을 수 있지만, 아무튼 GDPR의 디지털 시대의 데이터 프라이버시 홍보대사가 된 것. 특히 한 가지 측면에서 GDPR이 갖는 상징성이 큰데, 바로 벌금의 규모다. 회사 전체 수익의 4%라는, ‘역대급’ 규모의 벌금이 예고되어 있는 것이다.
어마어마한 벌금도 기업 경영자들의 마음 한 켠을 어둡게 만드는데, 실제 이들에게 더 끈적한 악몽 같은 건, 개인정보라는 것에 대한 개념이 아직도 불분명하다는 것이다. 더 정확히 말하면, GDPR에서 말하는 개인정보는 ‘흔히들’ 말하는 개인정보보다 그 범위가 대폭 확장된 형태다. 게다가 이게 나라마다 또 대단히 다르기 때문에, 국제적인 사업체를 운영하는 사람들은 ‘어느 장단에 맞추라는 거야?’라는 소리가 절로 나온다.
최근 싱가포르의 개인정보보호위원회(Personal Data Protection Commission)가 이 점에 대해 목소리를 냈다. “상황과 맥락에 근거하여 판단해야 한다”는 게 그들의 최종적인 주장이었다. 보다 정확히는 “오남용이나 탈취된 데이터가 민감한 금융정보의 성질을 띠고 있을 때에만 벌금형을 내릴 수 있다”는 내용이다. 아무리 민감해도 금융상황과 관련이 없는 정보라면, 벌금형이 타당치 않다는 것.
그러나 이런 주장은 결국 수많은 관련 주장 중 한 타래일 뿐이고, 유럽연합의 GDPR이라는 무게감 앞에 소리소문 없이 사라질 가능성이 매우 높다. GDPR이 발효되기 시작하면 대부분 국가들에서 앞서거니 뒤서거니 하며 대부분 GDPR과 비슷한 정책들을 새롭게 도입하리라고 본다. 그렇지 않더라도, 최소 GDPR을 기준으로, GDPR과 비슷하게 데이터 프라이버시 법안을 만들어갈 것이다. 그런 의미에서 GDPR을 기본으로 습득한다는 건 매우 중요한 일로 보인다.
재미있는 건, GDPR에 따르면 데이터 보호 전문 담당자를 배치하는 것이 필수이기도 하고 아니기도 하다는 점이다. 해당 조직에 공공의 권한이 있거나 대규모로 체계화된 모니터링을 실시해야 하거나 민감한 데이터를 대량으로 처리해야 하는 작업을 진행해야 한다면, 데이터 보호 담당자가 필수적으로 있어야 한다. 상황과 맥락에 따라 벌금형을 내리거나 다른 벌칙을 부과해야 한다는 싱가포르 개인정보보호위원회의 주장과 맥락을 같이 한다. 그러나 정작 싱가포르 개인정보보호위원회는 데이터 보호 담당자 지정 여부 결정권은 온전히 조직에게 귀속된다는 입장이다. 혼란스럽다 정말.
이런 상황에서 정말로 국제적인 단체들은 어느 장단에 맞춰야 할까? 입맛에 맞는 정책을 가진 나라에서만 사업을 벌여야 할까? 개인정보의 범위도 다 다르고, 그에 대한 위반 사례들도 다르며, 벌칙도 판이한데, 이걸 다 공부해야 하는가? 아니면 정말 그 중심 기준이 될 가능성이 높은 GDPR을 좀 파고들어야 하는가?
먼저는 데이터 프라이버시와 관련된 사업 내용이 무엇인지를 정확히 파악하는 것부터 시작해야 한다. 그러면서 어떤 나라나 산업의 규칙에 가장 크게 영향을 받을 것인지를 추적해서 알아내는 것이 기본이다. 미안하지만, 왕도는 없다. 법이란 게 다 그렇지만, 더 엄중해지고 무거워지는 벌금을 생각해봤을 때, 어떤 것 하나 무시할 수 없는 게 현실이다. 가장 가까운 것부터 해결해나가는 게 최선의 방법이다.
데이터 프라이버시의 큰 흐름을 기억하는 게 이러한 노력에 도움이 될 수 있을 듯 하여 첨부하자면, 개인정보 프라이버시 보호의 키워드는 ‘지속성’이라는 것이다. 지속성이란 무엇인가? 바로 데이터가 어떤 경로로 들어오는지, 어디에 저장되어 있는지, 그 데이터의 원 주인이 누구인지, 특정 시간 대에 해당 데이터는 어디에 존재하게 되는지, 어떤 동의 내용에 사용자가 서명을 했는지, 어떤 방식으로 어디서 왜 데이터가 사용되는지를 전부 이해한다는 것이다. 불시 검문을 해도 데이터와 관련된 질문에 항시 답할 수 있는 상태가 되는 것이 바로 데이터 프라이버시의 지속성을 높이는 길이다.
글 : 디미트리 시로타(Dimitri Sirota)
[국제부 문가용 기자(globoan@boannews.com)]
발효 이후 많은 국가들이 GDPR과 비교해가며 정책 수립할 듯
[보안뉴스 문가용 기자] 데이터 프라이버시 분야에서 요 근래 가장 중요한 키워드는 단연 GDPR이다. 일반정보보호규정(General Data Protection Regulation)이라는 이름으로 풀이되며, 유럽연합에서 2018년부터 발효시킬 정책이다. 하지만 GDPR만 안다고 해서 국제적인 데이터 프라이버시의 최근 현황을 다 이해한다고 말할 수는 없다.
전 세계적으로 봤을 때, 약 65개 국가에서 지난 3년 동안 새로운 프라이버시 관련 법안을 통과시켰거나 통과시키려고 하고 있다. 여기에는 놀랍게도 브라질과 중국이 포함되어 있다. 데이터 프라이버시에 대한 개념 자체에 대한 합의는 차처하더라도, 일단 그에 대한 관련 정책들이 자리를 잡아간다는 뜻이다. 이는 그 동안 기업과 기관들이 고객 정보를 소홀히 다뤄온 것에 대한 반발작용으로 볼 여지도 충분하다.
물론 세부 내용은 나라마다 천차만별이다. 데이터 프라이버시 위반 시 사법처리를 해버리는 곳도 있고, 그렇지 않은 곳도 있다. 벌금을 무시무시하게 거두는 나라가 있는가 하면, 아직 그 벌금을 정하지 못해 논의를 벌이는 곳도 있다. 다만, 평균적으로 봤을 때 두드러지는 현상은 1) 벌칙이 더 무거워지고 있고, 2) 벌금도 더 세지고 있으며, 3) 이 두 가지 현상 때문에 정책 적용이 더 편리해지고 있다는 것이다.
이런 시점에서 GDPR의 존재 의의는 ‘데이터 프라이버시’라는 개념을 보다 널리 알렸다는 사실이다. 여태까지는 예행연습이었고, GDPR부터 본격적인 디지털 시대로 접어드는 것이라고 분류하는 사람도 있을 정도다. 사람마다 느끼는 ‘정도’에는 차이가 있을 수 있지만, 아무튼 GDPR의 디지털 시대의 데이터 프라이버시 홍보대사가 된 것. 특히 한 가지 측면에서 GDPR이 갖는 상징성이 큰데, 바로 벌금의 규모다. 회사 전체 수익의 4%라는, ‘역대급’ 규모의 벌금이 예고되어 있는 것이다.
어마어마한 벌금도 기업 경영자들의 마음 한 켠을 어둡게 만드는데, 실제 이들에게 더 끈적한 악몽 같은 건, 개인정보라는 것에 대한 개념이 아직도 불분명하다는 것이다. 더 정확히 말하면, GDPR에서 말하는 개인정보는 ‘흔히들’ 말하는 개인정보보다 그 범위가 대폭 확장된 형태다. 게다가 이게 나라마다 또 대단히 다르기 때문에, 국제적인 사업체를 운영하는 사람들은 ‘어느 장단에 맞추라는 거야?’라는 소리가 절로 나온다.
최근 싱가포르의 개인정보보호위원회(Personal Data Protection Commission)가 이 점에 대해 목소리를 냈다. “상황과 맥락에 근거하여 판단해야 한다”는 게 그들의 최종적인 주장이었다. 보다 정확히는 “오남용이나 탈취된 데이터가 민감한 금융정보의 성질을 띠고 있을 때에만 벌금형을 내릴 수 있다”는 내용이다. 아무리 민감해도 금융상황과 관련이 없는 정보라면, 벌금형이 타당치 않다는 것.
그러나 이런 주장은 결국 수많은 관련 주장 중 한 타래일 뿐이고, 유럽연합의 GDPR이라는 무게감 앞에 소리소문 없이 사라질 가능성이 매우 높다. GDPR이 발효되기 시작하면 대부분 국가들에서 앞서거니 뒤서거니 하며 대부분 GDPR과 비슷한 정책들을 새롭게 도입하리라고 본다. 그렇지 않더라도, 최소 GDPR을 기준으로, GDPR과 비슷하게 데이터 프라이버시 법안을 만들어갈 것이다. 그런 의미에서 GDPR을 기본으로 습득한다는 건 매우 중요한 일로 보인다.
재미있는 건, GDPR에 따르면 데이터 보호 전문 담당자를 배치하는 것이 필수이기도 하고 아니기도 하다는 점이다. 해당 조직에 공공의 권한이 있거나 대규모로 체계화된 모니터링을 실시해야 하거나 민감한 데이터를 대량으로 처리해야 하는 작업을 진행해야 한다면, 데이터 보호 담당자가 필수적으로 있어야 한다. 상황과 맥락에 따라 벌금형을 내리거나 다른 벌칙을 부과해야 한다는 싱가포르 개인정보보호위원회의 주장과 맥락을 같이 한다. 그러나 정작 싱가포르 개인정보보호위원회는 데이터 보호 담당자 지정 여부 결정권은 온전히 조직에게 귀속된다는 입장이다. 혼란스럽다 정말.
이런 상황에서 정말로 국제적인 단체들은 어느 장단에 맞춰야 할까? 입맛에 맞는 정책을 가진 나라에서만 사업을 벌여야 할까? 개인정보의 범위도 다 다르고, 그에 대한 위반 사례들도 다르며, 벌칙도 판이한데, 이걸 다 공부해야 하는가? 아니면 정말 그 중심 기준이 될 가능성이 높은 GDPR을 좀 파고들어야 하는가?
먼저는 데이터 프라이버시와 관련된 사업 내용이 무엇인지를 정확히 파악하는 것부터 시작해야 한다. 그러면서 어떤 나라나 산업의 규칙에 가장 크게 영향을 받을 것인지를 추적해서 알아내는 것이 기본이다. 미안하지만, 왕도는 없다. 법이란 게 다 그렇지만, 더 엄중해지고 무거워지는 벌금을 생각해봤을 때, 어떤 것 하나 무시할 수 없는 게 현실이다. 가장 가까운 것부터 해결해나가는 게 최선의 방법이다.
데이터 프라이버시의 큰 흐름을 기억하는 게 이러한 노력에 도움이 될 수 있을 듯 하여 첨부하자면, 개인정보 프라이버시 보호의 키워드는 ‘지속성’이라는 것이다. 지속성이란 무엇인가? 바로 데이터가 어떤 경로로 들어오는지, 어디에 저장되어 있는지, 그 데이터의 원 주인이 누구인지, 특정 시간 대에 해당 데이터는 어디에 존재하게 되는지, 어떤 동의 내용에 사용자가 서명을 했는지, 어떤 방식으로 어디서 왜 데이터가 사용되는지를 전부 이해한다는 것이다. 불시 검문을 해도 데이터와 관련된 질문에 항시 답할 수 있는 상태가 되는 것이 바로 데이터 프라이버시의 지속성을 높이는 길이다.
글 : 디미트리 시로타(Dimitri Sirota)
[국제부 문가용 기자(globoan@boannews.com)]
Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
 th.jpg)
.jpg)
 TH.png)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
