240905.jpg)
유럽연합의 개인정보보호규정 시행 후, 유럽 각국은 어떻게 대응하고 있나
[보안뉴스 신동훈 기자] 2018년 5월 25일 유럽연합의 개인정보보호규정(GDPR: General Data Protection Regulation)이 발효됐다. GDPR은 EU 국민의 개인정보에 대한 권리를 강화하고 기업과 공공기관의 선제적 정보보호 시스템 운영 의무를 강조하기 위한 목적으로 제정됐다.
[이미지=iclickart]
벨기에는 1992년의 정보보호법과 2001년 왕령을 폐지하고 2018년 9월 5일부로 GDPR 시행 국내법을 발표하기도 했다. GDPR이 시행됨으로써, 유럽국가에서는 인공지능 기술, 빅데이터 산업의 ‘원자재’라 할 수 있는 디지털 데이터의 중요성이 대두됨에 따라 사용자의 권리와 데이터 안보에 대한 인식이 강화되고 있다.
GDPR 시행 1년, 유럽국가의 인식 변화는?
GDPR이 시행된 뒤 2019년 3월 유럽 디지털광고연합(EDAA)에서 EU 국민 5,000여명을 대상으로 한 조사 결과 응답자의 76%가 GDPR에 대해 알고 있으며, 46%는 규정의 내용과 목적을 이해하고 있다고 답했다. 평균 응답자 44%는 기업이 자신의 정보를 합법적이고 책임감 있게 사용할 것임을 믿는다고 전했다.
유럽연합 개인정보보호위원회(EDPB)가 2019년 5월에 발표한 GDPR 시행 1주년 보고서에 따르면, 지난 1년간 유럽연합에서 GDPR 위반으로 접수된 사례는 총 28만여건이며, 이 중 63%가 판결이 완료되고 37%는 조사가 진행 중이다.
벨기에 정보보호국(DPA)은 2019년 성명서에서 GDPR 준수를 위한 관리감독 지원과 행정적 수단을 강화할 것이라고 발표하며, 2018년 한해 공공기관의 데이터 처리와 관련된 70건의 위반 사례를 제출했다. 2019년 5월 벨기에 법원은 이메일을 통해 수집된 개인정보를 선거 운동에 사용한 시장직 당선자에게 첫 GDPR 위반 판결과 2,000유로 벌금을 부과했다.
2019년 10월 유럽연합재판소(CJEU)는 온라인 복권 웹사이트 Planet 49에 대한 소비자 단체의 소송에 대해 웹사이트 방문 시 정보수집 동의란에 사전 체크된 안내창이 나타나도록 하는 것은 유효하지 않으며, 사용자로부터 보다 적극적인 방법으로 명시적 동의를 얻어야 한다고 판결했다. 이 판결 결과는 유사한 사안을 가진 유럽연합 내 검색엔진, 소셜 미디어 플랫폼 28개사에도 적용됐다.
▲유럽연합 내 GDPR 위반사례 동향[자료 : 유럽연합 개인정보보호위원회]
디지털 정보의 중요성 확대에 따른 유럽의 움직임
2019년 7월 구글이 홈 스마트스피커를 통해 벨기에 플랑드르 지역과 네덜란드 사용자들의 음성정보를 수집한 것이 벨기에 언론사(VRT)를 통해 밝혀졌다. 구글은 네덜란드어 검색엔진 기능을 개선하기 위한 모니터링 작업이었다고 하지만 개인 신상이나 민감한 정보가 담긴 오디오 파일이 확인됨에 따라 관리 당국에서 GDPR 위반 여부를 조사 중이다. 2019년 4월 미국에서도 아마존의 유사한 위반사례가 보고된 바 있다.
해당 사실이 밝혀지자 구글은 3개월간 유럽연합 내 음성정보 기록을 중단하기로 했다. GDPR 규정에 따르면 EU 국민의 자유와 권리를 침해한 경우 필요에 따라 3개월간 즉시 중단조치를 할 수 있다.
독일 국회의원 벤자민 스트라서(Benjamin Strasser)은 미국과 중국 기업의 데이터 인프라에 대한 의존도가 절대적인 현상을 비판하며, “디지털 데이터의 접근권한은 석유나 가스와 같은 천연자원에 대한 접근성과 동일하다. 에너지 공급국의 권력화가 위험하듯 데이터 서비스를 몇몇 국가의 일부기업에만 맡기면 안 된다”고 주장하기도 했다.
독일의 자동차 기업인 폴크스바겐은 2019년 초 아마존 웹서비스를 이용해 전 세계 122개 생산시설의 정보를 연결할 예정이라고 발표했다. 현재 독일연방 경찰은 감시 카메라 영상을 아마존 서버에 보관 중이다.
우르줄라 폰 데어 라이엔(Ursula Von Der Leyen)이 이끄는 새 EU 집행위원회가 유럽연합의 이익, 혁신기술 보호와 역내산업 강화하기 위한 ‘전략적 자율성’을 강조함에 따라 프랑스와 독일 등 주요 유럽 국가를 중심으로 민감한 데이터 수집과 저장에 대한 해외 기업 의존도를 줄이기 위해 역내 공급업체와 인프라 개발을 위한 협력 추진 중이다.
브뤼셀에 본사를 둔 온라인 권리 보호단체 EDRi(European Digital Rights)의 정책책임자 디에고 나란호(Diego Naranjo)는 “관련 산업 내 온라인 커뮤니케이션의 기밀성에 대한 명확한 규정 확립의 필요성이 증대되고 있으며, 유럽연합 차원의 ePrivacy 규정이 논의돼야 한다”고 주장하기도 했다.
개인정보보호규정은 유럽뿐만 아니라 미국에서도 유사한 규정이 시행될 예정으로 디지털 정보의 중요성이 전 세계적으로 강조됨에 따라 한국 기업의 경쟁력 제고를 위해 각국의 제반 규정과 관리체계에 대한 이해와 인식 강화가 필요한 시점이다.
또한, 데이터를 보호할 수 있는 암호화 기술, 가상 저장 공간 인프라 등 전 세계적으로 수요가 증가하는 분야를 발 빠르게 예측하고 IT 강국인 한국의 뛰어난 기술과 기업이 진출할 수 있는 기회임을 염두해야 한다.
[신동훈 기자(sw@boannews.com)]
[보안뉴스 신동훈 기자] 2018년 5월 25일 유럽연합의 개인정보보호규정(GDPR: General Data Protection Regulation)이 발효됐다. GDPR은 EU 국민의 개인정보에 대한 권리를 강화하고 기업과 공공기관의 선제적 정보보호 시스템 운영 의무를 강조하기 위한 목적으로 제정됐다.
[이미지=iclickart]
벨기에는 1992년의 정보보호법과 2001년 왕령을 폐지하고 2018년 9월 5일부로 GDPR 시행 국내법을 발표하기도 했다. GDPR이 시행됨으로써, 유럽국가에서는 인공지능 기술, 빅데이터 산업의 ‘원자재’라 할 수 있는 디지털 데이터의 중요성이 대두됨에 따라 사용자의 권리와 데이터 안보에 대한 인식이 강화되고 있다.
GDPR 시행 1년, 유럽국가의 인식 변화는?
GDPR이 시행된 뒤 2019년 3월 유럽 디지털광고연합(EDAA)에서 EU 국민 5,000여명을 대상으로 한 조사 결과 응답자의 76%가 GDPR에 대해 알고 있으며, 46%는 규정의 내용과 목적을 이해하고 있다고 답했다. 평균 응답자 44%는 기업이 자신의 정보를 합법적이고 책임감 있게 사용할 것임을 믿는다고 전했다.
유럽연합 개인정보보호위원회(EDPB)가 2019년 5월에 발표한 GDPR 시행 1주년 보고서에 따르면, 지난 1년간 유럽연합에서 GDPR 위반으로 접수된 사례는 총 28만여건이며, 이 중 63%가 판결이 완료되고 37%는 조사가 진행 중이다.
벨기에 정보보호국(DPA)은 2019년 성명서에서 GDPR 준수를 위한 관리감독 지원과 행정적 수단을 강화할 것이라고 발표하며, 2018년 한해 공공기관의 데이터 처리와 관련된 70건의 위반 사례를 제출했다. 2019년 5월 벨기에 법원은 이메일을 통해 수집된 개인정보를 선거 운동에 사용한 시장직 당선자에게 첫 GDPR 위반 판결과 2,000유로 벌금을 부과했다.
2019년 10월 유럽연합재판소(CJEU)는 온라인 복권 웹사이트 Planet 49에 대한 소비자 단체의 소송에 대해 웹사이트 방문 시 정보수집 동의란에 사전 체크된 안내창이 나타나도록 하는 것은 유효하지 않으며, 사용자로부터 보다 적극적인 방법으로 명시적 동의를 얻어야 한다고 판결했다. 이 판결 결과는 유사한 사안을 가진 유럽연합 내 검색엔진, 소셜 미디어 플랫폼 28개사에도 적용됐다.
▲유럽연합 내 GDPR 위반사례 동향[자료 : 유럽연합 개인정보보호위원회]
디지털 정보의 중요성 확대에 따른 유럽의 움직임
2019년 7월 구글이 홈 스마트스피커를 통해 벨기에 플랑드르 지역과 네덜란드 사용자들의 음성정보를 수집한 것이 벨기에 언론사(VRT)를 통해 밝혀졌다. 구글은 네덜란드어 검색엔진 기능을 개선하기 위한 모니터링 작업이었다고 하지만 개인 신상이나 민감한 정보가 담긴 오디오 파일이 확인됨에 따라 관리 당국에서 GDPR 위반 여부를 조사 중이다. 2019년 4월 미국에서도 아마존의 유사한 위반사례가 보고된 바 있다.
해당 사실이 밝혀지자 구글은 3개월간 유럽연합 내 음성정보 기록을 중단하기로 했다. GDPR 규정에 따르면 EU 국민의 자유와 권리를 침해한 경우 필요에 따라 3개월간 즉시 중단조치를 할 수 있다.
독일 국회의원 벤자민 스트라서(Benjamin Strasser)은 미국과 중국 기업의 데이터 인프라에 대한 의존도가 절대적인 현상을 비판하며, “디지털 데이터의 접근권한은 석유나 가스와 같은 천연자원에 대한 접근성과 동일하다. 에너지 공급국의 권력화가 위험하듯 데이터 서비스를 몇몇 국가의 일부기업에만 맡기면 안 된다”고 주장하기도 했다.
독일의 자동차 기업인 폴크스바겐은 2019년 초 아마존 웹서비스를 이용해 전 세계 122개 생산시설의 정보를 연결할 예정이라고 발표했다. 현재 독일연방 경찰은 감시 카메라 영상을 아마존 서버에 보관 중이다.
우르줄라 폰 데어 라이엔(Ursula Von Der Leyen)이 이끄는 새 EU 집행위원회가 유럽연합의 이익, 혁신기술 보호와 역내산업 강화하기 위한 ‘전략적 자율성’을 강조함에 따라 프랑스와 독일 등 주요 유럽 국가를 중심으로 민감한 데이터 수집과 저장에 대한 해외 기업 의존도를 줄이기 위해 역내 공급업체와 인프라 개발을 위한 협력 추진 중이다.
브뤼셀에 본사를 둔 온라인 권리 보호단체 EDRi(European Digital Rights)의 정책책임자 디에고 나란호(Diego Naranjo)는 “관련 산업 내 온라인 커뮤니케이션의 기밀성에 대한 명확한 규정 확립의 필요성이 증대되고 있으며, 유럽연합 차원의 ePrivacy 규정이 논의돼야 한다”고 주장하기도 했다.
개인정보보호규정은 유럽뿐만 아니라 미국에서도 유사한 규정이 시행될 예정으로 디지털 정보의 중요성이 전 세계적으로 강조됨에 따라 한국 기업의 경쟁력 제고를 위해 각국의 제반 규정과 관리체계에 대한 이해와 인식 강화가 필요한 시점이다.
또한, 데이터를 보호할 수 있는 암호화 기술, 가상 저장 공간 인프라 등 전 세계적으로 수요가 증가하는 분야를 발 빠르게 예측하고 IT 강국인 한국의 뛰어난 기술과 기업이 진출할 수 있는 기회임을 염두해야 한다.
[신동훈 기자(sw@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
