데이터경제가 전세계 신성장 동력으로 떠오르고 있다. 데이터의 안전하고 자유로운 활용을 통해 신기술과 혁신적 서비스를 창출할 수 있어서다.
관련 규제 마련도 분주하다. 2018년 5월 발효된 유럽연합(EU)의 개인정보보호법(General Data Protection Regulation·GDPR)은 유럽 국민을 대상으로 활동하는 모든 기업에 개인정보의 수집·활용 및 역외이전 과정에서 이용자 동의를 받도록 의무화한다. 위반시 2000만 유로(약 260억원) 또는 기업 전 세계 매출의 4% 중 많은 것을 과징금으로 부과한다. 한국기업의 유럽 법인·지사도 유럽지역 영업으로 얻은 고객정보는 본사와 공유할 수도 없다. 이런 엄격한 규제 아래 인터넷 기반 사업을 할 경우 상당한 제약이 따른다. 특히 스타트업과 중소기업에게는 인력·비용면에서 큰 부담이다.
부담을 최소화할 방법은 있다. GDPR은 개인정보보호의 적절한 수준을 갖춘 국가에 대해서는 개인정보의 국외이전을 허용한다. 일본은 지난 1월 EU로부터 개인정보보호 수준이 EU 제시 수준과 실질적으로 동등함을 의미하는 ‘적정성 결정(adequacy decisions)’ 승인을 받았다. 일본은 이를 위해 일찌감치 독립된 데이터 보호기구 ‘개인정보보호위원회’를 설립했다. 2017년 1월 한국과 나란히 적정성 우선 평가 대상국으로 선정된 직후부터 아베 총리가 직접 유럽집행위원회를 방문해 적정성 심사 협의를 진행했다. 이로써 전 세계 사물인터넷(IoT) 센서 시장의 40%를 점유하는 일본기업들은 유럽 내 자사의 IoT 센서로 수집한 데이터를 일본 본사로 옮겨 빅데이터 분석을 할 수 있게 됐다.
반면 한국은 GDPR 제정 후 2년 반이 지나도록 적정성 평가의 가장 기본인 ‘독립적·포괄적 데이터 컨트롤타워’ 조차 마련하지 못했다. 행정안전부는 2015년부터 개인정보보호법 중심의 전체 적정성 평가를 추진했으나 EU로부터 ‘개인정보보호위원회는 총괄 감독기관으로서 적격성이 미흡하다’는 통보를 받았다. 지난해에는 방송통신위원회가 정보통신망법을 근거로 부분 적정성 평가를 추진했으나 개인정보보호를 모두 포괄하지 못한다는 이유로 승인이 좌절됐다.
두 차례의 적정성 평가 실패로 심의 기능만 있는 개인정보보호위원회의 한계가 여실히 드러났고 개인정보보호법, 정보통신망법, 신용정보법(데이터경제 3법)으로 분산된 상황에서는 제대로 된 정책이 어렵다는 사실이 입증된 셈이다.
뒤늦게나마 지난해 11월 위원회 위상 강화와 개인정보보호 법령을 일원화하기 위한 ‘데이터경제 3법’ 개정안이 국회 제출됐지만 개정안은 정쟁에 묻혀 제대로 논의조차 되지 못했다.
EU 적정성 결정 승인이 지연되면 그 피해는 오롯이 국내 기업이 떠안는다. 정부를 믿고 개인정보의 해외 전송 방식을 결정하지 않고 있던 국내 사업자들이 GDPR을 위반할 경우 천문학적 배상금을 내야 한다. 일부 기업은 뒤늦게 각자도생에 나섰지만 중소기업은 별다른 대책이 없는 상황이다. 실제 GDPR 적용 이후 EU에서 활동하는 중소 온라인 광고 사업자의 웹사이트 도달률은 평균 20% 가량 하락했고 그 자리를 구글, 페이스북 등 글로벌 기업들이 메우고 있다.
데이터경제는 한번 주도권을 빼앗기면 되찾기 어렵다. 우리 기업의 국제 경쟁력이 더 약화되기 전에 한시라도 빨리 개인정보보호위원회의 독립 감독기구로서 위상을 강화하고, 관련 법령을 일원화하기 위한 ‘데이터경제 3법’ 개정안을 통과시켜야 한다. 합의가 어려운 부분이 있더라도 GDPR 적정성 평가 준비를 시작할 수 있도록 최소한의 개정안이 우선적으로 만들어지길 바란다.