[코리아포스트 한글판 제임스김 기자] 온라인 개인정보보호와 관련한 '사상 최강'의 법안이 25일(현지시간) 유럽연합(EU)에서 공식 시행에 들어간다.
일반개인정보보호법(GDPR)이라는 이름의 이 법은 국경이 없는 온라인의 특성을 반영해 유럽을 넘어 전 세계에 큰 영향을 미칠 것으로 뉴욕타임스(NYT) 등 주요 언론은 전하고 있다.
이에 따라 페이스북과 우버와 같은 거대 IT기업은 물론 EU 내 어린이 축구클럽, 요가 강사 등에 이르기까지 회원들에게 법 내용을 공지하는 등 홍역을 치르는 모습이다.
◇ GDPR 법 내용 = 이는 EU 회원국 간 개인정보의 자유로운 이동을 보장하는 동시에 개인정보의 보호 권리 강화를 위해 지난 2016년 마련됐다. 약 2년의 유예기간을 거쳐 25일부터 공식 시행에 들어간다.
이 법은 소셜미디어를 이용하거나, 뉴스를 읽고 온라인 쇼핑을 하고 남은 이용자 정보의 흔적을 줄이도록 하고 있다. 이용자들은 또 회사 측에 자신의 정보를 요청해 삭제를 요구할 수도 있다.
기업 등이 이용자의 동의 없이 개인정보를 수집하거나 이용하는 식으로 법 규정을 위반하면 강한 처벌이 뒤따른다.
심각한 위반일 경우 직전 회계연도의 전 세계 연간 매출액의 4% 또는 2천만 유로(253억 원) 중 큰 금액을 과징금으로 낼 수 있다.
EU는 이 법을 무역협정과 연계, 다른 나라들에 따를 것을 요구하는 등 개인정보보호와 관련해 이 법을 '세계 표준'으로 자리 잡도록 하겠다는 의향을 비치고 있다.
EU는 또 전 지구적인 단합된 대응이 미국 실리콘 밸리의 막강한 영향력을 제어할 수 있다고 주장하고 있다.
◇ 분주한 한일 등 각국, 외면하는 미국 = 한국과 일본, 브라질, 인도, 태국, 이스라엘 등 세계 각국은 유사한 법률을 마련하거나 준비하면서 EU의 조치를 따를 준비를 하고 있다.
한국 정부는 기업들이 EU에서 사업하려면 현지 법률을 준수해, 불이익을 받지 않아야 한다며 대대적인 기업설명회를 열었거나 열 예정이다.
일본에서는 지난해 독립기관인 온라인 정보보호위원회를 신설하는 내용의 정보보호법을 통과시켰으며, EU와도 관련 내용을 협의하고 있다.
브라질도 정보보호법안을 준비하면서 EU로부터 조언을 받고 있다.
소비자 보호 및 개인정보보호를 담당한 EU의 베라 요로바 집행위원은 수 주 후 한국과 일본을 방문해 정보보호와 관련 문제를 논의할 계획이다.
요로바 집행위원은 "세계에 이것을 수출할 수 있다면 기쁠 것"이라며 "기술을 규제하는 일은 전 세계적인 과제"라고 말했다고 NYT가 보도했다.
반면, 미국은 최근 수년간 IT산업에 대한 규제 움직임이 없어 EU와는 대조적이다.
최근 도널드 트럼프 행정부는 치고 올라오는 중국 경쟁자들로부터 자국의 기술기업들을 보호한다는 명목으로 보호무역주의적 대응을 강화하면서 감세와 함께 규제 완화 움직임마저 보인다.
그러나 미국 민주당의 상원의원들은 오는 11월 중간선거에서 의회 권력을 장악할 때를 대비해 24일 GDPR과 유사한 방안을 발표했다.
◇ '표적' 미 IT 기업은 채비 만전 = EU로부터 이미 견제를 받아온 미국의 IT 기업들은 적극적으로 대비하고 있다.
페이스북과 구글은 대규모 팀을 구성해 정보보호관련 규정을 바꾸는 등 EU의 요구에 맞추고 있다.
페이스북의 경우 엔지니어와 프로덕트 매니저, 변호사 등을 포함해 전 세계적으로 대략 1천 명이 이 업무에 투입되고 있다고 NYT는 전했다.
최근 자료에 따르면 EU 내 로비 활동을 위해서 구글과 마이크로소프트는 각각 450만 유로(57억 원)를 쓴 것으로 집계됐다. 이번 주 최고경영자(CEO) 마크 저커버그가 브뤼셀을 방문한 페이스북도 지난해 250만 유로(32억 원)를 썼다.
이런 사정에 따라 GDPR이 제대로 집행될지 우려하는 눈길도 있다.
주요 기업들은 철저히 대비하고 있지만, 각국 정부로서는 이들을 감시할 역량이 미흡해 제대로 대처할 수 없다는 것이다.
거대 IT기업들이 지역 본부를 두고 있는 아일랜드의 경우 정보보호당국은 750만 유로(95억 원)에 불과한 예산으로 이들 글로벌 기업들에 맞서야 하는 형편이다.
EU 28개 회원국 중 8개국은 준비 부족으로 아직 GDPR을 적용할 근거를 마련하지 못하고 있다.
글로벌 정보보호 커뮤니티인 국제개인정보보호전문가협회(IAPP) 오메르 테네 부회장은 NYT에 "문서 상에 규정이 있는 것과 현장에서 이들 규정이 이행되는 것은 다른 차원"이라며 이 법이 실제로 효과를 발휘할지 의구심을 표시했다.
