국내 기업과 공공기관이 앞으로 유럽연합(EU) 국가로 개인정보를 이전할 때 본인 동의 등 별도의 추가 절차를 거치지 않아도 되는 길이 열렸다. 한국이 EU로부터 개인정보 보호 체계의 동등성을 공식 인정받으면서, 양측 간 개인정보의 자유로운 이동이 가능해진 것이다.
이번 조치는 2025년 9월 16일 서울에서 열린 글로벌 프라이버시 총회(GPA)에서 발표됐다. 고학수 개인정보보호위원회 위원장과 마이클 맥그라스 EU 집행위원회 관계자는 공동 언론 발표를 통해 양측의 개인정보 보호 수준이 실질적으로 동일하다는 데 의견을 모았다고 밝혔다. 2023년 개정된 개인정보보호법에 따라 도입된 동등성 인정 제도의 첫 대상이 바로 EU로 결정된 것이다.
사실 EU는 이미 2021년 자국 개인정보가 한국으로 이전되는 것을 허용해온 바 있다. 이는 EU 일반개인정보보호법(GDPR)의 적정성 결정 제도를 근거로 한 조치였다. 다만 당시 한국에는 이와 유사한 제도가 없었기 때문에 EU→한국 이전만 가능했다. 이번에는 한국이 EU에 대해서도 공식적으로 '동등한 보호 수준'을 인정함으로써, 양방향 데이터 이전이 법적 장벽 없이 이뤄질 수 있는 기반이 마련된 셈이다.
이번 동등성 인정은 조회, 위탁 처리, 클라우드 서버 저장 등을 포함한 거의 모든 형태의 개인정보 국외 이전에 적용된다. 다만 주민등록번호, 개인신용정보 등 민감한 정보의 경우에는 별도 적용 대상에서 제외된다. 이에 따라 국내 기관은 EU 27개국과 유럽경제지역(EEA) 3개국 등을 포함한 총 30개국에 대해 추가 절차 없이 개인정보를 보낼 수 있게 되며, 이에 따른 행정 및 법률 비용도 크게 줄어들 것으로 전망된다.
개인정보보호위원회는 이번 인정을 위해 전문가 및 시민단체가 참여한 태스크포스(TF)를 구성하고, 총 11차례의 양자 실무회의를 개최해 EU의 법적 체계와 감독 시스템, 피해구제 절차 등을 면밀히 검토한 것으로 알려졌다. 특히, 개인정보 침해가 발생할 경우 국내 기관이 직접 유럽 기관에 도움을 요청하거나, 개인정보보호위원회가 대신 대응할 수 있도록 협의 구조를 마련했다. 동등성 인정은 이날부터 효력이 발생하며, 2028년 9월 15일을 기준으로 3개월 전부터 재검토 절차가 진행될 예정이다.
이번 조치로 인해 우리 기업의 디지털 경쟁력이 강화될 것으로 기대된다. 특히 한국인터넷진흥원이 분석한 자료에 따르면, EU에 대한 동등성 인정은 연간 최대 45조 원의 무역 증가와 함께 생산 및 국민후생 측면에서도 일정 수준의 경제적 효과를 낼 수 있는 것으로 나타났다. 이 같은 흐름은 데이터가 디지털 무역의 핵심 자산으로 떠오른 시대에 기술 산업의 글로벌 확장성을 높이는 중요한 전환점이 될 가능성이 있다.
<저작권자 ⓒ TokenPost, 무단전재 및 재배포 금지>