유럽연합(EU)이 개인정보 보호 규범인 ‘일반개인정보보호법(GDPR)’ 제도의 단순화 여부를 본격적으로 검토 중인 것으로 확인됐다. 이는 고도화되는 디지털 환경 속에서 기업의 불확실성을 줄이고 법 적용의 일관성을 확보하려는 움직임의 일환이다.

마이클 맥그레스 EU 집행위원(민주주의·정의·법치주의·소비자 보호 담당)은 9월 15일 서울에서 열린 간담회에서 GDPR 제도의 실제 적용 과정에서 복잡성과 해석상의 일관성 문제가 반복적으로 지적돼 왔다며, 정책 개선 가능성을 타진 중이라고 밝혔다. 그는 단순화 여부에 대한 결정은 아직 확정되지 않았지만, 집행위원회 차원에서 본격 논의가 진행되고 있다고 설명했다.

GDPR은 EU가 2018년부터 시행 중인 포괄적인 개인정보 보호 규제로, 글로벌 기업들이 EU 시민들의 정보를 수집·이용·이전할 때 엄격한 기준을 요구한다. 이 규정을 위반할 경우 전 세계 연매출의 최대 4% 또는 2천만 유로 가운데 더 큰 금액으로 과징금이 부과된다. 실제로 아일랜드 개인정보보호 당국은 틱톡이 처리 과정의 불투명성과 불법 수집 등의 이유로 약 5억 유로(한화 약 8천158억 원)의 과징금을 부과하며 규제의 강도와 실효성을 다시 한 번 입증한 바 있다.

한국과 EU 간의 개인정보 협력도 재조명됐다. 맥그레스 위원은 한국이 지난 2021년 EU로부터 ‘적정성 결정’을 받은 국가로서, 양측 간 개인정보 이전이 절차상 간소화되어 데이터 경제 협력의 기반이 마련돼 있다고 평가했다. 이 적정성 결정은 개인정보 보호 수준이 EU 기준에 부합함을 인정받았다는 의미로, 3년마다 평가가 이뤄지며 올해 10월에도 관련 검토 회의가 예정돼 있다. 그는 이어 “자연스러운 다음 단계는 쌍방향 데이터 흐름에 대한 상호 인정을 확립하는 것”이라며, 데이터의 자유로운 이동이 이뤄질 경우 교역과 고용 창출에도 긍정적인 효과가 나타날 수 있다고 덧붙였다.

개인정보와 더불어 AI(인공지능)에 대한 규제 논의도 함께 언급됐다. EU는 세계 최초로 인공지능 시스템을 위험도에 따라 분류하고 규제하는 ‘AI 법안’을 도입해, 각국 간 정책 혼선을 예방했다는 평가를 받고 있다. 맥그레스 위원은 이와 관련해 “기업들은 규제 자체보다는 규제의 명확성과 예측 가능성을 중시한다”며, EU의 선제적 입법 노력이 시장 안정을 도왔다고 설명했다. 특히 연말에는 디지털 정책을 아우르는 ‘디지털 옴니버스 패키지’가 발표될 예정으로, 다양한 입법 제안을 포함할 가능성이 높다.

이러한 흐름은 향후 EU의 디지털 거버넌스 체계가 더욱 정교하고 포괄적으로 진화해 나갈 수 있음을 시사한다. GDPR 및 AI 법제화와 같은 유럽의 표준이 글로벌 규범으로 확산될 가능성도 있는 만큼, 한국을 포함한 외국 기업들의 대응 전략 마련이 요구되는 시점이다.