논평: 국가 규제기관에 달린 GDPR 의 부분적 시행 개선

16 July 2018 10:29am

2018년 06월 29일 | 13:23 GMT 베셀라 글라디체바(Vesela Gladicheva), 신시아 크루트(Cynthia Kroet), 샘 윌킨(Sam Wilkin)

개인정보보호규정(GDPR)이 발효한 지 한 달이 넘게 지났지만, 제대로 준수하는 곳이 있는가 하면 그렇지 않은 곳이 있어 국가 규제기관이 곧 새로운 EU 프라이버시 규정의 시행 방안을 모색해야 할 것이다.

2016년 4월에 규정이 채택된 이후 기업이 이에 대비할 여유는 있었으나, 2000만 유로 (2300만 달러) 또는 (비교 대상 가운데 가장 높은) 세계 매출액의 4%에 달하는 큰 제재 위협은 5월 25일까지 모든 기업을 대상으로 시행하기에 충분치 않았다.

여러 업계 내의 기업이 아직 GDPR을 완전히 준수하지 않는 것으로 보인다. 본사가 입수한 정보에 따르면 가내 공업에서 ‘준수 솔루션’을 제공하였으나, 규제기관이 준수 솔루션으로 각 기업의 의무사항의 미묘한 차이를 파악할 수 있을지에 대해 비공개적으로 의심하고 있다.

GDPR은 기업의 규정 준수를 위해 필요한 정확한 단계, 특히 동의를 구하는 부분 (개인의 데이터를 처리하는 정당한 여섯 가지 방법 중 하나이자 정의를 내리기 가장 어려운 부분)에 관해 고의로 규정하지 않고 있다.

따라서 GDPR은 모호성을 바탕으로 모든 경제 분야를 지배하고 기술 발전에 대비하여 미래에도 경쟁력을 갖출 수 있다. 하지만 기업 입장에서는 준수 방안이 명확하지 않다.

EU 국가 규제기관의 통합기구이자 EU개인정보보호위원회(EDPB)인 제29조 특별조사위원회(Article 29 Working Party)에서 발표한 지침은 좀 더 명확하나 구체적인 방안은 없다.

업계의 반응은 엇갈린다. 일부 기업은 지나치게 조심하며 필요 이상으로 개인보호를 시행했다. 본사가 입수한 정보에 의하면 나머지 기업은 눈치를 보며 경쟁 기업의 방침을 대략적으로 시행하였으며, 이는 자칫 모든 기업 분야의 규정 위반으로 이어질 수 있다.

일부 기업에서는 법조문을 살핀 후 최소 범위 내에서 법망을 피할 방안을 마련할 가능성도 있다.

— 소비자 웹사이트 —

GDPR에 대한 대응하는 여러 방식을 알아보려면 사용자 데이터를 광고주에 많이 판매하는 여러 기업, 즉 뉴스 제공 사이트, 온라인 쇼핑몰, 온라인 사전 등의 정보 제공 사이트를 비롯한 소비자 대면 웹사이트를 살피는 것이 좋다.

위에서 언급한 사이트는 쿠키라는 추적 장치로 사용자의 데이터를 수집한다. 예를 들어, 언어 설정 또는 쇼핑 장바구니 기능을 저장해야 사이트가 원활하게 작동하는 경우에는 추적 장치가 반드시 필요하지만, 이 외에는 광고주 또는 제3자에게 데이터를 제공하거나 추가적인 목적을 위해 데이터를 처리한다.

쿠키는 특별히 또 다른 EU 법, 즉 e-프라이버시 규정으로 관리하고 있지만, 웹사이트 운영자 또한 사이트 내 쿠키가 GDPR을 반드시 준수하도록 설정해야 한다. EU 관료 사이에서 논의 중인 e-프라이버시 규정의 갱신안은 운영자에게 준수 지침을 더 많이 제공할 계획이다.

웹사이트는 GDPR에 따라 사용자 데이터를 추가 분석하거나 광고 협력업체에 데이터를 전달하기 전에 사용자의 허락을 구해야 한다. 웹사이트는 명확한 정보를 제공하며 요청해야 하고, 동의를 철회하기 쉽게 만들어야 하며, 기본값 설정을 통해 추가적인 데이터를 수집해서는 안 된다.

인터넷을 둘러보면 아주 다양한 접근 방식을 볼 수 있다. 이 중에서 GDPR를 위반할 위험이 있는 경우가 많다.

대부분 사이트에서는 사용자가 사이트를 처음 방문할 때 나타나는 화면의 상단이나 하단 배너에 사이트의 쿠키 정책을 요약 설명하고 사용자의 결정을 요구하도록 명시하고 있다.

일부 사이트에서는 사용자가 더 많은 정보 제공과 함께 사용자의 선택을 요구하는 화면을 클릭하도록 되어 있다. 포괄적인 선택을 하는 경우에는 모든 분석 이용 및 광고 옵션을 허용하고, 더 상세한 허용이 필요할 때 추가 옵션이 따른다. 나머지 경우에는 사용자가 협력 업체의 목록을 바로 읽고 기업별로 허용 여부를 선택한다.

그 외 사이트에서는 기본값으로 설정된 조건을 확인하지 않고 바로 수락할 수 있는 배너 옵션을 사용자에게 제공한다. 일부 경우에는 기본값이 모든 조건을 허용하지 않도록 되어 있고, 나머지 경우에는 모든 조건을 허용하도록 되어 있다. 기본값을 수락하기 위해 ‘넛지’가 함께 적용되는 경우가 많다. 큰 초록색 버튼은 기본값을 수락하는 기능이며 작은 회색 버튼은 추가 옵션을 확인하는 기능이다.

이는 허용을 기본값으로 설정해 놓은 기업에 상당히 큰 이점이 될 수 있다. 대부분의 소비자 웹사이트에 나타나는 이러한 배너로 인해 사용자는 허용 과정을 금세 성가시게 여겨 가장 편하고 쉬운 쪽을 택할 것이다. 클릭 한 번으로 허용하고 클릭 네 번으로 허용을 거부할 수 있는 상황이라면 넛지로 인해 전자를 택하는 사용자가 많을 것이다.

또한 동의할 때만큼 동의 철회도 쉽게 할 수 있어야 한다는 의무가 있는 경우가 대부분이지만, 웹사이트는 일단 사용자가 초기 선택을 하면 옵션을 다시 열 수 있는 위치를 찾기 아주 어렵게 만드는 경우가 많다.

— 규제기관의 선택 —

EU 국가 내에서는 합법과 불법의 경계를 정하는 것이 국가 규제기관의 몫이지만, 국가 간의 문제일 때는 EDPB의 몫이다.

본사가 조사한 바에 따르면 대부분 규제기관은 수백 유로에 달하는 시행 권한을 바로 사용하지 않고 기업에 준수 사항에 관한 지침을 제공할 것이다. 하지만 규제기관이 열심히 일하지 않을 것이라는 의미는 아니다.

이번 주, EDPB 의장이자 오스트리아 당국 위원장인 안드레아 옐리니크(Andrea Jelinek) 위원장은 “불만이 제기된 사례와 상관없이 저희는 열심히 움직일 것입니다”라고 밝혔다.

가장 유연하게 접근하는 방식은 규제기관이 GDPR을 준수하지 않는 기업을 밝혀낸 후, 해당 기업에 규정을 잘못 적용한 부분을 변화시키고 동의를 다시 얻어야 한다고 알리는 것이다. 이에 따라 인터넷 사용자는 클릭을 통해 거쳐야 할 절차가 많아지지만, 결국에는 사용자가 동의 여부를 결정할 수 있는 공정한 기회를 얻는 것이다.

그러나 최종적으로는 규제기관의 인내가 한계에 다다르거나, 기업이 아주 명백하게 규정을 위반하여 모범 사례가 필요하다고 판단할 것이다. GDPR은 이 경우에 규제기관에 아주 결정적인 수를 내놓을 것이다.

본 기사는 MLex 고유 콘텐츠 입니다. 본 서비스는 영문으로 제공됨을 알려드립니다.

Global Privacy in 2018