경기창조경제혁신센터에서는 지난 22일, ‘게임 개발자가 살아남기 위해 필요한 것들’을 주제로 한 경기게임아카데미 오픈세미나가 개최됐다. 경기게임아카데미는 경기도가 지원하고 경기콘텐츠진흥원이 운영하는 게임분야 전문 지원 사업 브랜드다.
경기게임아카데미 오픈세미나는 2018년 7월 10일부터 2019년 2월 5일까지 월 2회 진행되며, 매번 게임 개발자들을 위해 다양한 주제로 강연이 이어진다. 이번 세미나에서는 법무법인 화우의 이근우 변호사가 개발자들이 게임 출시 과정에서 필히 알아야 할 개인정보 이슈 및 GDPR에 관해 설명했다.
■ 개인정보와 관련된 법률과 용어, 어떤 것이 있을까?
이근우 변호사는 업체들이 알아야 할 개인정보 관련 법안을 크게 세 가지로 꼽았다. 이 중 두 개는 국내 법안인 개인정보보호법과 정보통신망법이고, 다른 하나는 유럽에서 활용되고 있는 GDPR이다. 국내 진출만 생각한다면 GDPR은 우선순위에 두지 않아도 되지만, 국내에서도 GDPR을 참고해서 개정안이 마련되고 있는 만큼 참고할 필요가 있다고 덧붙였다.
현재 국내에서 개인 정보에 관련된 법은 크게 신용정보보호법까지 크게 세 가지지만, 이 중 신용정보보호법은 주로 은행권에 적용되기 때문에 이근우 변호사는 이번 강연에서 두 법안에 대해서만 설명을 이어갔다. 정보통신망법은 정보통신 서비스 제공자 즉 정보 통신망 서비스를 제공하는 업체에게 적용이 되는 법안이지만, 게임 역시도 정보통신망을 기반으로 서비스를 하기 때문에 법리적으로는 게임업체도 정보통신 서비스 제공자에 해당한다고 판단한다. 또한 개인정보 관리 등과 관련해서 이 법안에 없는 항목들은 일반법안인 개인정보보호법을 적용받게 된다.
그렇다면 법에서 말하는 개인정보는 어떤 것일까? 법적으로 개인정보는 살아있는 개인에 대한 핵심적인 정보를 뜻한다. 현재는 좀 더 다양한 정보들이 개인정보로 규정된 상태다. 그 하나만으로는 특정 개인을 규정할 수 없지만, 다른 정보와 결합했을 때 특정 개인을 지목할 수 있는 정보도 최근에는 개인 정보라고 분류하는 추세다. 일례로 핸드폰에 내장된 모바일칩이나 앱 내에 저장된 정보는 예전에는 애매하다고 판단했다. 그렇지만 시간이 지나면서 판례에서는 이러한 정보들도 개인 정보라고 판단하기 시작했다. 모바일칩 내에 저장된 정보들이 다른 정보와 결합했을 때, 특정 개인을 식별할 수 있다고 여기고 있기 때문이다.
이근우 변호사는 개인 정보와 관련된 법률 용어에 대해서도 설명했다. '정보 주체'는 개인 정보에 의해 식별이 되는 사람, 즉 해당 정보의 주체가 되는 사람을 의미한다. '처리'는 개인 정보를 이용하는 모든 행위, 즉 수집 및 이용, 활용, 보유, 가공 등등을 일컫는다. '개인정보처리자'는 개인정보보호법과 정보통신망법에 따라서 달라진다. 개인정보 보호법에서는 업무를 목적으로 개인정보를 처리하는 사람을 일컬으며, 정보통신망법상에서는 처리자가 정보통신서비스와 개인 정보를 이용해 영리 목적으로 서비스를 제공하는 자를 뜻한다.
■ 개인 정보, 어떻게 관리해야 할까?
게임 업체나 개발자들은 정보 주체의 개인 정보를 수집, 이용해서 서비스를 제공하게 된다. 그렇다면 이 개인 정보를 어떻게 관리하고, 수집할 때 어떤 사항을 준수해야 할까?
이근우 변호사는 이 과정을 수집 및 이용, 저장 관리, 제공 및 위탁, 파기, 권리 보장의 다섯 가지 단계로 나눠서 설명했다. 우선 개인 정보 자료를 수집하고, 이용하는 과정에서는 정보 주체의 동의 없이도 예외적으로 가능한 사례가 있지만, 기본적으로 정보 주체의 동의가 필요하다. 정보 수집 간에는 최소 수집, 즉 최소로 필요한 정도만 수집하는 것을 원칙으로 한다. 주민등록번호 등 민감 정보는 별도로 처리를 해서 동의를 받는 절차를 거쳐야 한다. 특히 주민등록번호는 굉장히 중요한 정보인 만큼, 시행령과 시행규칙에 별도로 명시가 되어있다. 이에 의거해서 처리하지 않으면 위법행위가 되기 때문에 주의해야 한다.
개인 정보를 수집, 이용해서 서비스를 제공하게 되면 자연히 해당 개인 정보에 대한 저장과 관리의 책임이 따르게 된다. 현재 국내법상으로는 개인 정보를 수집, 이용해서 서비스를 제공하는 업체 혹은 기업은 정보보호책임자를 정하고, 안정성 확보 조치를 취하도록 되어있다. 개인 정보를 보호하기 위해서 최소한 기술적으로 어떤 수준의 조치를 취해야 하고, 관리를 어떻게 해야 하는지는 개인정보보호법령에 명시가 되어있기 때문에 이를 확인하고 조치할 것을 강조했다. 특히 1인 개발자도 출시해서 서비스를 하게 되면 스스로 개인 정보를 감독하고 책임을 져야 하는 만큼, 한 번은 훑어보고 참고할 필요가 있다고 덧붙였다.
개인 정보와 관련된 업무를 한 업체에서 다 처리할 수도 있지만, 불가능한 경우도 있다. 그래서 개인 정보를 다른 업체에 제공하거나 위탁해서 업무를 처리할 수도 있다. 이런 개인 정보 위탁 및 제공은 가능하지만 정보 주체에게 정보 위탁과 제공에 관련된 사항을 공지하거나 법률에 따라서는 동의까지 받아야만 가능하다.
이근우 변호사는 많은 업체들이 지키지 않고 있는 사안으로는 파기 과정과 권리 보장을 꼽았다. 기본적으로 개인 정보는 보존 시일이 지나면 파기를 원칙으로 하고 있다. GDPR에서는 이를 준수하지 않으면 높은 금액의 과징금을 부가하고 있으며, 국내에서는 그 정도는 아니더라도 위법 혹은 개인 정보 유출 건이 적발됐을 때 해당 사항을 어긴 것이 드러나면 법에 따라 엄격히 적용하고 있다.
권리 보장은 정보 주체에게 법적 권리를 알려야 한다는 내용이다. 개인 정보가 유출됐을 때도 일정 기간 내로 통지해야 하며, 천 명 이상의 개인 정보가 유출이 되면 행정안전부나 한국인터넷 진흥원에 통지해야 한다. 또한 법적 분쟁이 발생하면 누구를 통해서 처리할 수 있는지도 고지해야 한다.
이런 과정에서 특히 지켜야 할 사항으로는 최소 수준의 원칙과 동의에 관련된 문제다. 개인 정보를 수집할 때는 정보 주체의 동의를 필히 얻어야 하는데, 여기서 필수적인 정보와 선택적인 정보를 나눠서 고지해야 한다는 것이다. 그 외에도 일반 동의, 별도 동의로 나뉘는데 일반 동의는 수집 이용 동의, 제 3자 제공 동의, 국외 제 3자 제공 동의, 14세 미만 법정대리인 동의로 분류된다.
게임에서는 특히 미성년자와 관련된 정보를 수집할 때 주의할 필요가 있다. 현재 발의된 개정안에 따르면 14세 미만 미성년자에게 동의를 받을 때는 개인 정보 수집 및 이용에 대한 내용을 더 쉽게 풀어서 설명하도록 되어있기 때문이다. 이 사안은 아직 법안이 의결이 되지 않았기 때문에 현 단계에서 적용이 되지 않은 상태다. 그러나 GDPR에서 적용하고 있는 내용이고, 국내에서도 참고하려는 움직임이 있기 때문에 이 부분은 미리 참고해둘 필요가 있다고 덧붙였다.
목적 외 이용 및 제공에 동의를 구하거나, 고유식별 정보 및 민감정보 처리에 동의를 구할 때는 일반 동의와는 별도로 동의를 구해야 한다. 이는 법령에 규정된 예외 사항이 아니거나, 혹은 계약 체결/이행을 위해 불가피한 경우를 제외하면 필히 적용된다.
■ 개발자에게 버거운 개인 정보, 위탁 관리할 땐 어떻게 해야 할까
어느 정도 규모가 있는 업체가 아닌 1인 개발자, 혹은 소규모 개발팀은 필연적으로 개인 정보나 그 처리 과정을 위탁 혹은 제공을 하게 된다. 특히 위탁 과정이 더 많고, 위반 케이스도 빈번하게 일어난다. 제 3자 제공은 제휴 등을 통해서 정보를 온전히 넘기는 과정이지만, 대부분은 업무만 의뢰하는 위탁 형태를 취하기 때문이다.
정보통신망법에 따르면 개인 정보 처리 과정을 위탁할 때, 예외 사유가 아니라면 해당 개인 정보의 주체에게 동의를 받아야 한다. 뿐만 아니라 업무 위탁을 한다고 해서 관리 책임까지 이관되는 것은 아니기 때문에, 만일 수탁한 업체에서 개인 정보 이슈가 발생하면 그 책임을 자신도 지게 된다. 따라서 업무를 맡긴 업체를 관리 감독할 필요가 있다.
다수의 개발자들은 보안 및 개인 정보 관리가 전공이 아니기 때문에 위탁한 업체가 어떤 안전 조치를 취해야 하는지 모를 때가 있다. 그럴 때는 개인정보보호법 제 29조에 명시된 사항에 의거하면 된다. 해당 조항은 기술적 조치, 물리적 조치, 관리적 조치의 3항목을 토대로 개인 정보보호책임자가 취해야 할 최소한의 조치가 기술되어있다. 즉 최소한의 조치를 취했는지 안 취했는지, 이를 토대로 파악할 수 있다.
아울러 개인 정보 처리 업무를 위탁하고자 할 때, 표준 업무 위탁 계약서를 참고하는 것이 좋다고 조언했다. 특히 제 7조 수탁자에 대한 관리, 감독에서는 개인 정보보호책임자가 어떤 사항을 관리, 감독해야 하는지 6개 항목으로 요약, 정리했다. 표준 업무 위탁 계악서에 따르면 개인정보 처리 현황, 접근 또는 접속 현황, 접근 또는 접속 대상자, 목적 외 이용, 제공 및 재위탁 금지 준수 여부, 암호화 등 안전성 확보 조치 이행 여부, 그 밖에 개인정보 보호를 위해 필요한 사항이 개인 정보 처리를 위탁받은 업체가 지켜야할 사항으로 명시가 되어있으며, 이를 참고해서 관리하는 것이 좋다고 덧붙였다.
■ 개인정보 관리 유의사항 그 두 번째 - 파기와 안전조치 의무, 유출 시 조치
개인 정보는 처리 목적을 달성하거나 불필요해졌을 때, 혹은 보존 기간이 지났을 때 파기하는 것이 원칙이다. 또한 파기할 때는 복구가 불가능하도록 하는 것이 원칙이다. 타 법령에 의거해 개인 정보 보존이 필요한 경우, 다른 개인 정보와 분리 저장해서 관리해야 한다.
개인 정보 관리를 할 때 기준에 맞춰서 조치를 취하는지 확인하는 것은 기본이며, 여기에 내부 관리계획과 접근 권한 관리, 비밀번호 관리 같은 부수적인 조치도 필요하다. 아울러 정보에 접근할 수 있는 권한을 통제하는 접근통제 시스템도 구축해야 한다. 데이터베이스에 권한이 없는 사람이 접근하는 것을 막는 것이 정보 유출을 방지하는 가장 기본적인 방법이기 때문이다. 특히 이근우 변호사는 데이터베이스 관리자가 이직 및 퇴직할 때 권한을 변경하고 말소하는 작업은 꼭 잊지 말라고 당부했다. 이 조치를 취하지 않아서 개인 정보 유출이 발생한 사례가 판례로도 있었기 때문이다.
또한 누구에게 권한을 부여했는지 기록한 자료도 필히 보존해야 한다. 해당 자료는 개인정보보호법상으로는 3년 간 보존하도록 되어있으며, 정보통신망법으로는 5년 간 보존이 원칙이다. 또한 이런 데이터들이 외부에서 접근하지 못하도록 방화벽 등 보안 설비를 필히 구축해야 하며, 보안 프로그램을 최신화 및 유지하는 것도 법률상 의무로 명시되어있다. 고유식별정보 및 비밀번호, 바이오 정보 등 주요 데이터들은 저장할 때나 정보를 전송할 때 유출을 대비해서 암호화를 필수적으로 해야 한다. 자료를 물리적으로 보관하는 별도의 장소가 있을 경우에는, 해당 장소를 권한 보유자만 출입할 수 있도록 통제하도록 조치를 취해야 한다.
이근우 변호사는 주로 발생하는 개인 정보 유출 사례로는 접근권한 관리와 접속 기록 보관 부실을 손꼽았다. 특히 퇴직한 직원의 권한이 말소되지 않은 상태에서 해커가 이 권한에 접속, 이를 토대로 해킹을 하는 경우가 많았다고 덧붙였다. 또한 접근통제 시스템이 제대로 구축이 안 되어있어서 외부에서 접속, 유출되는 사례도 있었다. 또한 많은 이들이 데이터베이스를 훑어본 것은 정보 처리라고 여기지 않아서 기록을 남기지 않는다. 단순히 보기만 한 것도 법률상으로는 개인 정보 처리에 해당하는 만큼 기록을 남겨야 한다고 덧붙였다.
만일 개인정보가 유출되면, 개인정보보호법에 의거하면 5일 이내에 정보 주체에게 사실을 통지해야 한다. 천 명 이상의 정보가 유출되면 행정안전부 혹은 한국인터넷진흥원에 통지하도록 규정되어있다. 정보통신망법에는 24시간 내에 유출 규모와 상관없이 정보 주체와 방통위에 알리도록 명시되어있다. 두 법안 모두 개인정보 유출을 알리지 않았거나 기한을 어길 경우 과징금을 부과하도록 되어있기 때문에 이 부분도 확인하라고 강조했다.
■ 개인정보 보호법과는 다른, 정보통신망법 특칙
게임서비스를 할 때 통상 개인정보 보호법이나 정보통신망법을 그대로 적용하면 업무를 신속히 진행하기 어려운 경우들이 있다. 이런 경우에 이근우 변호사는 정보통신망법 특칙에 적용되는지 확인하는 것이 중요하다고 조언한다.
정보통신망법 특칙은 계약의 이행과 서비스 이용자의 편의를 증진시키기 위해 마련됐으며, 이를 입증할 수 있을 경우에 적용되는 규칙들이다. 이 특칙이 적용되는 대표적인 안건이 개인 정보 보호 업무 위탁 과정이다. 업무 위탁 과정은 정보통신망법에 따르면 개인 정보를 제공한 사람에게 동의를 받아야 한다. 하지만 편의 증진을 위해 필요한 경우라고 인정받으면 처리 위탁 업무의 내용을 개인 정보 처리 방침에 공개하거나 전자우편, 서면, 전화 등으로 이용자에게 통지하는 것만으로도 처리가 가능하다.
정보통신망법 특칙에서는 개인 정보에 관련해서 이용자 고충을 처리하는 부서의 장을 선정하고, 책임을 질 것을 명시하고 있다. 5명 미만의 사업장에서는 책임자를 지정하지 않아도 되지만, 대신에 대표나 사업주가 해당 책임을 지는 만큼 이 분야도 신경 쓸 것을 강조했다.
소규모 사업자가 신경 쓰지 않는 정보 파기의 경우, 해당 기간 경과 이후에 즉시 파기하거나 별도 분리, 보관이 원칙이다. 여기에 덧붙여서 유효기간 만료 30일 전까지 파기 혹은 별도 분리되는지 이용자에게 통지하고, 기간 만료일과 항목을 고지하도록 명시되어있다. 또한 개인 정보를 어떻게 활용하고 있는지 내역을 통지하는 것은 통상 개인이 물어볼 때에 답하는 정도에 그치지만, 유저 수가 100만 명 이상이나 매출이 100억 원 이상이면 주기적으로 통지해야 한다.
앱 설치를 할 때 다른 앱, 혹은 핸드폰 내에 있는 기타 정보에 접근하는 권한이 필요하다면 이를 필수로 고지해야 한다. 이근우 변호사는 이를 수집 동의라고 오인하는 경향이 있는데, 그렇지 않다고 설명했다. 여기에서 기타 정보나 핸드폰 안에 있는 정보는 원래 핸드폰 내에 있는 정보, 즉 앱 구동을 위해서 필요한 최소한의 정보를 의미하며, 개인 정보를 뜻하지 않는다. 이를 넘어서 개인 정보를 요구할 경우, 개인 정보 수집 이용에 대한 동의를 별도로 얻어야 한다.
2019년 6월부터는 개인 정보 유출시 손해 배상 이행이 원활할 수 있도록 보험 또는 공제를 가입하거나 준비금을 적립하도록 변경된다. 또한 이때 14세 미만의 아동에게 개인 정보 수집 동의를 요구하거나 개인 정보 이용 내역을 고지할 때 이해하기 쉽고 명확한 언어로 해당 사실을 알리도록 바뀐다. 법정 대리인에게 동의를 받을 때에도 법정 대리인이 확인했나 절차를 거쳐야 한다.
개인 정보 유출 사례는 주로 해커들이 정보통신망에 침투, 유출하는 사례가 많아서 대부분이 정보통신망법에 적용된다. 이때 민사상으로는 손해배상을 지게 되며. 피해 규모를 모를 때는 300만 원 이하의 손해배상을 진다. 그러나 세부 내용은 법정에서 정하며, 과실이 없다는 것을 입증하지 못하면 책임을 지게 된다.
형사 책임으로는 과징금, 과태료 등이 부과되며 과징금은 매출액의 100분의 3 이하, 과태료는 3,000만 원 이하로 지게 된다. 형사 책임의 관건은 업체가 기술적, 관리적 조치를 제대로 이행했는지가 주요 관건이 된다. 특히 2015년 5월 19일 개정안에는 스마트폰에 저장할 때도 암호화를 적용해서 저장하도록 하는 등, 범위가 넓어졌기 때문에 이를 확인하는 것이 좋다고 덧붙였다.
■ EU에서 제정한 개인정보보호법, GDPR은 어떤 내용일까?
해외의 대표적인 개인 정보 보호법으로 꼽히는 GDPR은 EU에서 제정한 개인정보 처리와 이전에 관한 일반법이다. 그렇다면 GDPR의 적용 범위는 어디까지일까? 이근우 변호사는 세 가지로 나누어서 설명했다. 첫 번째는 EU에서는 EU 내 사업장 운영하며, 개인정보 처리를 수반하는 경우다.
두 번째로는 EU 밖에 있지만, EU 내에 있는 이용자에게 재화나 서비스를 제공할 때에도 GDPR이 적용된다. 이때 이용자가 실제로 재화 또는 서비스 비용을 지불했는지 여부와 상관없이 적용된다. 다만 유럽 서비스를 염두에 두지 않고 홍보 및 적극 유치를 위한 행위도 없이 국내 서비스만 했는데 유럽권 유저 몇몇이 국내 버전을 플레이한 경우는 적용되지 않는다.
세 번째로는 유럽권 유저들의 EU 회원국 내의 행동을 모니터링할 경우다. 특정 개인이 어떤 것을 좋아하고, 어떤 후기를 올렸으며, 이를 확인할 수 있는 입장이 되면 GDPR의 적용 범위에 들어가도록 되어있다. 이 부분은 국내법과 다르기 때문에 주의할 필요가 있다고 당부했다.
또 알아둬야 할 개념으로는 컨트롤러와 프로세서라는 개념이다. 국내법에서는 개인 정보 보호 및 처리를 하는 처리자와, 개인 정보 보호 업무를 위탁받는 수탁자로 나뉘어져있는데 컨트롤러와 프로세서는 이와 약간 다르기 때문에 오인할 여지가 있다.
컨트롤러는 개인 정보의 처리의 목적과 수단을 결정할 수 있다는 점에서는 개인 정보 처리자와 비슷하다. 프로세서는 이를 대신해서 처리하는 단체로, 수탁자와 유사하다. 다만 국내법과 GDPR은 이를 어떤 식으로 해석하고, 적용하느냐에 따라서 달라진다.
GDPR상에서는 게임 개발과 출시 과정에서 유저에게서 어떤 정보를 받고, 서비스를 제공할지 정하는 결정권자가 컨트롤러에 해당한다. 만약 게임을 개발만 하고, EU에는 별도 퍼블리셔를 두고 해외 퍼블리셔에게 개인 정보 이용 및 처리 업무를 전면적으로 맡겼다면 컨트롤러는 퍼블리셔가 되고, 게임 개발사는 프로세서가 된다. 이 개념이 중요한 이유는, 컨트롤러냐 프로세서냐의 여하에 따라서 책임을 지는 비중이 달라지기 때문에다.
GDPR에서는 컨트롤러가 전면적으로 책임을 지며, 프로세서는 그보다 적은 책임을 지게 된다. 그러나 GDPR에서는 개인 정보 처리 목적, 수단을 결정하지 않고 개인 정보를 퍼블리셔로부터 받지 않았더라도 프로세서로 관여했다고 여겨질 수 있다. 즉 GDPR에 언제든 엮일 수 있는 만큼, 이 부분은 항상 염두에 두라고 강조했다.
■ 국내 개인정보보호법과 GDPR이 다른 점은? 프로파일링, 가명화, 미성년자 관련 사항
이근우 변호사는 국내법과 GDPR이 가장 다른 점으로는 프로파일링과 가명화, 미성년자에 관련된 사항을 꼽았다. 프로파일링은 개인의 특성이나 업무 능력, 경제력 등을 예측 평가하기 위해서 개인 정보를 사용하는 자동화된 형태의 개인 정보 처리 과정을 의미한다. 여기에는 개인 정보를 이용하는 서비스를 토대로 축적된 데이터를 활용하는 광고 등도 포함이 된다.
GDPR에서는 자동화 처리가 어떻게 이루어지는지 로직을 설명해야 하며, 이용자의 의견을 받도록 되어있다. 이런 프로파일링에 해당하는 사례로는 게임 내에서 유저의 특성을 파악해서 아이템 및 상품을 제공하거나 광고하는 것이 포함되는 만큼, 게임사들이 EU에 서비스할 때는 이 부분을 유의하라고 강조했다. 국내에서는 개인 정보 보호법과 정보통신망법에는 명시되어있지 않지만, 신용정보보호법 2018년 11월 개정안에는 프로파일링에 대한 내용이 명시가 되어있다.
우리나라에서는 개인 정보가 특정 개인의 것인지 알아보지 못하도록 처리하되, 추가적 정보를 사용하면 특정지을 수 있도록 변조하는 '가명화'라는 개념이 없다. 그렇지만 GDPR에서는 존재한다.
이근우 변호사는 가명화는 업체에게는 유용한 개념이라고 설명했다. 왜냐하면 가명화를 하면, 개인 정보를 처리할 때 보호법이 적용이 안 되고 자유롭게 이용이 가능하기 때문이다. 즉 어떤 게임을 서비스하면서 얻은 정보를 가명화를 거치면, 다른 게임을 만들고 서비스할 때 참조하기가 편해진다는 장점이 있는 것이다.
앞서 언급한 것처럼 GDPR에서는 아동에게 권리를 설명하거나, 동의를 구할 때는 쉬운 언어로 명료하게 적을 것을 명시하고 있다. 또한 GDPR에서 아동은 만 16세 미만으로 우리나라보다 범위가 넓고, 아동을 대상으로 한 프로파일링은 원천적으로 금지가 되어있기 때문에 이 부분을 짚고 넘어갈 것을 강조했다. 친권자 및 법정대리인 동의 확인도 필히 거쳐야 하기 때문에, 아동과 관련된 콘텐츠를 만들고자 할 때는 한층 더 주의를 기울일 것을 당부했다.
여기에 e프라이버시 규칙이라는 또 다른 특칙이 최근에 논의가 되면서, 앞으로 GDPR이 더 까다로워질 것이라고 이근우 변호사는 전망했다. e프라이버시에 따르면 기존에는 유선 통신과 인터넷 서비스 공급자에게만 적용되던 항목이 이메일, 인터넷 전화, 메신저 및 핫스팟 공급자에게도 적용되도록 변경되기 때문이다. 여기에 메타 데이터 활용뿐만 아니라 후기 수집 같은 것도 엄격하게 규정했다.
실제로 GDPR이 제정된 후, 일부 대응하지 못하는 업체들은 매출이 하락하거나 서비스를 종료하기도 했다. 이런 일이 국내 업체에도 있었던 만큼 해외 서비스를 염두에 두고 있다면 GDPR의 흐름에 대해서 파악할 것을 당부하면서 강연을 마쳤다.
■ Q&A
Q. 구글 스토어에 게임이 출시가 되면, 구글에서 개인 정보를 수집하는데 그때도 국내 개발사들이 개인 정보 이용 내역을 통지해야 하는 것인가?
= 알릴 의무는 없다. 정보를 수집하고 처리하는 주체가 구글이기 때문에, 동의 및 통지 의무는 구글이 지게 된다.
Q. 모바일 게임에서 14세 미만 동의 항목을 보지 못한 것 같다. 이런 경우에는 사전에 체크하는 절차를 거친 것인가?
= 많은 사이트나 게임들을 보면 나이를 안 물어보고 약관 동의만 하도록 되어있는데, 원칙적으로는 잘못된 것이다. 먼저 나이를 별도 동의로 확인하도록 되어있다. 이 부분은 개선이 필요하다고 본다.
Q. GDPR에서 컨트롤러, 프로세서를 언급했는데 개발사가 퍼블리셔에게 온전히 개인 정보 관련 업무 및 처리를 맡겼을 때에도 프로세서로 간주되는가?
= 개발 과정 자체가 개인 정보 수집과 연관이 없는지가 관건이다. 업데이트하고 패치할 때, 혹은 특정 기능을 제공할 때 개인 정보를 아예 안 받거나 한다면 모르겠지만 그것이 아니라면 적용이 될 것이다. 다만 개인 정보에 관련된 모든 업무 처리가 퍼블리셔 선에서 끝난다고 하면, 프로세서가 아니라고 간주될 여지는 있다.
Q. 위탁 계약할 때 파기 관리도 해야 하는가?
= 당연히 파기 여부를 확인해야 한다. 개인 정보를 언제 받았고, 파기를 언제 했으며, 어떻게 했는지, 어떤 정보를 파기했는지 리스트를 달라고 하고 제대로 됐는지 리스트를 보면서 체크해야 한다.
Q. 해외 개인 정보 보호 관련해서 컨설팅부터 인증까지 하려면 비용이 많이 드는데, 이를 꼭 거쳐야 하는가?
= 이런 경우는 언제나 케이스 바이 케이스라고 하겠다. 하지만 기본적으로 보면 인증을 받아두는 것이 안전하고, 좋다고 말하겠다.
국내법에서는 개인정보 처리자가 어떤 조치를 취하면 된다고 법에서 최소한의 선을 정했지만, GDPR에서는 이것이 명시되어있지 않다. 필요하면 업체가 인증을 받고, 나중에 문제가 될 때 GDPR에서 이 인증을 보면서 업체가 이런 조치를 취했다고 평가를 하는 식이다. 그러니 일부 복잡한 절차나, 보안 조치는 초반부터 인증을 받아두는 것이 좋다. 다만 처음부터 규모가 작은데 인증 받는 것부터 시작하면 비용대비 효율도 안 나오고 개발도 안 되는 만큼, 케이스 바이 케이스라고 하겠다.
다만 GDPR에서는 개발 단계에서부터 게임 운영 라이프 사이클 전반에 걸쳐서 개인 정보 보호 방안을 적용해야 한다고 명시는 해둔 만큼, 이 부분을 신경을 쓸 필요는 분명히 있다. 즉 여력이 된다면 개발 단계에서부터 신경을 쓰고, 그렇지 않다고 하면 최소한 국내법에 의거한 조치 정도는 취해두는 게 좋다.
Ruudi@inven.co.kr
페이지 구독하기
다른 기사 보기
기사 제보하기
