유럽연합(EU)이 지난달 25일 일반개인정보보호법(이하 GDPR)을 시행했다. GDPR이 발효됨에 따라 개인정보를 다루는 기업의 책임이 강회됐다. 한국콘텐츠진흥원과 한국게임산업협회는 문화체육관광부와 중소벤처기업부의 후원을 받아 'EU GDPR 시행에 따른 게임업계 설명회'를 오늘(18일) 개최했다. 설명회는 GDPR 이해 제고 및 대응방안을 모색하기 위해 마련됐다.

GDPR은 독일, 프랑스 등 EU 내 거주자의 개인정보를 처리하는 기업이면 전 세계 어디에 있든 적용되는 법이다. 게임의 경우 글로벌 원빌드로 출시해 EU 유저가 사용한다면, GDPR을 염두에 둬야 한다. 특히 정보 업계는 GDPR을 '인터넷이 생긴 이래 가장 강력한 개인정보보호법'이라고 평가할 정도로 세심한 주의가 필요하다.

한콘진과 협회는 GDPR에 대응하기 위해 학계, 법조계, 산업계 등 각 분야의 전문가 3명을 초청했다. 조수영 숙명여자대학교 법과대학 교수, 법무법인 태평양의 김도엽 변호사, SK인포섹의 성경원 이사가 GDPR의 전반적인 내용을 짚고 현장에서 게임업계 관계자의 물음에 답했다.

"GDPR, 어길 시 매출액 4%까지 과징금 위험"
조수영 숙명여자대학교 법과대학 교수

GDPR은 EU 회원국에 적용되는 General Data Protection Regulation의 약어다. EU 내 개인 정보의 처리와 이전에 관한 사항을 규정한 규칙이다. EU는 자연인에 관한 기본권과 자유를 보호하고 개인정보의 자유로운 이동을 보장하기 위해 GDPR을 마련했다.

GDPR을 대하는 데 있어서 기업은 먼저 자사가 적용대상인지를 판단해야 한다. 자사가 제공하는 상품과 서비스가 EU 내 국가, 사람들에게 제공되었고 이어나가길 원한다면 개인정보 처리 현황을 점검해야 한다. 개선은 즉시 변경 가능한 것부터 시작한다. 이미 알려진 GDPR 가이드라인 등을 참고하여 DPO(개인정보보호책임자, CPO와는 다름) 등을 개선한다. 다음으로 GDPR을 참고해 내부지침을 개선하고 소요되는 예산, 조직 등을 보완한다.

우리나라 헌법처럼 GDPR은 전문과 본문으로 나뉜다. 전문은 총 173개, 본문은 총 11개 99개 조항으로 구성되며 기존 개인정보보호법이 추상적으로 가리키던 것을 보다 구체적으로 명시했다. GDPR의 주요내용으로는 정보 주체의 동의 취득 및 그 입증 책임, 권리에 근거한 각종 요구(개시, 정정, 삭제 등)에 대한 대응, 취급 활동 기록의 작성 및 보존, 정보 보호 관리자(DPO) 임명 등이다.

GDPR은 속지주의로, 적용 기업에 대해 다양한 의무를 부과한다. 위반한 경우에는 고액의 벌금을 부과토록 근거 규정을 두어, 의무사항 준수를 엄격하게 요구한다. GDPR 적용 대상 기업의 기준은 EU에 자회사, 지점, 영업소를 가진 기업, 대한민국에서 EU에 상품 및 서비스를 제공하는 기업, EU로부터 개인 데이터의 처리에 대한 위탁을 받은 기업이다.

아울러 자연인의 개인정보 처리에 대해 GDPR은 전보다 엄격해졌다. GDPR은 기존까지 판례 및 개별법 등을 통해 표명되어 온 개인정보의 개념을 조문에 포함해 적용 대상을 구체적으로 명시했다. 특히 개인과 연결성이 있는 가명 처리된 정보를 개인정보로 보아 GDPR의 적용 대상으로 봤다. 또한 인종, 민족, 정치적 견해, 성적 취향에 관한 민감정보는 정보주체의 명시적 동의 획득 외에는 원칙적으로 처리를 금지한다.

우리나라 개인정보보호법의 위수탁 관계처럼 GDPR은 컨트롤러-프로세서를 서면 계약서에 책임과 의무를 명시해야 한다. 컨트롤러는 개인정보 처리의 목적과 방법을 결정하는 주체를 의미한다. 프로세서는 컨트롤러를 대신해 개인정보를 처리하는 주체다.

이와 함께 GDPR은 DPO를 지정하도록 요구한다. DPO는 컨트롤러-프로세서의 개인정보 처리 활동 전반에 관해 자문하는 전문가다. 조직의 관리 체계 구축, 임직원 교육, 감독기구와의 의사소통 등의 역할을 한다. 기업은 DPO로 조직 내부의 직원을 임명할 수 있고, 외부 서비스 계약에 의한 DPO 임명도 고려할 수 있다. DPO는 기업으로부터 업무상 지시를 받지 않으며, 최고경영진에게 직접 보고할 수 있는 권한이 보장되어야 한다.

만약 기업의 핵심 활동이 대규모 민감정보를 처리하고, 개인에 대한 대규모의 정기적이고 체계적인 모니터링, 정부부처 및 관련기관의 경우(법원 제외) 반드시 DPO를 지정해야 한다.

사용자에게 ‘동의’를 받을 때도 GDPR은 보다 구체적인 동의를 구하도록 한다. 동의가 유효하기 위해서는 자유롭고, 구체적이고, 정보에 근거해, 분명한 의사표시가 있어야 한다. 또한 정보를 간결하고 투명하며 쉬운 언어로 작성해야 한다. 아동에게 동의를 구할 때는 부모 또는 법적 보호자에게 이메일 등을 통해 검증해야 한다.

가명처리(pseudonymization)는 재식별이 가능하기 때문에 GDPR은 개인정보로 분류한다. 다만 익명 정보는 개인정보로 보지 않는다. 익명화는 식별 가능한 데이터의 파기를 의미한다. 데이터의 익명처리 여부는 연결 가능성과 추론 가능성, 사인링 아웃(signling out) 여부를 모두 평가하여 결정한다.

기업이 GDPR을 위반했을 때 전 세계 매출액 2% 또는 1천만 유로 중 더 큰 금액을 과징금을 물어야 한다. 만일 심각한 위반을 했을 경우에는 전 세계 매출액 4% 또는 2천만 유로로 기준이 올라간다. 과징금 산정은 위반의 성격, 중대성 및 지속 기나, 의도성, 태만 여부, 피해를 줄이기 위한 노력 등 다양한 기준으로 산정한다. 심각한 위반 사항의 과징금을 책정할 때 4%와 2천만 유로 중 더 큰 금액이 부과된다.

"GDPR의 키워드는 책임성, 투명성, 비례성"
법무법인 태평양 김도엽 변호사

GDPR을 키워드로 요약하면 책임성, 투명성, 비례성을 꼽을 수 있다. GDPR은 최근의 인터넷 기술과 환경 변화를 반영하기 위해 4년간의 합의 과정, 3천 건 이상의 수정안 제출이 이루어졌다. 기존 법보다 적용범위를 확대하고 처벌을 강화했다.

GDPR이 시행됨에 따라 개인정보의 범위가 확대됐다. 최근 유럽사법재판소(CJEU)의 판결에 따르면 유동 IP도 개인정보로 인정됐다. 특히 GDPR은 식별자(identifier)의 개인정보성을 명시적으로 규정하고 있으므로, 다양하게 사용되는 식별자의 개인정보성이 인정될 것으로 예상한다. 즉, 대한민국의 IT 기업뿐만 아니라 다수의 기업이 GDPR의 적용을 받게 된다.

중요해진 점은 컨트롤러와 프로세서가 본인의 책임하에 개인정보처리활동 기록을 문서로 유지해야 한다는 것이다. 기록은 임직원 250명 이상의 기업은 의무적으로 부여된다. 다만 위험을 초래할 수 있는 개인정보, 민감정보, 범죄경력처리에 대해서는 예외다.

기록에는 컨트롤러와 대리인, DPO의 이름 및 연락처가 있어야 한다. 그리고 처리의 목적과 정보주체의 범주 및 개인정보의 범주에 대한 설명이 있어야 한다. 국외전송 시 적절한 보호 조치가 있어야 하며, 보유 기간을 명시해야 한다. 또한 기술적 보호조치에 대한 일반적인 설명을 기입해야 한다.

GDPR로 정보의 프로파일링에 있어서 주체의 권리가 강화됐다. 기업은 정보 주체에게 프로파일링에 대해 알려야 하고, 정보 주체가 열람 요청을 할 때 대응해야 한다. 정정권, 삭제권, 처리제한권, 반대권에 대해서도 보장이 필요하다. 요약하자면 기업은 개인정보처리가 어떤 종류의 프로파일링인지 확인하고 이에 대한 정보주체 권리행사 및 보안 조치를 마련해야 한다.

만일 개인정보가 유출되는 사고가 발생한다면 기업은 강화된 GDPR에 따라 즉각 규제기관에 신고해야 한다. 알려야 할 내용은 정보유출의 성격, DPO 연락처, 유출 결과, 유출 대응을 위한 조치이다. 이 내용을 기업은 규제기관에 72시간 내에 알려야 한다. 정보주체에게도 마찬가지며, 정보가 암호로 된 경우 예외적으로 통지를 미룰 수 있다.

GDPR에 대응하기 위해 기업은 개인정보처리의 근거를 마련해야 한다. 동의 구조에 따른 개인정보 공지를 수정하고 UX/UI를 개편해야 한다. 개정된 개인정보를 하나의 버튼으로 동의하게 만들 경우 효력이 없을 수 있다. 프로파일링을 포함한 정보주체의 권리를 법리적으로 마련하고, 시스템 구현방안을 준비해야 한다. 또한, 침해사고 발생 시 대응 방안과 처리활동 기록을 문서로 만들어야 한다.

GDPR 대응을 위해 기업이 해야할 것들
SK인포섹 성경원 이사

GDPR은 개인정보 보안 조치에 구체적인 기술적 보호조치를 근거로 요구한다. 먼저 컨트롤러와 프로세서는 개인정보의 처리가 자연인의 권리 및 자유에 미치는 위험의 다양한 가능성을 고려해야 한다. 이와 함께 최신 기술, 실행 비용, 처리의 성격, 범위, 상황 및 목적을 고려해 위험에 적정한 보안 수준을 보장하기 위해 관리적 조치를 해야 한다. 조치에는 개인정보의 가명처리 및 암호처리, 처리의 지속적인 기밀성과 무결성, 가용성, 복원력을 보장할 수 있는 역량, 정기적으로 테스트 및 평가하기 위한 절차이다.

다음으로 보안의 적정 수준을 평가할 때는 처리로 인해 발생하는 위험성, 이전, 저장 또는 다양한 방식으로 처리된 개인정보에 대한 우발적 또는 불법적 파기, 유실, 변경, 무단 제공, 무단 열람에 대해 고려해야 한다.

또한, 정보처리의 컨트롤러와 프로세서는 권한에 따라 개인정보를 열람하는 모든 자연인이 유럽연합 또는 회원국 법률로 요구되는 것이 아니라면 컨트롤러의 지시 따른 경우를 제외하고 개인정보를 처리하지 못하도록 해야 한다.

GDPR의 요구에 따르기 위해 기업은 개인정보 현황 및 통제, 침해 모니터링, 권리 보장과 보호조치 이행 관리를 지속해서 유지해야 한다. 그리고 개인정보를 정확히 식별하고 전체 보유 현황을 꾸준히 파악할 수 있어야 한다. 개인정보의 유출이 있을 경우 이상징후를 제때 파악하고 다각적인 분석이 가능해야 한다. 또한, 개인정보보호 포털을 통한 총체적 보호조치 이행 관리 및 DPO의 현명의 의사결정이 지원되어야 한다.

GDPR 시행에 있어서 CNIL은 공개 자료를 제공하고 있다. 이를 참고해 GDPR에 대응하는 것이 도움이 된다.

QnA

Q. 유럽 매출이 적은 게임사다. GDPR에 대응하기보다 차단을 고려하고 있는데, 그러면 정말 준비하지 않아도 되나?

= 유럽인을 대상으로 하는 서비스가 있을 때 GDPR 적용을 받는다. 위험을 아예 없애면 적용대상이 아니니 당장의 문제는 없을 것이다.


Q. 간혹 몇몇 개인이 한국 서비스에 가입하고 결제하는 경우가 있다.

= 현지어를 제공하고 현지 통화로 서비스 대가를 받으려는 적극적인 의도가 없으면 GDPR 적용 대상이 아니라고 알려져 있다.


Q. 모바일에서 별도의 정보를 받지 않고 가명 처리해 게임을 서비스하고 있다. 이때도 조치를 취해야 하나?

= 가명화는 보안 조치일 뿐이다. IP에 대해서 조치만 취하면 완료되는 것인지 확답을 드리기 어렵다. 분명한 것은 보안 조치를 취하는 것이 개인정보성을 없애는 게 아니다. GDPR 전문에 따르면 모바일 기기의 정보와 IP는 개인정보로 본다. 이 근거로 봐서 게스트 접속이라 하더라도 개인정보로 보니, 각별한 조치가 필요하다.


Q. 인게임 데이터, 캐릭터 이름이나 로그 정보도 개인 정보에 포함되나?

= 역으로 봤을 때, 그 정보로 개인을 식별할 수 있나? 식별할 수 있다면 개인정보로 보는 게 GDPR의 일반적인 견해다. 캐릭터 이름이나 로그 정보는 모두 서버에 남기 때문에 결국 개인정보로 봐야 한다.


Q. GDPR을 바라보는 유럽 현지의 분위기는 어떠한가?

= 일반적으로 대기업 위주로 준비하고 있었다. 그런데 GDPR에 관련해 기업을 신고한다면 규제기관은 움직여야 한다. 신고는 경쟁사가 할 수도 있고 유저가 할 수도 있다. 현재 많은 한국 기업도 GDPR에 대응하고 있으며, 법률 자문 요청도 다수 들어오고 있다.