바이오헬스 리포트

 

 

< 차  례 >

 

Focus On

해외 보건의료정보 정책 동향

유럽 일반데이터보호규정(GDPR)을 통한 바이오헬스산업 혁신방향

미국 캘리포니아 소비자프라이버시법 시행에 따른 보건산업분야 대응방안

중국의 의료정보 정책 및 산업 동향

 

Trend Watch

건강친화환경 조성과 건강친화기업인증제 도입

정밀의료 현황과 유전정보 관련 국제 논의

의료기기산업법 제정과 법령에 따른 주요 지원제도

 

Overseas Trends

[중국] 양로산업 현황과 전망, 그리고 기회

[중동] UAE 보건의료분야의 블록체인 기술 적용

[CIS] 카자흐스탄 의약품 시장 현황과 주요정책

[영국・일본] 최신 정책 동향

 

----------------------------------------------------------------------------

 

전 세계가 주목한 유럽의 일반데이터보호규정(GDPR)

 

사회는 데이터를 통해 진화하고 있다. 최근 화두가 되고 있는 데이터 경제 혹은 디지털 전환(digital transformation)은 데이터와 인공지능 및 사물인터넷 등의 혁신 기술을 기반으로 다양한 혁신을 창출하면서 사회를 전환시켜 나가고 있다. 데이터가 매개하는 디지털 전환이 전 산업과 사회 부문으로 확산되면서 데이터를 활용하는 비즈니스도 증가하고 그에 따라 데이터의 보호와 활용이 사회의 핵심적 이슈로 등장 하고 있다.

 

2018년 유럽의 일반데이터보호규정(General Data Protection Regulation, 이하 GDPR)이 시행 되면서 전 세계의 개인정보 관련 제도가 새로운 국면에 진입하게 되었다. GDPR은 기존의 유럽 개인정보 보호 지침인 Directive 95/46/EC를 대체하기 위해 2016년 ‘Regulation 2016/679’로 공식 채택된 규정으로, 2년의 시행 예비기간을 거쳐 2018년 5월 25일부터 EU 전역에서 적용되었다. GDPR은 본문 11장(Chapter), 조항(Article) 99개, 전문(Recital) 173항으로 구성되어 있으며 구속력 있는 법률 (Regulation)로서 EU 모든 회원국에 적용된다. 전문은 제정 취지와 배경을 설명하는 부분으로 그 자체로는 법적 구속력을 갖지는 않으나, EU 법원(Court of Justice of the EU)이 특정 사안을 판단할 때 참조하므로 실질적인 구속력을 배제하기는 어렵다.

 

GDPR이 유럽의 규정임에도 불구하고 전 세계적으로 중요하게 고려되는 이유는 명확한 개인정보 처리 원칙 수립, 정보주체의 권리 강화, 강력한 제재 규정 및 역외적용 등의 이유 때문이다. 역외적용이란 EU 내 사업장을 가지고 있는 기업 뿐 아니라 EU 내에 사업장을 가지고 있지 않더라도 EU 내 정보주체에게 재화나 서비스를 제공하거나 정보주체의 활동을 모니터링하는 기업도 GDPR을 준수해야 함을 의미한다.

 

GDPR의 정보주체 권리와 건강데이터 관련 규정

 

GDPR이 시행되면서 다양한 분야와 산업에서 개인정보를 다루는 대다수의 기업들이 규정 준수를 위해 개인정보 보호 및 활용의 프로세스를 수정 보완하였다. 이러한 변화의 이유는 GDPR의 개인정보 처리 원칙과 정보주체의 권리가 이전보다 상당히 강화되었기 때문이다.


GDPR내에서 개인정보를 처리하기 위해서는 ‘개인정보 처리 6대 원칙’ 즉, ①적법성, 공정성, 투명성, ②목적제한(purpose limitation), ③데이터 최소화(data minimization), ④정확성(accuracy), ⑤보관 기한 제한(storage limitation), ⑥무결성・기밀성(integrity and confidentiality)을 모두 준수해야 한다. 이렇게 개인정보 처리 원칙이 강화됨과 동시에 정보주체의 권리도 명확해지고 새로운 권리도 신설되었다. 신설 및 강화된 권리에는 개인정보의 처리제한권(Right to restriction of processing), 개인정보 이동권 (Right to data portability), 반대권(Right to object), 삭제권(Right to erasure) 등이 포함된다.


GDPR의 규정을 준수하지 않을 시에는 위반 사유에 따라 경고(warning), 견책(reprimand), 정지(suspension), 벌금(fine)의 제재가 적용된다. 중대한 위반의 경우 2천만 유로 또는 직전 회계연도의 글로벌 총 매출의 4%에 해당하는 금액 가운데 높은 금액을 벌금으로 부과할 수 있고, 일반적 위반의 경우 1천만 유로 또는 직전 회계연도의 글로벌 총 매출의 2%에 해당하는 금액 가운데 높은 금액을 벌금으로 부과할 수 있다.

 

 

❙표 1❙ GDPR에서 신설 및 강화된 정보주체의 권리

1.PNG

자료: 정일영 외, 「유럽 개인정보보호법(GDPR)과 국내 데이터 제도 개선방안」, 과학기술정책연구원, 2018.

 

 

GDPR의 건강데이터 관련 규정으로는 ‘특정 범주의 개인정보(special categories of personal data)’가 있다. 국내 개인정보보호법의 ‘민감정보’에 해당하는 개념으로 유전정보(genetic data)와 생체정보(biometric data)가 예시로 제시되어 있다. 이에 따라 GDPR을 준수해야 하는 기업이나 기관에서 개인의 유전정보를 이용하기 위해서는 명확한 동의(explicit consent)가 있는 상황에서만 이용될 수 있다. 그러나 GDPR 9조 4항에 따라 EU 회원국이 유전정보, 생체정보 및 건강 관련 정보에 대해서는 해당 국가에만 적용 되는 법을 제정할 수 있다. 즉, 각 국가의 상황에 따라 건강데이터 이용의 예외 규정을 제정할 수도 있다. 실례로, 독일 Bavaria주에서는 2018년 5월에 경찰이 용의자의 신체적 특징을 알아내기 위해 유전정보를 이용할 수 있는 법령을 통과시켰다.1)

 

 

❙표 2❙ GDPR의 건강데이터 관련 규정

2.PNG

자료: European Union(2016)

 

 

GDPR로 인한 산업 내 경쟁 지형 변화


GDPR이 시행되면서 주요 전문가들은 구글이나 페이스북 등 글로벌 플랫폼 기업들의 사업과 수익성에 부정적 영향이 있을 것이라고 전망했다. 그러나 GDPR 시행 이후 관련 기업의 매출과 이용자 수의 변동폭은 미미했고 광고시장은 오히려 쏠림현상이 발생하였다. 즉, GDPR 준수를 위해 자원과 인력을 투자할 수 있는 대형 플랫폼 사업자의 시장 지배력이 강화되고 있는 것이다.


또한 GDPR 준수 역량이 B2B(Business to Business) 시장의 경쟁 우위(competitive edge)로 작용하고 있다. GDPR의 다양한 규정을 준수하기 위해서는 시간, 인력, 재원 등 상당한 자원을 투자해야 한다. 따라서 GDPR 준수를 입증하면 고객 확보에 도움이 될 수 있다. 마이크로소프트는 자사 클라우드 서비스인 Azure를 이용할 경우 고객의 프라이버시를 보호할 수 있고 용이하게 GDPR을 준수할 수 있다는 점을 마케팅 전략으로 활용하고 있다.2) 아마존 웹서비스(AWS)도 고객 기업에게 데이터 처리 부록(data processing addendum)을 제공하고 규제 대응에 필요한 추가적 자원을 제공할 계획이라고 발표하였다.


이러한 글로벌 플랫폼 기업의 움직임과는 다르게 중소기업은 유럽 시장을 포기하는 현상도 확인할 수 있다. 중소기업의 경우 유럽시장 진출 시 발생할 수 있는 기대 이익과 GDPR 준수 비용을 고려했을 때 만약 비용이 더 클 것으로 판단된다면 유럽시장을 포기할 가능성이 높다. 실제로 미국 주요 온라인 매체의 1/3 가량이 EU 이용자 접속을 차단하고 있으며 라그라노크 등의 온라인 게임 업체들도 유럽시장을 포기하고 있다.3)4)


GDPR 적용 이후 관련 산업의 경쟁지형이 변화되는 것과 동시에 GDPR 준수를 위해서 산업적 기회 요소가 열리고 있다. GDPR 준수를 위한 기술산업과 서비스 모델의 발전이다. GDPR 준수를 위해서는 법률 자문, 개인정보보호책임자(Data Protection Officer, DPO) 지정 등 데이터 관리 부문과 개인정보 보호 조치를 서비스 설계에 반영하기 위한 기술 분야 발전이 필요하므로 관련 시장 확대가 예상된다. 이와 함께, 정보주체의 정보보호를 적극적인 마케팅 포인트로 내세우는 기업이 등장하면서 정보보호를 별도의 서비스 영역으로 확장하는 서비스 모델도 제시되고 있다. 미국 워싱턴 포스트지는 온라인 구독 서비스를 무료(free), 저가(basic) 및 고가(premium EU)로 구분하고 고가 서비스에서는 쿠키와 맞춤 광고를 삭제하는 대신 추가요금을 요구하는 방식이다.5)

 

 

...................(계속)

 

☞ 자세한 내용은 내용바로가기 또는 첨부파일을 이용하시기 바랍니다.

https://www.khidi.or.kr/board/view?pageNum=1&rowCnt=10&no1=754&linkId=48804156&ref...