세기준를 마련할 때까지 기간을 한정해 국제적 차원에서 디지털 기업들의 세금징수를 촉구하고 있다.
언론에서는 이 법을 GAFA법이라고 부른다. 이 법의 대표적 대상이 구글(Google), 애플(Apple), 페 이스북(Facebook), 아마존(Amazon)이기 때문이다. 이 밖에 알리바바(Alibaba), 이베이(Ebay), 잘란도 (Zalando), 마이크로소프트(Microsoft), 우버(Uber)도 대상 기업이다. 프랑스에서는 EU 차원의 법 제 정도 촉구하고 있으나, 입지 이전이 비교적 자유로운 해당 기업들의 유출을 우려한 아일랜드, 스웨덴, 덴마크, 핀란드 등은 적극적으로 나서지 않고 있다. 대상 기업들 중 프랑스 기업은 나스닥에 상장되어 있는 크리테오(Criteo) 하나인데, 이 기업은 인터넷 이용자들의 이용 습관을 분석하여 광고 타깃을 설정 하는 활동을 하고 있으며 기업 간 거래만 하고 있는 것으로 알려졌다.
[자료: Lesechos. 2019. Tout comprendre sur la taxe taxe GAFA en 5 questions. https://start.lesechos.fr/actus/digital-technologie/tout- comprendre-sur-la-taxe-gafa-en-5-questions-14834.php (2019년 4월 11일 검색).
Ministère de l'Économie et des Finances. 2019. https://www.economie.gouv.fr/projet-loi-taxation-grandes-entreprises-numerique (2019년 4월 11일 검색).
______. 2019. Projet de loi relatif à la taxation des grandes entreprises du numérique. https://minefi.hosting.augure.com/Augure_Minefi/
r/ContenuEnLigne/Download?id=02AC56B0-9A99-415D-8BFD-F9D49B535D6A&filename=1149%20-%20DP%20-%20Projet%20 de%20loi%20relatif%20à%20la%20taxation%20des%20grandes%20entreprises%20du%20numérique.pdf (2019년 4월 11일 검색).]
이수진 | Université Paris-Sorbonne(Paris IV) 지리학 박사, 리옹3대학 강사([email protected])
영국
EU의 GDPR(일반 개인정보 보호법)과 위치정보 활용
2018년 GDPR(General Data Protection Regulation)의 시행으로 영국을 비롯한 EU 국가들과 그 국 가에 소속된 기업과 연구기관은 개인정보 보안에 더 철저한 책임을 지게 되었다. GDPR의 기본적인 원 칙은 개인정보를 다루는 기관은 애초부터 정보 보호를 위한 철저한 원칙에 따라 설계 및 구축되어야 한 다는 것이다. 정보는 가명화 혹은 완전한 익명화가 돼야 하고 식별이 가능해서는 안 된다. 이 익명화 된 데이터는 각기 따로 저장되어야 하며 이 또한 동의 없이는 처리될 수 없다. 정보의 주체, 즉 각 개인 은 언제든지 이 동의를 철회할 수 있다. 개인 데이터 프로세서는 데이터 수집을 명확하게 공개하고, 데 이터 처리에 대한 합법적인 근거와 목적을 선언해야 하며, 데이터가 보존되는 기간과 EEA(European Economic Area: 유럽경제지역) 외부 또는 제3자와 공유 여부를 명시해야 한다. 데이터 피험자는 프로 세서가 수집한 데이터의 휴대용 사본을 공통 형식으로 요청할 수 있으며, 특정 상황에서 데이터를 삭제 할 수 있는 권리가 있다. 기업은 사용자 개인정보 보안에 부정적인 영향을 미칠 경우 72시간 이내에 데 이터 침해 사실을 보고해야 한다. 경우에 따라 GDPR 위반자에게 기업의 경우 이전 재정연도의 전 세계 매출액 중 4%, 또는 최대 2천만 유로의 벌금을 부과할 수 있다.
하지만 이 기본적인 원칙 외에 실제로 각 상황에 따라 정보처리가 어떻게 되어야 하는지에 대한 구체 해외동향 글로벌정보
78 국토 제451호(2019. 5)
적인 가이드라인은 아직 미비하다. 위치정보를 활용하는 모바일 애플리케이션 회사는 GDPR의 발효가 현재 법규에 어떤 영향을 미칠지 아직 정확히 알지 못한다. 예를 들어, 모바일 기기를 통해 수집된 위치 정보가 그 개인을 식별하는 데 이용될 수 있다면 이 정보는 GDPR이 적용되지만 이 데이터가 개인과 연 계될 수 없도록 철저히 익명화된다면 GDPR은 적용되지 않을 것이다. 하지만 실제 상황에선 구분이 쉽 지 않다. 정보가 익명화돼 이름이나 주소 등 개인의 식별정보와 연결되지 않더라도 위치정보가 사용자 의 다른 행위와 연계된 데이터와 연결돼 처리된다면 이 정보는 GDPR의 범위에 들어간다.
위치정보는 보통 특정 개인과 밀접하게 연결되어 있어서 개인정보로 간주될 수 있다. GDPR에서의 개 인정보는 구체적으로 사람을 식별할 수 있는 요소 중 하나로 위치정보를 포함한다. 위치정보 기반 서비 스의 제공자는 기기 소유자의 습관과 패턴에 대한 면밀한 개요를 얻고 광범위한 프로필을 구축할 수 있 기 때문이다. 더 나아가 특정 상황에서 위치정보는 특수 범주의 개인정보, 즉 민감한 개인정보와 연계될 수 있다. 병원이나 예배 장소, 정치적 시위에서의 위치정보와 같이 기기 사용자의 민감한 정보와 연결될 수 있다는 말이다.
현재 이런 정보 처리의 문제를 해결할 수 있는 방법은 애플리케이션 제공자가 사용자에게 처리 방식 에 대해 동의를 구하는 것이다. 애플리케이션 제공자들이 사용자와의 동의를 법적 근거로서 사용한다면 제공자는 이것이 GDPR에 따른 요건을 충족하는지 확인할 필요가 있다. 예를 들어, 위치기반 광고를 활 용하기 위해 애플리케이션이 제3자 제공자와 협약을 맺은 경우, 위치정보를 사용하는 동의는 제3자 제 공자의 신원과 제3자의 광고 목적을 위한 데이터 수집에 대한 동의를 명시적으로 포함해야 한다.
GDPR의 원칙을 간단히 설명하자면, 누구도 개인정보를 함부로 저장 · 공유 · 활용해서는 안 된다는 것 이다. 데이터는 동의하에 철저히 개인의 신상을 보호하는 방식으로 처리되어야 하며 데이터를 제공한 개인은 언제든지 이 동의를 철회할 수 있다. 하지만 현장에서는 원칙을 어디까지 철저하게 적용해야 하 는지, 또 적용은 가능한지와 같은 현실적인 어려움에 직면하고 있다. 이 원칙에 따르면 기업은 모든 협 력자와 업무 진행에서 이메일 주소와 전화번호, 성명을 공유할 때 그에 따른 동의를 얻고 익명화를 해야 할 것이다. 실제로 GDPR이 적용된 이후 영국의 사업체와 학교는 이 원칙을 적용하는 데 어려움을 겪고 있다. 그럼에도 개인정보 보호는 무엇보다 우선시돼야 한다. 특히 인터넷 사용, 모바일 기기의 위치정보 등이 개인의 사생활을 들여다보는 데 핵심적인 정보가 될 수 있다는 점에서 더욱 강조돼야 한다. 그러나 현실적인 상황을 고려한 가이드라인 개선 역시 시급해 보인다.
[자료: David Meyer. 2018. What the GDPR will mean for companies tracking location. https://iapp.org/news/a/what-the-gdpr-will- mean-for-companies-tracking-location/ (2019년 4월 15일 검색).
Lexis®PSL. 2018. The use of location data by mobile apps post-GDPR. https://www.foxwilliams.com/news/1443 (2019년 4월 15일 검색).]
조현지 | University College London 도시 및 지역계획학과 박사과정([email protected])
79
