유럽연합집행위원회가 개인 데이터 처리 방식을 근본적으로 재정의할 수 있는 GDPR 개정안을 준비하고 있다. 이번 개정은 쿠키 추적부터 인공지능(AI) 모델 학습까지 포괄하며, 개인정보 보호 단체는 유럽의 개인정보 보호 체계를 약화시킬 수 있다고 경고했다.

독일 시민단체 네츠폴리틱(Netzpolitik.org)이 공개한 초안에 따르면, 집행위원회가 마련 중인 ‘디지털 옴니버스(Digital Omnibus)’ 패키지는 웹사이트가 추적 쿠키를 설정하기 전에 명시적 동의를 받을 의무를 폐지하고, 기업이 ‘정당한 이익(legitimate interest)’을 근거로 개인 데이터를 AI 학습에 활용할 수 있도록 명시적으로 허용하는 내용을 담고 있다. 정식 발표는 11월 19일로 예정돼 있다.

쿠키 규제, e프라이버시 지침에서 GDPR로 이동

개정안은 GDPR 제88a조를 신설해 ‘단말 장비에서의 개인정보 처리’를 규정하며, 기존의 e프라이버시 지침(ePrivacy Directive)에서 쿠키 관련 규제를 GDPR 체계로 이관한다.

현행 e프라이버시 지침 제5(3)조는 비필수 쿠키를 저장하거나 접근하기 전 사용자 명시적 동의를 요구한다. 집행위원회는 이러한 이중 규제가 법적 불확실성과 높은 준수 비용을 초래했다고 지적했다.

새 규정이 시행되면 웹사이트는 ‘위험이 낮은 목적의 한정된 목록’ 또는 GDPR상 정당한 근거를 바탕으로 쿠키 데이터를 처리할 수 있다. 즉, 옵트인(opt-in) 방식에서 옵트아웃(opt-out) 방식으로 전환된다. 기업은 기본적으로 사용자를 추적할 수 있으며, 사용자가 사후적으로 거부해야 하는 구조가 된다.

초안은 “동의는 데이터 주체의 통제를 보장하기 위한 수단이지만, 모든 후속 처리의 법적 근거로 항상 적절한 것은 아니다”라고 명시했다. 또한 “e프라이버시와 GDPR의 이중 체계로 인해 감독 권한이 국가별로 중복돼왔다”고 지적했다.

개인정보 보호 단체 유럽디지털권리(EDRi)는 “집행위원회가 ‘쿠키 피로감’을 구실로 프라이버시 기준을 약화하려 한다”고 비판했다. EDRi는 10월 블로그에서 “GDPR, e프라이버시, AI법은 혁신의 장애물이 아니라 유럽의 인간 중심 디지털 모델의 토대”라며 “집행위원회가 ‘정합성’을 이유로 e프라이버시 보호를 약화시키려 한다”고 전했다.

또한 초안은 제88b조를 신설해 브라우저나 운영체제가 기술 표준 확정 후 사용자의 동의 선호를 자동 전송하도록 의무화할 예정이다. 이에 따라 현재 난립한 쿠키 배너가 점차 사라질 가능성이 있다. 다만 언론사는 예외를 인정받는다. 집행위원회는 언론의 ‘경제적 기반 보호’를 이유로 명시적 동의를 계속 요구할 수 있도록 허용했다.

인공지능 학습에 ‘정당한 이익’ 근거 허용

이번 개정은 AI 시스템 학습에 개인 데이터를 활용할 수 있는지라는 유럽 개인정보법의 핵심 쟁점을 정면으로 다뤘다.

초안은 AI 학습·테스트·검증을 기업의 정당한 이익에 근거해 수행할 수 있다고 규정했다. 단, 데이터 최소화·투명성·이의 제기권 보장 등 안전장치를 갖춰야 한다. 집행위원회는 “AI 학습을 위한 개인정보 처리는 데이터 주체 및 사회 전체에 유익해야 한다”고 명시했으며, 편향 탐지나 정확성 향상 등을 정당한 목적의 사례로 들었다.

그러나 개인정보 보호 변호사들은 ‘정당한 이익’의 근거가 대규모 데이터 채굴을 합법화할 수 있다며, GDPR의 기본 취지와 충돌한다고 경고했다.

또한 개정안은 AI 데이터셋에 우연히 포함된 민감정보에 대한 제한적 예외도 허용한다. 삭제에 ‘불균형적 노력(disproportionate effort)’이 필요한 경우, 기업은 해당 데이터를 보호 조치를 전제로 보유는 가능하되 활용은 금지된다.

민감정보 보호 범위 축소

가장 논란이 큰 조항은 GDPR 제9조의 민감정보 정의 축소다. 새 규정은 인종·종교·건강 등 직접적으로 드러나는 특성에 대해서만 강화된 보호를 적용하고, 분석이나 추론을 통해 간접적으로 드러나는 정보는 제외한다.

초안은 “제9조(1)에서 열거된 대다수 개인정보 유형은 본질적으로 민감하지 않으며, 고위험으로 분류할 근거가 약하다”고 명시했다. 이에 대해 전문가는 성적 지향이나 정치적 성향을 간접적으로 추론할 수 있는 데이터가 고위험 보호 대상에서 빠질 수 있다고 경고했다.

유럽법연구소(European Law Institute)는 10월 14일 의견서에서 “GDPR의 제한적 개정은 필요할 수 있지만, 근본권 보호를 훼손해서는 안 된다”고 밝혔다.

기업 데이터 거버넌스 구조 전면 변화 가능성

이번 개정이 시행되면 유럽 전역에서 기업의 데이터 거버넌스 체계가 크게 바뀔 전망이다. 대다수 웹사이트는 별도의 동의 관리 시스템이 불필요해지지만, 대신 정당한 이익 근거를 입증하는 세부 문서화가 의무화된다.

유럽디지털권리연합은 이번 공개 협의가 “산업계 중심으로 설계된 배제형 절차(exclusion by design)”라며, 검토 기간이 비정상적으로 짧고 현실 검증도 산업계 의견에 편중돼 있다고 비판했다. 집행위원회는 관련 논평 요청에 즉각적인 답변을 내놓지 않았다.

dl-itworldkorea@foundryco.com