디지털 시대의 개인정보는 이제 단순한 ‘개인 정보’가 아니라, 사회와 국가의 신뢰를 결정짓는 자산이 됐다. 특히 최근 인공지능, 빅데이터, 사물인터넷 등 신기술이 확산되면서 개인정보 보호의 중요성이 전 세계적으로 다시 조명되고 있다. 한국과 유럽연합(EU)의 개인정보 보호 법제는 각기 다른 문화적, 역사적 배경을 지니고 있으면서도, 공통의 과제를 마주하고 있다. 두 지역의 법제를 비교해보면 흥미로운 차이점과 시사점을 발견할 수 있다.   ◇EU의 GDPR, 전 세계 개인정보보호의 기준이 되다 EU의 개인정보 보호법은 2018년 시행된 일반개인정보보호법(GDPR)이 대표적이다. GDPR은 `개인정보의 자기 결정권`을 핵심 가치로 두고, 개인정보 처리의 전 과정을 엄격하게 규제한다. 기업이 수집한 개인정보의 용도, 보관 기간, 제3자 제공 여부 등 모든 정보를 명확하게 고지해야 하며, 개인은 언제든 자신의 정보를 열람, 수정, 삭제할 수 있다.또한, GDPR은 `동의의 명확성`을 요구한다. 이용자가 진정한 의미로 자발적이고 구체적인 동의를 했는지 여부가 매우 중요하다. 아울러 GDPR은 역외적용 원칙을 통해 EU 외 기업이라도 EU 국민의 개인정보를 처리할 경우 동일한 법적 기준을 적용받는다. 이는 글로벌 기업들에게 GDPR을 사실상의 국제 표준으로 받아들이게 만들었다.   ◇한국의 개인정보보호법, 점진적 진화 중한국의 개인정보보호법은 2011년 제정되어, 이후 수차례 개정을 거쳤다. 가장 최근에는 2020년 8월 `데이터 3법` 개정을 통해 개인정보 보호와 활용의 균형을 추구하는 방향으로 변화하고 있다. 한국은 개인정보보호위원회를 독립기구로 격상시키며 GDPR 수준의 감독 체계를 갖추려는 노력을 보였다.한국법의 특징은 상대적으로 유연한 규제 방식이다. 예를 들어 가명정보의 개념을 도입하여 통계작성, 연구, 공익적 기록 보존 등에서는 정보 주체 동의 없이도 데이터를 활용할 수 있도록 허용하고 있다. 이는 GDPR에 비해 활용 측면에서 보다 실용적인 접근이라고 볼 수 있다.하지만 GDPR과 달리, 한국의 법은 여전히 개인정보 수집과 이용에 대한 사전 동의 중심의 체계를 유지하고 있으며, 역외적용 범위는 제한적이다. 글로벌 기업과의 협력 또는 유럽과의 데이터 이전 시에는 GDPR 수준의 적정성 평가를 충족해야 한다는 점에서 법적 정합성을 높이는 것이 과제로 지적된다.   ◇처벌과 제재의 차이도 뚜렷EU는 GDPR 위반 시 최대 전 세계 매출의 4% 또는 2천만 유로 중 높은 금액을 과징금으로 부과할 수 있다. 실제 구글, 메타, 틱톡 등 글로벌 기업이 GDPR 위반으로 수백억 원의 과징금을 받은 사례가 있다. 반면 한국은 과징금 비율이 상대적으로 낮고, 형사처벌 중심의 제재 구조를 유지하고 있다. 이로 인해 기업들이 부담을 덜 느끼는 대신, 실질적 보호 수준은 EU보다 낮다는 평가도 존재한다.   ◇개인의 권리와 사회적 합의유럽은 오랜 인권 중심 문화와 시민사회의 영향으로 인해 개인정보를 하나의 `기본권`으로 간주한다. 반면 한국은 개인정보를 보호해야 할 `자산`이나 `정보`로 접근하는 경향이 강하다. 이로 인해 법 제도의 뿌리와 해석에도 차이가 존재한다.하지만 한국도 디지털 대전환을 맞이하며, 개인정보에 대한 시민의 인식이 변화하고 있다. 개인정보 유출 사고에 대한 사회적 경각심이 커졌고, 플랫폼 기업의 책임을 묻는 여론도 높아졌다. ◇교차점과 향후 방향EU와 한국의 개인정보 법제는 서로 다른 길을 걸어왔지만, 최근에는 점점 유사한 방향으로 수렴되고 있다. GDPR은 강력한 보호 중심의 법제이며, 한국은 규제와 활용의 조화를 강조한다.한국이 GDPR과의 적정성 인정 획득을 목표로 하고 있는 만큼, 앞으로 EU 기준에 부합하는 법제 정비가 계속될 것이다. 동시에 한국은 기술 기반의 혁신과 데이터 산업의 육성을 위한 유연한 규제가 필요하다는 현실적 고민도 안고 있다.개인정보 보호는 단지 법의 문제만은 아니다. 기술, 사회, 기업, 시민이 함께 책임을 나누는 문화가 필요하다. GDPR이 보여준 높은 기준은 한국에도 분명 참고할 점이 많다. 그러나 한국만의 현실과 산업구조를 감안한 ‘한국형 GDPR’이 필요하다는 주장도 무게를 얻고 있다.두 법제의 비교를 통해 중요한 사실 하나를 되새기게 된다. 개인정보 보호는 권리의 문제가 아니라, 신뢰의 문제라는 점이다. 디지털 시대, 신뢰 없는 데이터는 존재할 수 없다.