브뤼셀—유럽연합(EU)의 대표 개인정보보호 법제인 일반개인정보보호법(GDPR)을 손보려는 유럽연합 집행위원회(EC)의 개정 제안을 두고, 대형 기술기업의 AI 학습 목적 개인정보 활용을 손쉽게 허용하는 방향으로 약화될 수 있다는 프라이버시 단체들의 우려가 커지고 있다. 이들은 해당 제안이 EU 판례에 배치될 뿐 아니라, GDPR의 핵심 보호장치를 사실상 무력화할 수 있다고 경고했다.
2025년 11월 10일, 로이터 통신 보도에 따르면 집행위가 추진하는 이번 수정은 최근 수년간 기술, 환경, 금융 분야에서 잇달아 제정된 다수의 규제를 정비·단순화하려는 ‘디지털 오므니버스(Digital Omnibus)’ 패키지의 일환으로 마련됐다. 이들 규정은 기업들과 미국 정부로부터의 반발에 직면해 왔으며, 집행위는 중복과 과잉 규제를 덜어내겠다는 명분을 내세우고 있다.
집행위의 구상에 따르면, EU 경쟁 담당 최고위로 지목된 헨나 비르쿠넨(Henna Virkkunen)은 11월 19일 디지털 오므니버스를 공식 제시할 예정이다. 제안에는 GDPR, 인공지능법(AI Act), e-프라이버시 지침, 데이터법(Data Act) 등 중첩되거나 충돌할 수 있는 규정을 조정·정합화하고, 행정적 부담을 줄이려는 폭넓은 조치가 포함된 것으로 전해졌다.
핵심 제안: ‘합법적 이익’에 근거한 AI 학습용 개인정보 처리
초안에 따르면 구글, 메타 플랫폼스, 오픈AI 등 기술기업은 합법적 이익(legitimate interest)을 근거로 유럽인의 개인 데이터를 자사 AI 모델 학습에 사용할 수 있도록 허용될 가능성이 있다. 이는 지금까지 AI 학습 목적의 데이터 활용에서 주로 요구되어 온 사전 동의 중심 접근에 중대한 변화를 가져올 수 있는 대목으로, 규제의 중대한 전환점이 될 수 있다는 지적이 제기된다.
또한, 초안은 기업들이 AI의 개발·운영을 과도하게 저해하지 않기 위해, 그리고 처리자(controller)가 민감정보(특별범주의 개인정보)를 식별·제거할 수 있는 역량을 고려한다는 조건 아래, 특별범주 개인정보 처리 금지에 대한 예외를 일부 인정하는 방안을 담고 있는 것으로 알려졌다. 이는 건강정보·민족·종교·성적 지향 등 고위험 정보 처리의 문턱을 완화할 수 있다는 점에서 논란의 소지가 크다.
시민단체의 반발: “GDPR의 핵심을 갉아먹는 천 개의 상처”
노이브(noyb)는 성명에서 “디지털 오므니버스 초안은 GDPR의 다양한 조문을 무수히 손보는 내용을 담고 있으며, 그 누적 효과는 ‘천 번의 상처로 죽음(death by a thousand cuts)’에 해당한다”고 밝혔다. 이 단체는 애플, 알파벳, 메타 등 미국 빅테크를 상대로 다수의 프라이버시 위반 신고를 제기해 왔고, 그 결과 EU 규제당국의 수십억 달러대 벌금으로 이어진 사례들을 촉발한 바 있다.
노이브의 맥스 슈렘스(Max Schrems)는 “이번 제안은 GDPR 채택 10년 만에 유럽인의 프라이버시 수준을 대폭 하향시키는 조치가 될 것”이라고 말했다.
‘쿠키 법’의 흡수 통합 논란: 기기 내 보호 약화 우려
유럽 디지털 권리 연합(EDRi)은 특히 e-프라이버시 지침(일명 쿠키 법)을 GDPR에 흡수·통합하려는 방안에 강하게 반대했다. e-프라이버시 지침은 웹사이트의 쿠키 동의 팝업을 확산시킨 규정으로 알려져 있으며, 통신 비밀과 단말기 보안에 관한 특화된 보호를 다뤄 왔다.
EDRi의 정책 자문역 익사소 도밍게스 데 올라사발(Itxaso Dominguez de Olazabal)은 링크드인 게시글에서 “이 제안들은 당신의 휴대전화·컴퓨터·연결된 기기 안에서 일어나는 일을 EU가 어떻게 보호하는지를 바꾸게 될 것”이라고 지적했다.
그는 이어 “이는 기기 접근이 합법적 이익이나 보안, 사기 탐지, 오디언스 측정 같은 폭넓은 예외에 의존하도록 만들 수 있다는 뜻”이라고 강조했다.
입법 절차의 다음 단계
이번 디지털 오므니버스 제안들은 실제 시행에 앞서 EU 회원국들과 유럽의회 간의 협의·조정 절차를 거쳐야 한다. 향후 수개월 동안 치열한 논의가 예상되며, 구체적 조항들은 그 과정에서 조정되거나 폐기될 가능성도 있다.
용어 해설개념 정리
GDPR: 2018년 시행된 EU의 포괄적 개인정보보호 규정으로, 명확한 동의, 목적 제한, 데이터 최소화, 권리 보장(접근·정정·삭제 등)을 핵심 원칙으로 한다. 위반 시 매출액의 최대 4% 등 고액 과징금을 부과할 수 있는 강력한 집행력을 갖춘다.
e-프라이버시 지침: 통신 비밀, 쿠키, 단말기 접근 등 전자통신 환경에서의 프라이버시 보호를 규율하는 EU 법제다. 흔히 ‘쿠키 법’으로 알려졌으며, 웹·모바일 환경에서의 추적 및 저장 행위에 대한 사전 동의 기준을 마련해 왔다.
합법적 이익(legitimate interest): GDPR이 열거한 데이터 처리의 법적 근거 중 하나로, 처리자의 정당한 이해관계가 정보주체의 권리·자유보다 우월하지 않는 경우에 한해 허용된다. 통상적으로는 명확한 목적·필요성·균형성을 입증해야 하며, 이익형량과 투명성이 쟁점이 된다.
특별범주(민감) 개인정보: 인종·민족, 정치적 견해, 종교·철학적 신념, 노동조합 가입, 유전·생체 정보, 건강, 성생활·성적 지향 등을 포함한다. GDPR은 원칙적으로 처리를 금지하되, 명시적 동의 또는 공익 등 엄격한 예외 사유 하에서만 허용한다.
분석: ‘간소화’와 ‘보호 약화’ 사이의 긴장
집행위가 내세우는 규제 간소화는 복잡한 디지털 규범체계를 정돈하고 중복 규제를 해소한다는 점에서 정책 일관성과 집행 효율 측면의 이점이 있다. 그러나 AI 학습이라는 고도·대규모 데이터 처리 맥락에서 합법적 이익의 범위를 넓히면, GDPR이 설계한 동의 중심 보호 구조의 약화로 이어질 수 있다는 우려가 합리적으로 제기된다. 특히 특별범주 정보에 관한 예외가 확대될 경우, 식별·제거 능력을 이유로 사후적 관리에 의존하게 되어, 사전적 통제를 중시하는 GDPR의 철학과 마찰이 불가피하다.
또한 e-프라이버시 지침을 GDPR에 통합하는 방안은 규범의 체계적 통일을 도모할 수 있지만, 단말기 접근과 통신 비밀에 관한 특화 보호가 일반 규정에 흡수되면서 보호의 정밀성이 떨어질 수 있다는 지적도 있다. 실제로 쿠키 동의 체계를 둘러싼 실무 난제를 해소하려는 취지와 달리, 기기 접근이 합법적 이익 또는 보안·사기 방지·오디언스 측정 같은 광범위 예외에 기댈 경우, 사용자의 통제권과 투명성이 후퇴할 가능성이 있다.
향후 EU 회원국·유럽의회 협상 과정에서는 혁신 촉진과 권리 보호 사이의 균형점이 쟁점이 될 전망이다. 특히 AI 생태계에서의 데이터 수요와 프라이버시 리스크를 어떻게 규율할지, 그리고 EU 사법판결이 축적해 온 권리 보호 기준과의 정합성을 어떻게 확보할지가 핵심이다. 현재 공개된 내용만으로도 이해관계자들의 강도 높은 로비와 법률적 다툼이 예고되며, 최종 문안은 상당한 수정을 거칠 수 있다.
핵심 인용·포인트 요약
“초안은 다양한 GDPR 조항을 무수히 바꾸며, 결과적으로 천 번의 상처로 죽음에 해당한다.” — 노이브
“GDPR 채택 10년 만의 대규모 프라이버시 하향.” — 맥스 슈렘스
“당신의 기기 안에서 일어나는 일을 보호하는 방식이 바뀔 것이다… 기기 접근이 합법적 이익이나 보안·사기 탐지·오디언스 측정 예외에 의존할 수 있다.” — EDRi
전망
집행위의 디지털 오므니버스는 11월 19일 공식 제시 이후, 회원국 및 의회와의 협상에서 문구 조정과 범위 한정을 거칠 가능성이 크다. 빅테크의 AI 학습과 유럽인의 프라이버시 사이의 경계선을 어디에 긋느냐가 최종 합의의 분수령이 될 전망이다.
