---
title: "EU '디지털 옴니버스' 패키지, 규제 간소화 명목으로 GDPR을 해체하려 함"
published: 2025-12-04T23:04:37.000Z
canonical: https://jeff.news/article/434
---
# EU '디지털 옴니버스' 패키지, 규제 간소화 명목으로 GDPR을 해체하려 함

EFF가 EU의 디지털 옴니버스 패키지를 분석한 글로, 개인정보 정의 축소·AI 특권 부여·투명성 요건 완화 등 GDPR을 크게 약화시키는 내용이며, 유일하게 긍정적인 브라우저 쿠키 동의 신호 제안도 모바일 OS 제외 등 허점이 있다고 비판

EFF가 유럽위원회(EC)의 "디지털 옴니버스(Digital Omnibus)" 패키지를 분석한 글. GDPR을 대폭 개정하겠다는 건데, 간소화라더니 실상은 개인정보 보호를 크게 약화시키는 내용임.

## 개인정보의 정의 자체를 바꾸겠다고?

- 현행 GDPR에서 개인정보는 "누군가를 합리적으로 식별할 수 있는 정보"라는 비교적 단순한 기준임. 새 제안은 이걸 "특정 주체가 합리적으로 할 수 있거나 할 가능성이 있는 것"에 따라 판단하는 가변적 기준으로 바꾸려 함
- 같은 데이터가 A 기업에겐 개인정보이고 B 기업에겐 아닌 상황이 생김. 기업이 식별자를 다른 정보와 분리하는 조직 개편만으로 GDPR 의무를 회피할 수 있는 길이 열리는 거임
- 어떤 데이터가 "비식별 가명처리 데이터"인지 정의하는 권한을 정치적 행정기관인 유럽위원회가 갖게 됨

> [!WARNING]
> EU 사법재판소 판례 중 일부만 선택적으로 인용하고, 같은 쟁점을 다룬 다른 판례들은 무시했다는 게 EFF의 지적임

## AI에 특권을 부여

- AI 개발을 "정당한 이익(legitimate interest)"으로 취급해서, 개인이 능동적으로 거부하지 않는 한 AI 기업이 광범위하게 개인정보를 처리할 수 있는 법적 근거를 줌
- 민감한 개인정보(건강, 인종 등)까지 AI 시스템에서 사용할 수 있는 새 예외 조항도 만듦. "기술적·조직적 조치"를 취해야 한다고는 하는데, 뭐가 적절하고 비례적인 조치인지는 불분명함
- 결과적으로 AI 시스템은 민감 데이터를 처리할 수 있는데, 같거나 더 낮은 위험을 가진 비AI 시스템은 못 하는 역설이 생김

## 쿠키 동의 자동 신호: 유일하게 괜찮은 아이디어

- 브라우저에서 자동 동의 신호(consent signal)를 보내 모든 웹사이트에서 쿠키를 일괄 거부할 수 있게 하는 제안은 좋음. 다크 패턴(dark pattern)으로 점철된 쿠키 팝업 지옥에서 벗어날 수 있음
- 문제는 세부 사항에 있음. 신호 포맷을 기술 표준화 기구에서 정하는데, 빅테크가 자기들에게 유리한 표준을 로비해온 전력이 있음
- 모바일 OS는 이 요구사항에서 빠져 있음. 웹에서는 프라이버시 권리가 있는데 앱에서는 없다? 말이 안 됨
- 미디어 서비스 제공자도 면제 대상이라, 언론사가 성가시거나 기만적인 배너로 계속 동의를 뜯어낼 수 있는 허점이 남음

> [!IMPORTANT]
> AI법(AI Act)의 고위험 요구사항 시행을 2027년까지 미루는 내용도 포함돼 있음. 기업들은 곧 일시 중단될 수 있는 규칙을 지금 준수해야 하는 혼란에 빠지게 됨

## 간소화가 아니라 "복잡화(complification)"

- GDPR만 건드리는 게 아니라 e-프라이버시 지침, 사이버보안 규칙, AI법, 데이터법까지 한꺼번에 손대겠다는 거임
- 자동 의사결정 관련 규칙 완화(기업이 서비스에 필요하다고 주장하기 쉬워짐), 투명성 요건 축소(데이터 사용 설명 의무 감소), 데이터 접근 권리 수정 등 우려스러운 변경이 다수 포함
- 원래 이전 제안에서는 GDPR 자체는 건드리지 않고 중소기업의 기록 보관 의무를 완화하는 정도였는데, 이번에 갑자기 구조적 대수술로 확대됨. 기본적인 입법영향평가(Better Regulation) 원칙도 안 지켰다는 비판
- noyb(유럽 개인정보보호 NGO)의 상세 분석도 같은 결론: 간소화하겠다더니 오히려 더 복잡해지고, 개인정보 보호만 약해진다는 거임

## 핵심 포인트

- 개인정보 정의를 주체별 가변 기준으로 바꿔 기업이 조직 개편만으로 GDPR 의무를 회피할 수 있는 길 열림
- AI 개발을 정당한 이익으로 인정해 민감 데이터까지 처리 가능한 특권 부여
- 브라우저 자동 동의 신호 도입은 좋지만 모바일 OS 제외, 미디어 서비스 면제 등 허점 존재
- AI법 고위험 요구사항 시행을 2027년까지 연기, 간소화가 아닌 복잡화라는 비판

## 인사이트

규제 간소화를 표방하지만 실상은 AI 기업에 유리한 방향으로 개인정보 보호를 후퇴시키는 패키지로, GDPR의 근본 원칙이 훼손될 수 있음