개인정보보호법 전면 개정…마이데이터 시대 열린다
지난달 27일 국회를 통과한 '개인정보 보호법' 개정안이 7일 국무회의에서 의결됐다. 개정안은 오는 14일 공포돼, 9월 15일부터 시행될 예정이다. 이번 개정안에는 ▲전 분야 마이데이터 확산을 위한 개인정보 전송요구권 신설 ▲'동의'에만 의존하던 개인정보 처리 관행 개선 ▲과징금 상한액 기준을 '관련 있는 매출액'에서 '전체 매출액'으로 조정 등의 내용이 담겼다. 이번 개정안은 2011년 법 제정 이후 처음으로 정부가 학계·법조계·산업계·시민단체 등과 2년여의 협의 과정을 거쳐 다양한 의견을 반영해 정비한 실질적인 전면 개정이라는 점에서 의미가 있다. 개인정보보호위원회는 전 세계적인 디지털 대전환 추세에 부합하도록 '데이터 경제 견인', '국민 개인정보 신뢰 사회 구현', '글로벌 스탠다드에 부합하는 개인정보 규범 선도' 등을 위해 필요한 내용이 담겼다고 설명했다. ■ 전 분야 마이데이터 확산…'개인정보 전송요구권' 신설 이번 개정안에는 데이터 경제 성장을 견인할 수 있도록 '개인정보 전송요구권'이 신설됐다. 개인정보 전송요구권은 자신의 개인정보를 보유한 기업·기관에게 그 정보를 다른 곳으로 옮기도록 요구할 수 있는 '개인정보 전송요구권'의 일반법적 근거를 신설했다. 이에 따라 그간 금융·공공 등 일부 분야에서만 제한적으로 가능했던 마이데이터 서비스가 국민 개개인의 뜻에 따라 의료·유통 등 모든 영역에서 보편적으로 이루어질 수 있는 기반이 마련됐다. 더불어 다양한 데이터 간 합종연횡이 가속화되면서 혁신적 아이디어를 가진 스타트업 등 다양한 경제주체가 새로운 데이터 생태계에서 성장을 주도해 나갈 것으로 기대된다. 이동형 영상정보처리기기가 부착된 자율주행차, 드론, 배달 로봇 등이 안전하게 운행될 수 있도록 합리적인 기준도 마련했다. 그동안 고정형 CCTV와 달리 이동형 영상정보처리기기는 명확한 규정 없이 운영돼 왔다. 이에 이동형 영상정보처리기기를 업무 목적으로 운영할 경우 촬영 사실을 명확하게 표시하도록 하는 등 운영 기준을 마련했다. 누구든 법을 쉽게 준수할 수 있도록 온·오프라인으로 이원화된 규제 체계도 개편했다. 동일행위에는 동일규제가 적용되도록 했으며, 국민의 권리 보장에 도움이 되는 규정은 모든 분야로 확대하고, 실효성이 낮은 조문은 삭제했다. ■ 개인정보 처리 관행 개선…'필수 동의' 사라지고 '선택 동의'만 남는다 그간 정보주체의 '동의'에만 과도하게 의존했던 개인정보 처리 관행에서 벗어나, 상호계약 등 합리적으로 예상할 수 있는 범위 내에서는 동의 없이도 개인정보 수집·이용이 가능하도록 정비했다. 기존에는 온라인 사업자가 개인정보 주체의 '동의'를 받아야지만 서비스를 제공할 수 있었다. 따라서 개인정보 주체는 '동의'를 하지 않으면 서비스를 이용할 수 없었다. 개인정보위는 이러한 '동의'에만 의존했던 개인정보 처리 관행에서 벗어나, 필수동의-선택동의 체계를 바꾸게 됐다고 이번 개정안의 변화에 대해 설명했다. 서비스와 관련 있는 정보는 사업자가 정보 주체의 '동의'없이 수집할 수 있게 됐으며, 서비스와 관련 없는 정보에 대해서만 '선택 동의'에 의해서 수집할 수 있게 된 것이다. 즉, 필수 동의는 사라지고 선택 동의만 남게 되는 셈이다. 정보 수집의 입증 책임은 사업자가 지게 된다. 또한, 개인정보위가 기업·기관의 개인정보 처리방침을 평가한 후 개선하도록 하여 국민이 자신의 개인정보 처리에 대해 보다 쉽고 정확하게 알 수 있도록 개선할 수 있는 기반을 마련했다. 인공지능을 활용한 자동화된 결정이 채용 면접, 복지수급자 선정 등과 같이 국민에게 중대한 영향을 미치는 경우, 이에 대해 거부하거나 설명을 요구할 수 있는 권리를 신설했다. 디지털 네이티브인 아동에게 개인정보 관련 내용을 알릴 때에는 이해하기 쉬운 양식·언어 사용 의무를 온라인 분야에서 모든 분야로 확대하고, 국가·자치단체의 아동 개인정보 보호 시책 의무를 명확히 했다. 개인정보 분쟁조정 절차에 참여 의무도 공공기관에서 전체 개인정보 처리자로 확대했다. 또한 분쟁조정을 위해 사실확인이 필요한 경우 사실 조사 근거를 마련하는 등 분쟁해결을 위한 제도를 정비했다. ■ 과징금 상한액 '전체 매출액' 3% 이하로 조정…위반행위 관련 없는 매출 제외 이번 개정안에서는 글로벌 스탠다드에 부합하고 개인정보 국제 규범을 선도할 수 있도록 국외 이전, 과징금 제도도 정비했다. 글로벌 스탠다드와 달리, 개인정보 보호 책임을 기업보다는 담당자 개인에 대한 형벌 위주로 규율하고 있는 문제를 개선하기 위해 과도한 형벌을 경제벌 중심으로 전환했다. 과징금 상한액은 기존 '위반 행위 관련 매출액'의 3% 이하에서 글로벌 수준에 맞춰 '전체 매출액'의 3% 이하로 조정하고, 산정 시 위반행위와 관련 없는 매출액은 제외하도록 하여 비례성과 효과성을 모두 확보할 수 있도록 했다. 또한 그동안 개인정보를 국외로 이전하려면 정보주체의 '동의'가 필요했으나, 동의 외에도 계약·인증·적정성결정 등으로 국외이전 요건을 다양화해 글로벌 규범과의 상호운용성을 확보했다. 다만 해당 국가가 개인정보를 적정하게 보호하고 있지 않다고 판단되는 경우에는 국외이전 중지를 명령할 수 있는 근거도 마련해 국민의 개인정보 침해를 사전에 방지할 수 있도록 했다. 이 밖에도, 매년 공공기관의 개인정보 보호 수준을 평가할 수 있는 근거와 개인정보 침해 발생 위험성이 높고 효과적인 대응이 필요한 경우 사전에 실태점검을 할 수 있는 근거 등도 포함하여 공공·민간의 개인정보 보호체계를 공고히 했다. 고학수 개인정보위 위원장은 "국민은 언제든 자신의 개인정보를 실질적으로 통제하여 권리를 행사할 수 있고, 기업은 국민의 신뢰를 기반으로 데이터를 안전하게 활용할 수 있는 선순환 구조가 정착돼야 한다"며 "앞으로 위원회에서는 '국가 마이데이터 혁신 로드맵' 마련 등을 통하여 디지털 대전환 시대에 국민이 신뢰하고 체감할 수 있는 개인정보의 비전과 정책 방향을 제시하겠다"고 밝혔다. 개인정보위는 오는 6월까지 마이데이터 로드맵을 마련할 계획이다. 마이데이터 로드맵에는 인공지능(AI) 및 가명정보 등 관련 내용이 함께 담길 예정이다. 한편, 고 위원장은 최근 구글과 메타가 개인정보 불법 수집 제재와 관련해 개인정보위를 상대로 처분 취소 행정소송을 제기한 것에 대해 "해당 사안은 데이터 환경 맥락에서 중요한 함의를 가지고 있는 사안으로, 위원회에서 적극 대응할 것"이라며 "내부적으로 굉장히 많은 고민과 논의를 하고 있다"고 밝혔다.