지난 8월 시행된 '데이터3법'의 사각지대를 해소하는 후속 입법 작업이 추진된다. 개인정보보호법상 개인정보처리자와 정보통신서비스 제공자로 나뉘었던 의무 규정을 일원화한다. 자율규약을 통해 개인정보 가이드라인을 만드는 한편, 위반 시 처벌 수준도 현실화한다.
추경호 의원실은 이 같은 내용을 담은 '개인정보보호법' 개정안을 발의했다고 29일 밝혔다.
개정안은 정보통신망법상 개인정보 규정을 개인정보보호법으로 이관한 이후에도 각종 규정이 통일되지 못하고 과징금·형사처벌·과태료 등 위반행위 처벌에 집중됐다는 업계 의견을 반영하기 위해 마련됐다.
개정안은 개인정보 활용 기준을 관련 업계 협의체의 자율규약에 뒀다. 개인정보보호위원회가 개인정보 보호 활동을 수행하는 기관·단체를 지정할 수 있도록 했다. 지정된 단체는 업계의 특수성을 고려한 개인정보 처리 및 보호 관련 자율규약을 자체적으로 작성할 수 있다. 개인정보처리 규정의 무게 중심을 사후 처벌보다는 사전 예방에 둔 셈이다. 다만 자율규약을 위원회에 신고토록 해 업계 편의주의적인 규약에 대한 방지책을 만들었다.
처벌 수준도 현실화했다. 주민번호 분실·도난·유출·위변조 및 훼손의 경우 5억원 이하의 과징금 기준을 위반행위와 관련한 매출액의 100분의 3 이하로 수정했다.
개인정보처리자보다 정보통신서비스제공자 등에게 더 엄격하게 적용되던 개인정보 수집·이용 동의 요청, 목적 외 이용·제공, 이용내역의 통지 및 파기 등 의무 규정과 과징금, 행정형벌 및 과태료 등 제재 규정도 일원화했다. 대부분 개인정보처리자가 홈페이지 등 정보통신망을 통해 개인정보를 처리하는 현실을 감안할 때 이 둘을 분리하는 것이 의미가 없다는 판단이다.
법이 개정되면 개인정보 활용에 따른 마이데이터 산업 활성화도 빨라질 전망이다. 그동안 업계는 데이터3법이 시행됐지만 법령 적용의 이원화, 애매모호한 표현의 법 문구, 유사시 관련자에 대한 과도한 처벌 등으로 실제 개인정보 사용에는 한계가 있다고 지적했다.
추경호 의원은 “개정 법률도 자율 규제를 통한 위반행위 예방보다는 처벌에 중점을 뒀다는 비판이 지속됐다”며 “개인정보 규정 일원화와 자율규약 작성으로 개인정보 보호 활동을 촉진하고 위반 시 처벌을 합리적 수준으로 조정해 보호와 활용이 서로 조화를 이루도록 할 것”이라고 말했다.
조정형기자 jenie@etnews.com