개인정보보호법이 디지털 전환에 맞춰 전면 개정된다. 개인정보 전송요구권을 비롯해 인공지능(AI)에 의한 자동화한 결정은 중단하거나 설명을 요구할 권리도 마련했다. 개인정보보호위원회는 이번 법 개정으로 국민 권리를 강화하는 한편 불합리한 규제를 정비, 기업 경제활동을 활성화할 것으로 기대한다.
◇정보주체 권리 실질화
법 개정의 가장 큰 특징은 개인정보 전송요구권(이동권)을 신설했다는 것이다. 본인 정보를 본인 또는 제3자(다른 개인정보처리자 또는 개인정보관리 전문기관)에게 전송 요구할 수 있는 일반적 권리다. 기존에는 데이터 경제 활성화로 개인정보가 대량 수집·유통되고 있었음에도 정보주체가 본인 정보를 스스로 유통·활용하는 데 한계가 있었다.
법 개정으로 금융과 공공 등 일부 분야별로 추진되던 개인정보 이동권이 전 분야로 확산하게 된다. 앞서 금융은 신용정보법, 공공은 전자정부법을 근거로 마이데이터 사업을 추진해 왔다. 최영진 개인정보위 부위원장은 “개인정보 전송요구권은 마이데이터 사업을 전 분야로 확산하는 근거 규정이 될 것”이라면서 “독점 완화, 공생 기회 마련 등 효과가 기대된다”고 말했다.
전송 방법과 전송 요구 거절, 전송 중단 방법 등 구체적인 사항은 시행령으로 위임한다. 전송 의무 대상자는 △매출액 △개인정보 규모 △개인정보 처리 능력 △산업별 특성 등을 고려해 결정한다.
실효성이 떨어지는 것으로 지적돼 온 동의제도도 개선한다. 우리나라는 주요국 대비 복잡하고 경직적인 동의제도 운용으로 기업·기관 등 개인정보처리자는 합리적인 개인정보 처리·활용에 제약을 받았다. 정보주체 역시 복잡한 고지사항과 절차로 인해 '동의의 형식화'가 만연했다.
개정안은 기업 등의 합리적인 개인정보 수집과 활용을 지원하고, 정보주체의 실질적인 동의권을 보장하는 방향으로 법을 정비했다. 서비스 계약 체결과 이행에 필수적인 개인정보는 동의 없이도 수집과 이용이 가능하도록 기존 '불가피하게' 요건을 삭제, 사전동의에 과도하게 의존해 온 '동의 만능주의' 행태를 바꾼다. 개인정보 처리방침에 대한 평가제도 도입으로 형식적인 동의 관행을 보완하고 사후 통제권을 강화한다.
자동화된 결정에 대한 정보주체 권리도 도입했다. AI 등 신기술 발전에 따라 신용등급, 인사채용 등에 자동화된 결정이 광범위하게 활용되면서 특정인에 대한 감시·편견 등 새로운 프라이버시 이슈가 제기됐기 때문이다. 개인정보위는 자동화된 결정으로 인한 기본권 침해 방지를 위해 최소한의 대응권을 보장하려는 차원에서 이번 권리를 새롭게 법에 명시했다.
산업 효용과 정보주체 권리 간 균형을 고려해 적용 범위를 명확화했다. 자동화된 결정이 정보주체의 권리 또는 의무에 영향을 미치는 경우에 해당 결정을 거부하거나 설명을 요구할 수 있도록 했다.
◇규제 일원화·신기술 기반 마련
정보통신서비스 특례규정을 정비해 이원화된 규제를 일원화했다. 특례규정을 폐지해 모든 개인정보처리자에게 동일한 규범을 적용한 것이다. 특례규정에만 있는 손해배상 보장제도, 국내대리인 지정제도, 개인정보 이용내역 통지 등은 일반규정으로 전환해 모든 분야로 확대 적용했다.
과거 데이터 3법 개정 시 정보통신망법의 정보통신서비스 제공자 대상 개인정보 보호 관련 규정은 특례규정(제6장)으로 단순 이전·병합됐다. 이로 인해 온·오프라인 서비스 경계가 모호한데도 오프라인 규제(일반규정)와 온라인 규제(특례규정)가 이원화돼 기업의 법 적용 혼선과 이중부담 발생했다.
개정안은 일반규정과 유사·중복되는 특례규정을 일반규정으로 통합해 온·오프라인 사업자 간 상이한 규정 또는 벌칙을 단일화했다. 기존 규제는 동의 없이 개인정보를 수집한 경우 공공과 오프라인 기업은 5000만원 이하의 과태료, 온라인 기업은 관련 매출액의 3% 이하 과징금과 5년 이하 징역을 규정했다.
드론, 자율주행차 등 이동형 영상기기 등 신기술 개인영상정보 보호 근거도 생겼다. 현행법은 고정형 영상기기(CCTV) 만을 규율하고 있어 이동형 영상기기 특성에 맞는 기준을 제시하지 못했다. 이동형 영상기기를 통한 개인정보 수집과 이용 시 일반규정이 적용돼 정보주체의 개별적 동의를 요하는 등 산업진흥 측면에서 유연한 대처도 어려웠다.
개정안은 공개된 장소 등에서 업무 목적으로 이동형 영상정보처리기기를 이용해 개인영상정보를 촬영하는 행위를 원칙적으로 제한하도록 했다. 다만 정보주체가 촬영 사실을 알 수 있었으나 거부의사를 밝히지 않은 경우에는 촬영을 허용하도록 했다.
◇글로벌 규제 정합성 확보
개인정보 국외이전 방식은 동의 외 요건을 다양화했다. 개인정보위가 유럽연합(EU) 개인정보보호법(GDPR)의 국외이전 제도를 참조해 적정한 개인정보 보호 수준이 보장된다고 인정하는 국가 또는 기업으로 동의 없이 국외이전을 허용하도록 규정했다. 동시에 법을 위반해 개인정보를 국외이전하거나 개인정보를 적정하게 보호하고 있지 않다고 판단될 경우에는 중지 명령권 신설, 보호 조치를 강화했다.
이는 온라인 전자상거래 확대에 따라 개인정보 국외이전 필요성이 증가한 데 따른 것이다. 기존에는 국외이전 시 정보주체 동의가 필요해 기업 부담이 컸던 반면, 동의만 있으면 개인정보 보호가 취약한 지역으로의 이전이 제한없이 가능해 오히려 실질적 개인정보 보호에 소홀할 우려도 있었다.
형벌 중심을 경제제재 중심으로 전환, 실효성을 제고했다. 현행법은 과실로 인한 정보유출, 경미한 위반사항까지 징역 등의 형벌을 규정함으로써 개인정보 업무담당자의 과중한 부담과 업무회피 문제가 있었다. 과징금의 경우 '위반행위 관련 매출액'의 3% 이하로 정보통신서비스 제공자에게만 부과돼 실효성 논란도 제기됐다.
개인정보위는 주요국 규정에 맞춰 정보통신서비스 제공자에게만 적용되던 형벌규정을 삭제하고, 개인정보 유출 시 형벌은 삭제하는 대신 과징금 실효성을 높였다. 정보통신서비스제공자에 적용되는 과징금을 개인정보처리자로 확대하고, 과징금 상한액 기준을 '위반행위 관련'에서 '전체 매출액'으로 변경했다.
과징금이 책임의 범위를 벗어나 과도하게 부과되지 않도록 '위반행위에 상응하는 비례성'과 '침해 예방에 대한 효과성'을 확보하도록 했다. 개인정보 유출 등의 경우 개인정보처리자가 안전성 확보조치를 다한 경우에는 과징금 부과가 면제됨을 명확히 했다.
◇개인정보보호 생태계 조성
개정안은 기업·기관의 자율적인 개인정보 보호 활동을 유도하기 위한 근거도 포함했다. 자율규약, 개선지도, 교육·홍보 등 분야별 자율규제단체 지정과 지원 근거를 마련한 것이다. 개인정보 축적활용이 급증하는 가운데 정부 주도 규제만으로는 한계가 있어 분야별 특성을 반영한 기업·기관의 자율보호 활성화가 필요하다는 판단에서다.
분쟁조정 관련 사실조사제도 도입한다. 분쟁조정 요청 시 의무적으로 응해야 하는 대상을 공공기관에서 모든 개인정보처리자로 확대하고 개인정보 분쟁조정위에 사실조사권을 부여했다.
현재는 개인정보 권리침해 시 소송에 앞서 개인정보 분쟁조정위원회 조정을 통해 신속하게 구제(침해중지, 손해배상 등) 하는 분쟁조정제도를 운영하고 있지만, 조정신청 시 의무적으로 응해야 하는 기관은 공공기관에 한한다. 또 분쟁조정위에 사실 확인을 위한 조사권이 없어 적극적 조정에는 한계가 있었다.
개인정보 침해 조사와 제재 기능은 강화했다. 시정명령 부과 요건이 지나치게 경직적이고 조사 거부 등에 대한 제재수준이 미흡하다는 지적이 있었다. 개인정보취급자의 개인정보 사적이용과 수탁자에 대한 제재근거 또한 부재했다.
개정안은 시정명령 부과 요건을 합리화하고 조사 거부 등에 대한 과태료를 상향했다. 개인정보취급자가 '업무상 알게 된 개인정보를 사적 목적으로 이용 시' 처벌근거를 마련하고 개인정보처리 수탁자도 과태료와 과징금, 형벌 등 제재 대상에 포함시켰다.
오다인기자 ohdain@etnews.com