2020년 데이터 3법(개인정보보호법·신용정보법·정보통신망법) 개정 이후 개인정보보호법이 재개정돼 9월부터 시행되고 있다. 데이터 3법 개정에 참여했던 당사자 중 한 명으로서 재개정에 관한 생각과 향후 바람직한 변화 방향에 관해 이야기하고자 한다.
우선, 근원적 의문은 재개정 때 개인정보를 보호하는 이유와 대상에 대해 고민이 이뤄졌는 가이다. 우리나라 개인정보보호법은 정보 주체인 개인의 개인정보자기결정권을 보호하기 위해 개인의 사전동의를 중심으로 법과 제도가 구성돼 있는 데, 보호가 필요한 개인정보를 보호하고 있는가에 대한 근원적 문제 즉 '사전동의 만능주의'는 해소되고 있지 않다고 생각한다.
재개정에서도 사전동의를 완화하기 위한 노력이 이뤄진 점에 대해서는 바람직하다고 생각하나, 2020년 개정 때 사전동의 완화를 위한 노력도 실질적 효과는 없었다고 평가되는 데 이는 법령해석의 기본적인 보수성과 형사처벌 규정이 있는 우리나라 개인정보보호법 특수성에서 기인한 것으로 판단된다.
유럽연합(EU) 개인정보보호 규정(GDPR)은 사전동의를 개인정보 활용을 위한 여러 가지 방법 중에서 하나로 규정하고 있으며, 미국 금융서비스 현대화법으로도 알려진 GLBA(그램-리치-블라일리 법)은 사전동의가 아닌 사후 거절 또는 사후 철회를 개인정보 활용을 위한 방법으로 채택하고 있다.
향후 개인정보보호법을 추가로 재개정한다면 산업계, 시민단체, 학계, 법조계 등 사회 전체 구성원이 참여해 개인정보 보호와 활용에 대한 사회적 논의를 바탕으로 변화를 시작하는 것이 필요하다. 사후 거절 또는 사후 철회 등을 제도화해 현행 개인정보보호법을 '개인정보법'으로 활용과 보호를 균형 있게 전면 개편하는 것이 바람직하다.
둘째, 개인정보보호법은 개인정보를 수집하고 운영하는, 즉 개인정보파일을 전제로 법체계가 구성되고 있다. 업무상 알게 된 개인정보를 누설하거나 권한없이 다른 사람이 이용하도록 제공하는 행위를 형사 처벌하는 것과 같이 형법이나 통신비밀보호법 등으로 처벌해야 할 사항들을 개인정보보호법을 통해 처벌하고 있다. 다른 나라에서 찾아보기 힘든 개인정보파일의 운용과 관련된 사항들도 처벌하는 등 '형사처벌 만능주의'가 만연해 있다.
재개정 때 과징금 상한을 기존 위반행위 관련 매출액에서 전체 매출액으로 개정하면서 일부 형사처벌 조항에 대한 축소 노력이 이뤄진 점에 대해서는 바람직하다. 향후 형사처벌 규정을 전면 폐지하고 부당한 경제적 이익을 흡수하는 방식으로 제재가 전환되어야 할 것으로 판단된다.
마지막으로, 개인정보 활용을 위해 정보 주체의 데이터 이동권에 따른 개인정보 전송요구권 신설은 재개정 방향은 바람직하지만 이러한 전송요구권을 구현하기 위해서는 개인정보처리자들의 투자가 크게 요구되는 점에 대한 고려가 부족했다. 즉, 전송요구권을 통한 소위 마이데이터를 활성화하기 위해서는 산업과 시장이 수익모델을 발굴할 수 있어야 할 것으로 생각되는 데 물론 이러한 수익모델의 발굴은 민간의 몫과 영역이며 책임이지만 단순히 전송요구권을 법제화한다고 개인정보 활용 활성화가 이루어지는 것은 아니다.
현실적으로 데이터를 통해 수익모델을 발굴할 수 있는 분야는 금융과 의료 분야로, 금융정보와 의료정보에 대한 활용을 확대하기 위한 규제 합리화와 함께 유치산업(幼稚産業)인 데이터 산업에 대한 지원이 수반되어야 할 것이다.
신종철 연세대 법무대학원 겸임교수·미국 변호사