디지털전환(DX) 흐름에 맞춰 '완전히 자동화된 시스템'으로 개인정보를 처리하는 특수 영역도 동일하게 정보주체 권리가 보장된다. 매출액 1500억원 이상 등 일정 규모를 갖춘 회사는 전문성을 보유한 개인정보보호책임자(CPO)를 지정해야 한다.
개인정보보호위원회가 이 같은 내용을 담은 개인정보보호법 시행령 개정안을 입법 예고했다. 이번 시행령 개정안은 지난 3월 14일 공포된 개정 개인정보보호법에 후속 조치다.
먼저 일반적인 개인정보 처리 과정에서의 열람 및 정정·삭제, 처리정지 등 요구권으로 보장되고 있는 정보주체 권리와 함께, 완전히 자동화된 시스템으로 개인정보를 처리하는 특수한 영역에서도 동일하게 정보주체 권리가 보장될 수 있도록 규정을 마련했다.
구체적으로 자동화된 결정이 생명·신체·재산의 이익 등 자신의 권리 또는 의무에 중대한 영향을 미치는 경우에 정보 주체가 해당 결정을 거부하면 적용하지 않는 조치를 하고, 정보주체가 인적 개입에 의한 재처리를 요구한 경우엔 그 조치 결과를 알리도록 했다.
또 설명 등 요구 시 해당 결정 결과, 결정에 사용된 주요 개인정보 유형 및 영향 등을 포함해 간결하고 의미 있는 설명을 이해하기 쉽게 제공하도록 구체화했다. 권리·의무에 중대한 영향을 미치지 않는 경우엔 사전 공개한 기준과 절차 등을 활용해 설명할 수 있도록 했다.
개인정보처리자가 완전히 자동화된 결정에 따른 개인정보 처리를 하는 경우, 사전에 기준·절차 등을 공개하도록 하되 일회적으로 이뤄지는 경우엔 정보주체에게 사전에 알리도록 했다. 공개할 땐 표준화·체계화된 용어와 시각화 방법 등을 활용할 수 있도록 규정했다.
CPO 자격요건과 적용대상, 독립성 강화방안 등도 정비했다.
연 매출 1500억원 이상이면서 100만명 이상 개인정보나 5만명 이상의 민감·고유식별정보를 보유할 경우, 개인정보보호 경력 3년 이상 또는 개인정보보호·정보보호·정보기술 경력 합을 6년 이상 보유한 CPO를 둬야 한다. 재학생 수가 1만명 이상인 대학과 상급종합병원도 해당된다.
CPO 독립성 보장을 위한 내용도 담았다. 대표자·이사회 직접 보고체계 구축, 개인정보 처리 관련 정보에 대한 접근 보장, 인적·물적 자원 제공, 부당한 지시에 대한 불이행을 이유로 불이익 금지 등 준수사항을 명시했다. 또 CPO 협의회의 공동사업에 대한 구체적인 범위를 규정하고, 개인정보위가 지원할 수 있도록 했다.
아울러 손해배상책임 보장을 위한 보험(공제) 가입 및 준비금 적립 등 의무대상 기준을 현행 '매출액 5000만원 및 이용자 수 1000명 이상'에서 '매출액 10억원 및 정보주체 수 1만명 이상'으로 조정했다.
고학수 개인정보위 위원장은 “현장과 소통 과정에서 나온 자동화된 결정에 대한 권리 보장이나 CPO 전문성·독립성 강화 등의 의견을 개정안에 담았다”며 “현장에서 차질 없이 시행될 수 있도록 입법예고 이후에도 간담회·설명회 등을 통해 학계·산업계·시민단체 등 다양한 의견을 들어 시행령에 반영해 나갈 것”이라고 밝혔다.
조재학 기자 2jh@etnews.com
-
조재학 기자기사 더보기