개인정보 이동권 도입, 위반 시 형벌에서 경제벌로 전환 등 보호 및 활용 위한 법 개정 추진

[보안뉴스 이상우 기자] 개인정보보호위원회(위원장 윤종인, 이하 개인정보위)가 12월 23일 제9회 전체회의에서 ‘개인정보 보호법’ 2차 개정안을 검토했다. 데이터3법 개정 과정에서 변화하는 데이터 환경에서 국민 권리 강화 사항이 차기 입법과제로 유보되었고, 불합리한 규제 개선에 대한 필요성이 제기되는 상황이다. 이에 따라 비대면·온라인 전환 추세에 맞춰 국민 개인정보를 보다 두텁게 보호하고, 국민이 신뢰할 수 있는 데이터 경제로의 이행을 위해 2차 법 개정을 추진한다는 방침이다.


개인정보위는 출범 직후 내부 전담조직(TF)을 구성 및 운영하고, 개인정보 톡톡릴레이, 학계·법조계로 구성된 ‘법 개정 연구위원회’ 등을 통해 사회적 공감대가 높은 법 개정수요를 발굴했다.

먼저, △디지털 환경의 변화에 따라 약화될 우려가 있는 국민의 정보주권을 강화한다. ‘개인정보 이동권(전송 요구권)’을 도입해 국민이 자신의 개인정보가 언제, 누구에게, 어느 범위까지 이용·제공되도록 할 것인지 스스로 결정할 수 있도록 한다. 이를 통해 국민의 개인정보에 대한 통제권을 강화하는 한편, 금융·공공분야에 도입된 이동권을 전 분야로 확산할 수 있을 것으로 기대한다. 또한, 인공지능의 발전과 함께 자동화된 의사결정이 보편화됨에 따라 이에 대한 설명요구 등 국민의 적극적 대응권을 보장한다.

예를 들면 현재 A씨는 즐겨 사용하던 B사의 사회관계망서비스(SNS)를 이용하던 중 B사의 서비스가 보안에 취약하다는 기사를 접하고 개인정보 유출에 대한 막연한 불안감을 가졌다. 하지만 개정 후 A씨는 B사와 유사한 서비스를 제공하지만 보안성이 우수한 C사의 SNS서비스로 개인정보를 이동하여 보다 나은 서비스를 이용할 수 있다.

다음으로 △데이터 3법 개정 시 단순 편입된 정보통신서비스 특례(제6장)를 일반규정으로 일원화하여 기업 등의 혼란과 이중부담을 해소한다. 비대면 온라인 서비스로의 전환에 따라 온·오프라인에 모두 적용이 필요한 특례규정을 모든 분야로 확대하고, 일반규정과 유사한 취지의 특례규정은 일반규정으로 일원화해, 온·오프라인의 상이한 규제를 통일하고 불합리한 규제를 정비한다.

현행법을 기준으로 예를 들면 온·오프라인 사업을 영위하는 F여행사는 고객의 개인정보가 유출되었으나, 온·오프라인에 대한 유출 통지·신고 기준이 달라 이중 조치를 취하는 등 혼란을 겪었다. 하지만 개정 후에는 개인정보 유출 시 온·오프라인에 대한 구분 없이 지체없는 통지·신고의무를 지게 되므로, 더 이상 법적용상의 혼란을 겪지 않아도 된다.

다음으로 △형벌 중심의 제재를 경제벌 중심으로 전환하여 제재의 실효성을 높인다. 개인정보 침해사고는 기업의 경제적 이득을 목적으로 하는 경우가 많은 반면, 형벌 중심의 제재는 개인에 대한 과도한 처벌을 초래했다. 이에 따라 형벌 요건을 제한하는 대신, EU 등 해외 주요국의 입법례에 따라 과징금을 대폭 강화해 기업의 사전적 의무준수와 책임성을 확보한다.

예를 들어, 현행법상 온라인 사업자 G사와 오프라인 사업자 H사는 각각 고객 동의 없이 개인정보를 무단 수집하다가 적발됐으나, 양사에 적용된 제재 수준이 달랐다. 하지만 개정 후에는 온·오프라인 사업자에 대한 구분 없이 법 위반사항에 대하여 전체 매출액의 3% 이하의 과징금을 부과한다.

마지막으로 △신기술 변화에 선제적으로 대응할 수 있도록 규제를 합리적으로 개선하고, 입법상의 미비점을 정비한다. 현행법은 드론, 자율주행차 등 이동형 영상기기에 대한 규정이 없어 사전 동의 없이는 운영이 곤란한 입법공백이 있었다. 이에 일상화된 이동형 영상기기에 대한 운영 기준을 새롭게 마련하여 입법 공백을 해소하고, 합리적 기준과 절차를 마련한다.

또한, 해외 직접구매, 전자상거래 등의 일상화로 개인정보의 국외이전이 증가하고 있으나, 동의 없이는 국외이전을 제한하는 한계가 있었다. 이에 국제표준에 부합하도록 적정한 개인정보 보호 수준이 보장되는 국가로의 안전한 이전을 허용하는 등 국외이전 방식을 다양화한다.

감염병 위기 상황에서 공공안전 보장을 위한 개인정보 처리 시에도 보호조치와 파기의무 등을 준수하여 개인정보가 제대로 보호될 수 있도록 적용 예외규정(제58조)을 정비한다.

예를 들어 현행법에서는 국내 쇼핑몰 I업체는 고객이 주문한 해외상품의 배송 등을 위해 해외 판매자에게 고객의 개인정보를 이전하는데, 구매행위가 있을 때마다 매번 고객의 동의를 받아야 하는 번거로움이 있었다. 향후 개정이 되면 국내 쇼핑몰 I업체는 앞으로 적정성결정 등에 기하여 고객의 동의 없이도 서비스 이행에 필요한 개인정보 이전이 가능하다.

개인정보위는 앞으로 시민단체·산업계·학계 등 각계의 의견을 수렴하고, 관계부처 협의를 추진해 나갈 예정이다. 윤종인 위원장은 “이번 법 개정은 디지털 사회로의 대전환 속에서 확실한 개인정보 보호와 안전한 활용을 지원함으로써 국민이 신뢰하는 데이터 시대를 선도하기 위한 첫 걸음”이라며, “개인정보 보호 분야의 기본법으로서의 위상을 정립하고 글로벌 규제와의 상호운용성을 확보할 수 있는 계기가 마련되기를 바란다”고 밝혔다.
[이상우 기자(boan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>