데일리시큐가 주최하고 개인정보보호위원회, 한국인터넷진흥원, 한국정보보호산업협회가 후원하는 G-PRIVACY 2022가 3월 29일 더케이호텔서울 가야금홀에서 공공, 금융, 기업 개인정보보호 및 정보보안 실무자 700여 명이 참석한 가운데 성황리에 개최됐다.

이날 개인정보보호위원회 개인정보보호정책과 이병남 과장은 ‘2022년 개인정보 보호법 주요 개정내용’에 대해 상세히 설명하는 시간을 가졌다.

데이터 3법 시행 이후 2차 개정 추진 배경에 대해 이병남 과장은 “데이터 시대로의 전환에 대응해 현실과 괴리된 불합리한 규제가 여전히 존재함에 따라 데이터 경제 활성화의 장애 요인으로 작용할 우려가 있었다”며 “정보주체 권리 강화, 불합리한 규제 해소 등 보호와 활용의 균형 있는 규율을 통한 신뢰 기반의 데이터 경제 가속화를 위해 개인정보 보호법 개정 추진이 필요했다”고 말했다.

개인정보보호법 2차 개정안 주요 내용은 다음과 같다.

◇데이터 시대의 정보주체 권리 실질화

데이터 경제 활성화로 개인정보가 대량 수집·유통되고 있지만, 정보주체는 본인정보를 자기주도적으로 유통·활용하는데 한계가 있다. 이에 본인 정보를 본인 또는 제3자(다른 개인정보처리자 또는 개인정보관리 전문기관)에게 전송 요구할 수 있는 일반적 권리로서 개인정보 전송요구권을 신설했다.

또 사전동의 제도에 대한 과도한 의존으로 형식적 동의 및 ‘동의 만능주의’ 관행이 지속되고 있다. 이에 정보주체의 실질적 동의권을 보장하고, 기업 등의 합리적인 개인정보 수집·활용을 지원하기 위한 동의제도를 개선했다.

한편 인공지능의 발전 등에 따라 자동화된 결정(신용평가, 인사채용 등)이 광범위하게 활용되면서 특정인에 대한 감시·편견 등 신규 프라이버시 이슈가 제기됐다. 이에 개정안에는 업적 효용과 정보주체 권리 간 균형을 고려해 자동화된 결정에 대한 거부권 및 설명요구권을 도입하되, 적용 범위를 명확히 했다.

◇이원화된 규제정비 및 신기술 성장기반 마련

데이터 3법 개정 시, 정보통신망법의 정보통신서비스 제공자 대상 개인정보 보호 관련 규정을 특례 규정(제6장)으로 단순 이전·병합하면서, 온·오프라인 서비스의 경계가 모호함에도 불구하고 오프라인 규제(일반 규정)와 온라인 규제(특례 규정)의 이원화로 기업의 법 적용 혼선 및 이중 부담이 발생했다.

이에 정보통신서비스 특례 규정을 폐지하고, 일반 규정으로 일원화해 모든 개인정보처리자 대상 ‘동일행위–동일규제' 원칙을 적용했다.

또 현행법은 고정형 영상기기(CCTV)만을 규율하고 있어 드론, 자율주행차 등 이동형 영상정보처리기기의 특성에 맞는 기준 제시에 한계가 있었다. 이에 공개된 장소 등에서 업무 목적으로 이동형 영상정보처리기기를 이용해 개인영상정보를 촬영하는 행위를 원칙적으로 제한하되, 동의 또는 법률에 특별한 규정이 있거나 촬영사실을 알 수 있었음에도 거부의사를 밝히지 않은 경우는 예외적 허용했다.

◇글로벌 규제와의 정합성 확보

국경 없는 온라인 전자 상거래 확대로 개인정보의 국외 이전 필요성이 증가하고 있으나, 국외 이전 시 정보주체에 대한 동의 요구로 인한 기업 부담이 발생했다. 이에 개인정보의 안전한 국외 이전을 위한 동의 이외의 국외이전 적법 요건을 다양화 했다.

또 개인정보 침해에 대한 책임이 개인에 대한 형벌 중심으로 이루어지고 실질적 책임이 있는 기업에 대한 경제제재는 낮은 수준에 머물러 개인정보 보호에 대한 기업의 투자를 촉진하지 못하는 한계가 있었다.

이에 형벌 중심을 경제 제재 중심으로 전환해 실효성을 제고했다. 온라인 서비스 분야의 과도한 형벌규정을 일반규정에 맞추어 정비하고, 유출 시 형벌규정은 삭제하는 대신 과징금 상한 및 대상을 확대했다.

정보통신서비스 제공자 등에 적용되는 과징금을 개인정보처리자로 확대하고, 과징금의 부과 기준은 전체 매출액의 3% 이하로 상향했다. 그리고 위반행위와 상응하는 “비례성”과 “효과성”이 확보되도록 했다.

◇개인정보보호 생태계 조성

개인정보 축적‧활용이 급증하는 데이터 경제 시대에는 정부 주도 규제만으로는 한계가 있다. 이에 분야별 특성을 반영한 자율규제단체의 지정 및 자율규제 활성화를 위해 자율규제단체 지정 및 지원 근거를 마련했다.

또 개인정보 권리 침해 시, 소송에 앞서 개인정보 분쟁조정위원회의 조정을 통해 신속하게 구제(침해중지, 손해배상 등) 하는 분쟁조정제도를 운영 중이다. 분쟁조정 요청 시, 의무 대상을 공공기관에서 모든 개인정보처리자로 확대하고, 개인정보 분쟁조정위원회에 사실조사권을 부여했다.

또한 가명정보 ‘파기 의무’ 및 반출 심사 위원 등의 ‘비밀유지 의무’ 누락 등 안전성 확보를 위한 미비점 보완이 필요했다. 가명정보 처리 특례 규정의 일부내용 개정, 가명정보 결합 업무 수행에 대한 비밀유지 의무를 신설했다.

그리고 개인정보 침해 조사 및 제재 기능 강화를 위해 현행법은 시정명령 부과 요건이 지나치게 경직적이고, 조사 거부 등에 대한 제재수준이 미흡했다. 이에 시정명령 부과 요건을 합리적으로 개선하고, 조사 거부 등에 대한 과태료를 상향했다.

이병남 과장은 “개인정보 전송요구권(데이터 이동권) 도입을 통한 전 분야 마이데이터 산업 기반을 마련하고, 국민이 자신의 개인정보에 대한 통제권 강화가 필요하다. 또 온‧오프라인 이중규제 정비와 함께, 과도한 형벌은 완화하는 대신 과징금 상한액 조정을 통해 경제적 제재로 전환이 시급하다. 더불어 데이터 이용 활성화를 위해서는 온오프라인 이중규제는 해소하고, 과도한 형벌은 완화하는 대신 과징금은 글로벌 추세에 맞게 조정이 필요하다”며 “데이터 경제 활성화와 국민의 개인정보 전송요구권 강화, 온·오프라인 이중규제 해소를 위해 조속한 입법이 필요하다”고 강조했다.

보다 상세한 내용은 아래 개인정보보호위원회 이병남 과장 강연 영상을 참고하면 되고 강연자료는 데일리시큐 자료실에서 다운로드 가능하다.

★정보보안 대표 미디어 데일리시큐!★