2023년 3월 23일 데일리시큐 주최 상반기 최대 공공, 금융, 기업 개인정보보호&정보보안 컨퍼런스 G-PRIVACY 2023이 1,300여 명의 보안실무자가 참석한 가운데 성황리 개최되었다. 

이 자리에서 박나룡 보안전략연구소 소장은 ‘개인정보보호법 개정에 다른 기대와 우려’를 주제로 강연을 진행해 개인정보보호 실무자들에게 큰 관심을 끌었다. 

박나룡 소장은 국내 대표 포털사와 이커머스기업 등에서 오랜 기간 정보보안 및 개인정보보호 책임자로 일해 왔고 현재 ISMS-P 인증심사원으로 활동하고 있는 보안전문가다. 

박 소장은 이번에 개정된 개인정보보호법 조항 중 이슈가 될 만한 사항들을 들어 어떤 문제점이 있고 보완할 부분은 무엇인지 또 향후 정보주체와 보안담당자, 보안산업 등에 어떤 영향을 미칠지 의견을 제시했다. 

강연 주요 내용은 다음과 같다. 

◆민감정보의 처리 제한

민감 정보를 처리해야 하는 부분에서 사생활 침해 가능성이 있다고 판단될 때는 서비스를 제공하기 전에 민감 정보가 공개될 가능성이 있는지 또 비공개할 것인지를 선택할 수 있게 정보 주체에게 알려 줘야 한다. 이번에 개정된 내용이다. 하지만 정보주체가 선택하게 하는 부분이 있기 때문에 사업자 입장에서는 어떻게 처리할지 고민할 부분이 있을 것 같다. 

◆이동형 영상정보처리기기의 운영제한

고정형과 이동형을 구분해서 법률로 명시했다. 이동형은 고프로부터 블랙박스, 드론 등 너무 다양하다. 이런 다양한 이동형 기기들에 대해 어떻게 운영제한을 할지 하위 규정에서 상세히 알려줘야할 부분이다. 정보주체 권리 강화 측면에서는 좋지만 촬영을 거부할 권리를 어떻게 행사하고 사업자들은 이를 어떤 식으로 구현할지 숙제다. 

◆업무위탁에 따른 개인정보의 처리 제한

수탁자는 위탁받은 개인정보 처리 업무를 제3자에게 다시 위탁할때 위탁사의 동의를 받아야 한다고 개정됐다. 즉 위탁자에 통지하지 않고 수탁자가 제3자 제공을 할 수 없다는 것이다. 한편 개정된 법에 ‘수탁자’ 개념을 ‘개인정보처리자’로 규정하고 있는데 이 부분이 어떻게 해석될 수 있을지 생각해 볼 부분이다. 위탁자의 관리 감독 책임이 다소 완화되는 결과를 예상해 볼 수 있다. 반면 수탁자의 책임이 증가할 것으로 보인다. 

◆개인정보의 국외 이전

이번에 계약 이행 체결 및 이행을 위해 필수적으로 필요한 부분이라면 동의를 받지 않아도 된다고 한다. 이 부분에서 기업들은 이 조항을 어떻게 해석해야 할지, 어떤 상황에서 동의를 받지 않아도 되는지 애매할 수 있다. 그래서 리스크 회피 차원에서 대부분 동의를 받을 확률이 크다고 본다. 즉 이런 조항을 만들때 담당자들의 목소리를 더 많이 듣고 결정해야 하지 않을까. 

한편 AWS 클라우드 서비스들에 대해 대부분 동의를 받을 필요가 없어질 수 있다. 여기서 발생할 수 있는 리스크는 어떻게 할지 고민할 부분이다. 즉 국외 이전에 대해 대폭 완화됐지만 그에 따른 리스크 대책 마련은 어떻게 할지 생각해 봐야 한다. 

◆개인정보 처리방침의 수립 및 공개

이제 개인정보처리방침에 대한 평가 및 개선권고를 개인정보보호위원회에서 할 수 있게 됐다. 개인정보처리방침을 정보주체가 알기 쉽게 작성했는지 위원회에서 판단해 개선권고까지 할 수 있다는 것이다. 

◆개인정보보호 책임자의 지정 등

개인정보보호책임자를 지정하고 지정하지 않을 경우 개인정보처리자의 사업주 또는 대표가 책임자가 된다는 것을 명시했다. 또 책임자 업무를 독립적을 진행할 수 있도록 보장해야 한다. 여기서 개인정보보호책임자 업무가 모호할 수 있다. 가명정보처리 업무, 마이데이터 업무 등은 누가 책임자인지. 모호한 부분이 존재한다. 이 부분도 고민해야 할 부분이다. 

◆마이데이터(개인정보 전송 요구)

개인정보처리자는 전송 요구를 받은 경우, 시간, 비용, 기술적으로 허용되는 합리적 범위에서 해당 정보를 컴퓨터 등 정보처리장치로 처리 가능한 형태로 전송해야 한다. 의무조항이 된 것이다. 그렇다면 개인정보를 수집하는 모든 곳이 해당되는 것인지, 전송 시스템도 모두 구축해야 하는지 논란이 될 부분이 존재한다. 충분한 설명이 필요한 부분이다.

◆자동화된 결정에 대한 정보주체의 권리 등

이 조항도 좀더 상세한 설명이 필요하다. 인공지능 기술을 적용한 시스템을 포함한다고 돼 있는데, 요즘 이슈인 챗GPT도 포함 되는 것인지, AI기술이 적용된 보안솔루션도 포함되는 것인지 명확한 설명히 필요하다.

이외에도 박나룡 소장은 과징금 부과 부분에서도 글로벌은 매출액 5%를 과징금으로 부과하는데 반해 한국은 3%로 규정하고 있다. 매출액 산정이 곤란한 경우는 20억 이하로 과징금을 부과할 수 있다. 이 부분에 대해서도 글로벌 관점에서 과징금 규모를 책정했어야 한다는 의견을 제시했다.

박 소장은 “이번 개정 내용을 보면, 기업 비즈니스 부분은 다양한 기회 제공이 될 수 있는 부분이 있다. 한편 정보주체 입장에서는 개인정보의 대량 복제, 국외 이전, 동의 방식 등의 문제로 통제 약화에 따른 리스크가 커질 수 있어 보인다. 그에 따라 정보보호 시장은 개인정보 활용이 확대되면서 보호 수요가 커질 것으로 예측된다”며 “이번 개정 내용의 애매한 부분에 대한 상세한 설명이 향후 지속적으로 이루어져야 할 것이고, 특히 법 개정에 앞서 개인정보담당자, 개발자, 시스템운영자, 교수, 법률가, 관계기관 등 모든 관련된 전문가들의 보다 긴밀한 의견 교환 뒤 법 규정이 만들어 지길 바란다”고 강조했다. 

박나룡 보안전략연구소 소장의 G-PRIVACY 2023 강연자료는 데일리시큐 자료실에서 다운로드 가능하다. 

★정보보안 대표 미디어 데일리시큐!