“내 개인정보, 다른 기업에 보내주세요” 개인정보 전송요구권 도입

개인정보위, ‘개인정보 보호법’ 개정안 국회 제출

개인정보 전송요구권 도입, 디지털 중심 법체계 정비 등

[아시아경제 구은모 기자] 앞으로는 자신의 개인정보를 자기주도적으로 유통하고 활용할 수 있게 된다.

개인정보보호위원회는 28일 국무회의에서 정부 내 합의를 거친 ‘개인정보 보호법’ 개정안이 의결돼 이달 중 국회에 제출될 예정이라고 밝혔다. 이번 개정안은 2011년 개인정보 보호법 제정 이후 최초로 정부가 주도해 산업계, 시민단체, 관계부처 등의 다양한 의견을 반영해 마련한 실질적인 전면 개정안이다.

개정안에 따르면 우선 본인의 정보를 본인이나 제3자에게 전송을 요구할 수 있는 ‘개인정보 전송요구권’이 신설된다. 지금까진 A가 B사의 인터넷쇼핑몰에 축적된 자신의 데이터를 기반으로 C사의 새로운 서비스를 이용하고 싶어도 데이터 이동이 되지 않아 서비스 이용이 쉽지 않았다. 그러나 개정안에 따르면 A는 B사에 있는 자신의 데이터를 C사로 이동해 새로운 서비스를 이용할 수 있게 되고, C사 역시 데이터 기반의 새로운 서비스를 개발해 상용화할 수 있게 된다.

정부는 일반법인 개인정보 보호법에 전송요구권을 도입함에 따라 현재 금융·공공 등 일부 분야에서만 추진 중인 마이데이터 사업이 다양한 분야 마이데이터 산업으로 확산될 것으로 보고 있다. 또한 일부 플랫폼 기업으로 데이터가 집중되는 독점 현상을 완화하고, 스타트업 등 다양한 경제주체들이 데이터를 안전하게 활용할 수 있는 기반도 마련될 것으로 기대하고 있다.

아울러 인공지능(AI) 등 신기술이 발전으로 과세대상ㆍ복지 수혜자격 결정ㆍ신용등급 평가 등 자동화된 결정이 광범위하게 활용되면서 이를 거부하거나 관련 설명을 요구할 수 있는 ‘자동화된 결정에 대한 대응권’도 신설된다.

자동화된 결정에 대한 대응권은 개인의 의사에 반한 자동화된 결정으로 개인의 기본권이 침해되는 것을 방지하기 위해선 정보주체의 대응권을 보장할 필요가 있다는 취지에서 마련된 것이다. 정부는 산업적 효용과 정보주체 권리 간 균형을 고려해 자동화된 결정에 대한 거부권과 설명요구권을 도입하되, 적용 범위를 명확히 하기로 했다.

그동안 일반 국민과 기업에게 법 적용의 혼선과 이중부담의 원인이 돼왔던 온·오프라인 이중규제, 개인영상정보 처리 등 신기술환경 변화에 따라가지 못하는 규제 등도 디지털 전환에 맞춰 대폭 정비된다.

우선 온·오프라인 서비스의 경계가 모호함에도 오프라인 규제(일반 규정)와 온라인 규제(특례 규정)의 이원화로 기업의 법 적용 혼선과 이중 부담이 있다는 지적이 있었다. 기업이 동의없이 개인정보를 수집했을 때 오프라인 기업에는 과태료 5000만원 이하 과징금이, 온라인 기업에는 관련 매출액의 3% 이하 과징금을 부과되는 게 대표적이다.

앞으로는 정보통신서비스 특례 규정을 폐지하고, 일반 규정으로 일원화해 모든 개인정보처리자 대상 ‘동일행위?동일규제' 원칙이 적용된다. 특례 규정에만 있는 손해배상 보장 제도, 국내 대리인 지정 제도, 개인정보 이용 내역 통지 등은 일반규정으로 전환해 모든 분야로 확대 적용한다는 계획이다.

이동형 영상기기의 운영기준도 명확히 한다. 현행법은 고정형 영상기기(CCTV)만을 규율하고 있어 드론·자율주행차 등 이동형 영상기기를 활용해 개인정보를 수집하거나 이용하려면 일반규정이 적용돼 정보주체의 개별적 동의가 필요해 산업적 측면에서 유연하게 대처하는 데 한계가 있다는 지적이 있었다.

앞으로는 공개된 장소 등에서 업무 목적으로 이동형 영상정보처리기기를 이용해 개인영상정보를 촬영하는 행위는 원칙적으로 제한된다. 다만 동의 또는 동의 또는 법률에 특별한 규정이 있거나 촬영사실을 알 수 있었음에도 거부의사를 밝히지 않은 경우에는 예외적으로 허용된다.

이와 함께 전자상거래 확대에 따른 개인정보의 국외이전 증가 등의 변화에 대응해 글로벌 수준에 부합하도록 개인정보 국외이전 제도를 개선하고, 법 위반에 대한 형벌 완화와 함께 과징금 제도도 정비한다.

개정안은 우리나라와 동등한 수준으로 개인정보를 보호하고 있는 국가 또는 기업이라고 인정되는 경우에 국외이전이 가능하도록 하고, 법을 위반하거나 보호수준이 취약하다고 판단되는 경우에는 국외이전을 중지할 수 있는 근거를 마련했다. 현행법은 국제 기준과는 달리 개인정보 보호에 대한 책임을 기업보다는 담당자 개인에 대한 형벌 중심으로 규율하고 있다.

이러한 문제점을 개선하기 위해 개인에 대한 형벌은 완화하되 기업에 대한 경제적 책임은 강화하는 방향으로 전환했다. 특히, 과징금의 경우 상한액을 글로벌 수준에 맞춰 전체 매출액(3% 이하) 기준으로 조정하고, 과징금이 책임의 범위를 벗어나 과도하게 부과되지 않도록 ‘위반행위에 상응하는 비례성’과 ‘침해 예방에 대한 효과성’이 모두 확보되도록 했다. 다만 산업계·관계기관 등의 의견을 반영해 개인정보가 유출된 경우에도 기업이 안전조치를 다한 경우에는 과징금 부과 대상에서 제외됨을 명확히 했다.

이밖에 이번 개정안에는 기업 등 경제주체의 자율적인 보호활동을 지원하고 분쟁조정을 활성화하는 등 개선사항을 포함했다. 분쟁조정 절차에 당사자의 참여를 의무화하고, 기업 내부의 개인정보보호책임자의 독립성을 강화했으며, 자율규제단체 지정 및 연합회 설립 등을 통해 자율적인 보호활동을 지원할 수 있는 기반을 마련했다.

윤종인 개인정보위 위원장은 “이번 개정안은 디지털 대전환 시대에 선제적으로 대응하기 위해 다양한 이해관계자와 조율을 거쳐 어렵게 마련된 점을 고려해 국회에서 신속한 논의가 이뤄지기를 희망한다”며 “앞으로도 아동ㆍ청소년 등 취약계층 보호, 민감정보ㆍ생체정보ㆍ영상정보 등 국민생활에 큰 영향을 미치는 개인정보에 대해 지속적으로 개선해 국민의 개인정보 자기결정권이 보다 실질적으로 보장될 수 있도록 노력할 것”이라고 밝혔다.

구은모 기자 gooeunmo@asiae.co.kr
<ⓒ경제를 보는 눈, 세계를 보는 창 아시아경제(www.asiae.co.kr) 무단전재 배포금지>