개인정보보호법 2차 개정 추진…정보 이동권 도입·위반시 과징금 대폭 강화

개인정보보호위원회(위원장 윤종인, 이하 개인정보위)가 23일 열린 제9회 전체회의에서 ‘개인정보보호법’ 2차 개정안을 검토했다.

지난 8월 5일 시행된 데이터 3법 개정 과정에서 변화하는 데이터 환경에서 국민의 권리 강화 사항이 차기 입법과제로 유보됐고, 불합리한 규제 개선에 대한 필요성이 잇따라 제기되면서 2차 법개정 추진에 나선 것이다. 개인정보위는 이번 법 개정 과정에서 비대면‧온라인 전환 추세에 맞춰 국민의 개인정보를 보다 두텁게 보호하고 국민이 신뢰할 수 있는 데이터 경제로의 이행하겠다는 방침을 밝혔다.

앞서 개인정보위는 출범 직후 내부 전담조직(TF)을 구성‧운영하고, 개인정보 톡톡릴레이, 학계‧법조계로 구성된 ‘법 개정 연구위원회’ 등을 통해 사회적 공감대가 높은 법 개정수요를 발굴했다.

이날 검토된 개정안은 크게 네가지다.

먼저 디지털 환경의 변화에 따라 약화될 우려가 있는 국민의 정보주권을 강화한다. ‘개인정보 이동권(전송 요구권)’을 도입해 국민이 자신의 개인정보가 언제, 누구에게, 어느 범위까지 이용‧제공되도록 할 것인지 스스로 결정할 수 있도록 해 개인정보 주체의 통제권을 강화할 예정이다.

최영진 개인정보위 부위원장은 이날 논의한 개인정보보호법 개정안 주요 내용을 설명하는 e브리핑에서 “비대면·디지털 경제의 급속한 확산에 대응해 국민의 정보주권을 강화했다”며 “유럽연합(EU), 미국 등 주요국에서 선제적으로 도입한 개인정보 전송요구권을 개인정보보호법에 신설해 모든 국민이 자신의 개인정보를 직접 다운로드 받거나 보다 나은 서비스를 제공해주는 다른 사업자에게 전송하도록 요구할 수 있는 근거를 마련했고, 개인정보위원회 및 관계 중앙행정기관이 국민의 권리행사를 지원할 수 있도록 개인정보관리 전문기관을 지정·운영할 수 있도록 했다”고 설명했다.

개인정보위는 이를 통해 국민의 개인정보 통제권 강화는 물론, 국민의 금융‧공공분야에 도입된 개인정보 이동권을 전 분야로 확산할 수 있게 돼 국민 편익을 높이고 데이터 산업 진흥에 기여할 것이라고 기대했다.

다만 현재 조승래 더불어민주당 의원이 발의한 데이터기본법에 개인정보 이동권과 유사한 전송 요구권이 포함돼 법안 중복과 이에 따른 우려와 관련해 개인정보위는 조 의원과 해당 드래프트 법안을 만든 과학기술정보통신부와 협의를 진행하고 있다고 밝혔다. 개인정보위는 “EU나 미국 등에서도 개인정보, 개인의 권리 보장이라는 측면에서 개인정보 이동권이 규정되어 있는 만큼 개인정보 이동권(전송요구권)이 개인정보보호법에 제정되는 것이 바람직하다”는 의견이다.

또한 인공지능 활용이 증가하고 점점 발전함에 따라 국민의 생명, 신체, 재산 등에 중대한 영향을 미치는 자동화된 의사결정에 대해서는 거부하거나 이의제기, 설명요구 등 국민의 적극적 대응권을 보장할 수 있도록 한다.

데이터 3법 개정시 단순 편입된 정보통신서비스 특례(제6장)를 일반규정으로 일원화해 기업 등의 혼란과 이중부담을 해소할 예정이다. 지난 데이터 3법 개정 시 기존 정보통신망법에 규정돼 있던 온라인 사업자 등에 대한 개인정보보호 특례규정이 개인정보보호법에 단순 통합됨에 따라 온라인과 오프라인 간 상이한 규제체계로 인한 혼란이 이어져왔다.

개정안에서는 비대면 온라인 서비스로의 전환에 따라 온‧오프라인에 모두 적용이 필요한 특례규정은 모든 분야로 확대한다. 개인정보 유출 신고 통지와 같이 일반규정과 유사한 취지의 특례규정은 일반규정으로 일원화해, 불필요한 혼란을 부르는 온‧오프라인의 상이한 규제를 통일하고 불합리한 규제를 정비한다.

개정안에는 해외 사업자의 국내 대리인 지정 의무는 물론 기존 민간 온라인 영역에서만 적용되던 인터넷에 노출된 개인정보 삭제 의무 등을 공공을 포함해 모든 분야까지 확대한다는 규정 신설하고, 통지‧신고제도도 일원화한다.

아울러 개인정보위는 현행 형벌 중심의 제재를 경제벌 중심으로 전환해 제재의 실효성을 높이겠다는 방침이다. 개인정보 침해사고는 기업의 경제적 이득을 목적으로 하는 경우가 많은 반면, 형벌 중심의 제재는 개인에 대한 과도한 처벌을 초래해 오히려 실효성이 부족하다는 지적이 제기돼 왔다는 게 개인정보위의 설명이다. 따라서 형벌 요건을 제한하는 대신에 EU 등 해외 주요국의 입법례에 따라 기업의 사전적 의무준수와 책임성을 확보한다는 취지에서 과징금을 대폭 강화하는 방안이 논의됐다. 과징금 금액뿐 아니라 부과 대상을 정보통신서비스 제공자에서 전체 기업‧기관으로 확대하고, 부과기준을 위반행위 관련 매출액에서 전체 매출액으로 상향하는 조치를 검토 중이다.

이 방안이 현실화되면 법위반시 온라인과 오프라인 사업자에 적용된 제제 수준이 달랐던 것에서 온‧오프라인 사업자 구분 없이 모든 기업은 위반시 전체 매출액의 3% 이하의 과징금을 부과받게 된다. 기존에는 개인정보 무단수집으로 적발된 경우 온라인 사업자에는 위반행위 관련 매출액의 3% 이하 과징금과 5년 이하 징역 또는 5000만원 이하의 벌금이, 오프라인 사업자에는 5000만원 이하 과태료가 각각 적용됐다.

개인정보위는 이밖에도 신기술 변화에 선제적으로 대응할 수 있도록 규제를 합리적으로 개선하고, 입법상의 미비점을 정비한다.

현행법은 CCTV와 같은 고정형 영상기기만을 규율하고 있어 드론, 자율주행차 등 이동형 영상기기에 대한 규정이 없어 국민의 사전 동의를 일일이 받지 않으면 운영이 곤란했다. 비현실적인 규제라는 점에서 법 개정을 통해 일상화된 이동형 영상기기에 대한 운영 기준을 새롭게 마련해 입법공백을 해소하고 합리적 기준과 절차를 수립하겠다는 방침이다.

뿐만 아니라 국경 없는 온라인 전자상거래 일상화와 해외 직접구매 확대로 개인정보의 국외이전이 증가하고 있으나, 동의 없이는 국외이전이 제한돼 있는 상황이다. 이같은 제약이 기업에 과도한 부담을 유발하는 측면이 있다고 보고, 국제표준에 부합하도록 적정한 개인정보보호 수준이 보장되는 국가나 기업으로 안전한 이전을 허용하는 등 국외이전 방식을 다양화할 수 있도록 개정한다.

이에 더해 입법상 미비점도 정비한다. 감염병 위기 상황에서 공공안전 보장을 위한 개인정보 처리시에도 보호조치와 파기의무 등을 준수해 개인정보가 제대로 보호될 수 있도록 개인정보보호법 적용 예외규정(제58조)을 정비한다.

아울러 안전한 가맹정보 처리환경을 완비하기 위해 가맹정보에 대한 파기 의무, 가맹정보 결합 의무에 대한 비밀유지 의무를 신설했다.

개인정보위는 앞으로 시민단체‧산업계‧학계 등 각계의 의견을 수렴하고, 관계부처 협의를 추진해 나갈 예정이다. 이를 거쳐 내년 상반기 중 국회에 제출한다는 방침이다.

윤종인 개인정보위 위원장은 “이번 법 개정은 디지털 사회로의 대전환 속에서 확실한 개인정보 보호와 안전한 활용을 지원함으로써 국민이 신뢰하는 데이터 시대를 선도하기 위한 첫 걸음”이라면서, “개인정보보호 분야의 기본법으로서 위상을 정립하고 글로벌 규제와의 상호운용성을 확보할 수 있는 계기가 마련되기를 바란다”고 밝혔다.

글. 바이라인네트워크
<이유지 기자>yjlee@byline.network