마이데이터 토양 ‘개인정보 전송요구권’ 마련…AI 결정 거부권도 생겨
오는 9월 시행될 개인정보보호법 개정안에 따라 전 분야 마이데이터 적용의 기반인 개인정보 전송요구권 도입 논의가 급물살을 탈 것으로 보인다. 법적 근거가 마련됐고 세부 사항을 논의할 시점이라는 설명이다. 인공지능(AI)의 확산에 따른 자동화한 결정에 대한 이의 제기권 신설 등 AI의 부작용도 막을 수 있는 길이 열렸다.
이정현 한국인터넷진흥원(KISA) 개인정보제도팀장은 8일 “일부 분야가 개인정보 전송요구권 근거를 마련해 마이데이터 사업을 추진하고 있지만, 추진 방식에 대한 개선이 필요했다”고 말했다.
개인정보 전송요구권은 정보주체가 개인정보처리자에게 자신의 개인정보를 본인이나 다른 개인정보처리자·개인정보관리 전문기관에게 전송해달라고 요구하는 권리다. 분야를 넘나드는 데이터 활용이 바탕인 마이데이터 확산을 위해서는 이 전송요구권 보장이 필수지만, 이제까지는 금융과 공공 분야 등에 적용되는 신용정보법이나 전자정부법 정도에만 근거를 마련해 놨을 분 통일된 법체계 확립은 미진한 상황이었다.
이제는 개인정보보호법 개정으로 법적 근거를 마련, 마이데이터 확산에 속도를 낼 거라는 게 이정현 팀장의 말이다. 9월 시행하는 개인정보보호법 개정안에 전송요구권 조항을 신설해 마이데이터 사업이 더 빨리 뿌리내릴 수 있을 거란 전망이다.
이 팀장은 “데이터 경제 활성화로 개인정보가 대량 유통되고 있었지만 정보주체가 본인 정보를 자기주도적으로 활용하는 데 한계가 있었다”며 “이제는 정보주체의 개인정보 통제권 강화와 함께 분야별 전송요구권을 전 분야로 확산할 수 있다”고 강조했다.
해당 조항은 2025년 3월 시행 예정이다. 그 사이 자세한 시행령을 만들어 디테일을 잡을 계획이다. 이 팀장은 “현재 사업자들의 의견을 들은 뒤 시행령 입법예고를 낼 예정”이라면서 “시행령으로 정할 것이 많다 ”고 짚었다.
또 인공지능(AI) 기술의 부작용에 대비할 수 있는 것도 이번 개정안의 특징이다. 제37조에 자동화된 결정에 대한 정보주체의 권리 등을 새로 명시했다. AI를 활용한 신용평가나 면접 등 자동화한 결정 과정이 늘어날 것으로 보이는 가운데, 이에 대한 대응권과 적용 범위를 명확화했다.
자동화된 결정이 정보주체에게 법적 효력 또는 생명·신체·정신·재산에 중대한 영향을 미치는 경우, 해당 의사 결정에 대한 거부나 이의 제기 및 설명요구권 등을 보장하기로 했다. 개인의 권리가 침해되지 않도록 정보주체의 대응권을 보장하자는 취지다. 법률로 특별한 규정을 마련해 뒀거나 계약 이행에 필요한 경우, 정보주체의 동의가 있는 때는 거부권 행사를 배제하는 등 대응권 행사의 범위도 명확히 정했다.
이 에 개인정보 등을 유출에 따른 기업 대상 과징금 상한액이 기존의 ‘관련 매출액 3%’에서 ‘전체 매출액의 3%’로 확대된 것도 주목해야 한다. 단 과징금 산정 시 기업이 위반행위와 관련 없는 매출액은 제외하도록 했다.
이 팀장은 “개인정보 침해에 대한 실질적 책임이 있는 기업에 대한 경제제재는 낮은 수준에 머물러, 개인정보 보호에 대한 기업 투자를 촉진하지 못하는 한계가 있었다”고 배경을 설명했다.
그는 “시행령과 고시 등 하위 법령 개정안을 마련하고, 개정에 따라 해설서와 가이드라인 등을 정비하겠다”며 “개인정보보호법 3차 개정도 연구할 계획”이라고 밝혔다.
글. 바이라인네트워크
<이진호 기자>jhlee26@byline.network
![[주간 리포트] 삼성 갤럭시 노트 FE 청신호·자율주행차 시각 데이터 현황](https://byline.network/wp-content/uploads/2017/07/Report.jpg)
![[점검, 마이데이터➁] “유사 서비스 등장에도 제재않는 금융당국“](https://byline.network/wp-content/uploads/2022/09/guy-ged3a1c43c_640.jpg)
