법 제정 10년, 전부 개정안 통해 선진적인 개인정보 법제로 거듭난다
[보안뉴스 원병철 기자] 개인정보 보호법이 제정된 지 10년이 지난 지금, 우리나라 개인정보보호는 어떤 길을 걸어왔을까? 올해 하반기 GDPR 적정성 결정 통과가 유력시되는 우리나라는 세계에서도 인정하는 개인정보보호 우수국가로 그 배경에는 개인정보 보호법이 있다. 개인정보보호위원회 이병남 개인정보보호정책과 과장은 10월 7일 온라인으로 열린 ‘제10회 개인정보보호페어 & CPO워크숍(PIS FAIR 2021)’에서 지난 10년 동안의 개인정보 보호법의 변화와 현재 국회에 상정된 개인정보 보호법 전부 개정안에 대해 설명하는 자리를 마련했다.
▲이병남 개인정보보호위원회 개인정보보호정책과 과장[사진=보안뉴스]
2004년 제17대 국회에서 시작된 ‘개인정보 보호법’에 대한 논의는 2008년 제18대 국회에서 3개 법안(이혜훈 의원안, 변재일 의원안, 정부안) 발의로 이어졌고, 2009년 국회 행안위에서 3개 법안을 병합 및 상정해 본회의를 통과했다. 특히, 2008년 이후 통신사와 포털, 유통사 등에서 대규모 개인정보 유출사고의 발생으로 개인정보 보호에 관한 일반법 제정 필요에 대한 사회적 공감대가 형성됐다. 이러한 노력 끝에 2011년 3월 29일, 공공과 민간을 모두 아우르는 개인정보보호에 관한 일반법이 제정됐다.
물론 개인정보보호법이 한 번에 완성된 것은 아니었다. 이병남 과장은 2013년 8월 모든 개인정보처리자에 대해 원칙적으로 주민등록번호의 처리를 금지하는 일부 개정안을 비롯해 여러 번의 일부 개정이 이뤄졌다고 설명했다. 2014년 3월 주민등록번호 암호화 의무화, 2015년 7월 징벌적 손해배상과 법정손해배상 제도 도입, 2016년 3월 민감정보 처리시 안전성 확보에 필요한 조치 등 꾸준하게 개정이 이뤄졌고, 2020년 5월 이른바 ‘데이터3법’이라고 부르는 ‘개인정보보호법, 정보통신망법, 신용정보보호법’의 동시 개정을 통해 개인정보 보호체계가 일원화됐다.
데이터 3법 시행 이후 2차 개정안 추진... 데이터 활용 강화 및 보호에 초점
2020년 8월 시행된 개인정보보호법 개정은 개인정보보호 체계 일원화를 위해 개인정보보호위원회를 국무총리 소속 중앙행정기관으로 격상하고 개인정보보호 관련 업무를 개인정보위로 통합 및 이관하는 내용을 담았다. 또한, 데이터 이용 활성화를 위해 데이터의 이용 및 제공 범위 확대와 개인정보의 개념 명확화, 데이터 결합을 위한 법적 근거 마련과 개인정보처리자의 책임성 강화 등의 내용도 담겼다.
이와 함께 데이터 3법 시행 이후 2차 개정안 추진도 시작했다. 이병남 과장은 데이터 3법 개정으로 개인정보보호 컨트롤타워 구축과 데이터 경제 활성화를 위한 초석은 마련했지만 인공지능과 빅데이터 등 변화하는 정보 환경에서 약화될 우려가 있는 국민의 정보주권 강화에 대한 숙제가 남아 있다고 설명했다. 이에 정보주체 권리 강화와 불합리한 규제 해소 등 보호와 활용의 균형 있는 규율을 통한 신뢰 기반의 데이터 경제 가속화를 위해 개인정보 보호법 개정 추진이 필요해 2020년 9월부터 계획수립 및 전문가 의견수렴에 나섰다고 덧붙였다.
이번 개정안은 데이터 경제 활성화로 개인정보가 대량으로 수집·유통되고 있지만, 정보주체가 본인의 정보를 자기 주도적으로 유통·활용하는 데는 한계가 있어, 본인 정보를 본인 또는 제3자에게 전송하도록 요구할 수 있는 일반적 권리인 개인정보 전송 요구권 등의 정보주체 권리 실질화를 포함하고 있다.
또한, 자동화된 결정에 대한 정보주체의 권리를 위해 거부권 및 설명요구권을 도입하고 적용범위를 명확화했다. 아울러 데이터 3법 개정시 정보통신망법의 정보통신서비스 제공자 대상 개인정보보호 관련 규정을 특례 규정으로 단순 이전 및 병합한 것을 ‘동일행위-동일규제’ 원칙을 적용해 통합했다.
이와 함께 드론과 자율주행차 등 이동형 영상정보처리기기에 대한 개인영상정보 보호 근거가 없어 관련 내용을 추가하고, 개인정보위가 인정하는 국가 또는 기업으로 동의 없이 개인정보 국외이전을 허용하고 법 위반시 중지명령권을 신설했다.
마지막으로 이병남 과장은 데이터 경제 활성화와 국민의 개인정보 전송요구권 강화, 온오프라인 이중규제 해소를 위해 조속한 입법이 필요하다고 강조했다. 이후 개인정보 전송요구권(데이터 이동권) 도입을 통한 전 분야 마이데이터 산업 기반을 마련하고, 국민이 자신의 개인정보에 대한 통제권을 강화할 계획이다. 아울러 온오프라인 이중규제 정비와 함께 과도한 형벌은 완화하는 대신, 과징금 상한액 조정을 통해 경제적 제재로 전환하는 한편, 과징금은 글로벌 추세에 맞게 조정하겠다고 강조했다.
[원병철 기자(boanone@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>