개인정보보호가 데이터 경제의 허들이 아닌, 새로운 기회를 찾는데 도움이 될 수 있다는 개인정보 전송요구권이 도입된다.

또한, 인공지능 AI를 통한 개인정보 침해 위험을 줄여야 한다는 사회적 요구에 맞춰 정보주체의 권리를 보장하는데 한 걸음 더 나아갈 수 있게 되었다.

이러한 다양한 의견을 포함한 개인정보보호법 개정안이 국회 소관위원회를 통과하면서, 조직의 개인정보 담당자들은 변화될 내용들에 대한 검토가 필요해 보인다.

개정안 내용을 살펴보면, 이동형 영상정보처리기기를 새롭게 규정하고, 공공기관 개인정보보호 수준평가 시행, 정보주체 동의 외에 개인정보의 국외 이전 방식 다양화, 개인정보 전송요구권, 자동화된 결정에 대한 정보주체의 권리, 정보통신망법 특례 규정 삭제, 과징금 상한액 전체 매출액 기준으로 변경, 정보주체의 손해배상 한도액이 기존 3배에서 5배로 상향조정 되는 등 다양한 부분에서 변화가 예상된다.

1. 이동형 영상정보처리기기 운영 기준 신설

CCTV와 같은 고정형 영상정보처리기기 외에 드론, 자율주행 자동차 등을 이용한 이동형 영상정보처리기기의 사용이 증가함에 따라 이동형 영상정보처리기기에 대한 정의와 운영 기준을 신설했다.

이동형 영상정보처리기기를 공개된 장소에서 업무를 목적으로 사람 또는 그 사람과 관련된 사물의 영상을 촬영할 수 없도록 원칙적으로 금지하고, 예외적으로 촬영할 수 있는 경우를 정보주체의 동의를 받은 경우와 정보주체와 체결한 계약을 이행하거나, 계약을 체결하는 과정에서 정보주체의 요청에 따른 조치를 이행하기 위하여 필요한 경우 등으로 정하고, 촬영을 하는 경우에는 불빛, 소리, 안내판 등으로 촬영 사실을 표시하도록 하는 등 이동형 영상정보처리기기의 운영 기준을 마련했다.

이동형 영상정보처리기기에 대한 새로운 규제로서 역할을 할지 아니면, 무분별한 촬영 기기들로부터 개인의 프라이버시를 지킬 수 있는 적절한 내용이 될지, 충분한 의견 수렴을 통해 가이드를 만들고 혼란을 최소화할 수 있는 홍보활동이 필요해 보인다.

2. 공공기관 개인정보보호 수준평가 시행

기존에는 필요한 경우 개인정보처리자, 관계 중앙행정기관의 장, 지방자치단체의 장 및 관계 기관ㆍ단체 등을 대상으로 개인정보관리 수준 및 실태 파악 등을 위한 조사를 실시할 수 있었다. 

이번 개정안에는 더 강화하여 개인정보보호위원회가 매년 공공기관의 개인정보 보호 수준을 평가하고 그 결과를 바탕으로 개선을 권고할 수 있도록 했다.

대상은 공공기관 중 중앙행정기관 및 그 소속기관, 지방자치단체, 그 밖에 대통령령으로 정하는 기관으로 매년 개인정보 보호 정책‧업무의 수행 및 법에 따른 의무의 준수 여부 등을 평가하도록 신설했다. 

정당한 사유 없이 자료를 제출하지 않거나 거짓으로 제출한 자에 대해 1천만원 이하의 과태료 조항을 추가하여 실효성을 높였다.

기존의 국가, 공공기관 개인정보 처리에 대한 수준을 한 차원 높일 수 있는 수단으로 기대되는 항목이다. 

다만, 수준 평가가 형식적으로 흘러가지 않도록 점진적으로 평가 방식과 수준을 높이고, 대상 기관도 확대하는 방향으로 추진되어야 할 것이다.

3. 개인정보의 국외 이전 방식 다양화

종전에는 정보주체의 별도 동의가 있는 경우에만 개인정보를 국외로 이전할 수 있던 것을, 앞으로는 개인정보가 이전되는 국가 또는 국제기구가 법에 따른 개인정보 보호 수준과 실질적으로 동등한 수준의 보호 수준을 갖추었다고 개인정보 보호위원회가 인정하는 경우 등에도 개인정보를 국외로 이전할 수 있도록 국외 이전의 요건을 다양화 했다.

특히, 정보주체와의 계약 체결 및 이행을 위하여 개인정보의 처리위탁‧보관이 필요한 경우로 개인정보 처리방침에 공개한 경우나 전자우편 등 대통령령으로 정하는 방법에 따라 관련 내용을 정보주체에게 알린 경우에도 별도 동의 없이 국외 이전이 가능하다. 

이는 정보주체와의 계약 체결 및 이행을 위한 처리위탁, 보관이 필요한 경우에 해당 된다면, 국외 클라우드 서비스나 해외 법인 서버 등에 개인정보를 별도 동의 없이 고지만으로 위탁, 보관할 수 있는 근거가 마련된 셈이다.

다만, 이를 통해 무문별한 개인정보의 국외 이전과 관리 소홀이 발생하지 않도록 충분한 기준을 통해 보호대책이 마련되어야 할 것이다.

또한, 개인정보를 이전받는 자가 개인정보 보호 인증(ISMS-P) 등 고시하는 인증을 받은 경우로서, 개인정보 보호에 필요한 안전조치 및 정보주체 권리보장에 필요한 조치와 인증받은 사항을 개인정보가 이전되는 국가에서 이행하기 위해 필요한 조치를 모두 수행할 경우에도 동의 없는 이전이 가능해진다.

국내, 외 조직에서 ISMS-P인증을 모두 취득하면 국외 법인이 관리하는 전산 시설로 개인정보를 이전하는 것이 한결 수월해질 전망이다.

4. 개인정보 전송요구권 신설

정보주체가 개인정보처리자에게, 처리하는 자신의 개인정보를 정보주체 본인, 개인정보관리 전문기관 또는 안전조치의무를 이행하고 대통령령으로 정하는 시설 및 기술 기준을 충족하는 자에게 전송할 것을 요구할 수 있도록 하는 개인정보 전송 요구권을 신설했다.

개인정보처리자는 전송 요구를 받은 경우 시간, 비용, 기술적으로 허용되는 합리적인 범위 내에서 해당 정보를 컴퓨터 등 정보처리장치로 처리 가능한 형태로 전송하도록 의무화 했다.

정보주체의 개인정보 자기결정권을 확보하는 또 하나의 수단이 될 수 있으면서, 다양한 비즈니스에 활용 가능한 산업 생태계를 만들어 갈 수 있는 기반으로 기대되는 내용이다.

제도 시행 초기의 혼란을 최소화 하기 위해서는, 정보주체가 전송을 요구하는 명확한 방법, 보관기간, 재위탁 여부, 전송 요구의 대상이 되는 정보의 범위, 정보를 전송하거나 거부하는 방법, 전송 요구의 거절 및 전송 중단의 방법 등에 대한 충분한 안내가 필요하다.

5. 자동화된 결정에 대한 정보주체의 권리 신설

정보주체는 인공지능 기술을 적용한 시스템을 포함하는 자동화된 시스템으로 개인정보를 처리하여 이루어지는 결정이 자신의 권리 또는 의무에 중대한 영향을 미치는 경우에는 해당 결정을 거부하거나 해당 결정에 대한 설명 등을 요구할 수 있는 권리가 신설되었다.

인공지능 기술을 활용한 서비스 등에 정보주체의 권리 주장 근거를 마련했지만, ‘인공지능 기술이 들어간 시스템’에서 처리하는 개인정보의 범주를 어디까지 봐야 할지에 대한 공감대 형성이 필요할 것으로 보인다.

6. 정보통신망법 특례 규정 삭제

정보통신서비스 제공자 등이 개인정보 처리에 관해서는 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」에서 이관된 특례 규정을 적용하도록 하던 것을, 모든 개인정보처리자에 대하여 동일 행위에 동일 규제를 적용할 수 있도록 종전의 특례 규정을 삭제하고 이를 모든 개인정보처리자에 대한 일반 규정으로 정비한다.

기존의 정보통신망법 기준으로 적용하던 정보통신서비스 제공자들에게는 개인정보보호법 기준으로 내부 기준(정책 및 지침 등)과 관련 보호조치 들의 변경이 필요하다.

7. 과징금 상한액 : 전체 매출액 기준으로 변경

위반행위에 대한 과징금 상한액을 전체 매출액의 100분의 3 이하에 해당하는 금액으로 하되, 전체 매출액에서 위반행위와 관련이 없는 매출액을 제외한 매출액을 기준으로 과징금을 산정하도록 과징금 기준을 변경했다.

이는, 기존에 비해 과징금을 상향하는 방향으로 가는 추세에 부합해 보이지만, 위반행위와 관련 없는 매출액 산출에 대한 논란으로 인해 그 효과가 충분할지는 미지수로 보인다.

EU, 캐나다, 중국 등의 과징금 비율과 비교하여, 국내 기준이 상대적으로 개인정보에 대한 보호 가치를 충분히 반영한 기준인지는 더 고민해볼 부분이다.

8. 정보주체의 손해배상 한도액 : 3배 -> 5배

정보주체가 개인정보처리자의 고의 또는 중대한 과실로 인하여 개인정보가 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손되었을 경우 청구할 수 있는 손해배상책임의 한도액이 종전 3배에서 5배로 상향됐다.

9. 벌칙 조항 삭제와 신설

관련 법률을 위반하여 법정대리인의 동의를 받지 아니하고 만 14세 미만인 아동의 개인정보를 처리한 자, 전문기관으로 지정받지 아니하고 가명정보를 결합한 자, 전문기관의 장의 승인을 받지 아니하고 결합을 수행한 기관 외부로 결합된 정보를 반출하거나 이를 제3자에게 제공한 자 등에 대해 5년 이하의 징역 또는 5천만원 이하의 벌금에 처하는 벌칙을 신설하는 등 형사벌 조항의 삭제와 신설에 대한 변화도 살펴볼 필요가 있다.

추가적으로, 개인정보에 관한 분쟁조정제도 개선되었고, 개인인정보 영향평가를 실시하지 않거나 그 결과를 보호위원회에 제출하지 아니한 자에 대해 과태료 3천만원을 부과할 수 있도

록 하였으며, 손해배상책임 이행을 위해 보험 또는 공제에 가입하거나 준비금을 적립하도록 하는 규정을 위반한 개인정보처리자에 대한 과태료 부과 규정은 삭제했다.

구체적인 내용에 대해서는 관련 법률 전문가와 협의하여 조직에서 개선이 필요하거나 새로운 기회로 만들 수 있는 부분들을 면밀하게 살펴볼 필요가 있다.

[글. 박나룡 보안전략연구소 소장 / isssi@daum.net]

★정보보안 대표 미디어 데일리시큐!