데일리시큐가 주최하고 과학기술정보통신부, 개인정보보호위원회, 한국인터넷진흥원, 한국정보보호산업협회가 후원하는 하반기 최대 사이버보안 컨퍼런스 및 전시회인 PASCON 2024가 9월 10일 1,200여 명의 공공, 금융, 기업 정보보호 실무자들이 참석한 가운데 성황리 개최됐다.
이 자리에서 김직동 개인정보보호위원회 개인정보보호정책과장은 "개인정보보호법 개관 및 개정안 주요 내용"을 주제로 강연을 진행했다. 김 과장은 이번 강연에서 개인정보보호법의 개정 배경, 주요 변화 사항, 그리고 향후 정책 방향에 대해 1,200여 명의 보안실무자들에게 상세히 전달했다.
김 과장은 "개인정보란 무엇인가?"라는 질문을 시작으로 개인정보보호법 제2조에 따라 '살아있는 개인에 관한 정보'로 정의된다고 설명했다. 즉 죽은 사람의 정보는 보호 대상이 아니라는 점을 명확히 하면서, 개인정보는 자연인에 관한 정보로 국적이나 신분에 관계없이 적용된다고 덧붙였다.
특히 김 과장은 법인 정보는 개인정보로 다루지 않지만, 법인의 대표자의 성명이나 주민등록번호 같은 정보는 상황에 따라 개인정보로 간주될 수 있다는 점을 강조했다. 이러한 정보는 전자적으로 처리되든 수기 형태로 존재하든 상관없이 법의 적용을 받으며, 주관적 평가 정보조차 개인정보로 인정될 수 있음을 설명했다.
◆개인정보보호법 개정 배경과 주요 이슈
김 과장은 이번 개정의 주요 배경으로 최근 발생한 다양한 개인정보 유출 사고와 신산업 발전에 따른 개인정보 활용의 필요성을 언급했다. 김 과장은 과거 N사, K사 등의 대규모 개인정보 유출 사건을 상기시키며, 이러한 사건들이 개인정보보호법의 강화와 개정을 이끌어냈다고 설명했다. 특히 2020년 개정된 데이터 3법이 이번 개정의 중요한 전환점이 되었음을 강조했다.
또한, 개인정보보호법의 주요 개정 연혁을 소개하며, 2011년 법 제정 이후 발생한 다양한 유출 사고들이 법 개정에 미친 영향을 구체적으로 설명했다. 특히, 주민등록번호 처리 제한 및 최소 수집 강화 등의 조치가 2013년 이후 지속적으로 시행되었으며, 2023년에는 전송요구권과 이동형 영상기기 규정이 새롭게 도입된 점을 강조했다.
◆가명정보와 개인정보의 안전한 처리
김 과장은 가명정보의 개념과 처리 방식에 대해 설명하며, 가명정보가 개인정보의 범주에 포함되지만, 통계 작성, 과학적 연구 등 공익적 목적으로 더 유연하게 활용될 수 있도록 규정되었다고 밝혔다. 또 가명정보 역시 개인정보로 간주되기 때문에, 이를 사용할 때는 반드시 안전성 확보 조치가 필요하다고 덧붙였다.
또한, 개인정보를 처리할 때는 해당 정보가 쉽게 결합해 특정 개인을 식별할 수 있는지 여부를 합리적으로 고려해야 한다는 점도 강조했다. 김 과장은 예시로 자동차 번호를 들며, 자동차 번호 자체는 개인정보가 아니지만, 다른 정보와 결합해 특정 개인을 식별할 수 있는 경우에는 개인정보로 인정될 수 있음을 설명했다.
◆개인정보보호법의 주요 구성과 변화
이어 개인정보보호법의 주요 구성을 설명하는 부분에서 김 과장은, 법의 각 장과 절별로 개인정보의 처리, 국외 이전, 정보주체의 권리 보장 등 다양한 측면을 다루고 있다고 설명했다. 특히 이번 개정에서는 민감 정보와 고유 식별 정보의 처리에 관한 규정이 강화되었으며, 개인정보의 국외 이전 요건도 대폭 수정되었다고 전했다.
이번 개정에서는 자동화된 결정에 대한 정보주체의 권리가 신설되었으며, 개인정보의 처리 방침 평가제가 도입되었다. 김 과장은 특히 자동화된 결정 대응권이 중요한 변화라고 설명하며, 자동화된 시스템으로 인한 결정이 개인에게 중대한 영향을 미칠 경우, 정보주체는 이를 거부하거나 설명을 요구할 수 있다고 설명했다.
◆개인정보 전송요구권의 도입
더불어 이번 개정안에서 전송요구권이 새롭게 도입된 점을 강조하며, 이는 정보주체가 자신의 개인정보를 다른 기관으로 전송할 수 있도록 요구할 수 있는 권리라고 설명했다. 김 과장은 의료 분야에서 이 권리가 중요한 역할을 할 수 있음을 설명하며, 예를 들어 병원 간의 진료 기록을 쉽게 전송할 수 있게 되어 개인의 편의성이 크게 향상될 것이라고 말했다.
◆개인정보의 국외 이전과 중지 명령
김 과장은 개인정보의 국외 이전에 관한 규정도 이번 개정안의 중요한 변화 중 하나라고 강조했다. 과거에는 국외로 개인정보를 이전하기 위해서는 반드시 동의가 필요했으나, 이번 개정으로 유럽과 같은 적정성 결정이 있는 국가에서는 동의 없이도 이전이 가능해졌다고 설명했다. 이와 함께, 국외 이전이 위험할 경우 중지 명령권을 발동할 수 있는 제도도 새롭게 도입되었다고 덧붙였다.
김직동 과장이 PASCON 2024 강연에서 개인정보 유출 사고 발생 시 기업이 부담해야 할 과태료와 과징금에 대해 설명한 부분은 개인정보보호법의 개정과 관련된 중요한 항목 중 하나였다.
◆과징금 부과 기준의 변화
한편 김 과장은 과거와 비교했을 때 이번 개정에서 과징금 부과 기준이 크게 변경되었다고 설명했다. 기존에는 관련 매출액의 3%까지 과징금을 부과할 수 있었으나, 이번 개정 이후에는 전체 매출액의 3%로 상한선이 변경되었다고 밝혔다(
이 변화는 기업들에게 더 큰 재정적 부담을 줄 수 있는 조치다. 김 과장은 이러한 과징금 제도의 변화가 단순한 법적 처벌을 넘어, 기업들이 개인정보보호에 더욱 신경을 쓰도록 유도하기 위한 장치라고 강조했다.
김 과장은 우리나라의 과징금 부과 기준이 유럽과 중국의 기준과 비교해도 결코 과도하지 않다고 설명했다. 예를 들어, 유럽연합(EU)에서는 전체 매출액의 4%, 중국은 5%까지 과징금을 부과할 수 있다. 이러한 글로벌 기준에 맞추어 우리나라 역시 전체 매출액의 3%라는 기준을 도입한 것이라고 말했다.
특히 최근 유럽에서 AI 관련 법이 도입되면서, 고위험 인공지능을 잘못 처리할 경우 7%까지 과징금을 부과할 수 있는 규정이 생긴 점을 강조하며, 전 세계적으로 개인정보 보호와 관련된 법적 규제가 점점 강화되고 있음을 언급했다.
또 개정된 개인정보보호법에 따르면, 과거에는 개인정보 처리자가 관련 매출액을 증빙해야 했다. 그러나 이번 개정 이후에는 관련 없는 매출액을 제외하고 싶다면, 개인정보 처리자가 이를 입증해야 하는 책임이 생겼다고 설명했다. 즉, 개인정보 유출 사고가 발생했을 때, 기업이 이를 무시하거나 대응하지 않으면 과징금 규모가 훨씬 더 커질 수 있다고 경고했다.
김 과장은 이러한 변화를 통해 개인정보보호에 대한 기업의 책임 의식을 강화하고, 법적인 처벌뿐만 아니라 기업 스스로가 개인정보보호에 더욱 신경을 쓰도록 하는 유도책으로 보고 있다고 설명했다.
김 과장은 실제 사례를 들어 설명하기도 했다. 약 2년 전, 구글과 메타에 각각 약 천억 원의 과징금이 부과된 사건을 언급했다. 당시에는 법 개정 전이었기 때문에 관련 매출액의 3%가 적용되었지만, 만약 이번 법 개정 이후였더라면, 그 과징금 규모는 훨씬 더 컸을 것이라고 설명했다.
김 과장은 개인정보보호법 개정 이후 처벌에만 집중하지 않고, 계도 활동을 통해 기업들이 개인정보 보호에 대한 법적 의무를 충분히 이해하고 준비할 수 있도록 돕겠다는 계획도 밝혔다. 안내서와 가이드라인을 통해 기업들이 법을 위반하지 않도록 적극적인 지원을 할 계획이라고 덧붙였다.
◆개인정보보호법 향후 계획과 방향
마지막으로 김 과장은 개인정보보호법의 향후 계획에 대해 설명하며, 이번 개정안이 2023년 3월 14일에 공포되었고, 1차 개정 사항은 2023년 9월 15일부터 시행되었다고 말했다. 2024년 3월 15일부터 시행된 2차 개정 사항에는 개인정보 전송 요구권과 공공기관의 개인정보 보호 수준 평가 등이 포함된다고 설명했다.
김 과장은 이번 개정안이 신산업의 혁신을 지원하는 동시에 개인정보의 안전한 처리를 보장하는 데 중점을 두었다고 강조하며, 개인정보보호법이 글로벌 스탠다드에 부합하는 법체계로 발전해가고 있다고 평가했다.
보다 상세한 내용은 아래 강연영상을 참고하면 되고 강연자료는 데일리시큐 자료실에서 다운로드 가능하다.
★정보보안 대표 미디어 데일리시큐 /Dailysecu, Korea's leading security media!★
