개인정보 ‘필수동의’ 체크란 없어진다

개인정보 보호법 전면 개정… ‘마이테이터’ 확대
온라인 사이트에 가입할 때 ‘개인정보 수집·이용 동의’ 항목을 제대로 읽어보지 않고 체크한 경험이 대부분 있을 것이다. 이는 개인정보 처리방침이 형식적으로 운용되고 ‘동의’만을 적법한 처리 요건으로 규정한 탓이 크다. 이에 정부가 ‘동의’ 외의 다른 처리 요건을 활성화하고 국민의 실질적 선택권을 보장하는 계기를 마련했다.
개인정보보호위원회는 2월 27일 국회를 통과한 ‘개인정보 보호법’ 개정안이 국무회의에서 의결됐다고 3월 7일 밝혔다. 이번 개정안에는 전 세계적인 디지털 대전환 추세에 맞춰 ▲데이터 경제 견인 ▲국민 개인정보 신뢰 사회 구현 ▲글로벌 기준에 부합하는 개인정보 규범 선도 등 필요한 내용을 담았다.

기업·기관의 ‘내 개인정보’ 옮겨달라 요구 가능
개정안에는 자신의 개인정보를 갖고 있는 기업·기관에 그 정보를 다른 곳으로 옮기도록 요구할 수 있는 ‘개인정보 전송요구권’의 법적 근거가 담겼다. 개인정보가 대량 수집·유통되는 요즘 정작 정보 주체인 자신이 개인정보를 주도적으로 유통·활용하는 데 한계가 있던 점을 개선한 것이다. 이제 정보 주체인 국민은 자신의 개인정보를 본인, 다른 개인정보 처리자, 개인정보관리 전문기관에 전송해줄 것을 요구할 수 있다. 금융·공공 분야 등 일부에서만 제한적으로 가능했던 마이데이터 서비스도 의료·유통 등 모든 영역에서 이뤄질 수 있는 기반을 마련했다.
이동형 영상정보처리기기가 부착된 자율주행차, 드론, 배달 로봇 등이 안전하게 운행될 수 있는 기준도 신설했다. 현행법은 폐쇄회로텔레비전(CCTV)만 규율하고 있어 정작 일상생활에서 광범위하게 사용하는 이동형 영상기기는 명확한 규정 없이 운영돼왔다. 이동형 영상기기를 이용해 업무 목적으로 개인 영상정보를 촬영하는 것은 원칙적으로 제한하나 개인이 촬영 사실을 알면서도 거부의사를 밝히지 않는 경우에는 촬영이 가능하다. 촬영할 때 불빛, 소리, 안내판 등으로 촬영 사실을 알리는 운영 기준도 생겼다.
비슷한 사안에 대해 온라인 규제와 오프라인 규제가 달라 법 적용에 혼선이나 이중부담이 생기는 문제도 손을 봤다. 가령 동의 없이 개인정보를 수집한 위반 행위에 대해 공공·오프라인 기업은 과태료 5000만 원 이하를, 반면 온라인 기업은 관련 매출액의 3% 이하 과징금 또는 5년 이하 징역을 적용했다. 앞으로는 정보통신서비스 온·오프라인 규정을 일원화해 모든 개인정보 처리자에게 같은 규범이 적용된다. 유효기간이 지나면 파기 또는 별도 보관해야 하는 의무와 불필요한 특례규정을 삭제한다.
정보 주체의 ‘동의’에만 과도하게 의존했던 개인정보 처리 관행에서도 벗어난다. 복잡하고 경직적인 동의제도 운용 탓에 형식적으로 동의에 체크하는 경우가 많았는데 합리적으로 예상할 수 있는 범위 내에서는 동의 없이도 개인정보 수집·이용이 가능해진다. 또 개인정보 처리 방침 평가제를 도입해 처리 방침이 적정했는지, 알기 쉽게 작성했는지, 쉽게 확인할 수 있는지 등을 평가하고 필요 시 개선을 권고할 수 있게 됐다.



개인정보 사적으로 이용하면 처벌 대상
인공지능(AI)을 활용한 자동화된 결정이 채용, 복지수급자 선정 등에 광범위하게 활용되는 상황을 반영해 자동화된 결정에 대해 거부하거나 설명을 요구할 수 있는 권리를 신설했다. 신기술 발전에 대응해 자동화된 결정 과정과 결과에 대한 투명성을 높이고 국민의 대응권을 보장하기 위해서다. 또 디지털에 익숙한 아동에게 개인정보 관련 내용을 알릴 때는 이해하기 쉬운 양식·언어 사용을 의무화해 온라인 모든 분야에 적용한다. 개인정보 분쟁조정 절차에 대한 참여 의무를 공공기관에서 전체 개인정보 처리자로 확대한다. 분쟁조정을 위해 사실 확인이 필요한 경우 사실조사 근거를 더하도록 제도를 정비했다. 개인정보를 사적으로 이용하는 중대 범죄행위를 처벌할 수 있는 근거도 생겼다. 과거에는 수능감독관이 수험표 정보로 연락하거나 민원인의 휴대전화 번호를 사적으로 이용해도 처벌할 수 없었으나 허용된 권한을 초과해 타인의 개인정보를 이용할 경우 처벌 대상에 포함됐기 때문이다.
글로벌 온라인 거래가 확대되면서 개인정보의 국외 이전이 늘고 있는 현실도 개정안에 반영했다. 개인정보 국외 이전을 위해서는 정보 주체의 별도 ‘동의’가 필요했는데 동의 외에도 계약·인증·적정성결정 등으로 국외 이전 요건을 다양화해 글로벌 규범과의 상호 운용성을 맞췄다. 해당 국가가 개인정보를 적정하게 보호하지 않는다고 판단되면 국외 이전 중지를 명령할 수도 있다.
개인정보 보호를 기업보다 담당자 개인이 형벌로 책임지던 문제를 기업의 과징금·과태료 형태로 전환했다. 정보통신서비스 제공자에게만 적용되던 과징금 대상을 개인정보 처리자까지 확대하고 과징금 상한액 기준을 ‘위반행위 관련’에서 ‘전체 매출액 3% 이하’로 변경해 글로벌 수준에 맞췄다.

선수현 기자

(www.korea.kr)