[일문일답] "개인정보법 '마이데이터' 의무 전송 최대 2년 유예"

규개위 "산업계 혼란 최소화" 의견 반영..과징금 기준 연구반도 운영

(지디넷코리아=김윤희 기자)보호 및 활용 전반에 걸쳐 규제를 정비한 개인정보보호법 개정안이 28일 국무회의를 통과, 국회에 제출될 예정이다.

개인정보보호위원회는 이번 개정안으로 ▲산재된 개인정보를 모아 맞춤형 서비스에 활용하는 '마이데이터' 사업의 법적 근거 마련 ▲법 위반 과징금 부과 기준을 위반 행위 연관 매출에서 전체 매출로 상향 ▲온-오프라인 이중 규제 해소 등을 추진한다.

특히 마이데이터 사업의 경우 법 통과 이후에도 산업계 혼란을 최소화하기 위해 2년 이하의 유예 기간을 둘 방침이다. 

마이데이터 사업 활성화를 위해서는 개인정보를 보유한 사업자들이 필요에 따라 정보를 유통할 수 있는 시스템을 구축해야 한다. 정부는 개정안이 국회를 통과하면 마이데이터 관련 시스템을 의무적으로 구축해야 하는 사업자 기준 및 유통해야 하는 정보 범위를 결정하게 된다. 유예 기간 동안 이같은 제도를 구체화한다는 것이다. 이는 일찍이 마이데이터 사업 준비에 착수한 금융위원회도 같은 절차를 밟고 있다.

최영진 개인정보보호위원회 부위원장은 이번 개정안을 마련하는 데 있어 개인정보 보호와 활용 사이에서 합리적인 타협점을 모색하는 데 노력을 기울였다고 강조했다. 최영진 부위원장은 "개인정보법 10년 역사에 정부안이 만들어진 건 처음"이라며 "각계에 많은 영향 미치는 법이기 때문에 각종 어려움을 뚫고 만들어진 것"이라고 첨언했다.

다음은 최영진 부위원장 및 이병남 개인정보위 개인정보보호정책과장과의 일문일답. 

-작년 12월 처음으로 개정안 발표 이후 법제처 심사 등의 절차를 거쳐 국무회의에서 법안이 통과됐다. 원 내용과 달라진 부분이 있나.

(최영진)"약 1년 정도 시간이 걸렸다. 법안 자구가 명확해지고, 법무부와의 협의 과정에서는 부처 특성상 처벌 규정, 정보 주체의 권리 관련 표현 등을 명확히 규정해야 한다는 의견들을 주고받았다. 초안 내용에서 많이 바뀌지 않았다."

-개정안 시행 이후 마이데이터 사업 활성화 방향에 대해선 어떻게 전망하나.

(최영진)"개인정보 이동권이 도입됨에 따라, 신용정보법을 근거로 하는 금융 외 다른 분야 사업자들이 별도로 법적 근거를 마련하거나 제도를 갖추지 않더라도 이 사업을 할 수 있게 된다는 의미다. 구체적인 사업 내용은 기업들이 창의성을 발휘할 것이다. 정부는 제도적 여건을 마련해준건데, 특히 스타트업들이 새로운 비즈니스 아이디어로 창업할 수 있기를 기대한다."

-개인정보 이동권(전송 요구권) 도입에 따른 '개인정보 전송 의무 대상자' 기준에 대해 매출과 개인정보 규모, 산업별 특성 등을 고려한다고 했다. 어떻게 정할 계획인가.

(이병남)"유럽 등 일부 해외 국가에서 개인정보 전송 제도가 운영되고 있긴 하나, 이용이 활발하진 않다.국내 신용정보법에는 이미 법적 근거가 마련돼 신용 분야 마이데이터 사업이 추진되고 있고, 우리나라 산업 특성에 맞게 시행령, 고시를 마련하려 한다. 산업계와 관계기관 전문가로 구성된 연구반을 운영 중이다. 연구반 의견을 반영해 시행령을 구체화할 계획이다. 

규제개혁위원회에서 이에 대해, 산업계 도입 파장 등을 고려해 개인정보 이동권 시행에 따른 유예 기간을 1~2년 정도 두는 것을 권고한 바 있다. 개정안이 국회에서 통과되면 이같은 시간을 갖고 개인정보 전송 의무자 기준 및 전송 정보 범위를 구체화하려 한다."

금융 분야에서 도입될 예정인 마이데이터 사업

-과징금 기준이 상향되는 것에 대한 산업계 우려가 여전하다.

(최영진)"매출의 3%는 그야말로 상한 규정이다. 그간 과징금 부과 기준으로 쓰였던 유출 개인정보 관련 매출액은 상정이 쉽지 않다는 문제가 있었다. 개인정보는 기업에 있어 사실상 원 재료처럼 쓰이고 있어 매출과의 연관성을 구체적으로 따지기 어렵다는 얘기다. 과징금 규정은 연구반을 운영해 제도를 합리화해나갈 예정이다."

-개인정보 유출 등 사고 발생 시, 기업이 안전 의무를 다 하면 과징금 부과 대상에서 제외될 수 있다는 조항이 있다. 면피 목적으로 악용될 가능성은 없나.

(최영진)"악용 가능성을 크게 보진 않는다. 실질적으로 개인정보 보호 의무를 제대로 실행하지 못해 발생하는 사고들이 대부분이기 때문이다."

-'개인정보 처리방침 평가제'가 도입된다. 평가 후 개선 필요 사항을 권고하는 데 그치고 강제성은 없는 것으로 돼 있다. 제도 실효성이 담보될 수 있을까.

(이병남)"권고사항이긴 하나, 시정명령을 이행하지 않을 경우 과태료를 부과할 수 있는 기준이 법안에 담겨 있다. 평가제를 지속적으로 운영해 정보 주체의 권리를 보장하는 기능 강화를 염두하고 있다."

-일정 기간이 지나면 개인정보를 분리 보관하게 하는 '개인정보 유효기간제'가 폐지되는데, 정보 주체의 권리가 저하되진 않나.

(이병남)"1년 이상 서비스를 이용하지 않은 사용자의 개인정보를 별도로 분리보관하거나 파기하라는 규정이었다. 코로나19로 특히 면세점 같은 곳은 거의 2년여간 이용을 안 하는 사용자들이 대다수인 상황이다. 기업에게는 1년마다 이용자 정보를 분리 보관하는 의무에 부담을 느끼고, 이 제도가 실질적으로 정보 주체의 권리를 신장하지 않는다는 학계 분석도 있었다. 오히려 분리 보관된 개인정보는 관리가 소홀해 침해 가능성이 커질 여지도 있다. 사업자 부담도 완화하면서 개인정보 보호도 강화하는 제도 개선이다."

개인정보보호법 개정안 규제 정비 내용

-아동 청소년 개인정보 보호 강화 방침은.

(최영진)"현재는 보호해야 한다는 원론적 규정만 존재한다. 영국의 경우 7세, 12세, 18세 등 연령대에 따른 개인정보 보호 규약을 나누고 있다. 국내에도 유사한 정책이 필요할 것으로 본다. 현재는 없다. 

개정안은 정부가 개인정보 시책을 마련하도록 의무화했다. 이를 마련하는 과정에서 아동 개인정보 보호 등을 반영하고자 한다. 요즘은 어린이도 각종 온라인 서비스를 가입해 이용한다. 대부분 개인정보 약관이 어린이들에게는 이해하기 어렵게 쓰여 있다. 이런 문제를 개선할 방침 같은 게 마련돼야 할 것이다."

-넷플릭스 드라마 '오징어게임'에서 등장한 전화번호 사용자가 일상 생활에 피해를 입는 사례가 나타났다. 개정안에서는 이런 피해 구제할 방안이 있나.

(이병남)"드라마에 등장한 전화번호는 법적으로 개인정보라 보긴 어렵다. 가상의 상황 가정한 상태이고, 정보 주체 특정 없이 번호만 8개 나온 것이기 때문이다. 개인정보보호법 상의 영역이라기보다, 드라마 제작 현장에서 이런 피해가 발생하지 않도록 관심 및 노력을 기울여야 하지 않나 싶다. 향후 피해가 발생한다면 재발 방지책을 검토하겠다."

(최영진)"피해를 입은 국민에 대한 구제책이나 분쟁조정 필요성에 대해서 살펴보겠다."

김윤희 기자(kyh@zdnet.co.kr)