개인정보보호법, 어떻게 바뀌어야 할까

개인정보위, 김병욱 의원실 등 공동 주최 통합대안 마련 토론회

개인정보보호법 개정 방향 대토론회 참석자들이 기념사진 촬영을 하고 있다. 사진=개인정보위

개인정보보호법 2차 개정안이 국회에서 논의 중인 가운데, 개인정보 보호와 활용을 위한 합리적 방안을 논하는 자리가 마련됐다.

개인정보보호위원회는 22일 오후 서울 여의도 국회 도서관에서 ‘개인정보보호법 통합대안 마련을 위한 바람직한 개정방안 대토론회’를 열었다. 김병욱 정무위원회 간사(더불어민주당)와 개인정보위, 개인정보전문가협회, 개인정보보호법학회가 공동 주최했다. 

행사는 2개 세션과 토론, 종합 토론 순으로 진행됐다. 

첫 번째 세션에서 홍대식 교수(서강대)는 개인정보보호법상 제재규정 개편 방안으로 나온 과징금 산정 규정을 지적했다. 3가지 과징금 부과상한액 기준을 쓰면서 각 기준에 따른 과징금 산정 기준금액을 정할 때 획일적으로 법상 부과상한액 기준을 그대로 기준금액 산정 기준으로 채택하는 건 문제가 있다는 것. 

홍 교수는 “과징금 부과대상이 되는 행위는 개인정보 보호와 처리를 위해 법에서 정한 개인정보처리자에게 부과한 의무를 위반하거나 개인정보를 침해하는 행위의 성격을 갖는다”라며 “연혁적인 이유로 과징금 규정은 법상 부과상한액이 정액기준, 관련 매출액 기준, 전체 매출액 기준으로 다르게 정해진 규정이 존재해 산정 기초가 다르다”라고 꼬집었다. 

이어 “수범자 입장에서 규정만으로는 위반행위 유형별로 위법성 정도가 어떻게 다른지 파악하기 어렵고 과징금 부과 비례성, 효과성, 억제성을 추구하기 어렵다”고 강조했다. 

이희정 고려대 법학전문대학원 교수는 현행 개인정보보호 자율규제 문제점을 지적했다. 이 교수는 “개인정보 자율규제단체 지정과 지정취소, 지원에 관한 사항이 법적 근거 없이 운용되고 있다”며 “또 자율규제단체에 대한 총괄지원, 정부와 유기적 소통을 위한 추진체계가 부족하다”고 꼬집었다. 

그러면서 “개정안은 명확한 법적근거로 자율규제단체 확대와 운영체계 안정화를 기대할 수 있고 적극 자율규제 참여기업 등에 대한 인센티브 제공 등 현장중심 자율보호 활동을 촉진, 활성화해 공적 규제 한계를 보완할 걸로 예상 된다”고 밝혔다.

이 교수는 “자율규제 활성화를 위한 지원 세부사항과 자율규제단체 연합회 세부운영 절차 마련 등 시행령, 고시개정 병행이 필요하다”고 말했다. 

현행 개인정보처리 방침에 관해선 실효성 담보부족을 지적했다. 

이 교수는 “법 위반 여부뿐만 아니라 정보주체가 알기 쉽게 공개되고 있는 지 여부 등 평가요소가 많고 개선권고 불이행 등 후속조치 미비 등으로 실효성이 떨어진다는 지적이 있다”며 “개인정보처리 방침 평가제는 평가 결과에 따라 개선권고, 미 이행 시 법 위무위반 사항 관련 시정명령, 불이행 시 과태료 부과 등 단계적 절차로 운영해 실체적 통제권이 강화되는 방향으로 운용을 추진해야한다”고 강조했다. 

이어진 토론에선 김보라미 변호사(법무법인 디케)는 현행 과징금 제도를 언급하며 “개정안은 ‘앞으로 전체 매출액 3% 이하에 해당하는 금액으로 위반행위에 대한 경제적 제재를 강화 한다’고 설명하고 있다”며 “이외에도 개인정보보호법에게 본질적인 수단을 제공했다는 점에서 긍정적으로 평가할 부분이 많다”고 말했다. 

김 변호사는 “향후 시행령에서 ‘억제적이며, 비례적이고, 예측 가능한’ 과징금 산정과정의 단계별 구분과 사안 유형, 비례 기준 등을 구체화할 필요가 크다”고 제언했다.

이어 “개인정보위 과징금 부과와 이의절차를 준사법기관으로서 더 투명하고 구체적으로 정해야한다”고도 했다.

김영훈 AWS 실장은 앞서 홍 교수가 발제한 내용을 반박했다. 김 실장은 “전체 매출액이 대상이 되면 과징금 부과대상 행위와 과징금 액수 산정 간 비례성이 담보되지 않는다”며 “대부분의 매출은 개인정보 활용과는 별 상관없이 벌어지는데도 과징금 액수는 엄청나게 커지는 모순이 발생할 수 있다”고 부연했다. 

그는 “과징금 부과 기준은 관련 매출액으로 하는 게 합리적”이라며 “특히 글로벌 기업 입장에서는 한국 정부가 매출에 기초에 최대 과징금을 부과할 경우 ‘한국 내’ 매출액을 기준으로 한다는 점을 분명히 인식해 이러한 과징금이 법령상 위반으로 인한 손해에 비례하도록 할 필요가 있다고 생각 한다”고 말했다. 

두 번째 세션에서는 개인정보 이동권리 보장과 마이데이터 활성화를 위한 법 개정방향에 관한 발제가 있었다. 

윤호상(법무법인 세종) 변호사는 마이데이터 국내외 동향을 소개하며 “마이데이터 행사 범위의 명확화 방안에 대한 고려가 필요하다”고 언급했다.

윤 변호사는 “정보주체가 직접 제공한 정보는 이동권 대상에 포함된다는 점에선 대부분 법제에서 합의가 이뤄진 것처럼 보이나 추론과 생성된 정보에 적용여부는 해결되지 않았다”고 지적했다. 

그러면서 “데이터에 정보주체 외 제3자 정보가 포함됐는지 여부에 따라 정보주체의 권리 구현 범위가 상이할 수 있다”고 덧붙였다.

윤 변호사는 아울러 ▲규제준수 비용 ▲정보보안과 참여자 책임성 ▲데이터표준과 API 등 상호 운영 ▲인증과 확인 메커니즘을 쟁점으로 꼽았다.

이강혜 변호사(법무법인 태평양)는 개인정보 전송 요구권리 조항으로 ‘정보 수신자 범위’를 지목했다. 이 변호사는 “본인 전송 요구와 제3자 전송요구 목적 또는 효과가 상이할 것”이라며 “시행령 등 하위법령에서 구체적인 적용 범위 등을 규정해야한다”고 강조했다.

이 변호사는 “개인정보처리자의 범위도 정보처리자가 스스로 판단하도록 정확한 매출 기준 또는 이용자 수를 시행령 등 하위법령에 기재할 필요가 있다”고 언급했다. 

이 변호사는 이밖에 개인정보 관리전문기관 재지정과 지정 유효기간을 규정하는 게 바람직하다고도 덧붙였다.

이어진 토론에선 이동진 교수(서울대)는 “유럽 일반 개인정보보호법(GDPR)과 달리 이번 개정안엔 ‘누구로부터 수집한 정보까지 전송 요구 대상이 되는지 명시돼있지 않다”라며 “의도적인 건지 의심스럽다”고 지적했다. 

이 교수는 또 “개정안은 본인 이외에 개인정보관리 전문기관이나 일정한 요건을 만족한 자에 대한 전송만을 요구할 수 있는 것으로 규정하고 있고 이는 문언 상 정보주체 권리 한계, 즉 의무로 보이는데 그 위반에 대해 누가 책임을 지고 왜 책임을 지는지 의문”이라며 허점을 꼬집었다. 

박소영 국회입법조사처 조사관은 “개인정보 전송요구권이 의미 있게 작동하려면 관련 분야 사업자 간에 호환 가능한 개인정보 규격 표준화 작업이 이뤄져야한다”고 강조했다.

그는 “개인정보 표준화는 이종 산업 간 데이터 이동과 결합을 용이하게 할 수 있다”라면서도 “비정형 정보가 일반화한 산업영역에서 특정 표준을 도입하면 높은 비용이 유발될 수 있는 점을 고려해 정책 방향성을 설정할 필요가 있다”고 설명했다.

박 조사관은 또 마이데이터 사업 활성화를 위한 ‘정보주체 권한 실제화’를 언급했다. 

아울러 개인정보 전송 요구에 따른 비용부담 주체와 개인정보처리자 부담제한, 타인권리와 충돌하는 개인정보 전송 요구권리 제한 범위 등을 고려해야 한다고도 덧붙였다. 

3번째 세션에서는 최경진 교수(가천대)를 좌장으로 종합 토론회가 열렸다. 종합 토론은 앞서 두 세션에서 나온 발제와 무관하게 개정안을 위한 자유 의견들이 오갔다. 

이상용 교수(건국대)는 “개인정보를 제공받을 자를 범주화하자”고 주장했다. 이 교수는 “가령 은행에 대한 정보를 제공받고자 하는데 새로운 은행이 나오면 다시 동의를 얻어야한다”라며 “이걸 현실에 맞게 선진 법제에 부합하게끔 정보를 제공받을 자를 범주화하는 걸 강조하고 싶다”고 말했다. 

이창범 교수(연세대)는 “개정안은 이동권도 그렇고 새로 법에 들어갈 내용은 개인정보보호법이라는 틀 안에서 이뤄져야한다”고 강조했다. 

오병일 진보네트워크 대표는 개정안에 ▲정보주체의 고지 받을 권리 강화 ▲범죄수사 목적의 공공기관 개인정보 제3자 제공 제한 ▲민감 정보 보호 ▲설계 및 기본 설정에 의한 개인정보보호 신설 ▲개인정보 영향평가 제도 실제화 ▲개인정보보호감독관 도입 등을 추가 의제로 넣어야 한다고 말했다. 

한국소비자연맹 정지연 사무총장은 “흩어진 개인정보 법제를 정리할 필요가 있다”라며 “개인정보보보호법 틀 안에서 정합성 있게 만들어야 한다는 데 공감 한다”고 밝혔다. 정 사무총장은 또 “아동, 청소년 등 정보 취약계층 보호와 피해 발생 시 신속 구제가 이뤄질 수 있도록 내용을 보강해 달라”고 주문했다. 정 사무총장은 이밖에 “개인정보위 위상이 강화돼야한다”라며 “소비자 중심으로 목소리를 내달라”고도 언급했다. 

송금종 기자 song@kukinews.com