개인정보 보호수준 평가, 대학·특수법인 선정대상 좁힌다

평가제 고시 제정안 개인정보위 통과

고학수 개인정보보호위원장이 28일 서울 종로구 정부서울청사에서 2024년 제4차 개인정보보호위원회 전체회의를 주재하고 있다.2024.02.28./사진제공=개인정보보호위원회

개인정보 보호수준 평가제가 다음달 15일 개정 개인정보보호법과 함께 시행을 앞둔 가운데, 새롭게 평가제 후보군으로 편입돼 관심을 모은 '학교·특수법인'에 대해 개인정보보호위원회가 당초 계획보다 선정 대상을 축소하기로 했다.

29일 업계에 따르면 개인정보위는 지난 28일 서울 종로구 정부서울청사에서 올해 4차 전체회의를 열고 이 같은 내용이 담긴 평가제 고시 제정안을 의결했다. 개인정보위 관계자는 제정안이 다음달 초 국무회의에 상정될 것이라고 밝혔다.

과거 공공기관이 받던 '관리수준 진단'이 이번 고시 제정을 통해 '평가제'로 확대 개편되면서 일정 기준을 충족하는 대학·전문대학 등 '고등교육법상 학교'와 '특별법상 특수법인'은 새로운 평가 대상으로 선정될 수 있게 됐다. 이때 적용될 기준은 △5만명 이상의 민감정보 또는 고유식별정보를 처리하는 경우 △100만명 이상의 개인정보를 처리하는 경우 △3년 내 개인정보 침해사고 2회가 발생하거나 과징금·과태료를 1회 받은 경우 △기타 개인정보 침해우려가 큰 경우로 제시됐다.

당초 행정예고된 고시 제정안에는 '1개 이상 기준을 충족하는 학교·특수법인을 개인정보위가 평가대상으로 선정할 수 있다'는 조항이 담겼다. 하지만 전체회의에서 의결된 제정안에서 이 조항은 '개인정보위가 각 기준을 종합적으로 고려해 학교·특수법인을 선정할 수 있다'는 취지로 수정됐다.

양청삼 개인정보정책국장은 전체회의에서 이 같은 규정 완화에 대해 "평가가 부담을 주는 점을 감안해 엄격한 관리가 필요한 기관 중심으로 점차 확대할 생각"이라며 "최소 2개 기준에 걸쳐 있어야 평가 대상으로 선정하고, 자의적인 선정이 되지 않도록 개인정보위가 매년 수립하는 평가계획에 기준을 밝히겠다"고 말했다.

고시 제정안은 학교·특수법인이 평가 대상으로 선정될 경우 선정 다음해부터 평가를 받도록 규정됐다. 올해 평가 대상으로 선정되면 다음해부터 개인정보위가 평가를 실시하는 식이다. 평가제를 적용할 수 있는 학교·특수법인의 명단이 마련됐냐는 위원 질의에 양 국장은 "정부·지자체 전체에 (질의) 공문을 발송해 현재 80~90% 이상 회신을 받았다"며 "기준을 4월까지 수립하려고 한다"고 밝혔다.

성시호 기자 shsung@mt.co.kr