‘디지털·코로나·글로벌’…달라진 개인정보보호법

기사승인 2023-09-07 06:03:02

한덕수 국무총리가 5일 오전 서울 종로구 정부서울청사에서 열린 국무회의에 참석해 국무회의 안건을 설명하고 있다. 연합뉴스

시대 변화상에 맞춰 개인정보보호법이 전면 개정 시행된다. 디지털과 코로나바이러스감염증-19(코로나19), 글로벌 상황 등을 반영, 사각지대를 줄였다.

전면 개정된 개인정보보호법 시행령은 오는 15일부터 시행된다. 지난 5일 시행령이 국무회의를 통과했다. 주요 변경 사항은 △정보주체의 권익 보호 △온·오프라인 이중 규제 개선 △공공기관 안전성 강화 △글로벌 스탠다드로 분류된다.

어떤 변화가 찾아올까. 7일 당국에 따르면 디지털·정보화 시대에 맞지 않았던 법체계 등이 정비됐다. 지난 2021년 2월 카셰어링 업체가 서비스를 이용한 범죄자의 주소 정보를 수사 기관에 제공하는 것을 거부했다. 아동 성범죄 피해가 예상되는 상황이었으나 개인정보보호를 우선 이유로 들었다. 정보 제공이 지체되며 성범죄 피해를 막지 못했다. 정부는 이를 개정, 급박한 생명·신체·재산의 이익을 보호하기 위해 필요한 경우 우선해 개인정보를 수집·이용·제공할 수 있도록 했다. 구조 골든타임을 놓치지 않겠다는 것이다.

민감 정보가 의도치 않게 공개되는 일 없도록 개선하는 내용도 추가됐다. 정보주체에게 공개 가능성 및 비공개를 선택하는 방법을 쉽게 알리도록 했다. 이와 함께 개인정보를 사적인 목적으로 이용할 경우, 5년 이하의 징역 또는 5000만원 이하의 벌금 등 형사처벌 하도록 했다.

지난 2021년 위드코로나 시행 첫날 서울 마포구 일대 직장인들이 점심 식사를 위해 외부식당 등으로 이동하고 있다. 사진=박효상 기자

코로나19 등 공중위생 관련 개인정보를 보호하는 방안도 생겼다. 코로나19 확산을 막기 위해 수집한 개인정보에 대해서는 개인정보 보호법이 적용되지 않았다. 파기·안전 조치 등의 의무가 미적용된 것이다. 코로나19 초기, 식당 등 다중이용시설을 출입할 시 시민들은 개인정보를 기재하는 것에 대해 불안을 느꼈다. 향후 대규모 감염병 발생 시 이를 방지, 개인정보 보호법이 적용되도록 개정됐다. 목적을 다하면 파기해야 할 의무 등을 뒀다.

개인정보 파기 의무 규정도 코로나19 여파로 일부 변경됐다. 기존 법령에서는 1년 동안 서비스 이용이 없는 개인정보에 대해서는 정보주체 또는 개인정보처리자의 의사와 무관하게 의무적으로 파기 또는 별도 분리 보관하도록 했다. 그러나 코로나19로 해외여행이 장기간 제한되자 문제가 생겼다. 면세점 홈페이지 서비스 이용이 1년 동안 없어 파기 등의 조치를 하는 경우 이용자와 기업 모두에게 불편이 발생한 것이다. 이에 따라 서비스 특성과 정보주체의 이용주기 등을 고려, 자율적으로 휴면정책 채택 여부를 정하도록 개정됐다.

서울 중구 청계광장에서 전기 자율주행 전용버스(셔틀버스)를 시험 운행하고 있다. 사진=임형택 기자

기술 발전에 따른 개정도 포함됐다. 영상정보처리기기 운영 기준 개선이 대표적이다. 그동안 드론·자율주행차 등에 부착하는 촬영장치(이동형 영상정보처리기기)에 대한 명확한 기준이 없었다. 이로 인해 해당 장치로 영상정보를 촬영함에 있어 규제 불확실성이 컸다. 이번 개정에 따라 이동형 영상정보처리기기의 경우 촬영 과정에서 안내판, 소리 등을 통해 촬영사실을 충분히 알린 경우 정보주체가 거부의사를 표시하지 않는 한 운영할 수 있도록 했다.

업계에서는 환영 의사와 함께 추가 논의가 필요하다고 강조했다. 업계 관계자는 “규제 불확실성이 해소돼 긍정적으로 평가한다”면서 “아직 상세 가이드라인이 나오지 않아 확실한 영향을 판단하기 어렵다”고 설명했다. 이어 “첨단 기술 개발에 대한 경쟁이 전 세계적으로 치열하게 진행되는 점을 고려해 현장 특성을 고려한 실질적인 운용 방안이 마련되기를 기대한다”고 이야기했다.

글로벌 기준에 맞춰 개인정보 국외이전 요건도 다양화됐다. 우리나라와 동등한 수준으로 개인정보를 보호하는 국가 또는 개인정보보호위원회가 고시하는 인증을 획득한 기업으로 개인정보를 국외 이전하는 경우에는 별도의 동의가 없어도 가능하도록 했다.

과징금 기준 또한 글로벌 기준에 맞춰 상향했다. 기존에는 위반행위와 관련된 매출액을 기준으로 설정했다. 이를 전체 매출액을 기준으로 설정토록 변경했다. 다만 과징금이 책임 범위를 벗어나 과도하게 산정되지 않도록 비례성과 효과성을 모두 확보하도록 했다. 과징금 산정기준이 되는 매출액은 전체 매출액에서 위반행위와 관련 없는 매출액은 제외하도록 했다. 예를 들어 개인정보의 처리와 관련 없는 재화 또는 서비스 매출액, 위반행위로 인해 직접·간접적으로 영향을 받은 매출액이 아닌 것으로 인정하는 경우 등은 제외된다.

개인정보위 관계자는 “기존 개인정보 유출 사건에서 해외 기업은 자료 제출 등이 명확하지 않은 부분이 많았다. 과징금을 따지기 어려웠다”고 부연했다. 매출액을 기준으로 명확한 기준점을 세우고, 기업의 제출 자료에 의거 이를 제외시켜주는 구조로 가도록 바꾼 것이다.

전문가는 이번 개정으로 개인정보를 보다 안전하게 활용하기 위한 기반이 강화됐다고 봤다. 개인정보보호법학회장을 지낸 최경진 가천대학교 교수는 “온·오프라인 일원화 등으로 국민의 입장에서는 한층 더 안전한 처리 환경이 마련됐다. 개인정보 침해가 발생했을 때 분쟁조정 또한 실효성을 갖추게 됐다”며 “개인정보처리자의 관점에서도 과징금이 늘어나며 법 수범에 대한 필요성이 강화됐다”고 밝혔다.

또한 기업에게 ‘손톱 밑 가시’와 같은 비합리적인 규제들이 사라졌다는 점도 높게 평가했다. 최 교수는 “합리적인 개인정보 활용 범위가 늘어났다”며 “글로벌 환경에서도 해외사업자들이 국내 법을 준수하면서 개인정보를 처리할 수 있도록 해 보다 안전한 환경을 조성했다”고 설명했다.

이소연 기자 soyeon@kukinews.com