"개인정보보호법 개정안에서 과징금 규모를 상향하는 것에 대한 산업계 반발이 있었다. 개정 취지는 형사벌에서 경제벌을 확대하는 방향으로 나아가는 추세를 균형감 있게 반영하기 위한 것이었는데, 기업에 대한 경제적 제재가 강화된 점만 부각되는 것 아닌가 싶다. 산업계에서 갖는 우려를 해소할 수 있도록, 과징금 산정 규정을 비례성과 효과성을 충분히 고려하는 내용으로 할 수 있는 한 최대한 명확히 할 계획이다."
윤종인 개인정보보호위원회 위원장은 16일 열린 기자간담회를 통해 이같이 밝혔다.
개인정보위는 지난해 말 개인정보보호법 2차 개정안을 발표하면서 법 위반 과징금을 최대 연 매출의 3%까지 부과할 수 있게 하겠다고 밝힌 바 있다. 위법 행위 연관 매출을 기준으로 과징금을 책정하던 기존 법 대비 경제적 제재가 강화되는 셈이다.
고의적이고 반복적인 위법 행위에 대한 강력 조치로서 이같은 기준을 마련했다는 게 개인정보위 설명이다. 그럼에도 산업계에서는 개인정보를 다루다 자칫 막대한 과징금을 부과받을 수 있다는 우려를 거두지 못하고 있다. 이런 우려를 해소하기 위해 과징금 부과 기준을 최대한 명확히 규정하겠다는 것이다.
과징금 규정을 마련하는 과정에서 위법 기업의 안전성 확보 조치 노력과 국민 피해 회복 조치, 업무 형태 및 규모 등을 따지는 '비례성', 과징금 부과를 통해 향후 법 위반을 방지할 수 있는 정도를 뜻하는 '효과성'을 고려하겠다는 뜻을 밝혔다.
-개인정보보호법 2차 개정 진행 상황은 어떤가.
"현재 개정안은 입법예고 기간이 완료됐다. 접수받은 의견이 총 45건인데 산업계에서 24건, 시민단체 합동 의견이 1건, 관계부처 12건, 일반 국민 의견이 8건이다. 의견들을 잘 검토해 사회적 공감대를 형성할 수 있도록 개정안에 반영하고, 규제‧법제 심사 등을 거쳐 상반기 내 국회에 제출할 계획이다."
-개정안 내용 중 과징금 규모를 상향하는 것에 대한 산업계 반발이 만만찮은데 이에 대한 입장은?
"제재 규정의 정비 방향은 개인에 대한 형벌 위험은 줄이면서 이와 연계해 의도적, 반복적인 법 위반 기업에 대한 경제적 제재는 강화하려는 것이다.
최근 보도에서 보듯 디지털 시대 개인정보 유출로 인한 2차 피해는 그 규모가 기하급수적으로 증대될 수 있는 반면 처벌 수준이 너무 경미하다는 지적이 있었다는 점도 고려했다.
국내·외에 전체 매출액의 3%로 과징금 부과 기준을 설정한 타 입법 사례도 존재한다.
유럽 일반 개인정보보호법(GDPR)은 전세계 매출액의 4%까지 부과할 수 있도록 돼 있는데, 너무 낮은 수준으로 과징금을 설정하면 국내 기업 역차별 문제도 생길 수 있다는 것도 고려해 규정한 내용이다."
-EU GDPR 적정성 결정은 언제 마무리 될 수 있나.
"막판에 이를 수록 사소한 부분에 관한 쟁점 정리에 시간이 걸린다. 실무적 쟁점은 대부분 완료돼 가시적 성과가 조만간 있을 것으로 본다. EU 측이 결정문 초안을 마무리 중이다. 전혀 상황이 비관적이지 않다."
-'이루다' 조사는 어떻게 진행되고 있나.
"이루다 관련 언론보도가 이뤄진 지난달 11일 직후인 12일부터 사실조사에 착수했다. 아직 조사가 완료된 상태는 아니지만 최우선적으로 처리해 조속한 시일 내에 사안이 완결될 수 있도록 하겠다는 게 위원회 생각이다. 위법 사항이 있을 시 법에 따라 조치할 계획이다."
-이루다 사건을 계기로 인공지능(AI) 윤리 및 개인정보 보호 문제가 대두되는 상황. 대응 방안은?
"이루다 사태는 혁신적이고 편리한 기술이라도 개인정보가 안전하게 보호되지 못하면 이용자 선택을 받을 수 없고, 윤리적 측면에서도 대응해야 한다는 정책적 시사점을 보여주는 첫 사례가 아닌가 싶다.
우선 개인정보보호법 2차 개정안에 '자동화된 의사결정에 대한 대응권’을 넣으려 하고 있다. 이는 AI가 잘못된 결과를 낳아 생명, 신체, 재산 등에 중대한 영향을 미치는 의사결정을 할 경우 거부, 이의 제기, 설명 요구 등을 할 수 있는 권리다.
AI 분야 사업자가 기술 및 서비스 개발, 운영 과정에서 준수해야 할 'AI 서비스의 개인정보보호 수칙'도 마련 중이다.
기술개발(R&D) 측면의 문제 해결도 필요할 수 있다. 올해 업무계획에도 가장 역점 두고 있는 부분이다.
스타트업, 중소기업은 제도를 잘 알지 못해 개인정보 보호에 소홀하게 되는 경향 있지 않나 싶다. 중소기업 대상 보호 역량 강화 지원 사업도 함께 추진하려 한다.
-AI 수칙은 이달 중 발표 예정돼 있었는데, 늦어지는 것 같다.
"기한을 가급적 이달 말에 맞춰서 처리하려 한다. 하지만 한 달에 두 번 있는 위원회 회의에서 의결 절차도 거쳐야 하고, 위원들 판단도 받아야 해서 절차 상 늦어질 수 있다. 처음 만드는 가이드라인이라 100% 만족하는 내용이 될 수 없겠지만 최대한 정리해 AI 기업의 불확실성을 최소화할 계획이다.
-준비 중인 '미래 포럼'은 어떤 성격을 띠고 있나.
"디지털 시대에 (개인정보보호법이) 앞서가기 위해서는 어떤 것을 선제적으로 논의해야 할 것이냐 하는 고민을 다루기 위해, 전문가 30여명 정도로 구성되는 포럼을 준비하려 한다. 조만간 초청장을 보내려 한다.
관련기사
- ‘비대면 시대’…기업 정보보호 예산 편성 크게 늘었다2021.03.16
- "관리 부실로 주민번호 유·노출" 2개 사업자에 과징금2021.03.10
- "개인정보 보호, 투자의 대상이지 회피 대상 아니다"2021.03.10
- 동서발전, 전력그룹사 최초 ISMS-P 통합인증 획득2021.03.03
-EU GDPR 적정성 결정처럼, 그 외 아시아태평양 지역 등에서 비즈니스하는 기업을 대상으로도 개인정보 역외 이전 관련 정책 지원을 준비하고 있나.
"통상적으로, 기업별로 해당 지역에서 심사를 받아 개인정보를 역외 이전하게 된다. GDPR은 국가 간 적격성 심사로서 처음 하게 되는 것이다. 상호주의 관점에서, 우리나라에 진출한 외국 기업이 우리 국민의 정보를 역외 이전할 수 있게 하는 방법과 규칙 등에 대해서도 규정을 도입할 예정이다. 그런 제도가 도입되면, EU 외 다양한 국가와 적극적으로 논의할 수 있지 않을까 싶다. 일본도 GDPR 적정성 결정을 받았는데, GDPR 적정성 결정을 받은 국가 간 논의도 가능하지 않을까 구상은 가능할 것 같다. 구체화된 계획은 없는 상태다."
