지난해 8월5일 행정안전부, 방송통신위원회 등으로 분산돼 있던 개인정보 보호 기능을 일원화해 장관급 중앙행정기관으로 격상된 개인정보보호위원회가 통합 부처 출범 1주년을 맞았다.
개인정보위는 지난 1년간 데이터 경제를 위한 개인정보 보호·활용 인프라를 구축해온 데 이어 향후 신기술에 대한 개인정보 법제 구축, 아동 보호 조치 강화, 국제 사회와의 확대 등 기존 법 체계에서 미비한 부분을 정비해나갈 방침이다.
4일 개인정보위는 지난 1년간의 성과와 향후 추진계획을 공유했다.
■ 코로나19 방역 속 개인정보 보호 빈틈 막고 '가명정보' 제도 안착 추진
개인정보위는 코로나19 방역 목적으로 실시되는 동선 정보 수집 과정에서 개인정보 유출 우려를 해소하고자 '안심번호'를 도입하고, 수기 출입 명부 양식도 개선했다. 전자 출입 명부는 동의 절차를 간소화하고 관련 시스템도 점검했다.
위법 행위에 대한 제재도 지속적으로 이뤄졌다. 글로벌 기업인 페이스북에 역대 최대 과징금인 67억원 부과, 인공지능(AI) 챗봇 ‘이루다’ 개발사 스캐터랩에 대한 제재 등 총 106건을 조사‧처분했다.
개인정보를 데이터로 활용하기 위한 조치도 이뤄졌다. 미래 핵심 산업으로 주목받는 AI에 특화된 개인정보 보호 자율점검표를 제공해 AI 기업이 서비스를 개발, 운영할 때 개인정보보호법을 준수할 수 있도록 지원했다.
데이터3법이 통과되면서 정보 주체를 알아볼 수 없도록 가명처리된 '가명정보'가 분석 및 결합이 가능한 개인정보로서 법제에 포함됐다. 개인정보위는 가명정보 활용 확산을 위해 결합전문기관 17곳을 지정하고, 강원 가명정보 활용지원센터를 개소하는 등 제도적 기반을 마련했다. 7개 시범과제도 추진해 가명정보 결합·분석 성과를 도출했다.
정보 주체 의사에 따라 개인정보를 모아 맞춤형 서비스를 제공받는 '마이데이터' 사업의 법적 근거인 '개인정보 전송요구권'을 도입하고, 현행 형사벌 제재를 경제벌 위주로 전환하는 등의 내용이 담긴 개인정보보호법 2차 개정안도 부처 간 합의를 완료해 국회 제출을 앞뒀다.
유럽연합(EU) 일반 개인정보보호법(GDPR)이 요구하는 개인정보 보호 수준을 충족함으로서 지난 3월 적정성 초기 결정이 완료된 점도 성과 중 하나다. 적정성 결정 절차가 완료되면 국내 기업들이 표준계약 체결 등 별도 절차를 거치지 않고도 EU 시민의 개인정보를 해당국가로 이전·처리할 수 있게 된다. 우리나라는 연내 GDPR 적정성 결정 국가로 포함될 것으로 전망되고 있다.
■ 하반기 '마이데이터' 확산 준비…'바이오·자율차·스마트도시' 개인정보 규정 마련
4일 열린 온라인 간담회에서 윤종인 개인정보위 위원장은 하반기 계획으로 현재 추진 중인 개인정보보호법 2차 개정을 마무리하고, AI 외 각종 신기술에 대한 개인정보 보호 가이드라인을 마련할 것이라고 밝혔다.
윤종인 위원장은 "개인정보보호법 2차 개정안은 정부 내 합의를 마친 상태로 국무회의를 거쳐 국회에 제출할 계획"이라며 "현재 국회에 의원 입법안이 26개 제출돼 있는데, 이 법안들과 통합·심의를 거쳐 연내 통과될 수 있도록 입법 절차를 속도감 있게 추진해 나갈 예정"이라고 말했다.
개인정보위는 국회 입법 추진과 병행해 개정안의 주요 내용에 대한 시행령 등 하위 법령 개정안을 마련하고, 개인정보 전송요구권 도입 관련해 전 분야 마이데이터 도입·운영을 위한 거버넌스 구축 등의 후속 조치도 추진할 계획이다.
AI 개인정보 자율점검표에 이어 자율주행차, 바이오, 스마트도시 등에 대한 개인정보 보호 가이드라인도 마련한다.
개인정보 보호 인프라 관련해서는 동형암호, 영지식 증명, 블록체인 등 개인정보 보호 강화 기술 및 스타트업도 쉽게 활용 가능한 범용 개인정보 보호 기술 연구를 추진한다는 방침이다.
디지털 전환이 가속화되면서 개인정보 침해 사고가 증가하는 상황을 감안, 조사 인력 증원을 위한 부처 협의도 진행 중이다.
윤 위원장은 "통합 부처 출범과 함께 행정안전부와 방통위로부터 개인정보 침해 조사 총 337건을 이관받았고 지난 1년간 총 106건을 처리하는 등 조사 및 처분에 총력을 기울여 왔다"면서도 "코로나19로 인한 급격한 디지털 전환으로 개인정보 침해 사례도 늘고 있으며, 이에 따라 개인정보위 임무도 크게 늘고 있는 것이 사실"이라고 말했다.
이어 "급증하는 침해 사건에 비해 대응 인력은 한계가 있어, 조사관 중심의 인력 증원에 대해 행안부 등 관계부처와 긴밀히 협의하고 있다"며 "증원 필요성에 대한 공감대가 형성된 상황"이라고 덧붙였다.
글로벌 사업자의 개인정보 침해를 제재하기 위한 국제 사회와의 공조 강화도 추진된다. 이를 위해 적정성 결정 국가 승인 절차를 추진 중인 EU뿐만 아니라 전세계 50개국 개인정보감독기구가 참여하는 조사·집행 협력기구인 GPEN, 아시아태평양경제협력체(APEC) 회원국 중 11개국 26개 개인정보감독기구가 참여하는 법집행 협정인 CPEA와 협력해나갈 방침이다.
관련기사
- 윤종인 "개인정보법 개정안, 하반기엔 처리"2021.06.28
- "AI, 개인정보는 이렇게"…'이루다' 재발 막는다2021.05.12
- AI 개인정보 보호수칙 마련…'이루다 재발' 막는다2021.01.26
- 국내 기업, GDPR 과징금 철퇴 걱정 덜었다2021.03.30
온라인 서비스 이용 연령이 낮아지는 점을 감안해 아동, 청소년의 온라인 이용에 특화된 개인정보 보호 대책도 마련한다. 영국과 경제협력개발기구(OECD) 등 해외에서 도입 중인 규약 및 가이드라인 등을 참고한다는 방침이다.
윤 위원장은 "영국의 경우 개인정보보호법에 근거한 ‘연령 적합 설계 규약’을 통해 18세 미만 아동이 접근 가능한 온라인 서비스를 제공하는 기업이 연령 적합 설계를 하도록 하고 있다"며 "개인정보위도 아동‧청소년 개인정보 보호 가이드라인 제정, 법제 개선 방안 마련 등 아동·청소년을 위한개인정보 보호 대책을 올해 중 마련하려 한다"고 말했다.
