정보 주체의 개인정보를 원하는 곳에 한 데 모아 사용하는 '마이데이터' 분야 확산, 전체 매출 기반의 과징금 부과 기준 정립 등의 내용을 담은 개인정보보호법 개정안이 국회에 제출된다.
지난 2011년 해당 법이 시행된 이후 처음으로 데이터 경제 시대 변화에 맞춰 법안 전반에 걸친 개정을 추진하는 것이다.
개인정보보호위원회는 28일 국무회의에서 개인정보보호법 개정안이 의결돼 이달 중 국회에 제출될 예정이라고 밝혔다.
윤종인 개인정보위 위원장은 “이번 개정안은 디지털 대전환 시대에 선제적으로 대응하기 위해 다양한 이해관계자와 조율을 거쳐 어렵게 마련된 점을 고려해, 국회에서 신속한 논의가 이뤄지기를 희망한다”며 “앞으로도 이번 개정안에 머무르지 않고 아동, 청소년 등 취약계층 보호, 민감정보나 생체정보, 영상정보 등 국민 생활에 큰 영향을 미치는 개인정보 제도도 지속적으로 개선해 국민의 개인정보 자기결정권이 보다 실질적으로 보장될 수 있도록 노력할 것”이라고 밝혔다.
■마이데이터 확산…'과세·복지' AI 설명 요구권 도입
개정안에는 인공지능(AI) 등 신기술 발전에 대응해 정보주체인 국민의 권리를 강화하기 위해 본인의 개인정보 이동을 요구할 수 있는 '전송요구권'과 자동화된 결정에 대한 거부 등 대응권을 신설한다.
전송요구권 도입으로 정보주체인 국민은 자신의 개인정보를 본인 또는 다른 기업에게 직접 전송하도록 요구할 수 있게 된다. 일반법인 개인정보보호법에 전송요구권을 도입함에 따라 현재 금융, 공공 등 일부 분야에서만 추진 중인 마이데이터 사업이 전 국민, 전 분야로 확산될 전망이다.
일부 플랫폼 기업으로 데이터가 집중되는 독점 현상을 완화하고, 스타트업 등 다양한 경제주체들이 데이터를 안전하게 활용할 수 있는 기반도 마련될 것으로 기대된다.
과세대상, 복지 수혜자격 결정, 신용 등급 등 완전히 자동화된 결정으로 인해 자신의 권리와 의무에 중대한 영향을 받게 되는 경우 이를 거부하거나 이에 대한 설명을 요구할 수 있는 권리도 개정안에서 마련됐다.
디지털 시대 아동의 권리 강화를 위해 이해하기 쉬운 양식 사용 등의 의무를 온라인 사업자에서 오프라인 등 전체 개인정보처리자로 확대하고, 국가와 지방자치단체는 아동에 대한 개인정보 보호 시책을 마련하도록 하는 내용도 담겼다.
■기업 처벌 ↑ 직원 처벌 ↓…국가별 개인정보 이전 가능 여부 규정
글로벌 수준에 부합하는 개인정보 국외 이전 제도 개선 및 법 위반에 대한 제재 규정도 정비했다.
개정안은 우리나라와 동등한 수준으로 개인정보를 보호하고 있는 국가 또는 기업이라고 인정되는 경우에 국외 이전이 가능하도록 하고, 법을 위반하거나 보호 수준이 취약하다고 판단되는 경우에는 국외 이전을 중지할 수 있는 근거를 마련했다.
현행법은 글로벌 기준과는 달리 개인정보 보호에 대한 책임을 기업보다는 담당자 개인에 대한 형벌 중심으로 규율하고 있다. 이에 대해 기업의 개인정보 보호 수준은 실질적으로 개선하지 못하면서 담당자 개인에 과도한 처벌을 부과한다는 지적이 있어왔다.
이런 문제점을 개선하기 위해, 개인에 대한 형벌은 완화하되 기업에 대한 경제적 책임은 강화하는 방향으로 제재 규정을 전환했다.
과징금의 경우 상한액을 전체 매출액의 최대 3% 이하로 조정했다. 현행법이 개인정보 유출 관련 매출을 기준으로 과징금을 부과하는 것에 비해 기준 금액이 상향되는 것이다.
다만 과징금이 책임 범위를 벗어나 과도하게 부과되지 않도록 ‘위반행위에 상응하는 비례성’과 ‘침해 예방에 대한 효과성’이 모두 확보되도록 하는 내용을 담았다.
정부는 과징금 부과의 합리적 산정 기준을 마련하기 위해 홍대식 서강대 교수를 반장으로 하는 '과징금 부과기준 연구반'을 구성하고, 연구반 운영 결과를 하위규정 개정안에 반영할 예정이다.
그 외에도, 이번 개정안에는 기업 등 경제 주체의 자율적인 보호활동을 지원하고 분쟁조정을 활성화하는 등 개선사항을 포함했다.
분쟁조정 절차에 당사자의 참여를 의무화하고, 기업 개인정보보호책임자의 독립성을 강화했다. 자율규제단체 지정 및 연합회 설립 등을 통해 자율적인 보호 활동을 지원할 수 있는 기반을 마련했다.
■온-오프라인 이중 규제 해소…영상 기기 법규 명확화
그 동안 법 적용의 혼선과 이중 부담의 원인이던 온-오프라인 이중 규제, 신기술 환경 변화에 따라가지 못하는 규제도 정비됐다.
온라인 특례 규정 중 ▲해외 사업자의 국내대리인 지정 의무화 ▲만 14세 미만 아동의 개인정보 보호 ▲손해배상책임의 보장 ▲이용내역 통지 등은 전 분야로 확대 도입됐다.
방송 사업자 준용 규정과 개인정보 유효기간제는 실효성이 떨어진다는 지적에 따라 삭제됐다.
급증하는 고정형·이동형 영상기기 운영 기준이 명확하지 않은 문제를 개선하기 위해 촬영이 가능한 범위 등을 구체화했다.
관련기사
- 법제 다듬은 개인정보위, 이젠 '보호·활용' 촉진이 숙제2021.09.16
- '사이버보험' 제도 안착 어디까지 왔나2021.07.30
- "연매출의 3%" 개인정보 유출 과징금 정말 과도할까2021.02.16
- 내 정보 유출한 기업, 과징금 258원 냈다2020.10.08
고정형 영상기기(CCTV)의 무분별한 운영을 방지하기 위해 ‘정당한 권한을 가진 자’만 설치·운영할 수 있도록 했다.
드론, 자율주행차 등 이동형 영상기기의 경우, 산업현장에서 실제 적용이 가능하도록 공개된 장소에서 업무를 목적으로 촬영할 수 있는 범위를 신설했다.