개인정보 필수 동의 없앤다…산업계 "구체적 기준 마련해야"

'개인정보 보호법'이 개정된 가운데, 산업계에서는 구체적인 가이드라인을 마련해 현장에서의 모호함을 줄여야 한다는 목소리가 나왔다. 특히, '필수 동의'에서 '선택 동의'로 전환되는 과정에서 동의 없이도 수집이 가능한 개인정보가 무엇인지 구체적 기준을 정부 차원에서 마련해줘야 한다는 의견이 제기됐다.

개인정보보호위원회는 16일 네이버 신사옥에서 한국인터넷기업협회, 한국온라인쇼핑협회를 비롯한 온라인 플랫폼 16개사와 함께 개인정보 보호법 개정 간담회를 개최했다. 이날 간담회는 개인정보 보호법 개정 내용을 공유하고, 데이터 활용 기업들의 의견을 청취하기 위해 마련됐다.

개인정보 보호법 개정안은 오는 9월 15일부터 시행될 예정이다. 개인정보 보호법 개정안에는 ▲'개인정보 전송요구권' 신설 ▲개인정보 처리 요건을 '필수 동의'에서 '선택 동의'로 전환 ▲과징금 상한액 기준을 '관련 있는 매출액'에서 '전체 매출액'으로의 조정 ▲인공지능(AI)을 활용한 자동화된 결정에 대한 거부권 신설 ▲이동형 영상정보처리기기의 정부 수집 기준 마련 등의 내용이 담겼다.

■ 산업계 "'동의'없이 수집 가능한 정보 무엇인지 모호해"

이번 개정안의 큰 변화 중 하나는 '동의' 위주의 개인정보 처리 요건이 바뀌었다는 점이다. 서비스와 관련 있는 정보는 사업자가 정보 주체의 '동의' 없이 수집할 수 있도록 했으며, 서비스와 관련 없는 정보에 대해서만 '선택 동의'에 의해서 수집하도록 했다. 다만, '동의'없이 수집한 정보에 대한 입증 책임은 사업자가 지게 된다.

개인정보위는 이를 통해 정보 주체의 실질적 선택권이 없는 필수 동의를 강제한 관행에서 벗어나게 됐다고 설명했다. 이를 두고 산업계에서는 동의 없이 수집할 수 있는 '서비스와 관련 있는 정보'가 무엇인지 모호하다는 의견이 제기됐다.

11번가 조대진 최고개인정보보호책임자(CPO)는 "현재 우리 회사는 23개의 서비스가 정보 주체의 '동의'를 받고 있다"며 "법이 바뀌면서 이제 필수 동의가 없는 시스템으로 가야 하는데, 어떤 정보를 필수로 수집할 수 있고, 어떤 정보를 선택 동의를 받아 수집해야 하는지 판단하는 데 어려움이 있다"고 말했다. 이어 "정부 차원에서 법 해석을 사업자에게 맡기지 말고, 구체적인 기준을 주시면 좋겠다"고 말했다.

인터파크 김동우 CPO는 "필수적인 정보에 대해서는 동의를 받지 않도록 전환했으나, 과연 동의받지 않을 수 있을까 하는 우려가 있다"며 "(필수)동의를 없앨 경우, 오히려 복잡하지는 않을지 등의 고민이 있어 시행령에서 이런 사업자들의 고민을 어떻게 풀어낼 수 있을지 고민해달라"고 말했다.

쿠팡 장준영 CPO는 "AI로 인해 서비스가 고도화될 수밖에 없는 환경에서 동의가 필요 없는 정보 규모에 대해 정부가 주도적으로 실증 가이드를 주면 좋겠다"며 "마이데이터 사업자의 가장 큰 경쟁력은 AI를 활용한 큐레이션이라고 생각하는데, 그때마다 선택동의를 받아야 한다면 상당히 어색해지지 않을까 생각한다. 동의를 받지 않아도 되는 정보의 범위가 어떻게 되느냐가 중요한 기준점이 될 거라 생각한다"고 말했다.

자동화된 결정에 대한 거부권과 관련해서도 구체적인 설명이 필요하다는 의견이 나왔다. 개정안에는 AI를 활용한 자동화 결정이 국민에게 중대한 영향을 미치는 경우, 이에 대해 거부하거나 설명을 요구할 수 있는 권리가 신설됐다.

카카오 김연지 CPO는 "모든 산업이 거의 자동화되는 시대에 블랙박스로 보이는 부분의 투명성을 요구하는 것은 당연한 절차"라며 "그러나 법에서 명시한 '자동화된 시스템으로 인한 결정에 대한 거부권'이 어디까지 말하는 것인지 모호하다. AI시대를 맞이해 원래 법이 도입된 취지에 맞춰서 (거부권) 범위에 대한 설명이 구체적으로 정의되면 좋겠다"고 말했다.

■ "개인정보 전송 시스템 고민…마이데이터 체감 서비스로 나와야"

개정안에는 국민이 자신의 개인정보를 본인 또는 제3자에게 전송을 요구할 수 있는 일반적 권리로서 개인정보 전송요구권이 신설됐다. 전송 방법, 전송 요구의 거절 및 전송 중단의 방법 등 구체적 사항은 시행령으로 위임한다. 

산업계에서는 이에 대해 개인정보 전송 시스템을 개정안 시행 전에 어떻게 설계할 수 있을지 고민된다는 목소리가 나왔다.

11번가 조대진 CPO는 "정보를 제공해야 하는 입장에서 고객이 개인정보 전송을 요구할 때 자동으로 처리해줄 수 있는 시스템을 개발해야 하는데, 주어진 법과 앞으로 만들어질 시행령만 가지고 어떻게 시스템을 설계할 수 있을지, 또 법 시행 전에 그런 시스템을 만들 수 있을지 고민된다"고 말했다.

개인정보 유출 시, 책임 소재에 대한 우려의 목소리도 나왔다. 인터파크 김동우 CPO는 "개인정보 유출 사고가 났을 때, 기업에서 직접 유출된 게 아니어도 특정 기업에서 전송된 데이터라고 했을 때, 과연 그 기업이 (책임에서) 자유로울 수 있을지 고민된다. 이런 고민도 잘 반영해주시면 좋겠다"고 말했다.

또한 이날 참석한 산업계 관계자들 대부분은 마이데이터 사업에서 체감 서비스가 나와야 한다는 의견에 동의했다.

카카오 김연지 CPO는 "마이데이터 기틀을 마련한 것에서 더 나아가 '체감 서비스'를 만드는 게 중요한데, 어떤 데이터가 효과가 큰지 지켜보면서 효과가 있는 곳에 집중하는 방식으로 진행되면 좋겠다"며 "데이터 제공자 입장에서 정말 필요한 곳에 데이터가 갔으면 한다"고 말했다.

네이버 이진규 CISO는 "공공 데이터에 서비스를 붙이면 킬러 서비스가 나오지 않을까 생각한다"며 "공공 데이터 확산 적용에 초점을 맞춰주시면 좋겠다"고 말했다.

산업계 관계자들은 개정안과 관련해 모호함을 없애고 구체적인 가이드라인을 정부가 제시해주기를 요구했다.

우아한형제들 김동현 CISO는 "시행령과 고시가 개정될 때, 실제로 (개인정보 보호법 관련 사항에 대해) 산업계에서 어떻게 운영하고 시행할 수 있을지를 고려해 개정해 주시면 좋겠다"고 말했다.

구글 오지원 대외정책협력 디렉터는 "많은 기업들이 컴플라이언스 준수에 대한 의지는 명확하나, 모호한 부분들은 사업자에게 굉장한 리스크"라며 "조금 더 깊고 많은 논의와 명확성이 요구된다"고 말했다.

해외 사업자들은 향후 가이드라인을 글로벌 기준에 맞춰주길 바란다는 입장을 전달했다.

트위터 김가영 대외정책 총괄은 "개인적인 의견으로 해외 사업자는 국내법을 준수하고 있지만, 어떤 부분에서는 너무 한국적인 의무사항을 준수해야 해 어려움이 있다"며 "좀 더 글로벌 스탠다드에 맞춰주시면 감사하겠다"고 말했다.

메타 허욱 부사장은 "빠르게 바뀌는 기술을 따라가기 힘들 수 있기 때문에 법령에서는 조금 큰 틀에서 규정을 만들어주셨으면 좋겠다"며 "자동화된 의사결정 부분은 GDPR을 포함한 글로벌 기준에 맞출 수 있는 내용으로 만들어지길 기대한다"고 말했다.

관련기사

이날 산업계 의견을 들은 양청삼 개인정보위 개인정보정책국장은 "필수 동의를 선택 동의로 전환하는 과정이 길고 불확실성도 있는 등 힘든 과정이 있을 수 있다"며 "현실을 직시하면서 정보 주체의 권리 신장을 최우선의 목표로, 한 발짝 한 발짝 나아간다는 자세로 (개인정보 보호법을) 구현해 나가겠다. 그 과정에서 업계 의견을 잘 경청하겠다"고 말했다.

한편, 개인정보위는 의료·복지, 스타트업, 모빌리티, 통신 등 분야별로 산업계 릴레이 간담회를 지속 개최할 계획이라고 밝혔다.