"싱크탱크 역할을 하는 개인정보보호원을 신설하고 개인정보보호 기금도 만들어야 합니다."
최경진 가천대 교수(한국인공지능법학회장)은 18일 국회도서관 소회의실 지하 1층에서 열린 '인공지능 시대 개인정보 거버넌스 강화를 위한 대토론회'에서 기조 발제를 하며 AI시대를 맞아 바람직한 거버넌스상으로 이 같은 방안을 제시했다.
이날 행사는 박지원, 이헌승, 강준현, 김현 국회의원과 국회입법조사처, 개인정보보호협회, 개인정보전문가협회, 한국인터넷진흥원이 공동 주최했다. 현재 개인정보보호에 관한 최상위 정부 조직은 2000년 8월 발족한 개인정보보호위원회다. 장관급 부처이지만 위원회고, 인력과 예산이 50여 정부중앙부처중 가장 작다.
이어 최 교수는 AI시대 바람직한 거버넌스로 전문부처 전환과 독립위원회 강화 두 방안 중 독립위원회 강화 방안을 더 좋아한다면서 "개인정보위 위원회 확대와 개인정보분쟁조정위원회 역할 강화, 개인정보통합증진센터 신설 등도 필요하다고" 덧붙였다.
개인정보분쟁조정위원회 역할 강화와 관련해 "정보주체 피해 구제는 미미한데 과징금만 때리는 것으론 부족하다. 그러면 국민은 그래서 뭐?라고 묻는다"면서 각 지역에 개인정보 통합권익증진센터 신설도 필요하다고 말했다. 개인정보보호기금 신설과 관련해서는 "과징금을 열심히 받고 있는데, 어디로 가는지 모르는게 아니라, 과징금을 기반으로 기금을 만들어야 한다. 출연도 들어와야 하고, 1차 기금 사용처는 피해 구제고 2차는 민원을 돕는 거다. 더 나아가, 크게 보면, 개인정보 처리 절차를 바꿔야 하는데, (기금을 사용해) 연구개발도 해야 하고, 기술도 활용해야 한다"고 밝혔다.
또 최 교수는 개인정보 개념에 대해 "커질 가능성이 있다. 더 이상 개인정보가 아닌게 없다. 어디까지 확장할 지 고민해야한다. 일본은 옵트아웃이 원칙이라 완충 지대를 만들어놨다"면서 "개인정보냐 아니냐의 이분법적 접근은 곤란하다. 이런 접근법은 시간이 갈 수록 법과 현실과의 괴리를 초래한다"고 지적했다.
보안산업계는 제로트러스트가 화두다. 제로트러스트는 아무도, 특히 기존과 달리 내부자도 믿지 말고 보안에 이중, 삼중 장치를 하라는 개념이다. 모든 곳에서 보안 사고가 일어날 수 있으니 경계하라는 의미다. 최 교수는 "제로트러스트에도 프라이버시는 포기할 수 없다"면서 "(정보호) 활용이냐 보호냐?는 끊임없이 추구하는 동적 개념이다. 균형점을 찾는게 바람직한 거버넌스"라고 짚었다.
"AI시대에 맞는 새로운 거버넌스 정립이 필요하다"면서 유연성 있는 체계를 주문하며 "자율구제프레임워크를 개인정보에서도 강조해야 할 때가 왔다"고 밝혔다. 개인정보보호법과 관련한 여러 법도 언급하며 "위치정보법과 정보통신망법중 본인확인기관 부분은 당장 개보위가 가져와도 될 듯 하다"고 주장했다. 단 개보위가 모든 영역을 다 관여 못하고, 또 너무 마서면 다른 부처의 위축을 부른다면서 "(개인정보에 관한한) 왕형님처럼 있으면서 원칙 해석과 기준을 제시해야 한다"면서 "특히 깨어서 늘 긴장감을 주는 어웨어니스(awareness)가 중요하다. 개보위가 깨어있으려면 전문성과 인력 증원 등도 필요하다"고 강조했다.
이어 거버넌스 방향은 배의 평형수처럼 결국 균형이라면서 "정보주체를 위한 등대(세이프가드) 역할과 처리자입장에서는 개보위 지침을 잘 지키면 되는, 신뢰를 주는, 안전망 같은, 이 두 역할을 (개보위가) 해야 한다"고 주문했다.
최 교수에 앞서 기조발표를 한 최영진 성대 인공지능융합원 교수(전 개인정보위원회 부위원장)은 '개인정보 거버넌스의 역사적 변화와 시사점'을 주제로 발표를 했다.
우리나라와 미국 등 선진국의 개인정보보호법 연혁을 보면 미국은 첫 출발이 1974년이다(프라이버시 액트). OECD는 1980년, UN은 1990년, 우리나라는 1994년 만든 대한민국 공공기관 개인정보법이 시작이다. 최영진 교수는 "우리나라가 시작은 미국보다 20년 정도 늦었지만 2011년 이후에는 비슷한 수준이다"면서 "이는 우리가 전산화는 늦었지만 정보화는 앞섰기 때문"이라고 해석했다.
관련기사
- 개보위, 한국연구재단 조사...해킹당해 개인정보 12만건 유출2025.06.14
- 개보위, CSP 대상 첫 개인정보 실태 조사...일부 개선 권고2025.06.12
- 개보위, 랜섬웨어 해킹 당한 예스24 조사 착수2025.06.11
- 배달앱 '헝그리판다' 전자담배 막 팔아도 될까2025.06.18
우리나라 개인정보보호법은 2011년 3월 처음 제정, 현재까지 일곱차례 개정했다. 최영진 교수는 이 중 2015년, 2020년, 2023년 개정이 중요하다고 설명했다. 2015년(3차) 개정엔 침해요인 평가 신설과 기본계획 담당 부처가 행자부에서 보호위로 바뀌었다. 또 2020년(6차) 개정은 사실상 전부 개정으로 중앙행정기관으로 개인정보위 신설과 개인정보위에 조사처분 권한을 부여하는 한편 정보통신망법 개인정보 규정 통합을 담았다. 가명정보 개념 신설과 데이터결합 근거 규정 마련도 이때 이뤄졌다. 2023년(7차) 개정때는 마이데이터의 전송요구권 신설과 프로파일링 거부권 신설, 국외 이전 조항 정비, 이동형 영상기기 관련 규정 신설 등이 이뤄졌다.
최영진 교수는 개인정보보호위원회 전망과 과제에 대해 6가지를 제시했다. 첫째, 개인정보 관련 법은 세계적으로 점차 활용이 강화되는 방향으로 이동 둘째, 안전한 활용을 위한 기술적, 제도적 조치의 중요성 증대 셋째, 개인정보 관련 규제 합리화 및 위원회의 전문성 강화 넷째, 인공지능 시대의 가치있는 데이터(개인정보 포함 데이터) 다섯째, 개인정보의 안전한 활용 보장 여섯째, 개인정보보호위원회의 정책, 규제기관으로서의 역량 강화 필요 등이다.
