개인정보 수집·이용 관련법 개정, 국민권리 강화 좋은데 정부권리도 강화?

지난 18일 개인정보보호위원회(이하 개인정보위)는 오는 19일부터 다음 달 28일까지 ‘개인정보 보호법’ 시행령 개정안을 입법 예고하겠다고 밝혔다. 이번 개정안은 지난 3월 14일 공포했던 개인정보 보호법 전면 개정에 따른 후속 조치로 정보 주체인 국민의 권리를 실질적으로 보장하고 공공분야에서의 안전조치를 강화함과 동시에 온라인과 오프라인으로 구분해 이원화되어 있는 개인정보 보호 기준을 일원화하는 것이 골자다. 이외에도 내년 3월 15일 이후 시행 예정인 개인정보 전송 요구권 관련 규정, 자동화된 결정에 대한 정보 주체의 권리, 공공기관 개인정보 보호 수준 평가 등에 관한 사항은 다양한 의견 수렴을 거친 뒤 법 시행 시기에 맞추어 하반기 중 추가로 입법 예고할 예정이라고 전했다.

개인정보에 대한 권리, 국민 스스로 행사할 수 있도록

개인정보위는 정보의 주체인 국민이 스스로 자신의 개인정보에 대한 권리를 실질적으로 행사할 수 있도록 동의의 원칙을 구체화하고, 개인정보 처리 방침 평가제를 통해 개인정보 처리 방침을 단계적으로 개선할 수 있도록 기반을 마련했다. 이번 개정안에 따르면 업체들은 개인정보 동의를 받기 위해 ‘정보 주체의 자유로운 의사’에 따르도록 동의 원칙을 구체화하고, 정보 주체가 동의 여부를 선택할 수 있다는 사실을 구분해 표시해야 한다. 나아가 개인정보위 개인정보처리자의 유형이나 개인정보 처리 형태 등을 고려해 개인정보 처리 방침 평가 대상자를 선정한 뒤 동의 등 처리 근거가 적정한지, 개인정보 처리 방침을 이해하기 쉽게 수립해 공개하고 있는지 등을 평가해 개선할 수 있도록 구체화했다.

통상적으로 온라인과 오프라인으로 구분해 규율하던 개인정보 보호에 관한 이원화된 규제는 디지털 사회에 맞도록 일원화될 전망이다. 첨단기술의 발달로 드론·자율주행차 등 이동형 영상정보처리기기가 보편화되는 환경에 맞춰 운영기준도 정비됐다. 또 정보 주체가 아닌 제3자로부터 개인정보를 수집해 출처를 통지해야 하는 경우와 개인정보 이용·제공 내역을 통지해야 하는 경우의 통지의무 대상자의 범위를 수집 출처 통지 기준에 맞추어 정비하고 통지도 함께할 수 있도록 개선했다. 이에 따라 현행 이용·제공 내역 영역에서 정보통신 서비스 매출액 100억 이상, 100만 명 이상의 개인정보를 처리했던 부분이 수집 출처 영역의 기준(5만 명 이상 민감정보, 고유 식별정보 처리 및 100만 명 이상 개인정보 처리)으로 통일된다.

아울러 규제샌드박스 실증 특례를 통해 제한적으로 운영해 온 사항을 입법화하기 위해 영상 촬영 후 별도로 저장하지 않는 경우 통계 목적으로 운영할 때는 고정형 영상정보처리기기(CCTV 등) 설치·운영이 가능하도록 했다. 국민의 생명 등을 보호하기 위해 인명의 구조·구급 등을 위해 영상 촬영이 필요한 경우 역시 드론, 자율주행차 등 이동형 영상정보처리기기를 통해 촬영할 수 있음을 명확하게 밝혔다.

위반행위에 비례한 과징금 부여 기준 재산정

한편 과징금에 관한 부분은 산정기준을 개편해 위반행위에 비례하여 중대하고 의도적인 위반행위에 대해서는 엄중한 과징금을, 경미한 위반행위에 대해서는 면제까지 가능하도록 했다. 과징금 산정을 위한 기준 금액을 결정하는 비율은 위반행위의 중대성 정도에 따라 현행 3구간-단일 비율 방식에서 4구간-구간 내 차등 비율 방식으로 전환했다. 위반행위의 중대성 판단 기준은 ▲위반행위의 내용 및 정도 ▲개인정보의 유형과 정보 주체에게 미치는 영향 ▲정보 주체의 피해 규모 등을 종합적으로 고려할 것으로 보인다. 특별히 개인정보위는 이번 개정안의 산정기준을 법 시행일 이후 위반행위에 대해 모든 개인정보처리자와 개인정보 처리업무를 위탁받은 수탁자까지 확대해 적용하겠다고 밝혔다.

개인정보가 유출됐다는 사실을 알게 된 경우에는 유출된 개인정보가 민감정보 또는 고유 식별정보인 경우와 해킹 등 외부로부터 불법적인 접근에 의한 유출인 경우, 그리고 1,000명 이상일 경우에는 정당한 사유가 없는 한 72시간 이내에 개인정보위 또는 한국인터넷진흥원에 신고하도록 규정을 제시했다. 또 정보 주체에게 통지하는 부분은 유출 규모와 무관하게 정당한 사유가 없는 한 72시간 이내에 해야 한다.

개인정보의 안전조치 기준은 온라인 기준을 중심으로 통합되며, 안전조치를 위한 다양한 기술을 도입할 수 있도록 관련 규정을 기술 중립적으로 정비했다. 특히 정보 주체가 정보통신 서비스를 1년 이상 이용하지 않은 경우에는 파기하거나 별도 분리해 저장하도록 한 규정을 삭제했다. 이는 코로나19 팬데믹 당시 해외여행 제한으로 1년간 면세점 홈페이지 서비스 이용이 감소함에 따라 개인정보가 자동 파기된 데 따른 것이다. 이에 개인정보위는 유연성과 효율성을 위해 파기의 일반원칙에 따라 목적이 달성됐거나 보유기간이 끝나면 지체 없이 파기하도록 했다.

공공분야 개인정보 처리 안전성 강화, 2차 피해 막아야

개인정보위는 그동안 공공부문에서 계속되어 온 개인정보 침해사고를 근절하기 위한 목적으로 대규모 공공시스템을 운영하는 공공기관에 대한 안전조치 의무를 강화하고 개인정보 파일 등록, 개인정보 영향평가 등 제도 역시 보완한다고 전했다. 이는 2019년 N번방 사건, 2021년 송파구 살인사건, 2022년 신당동 역무원 살인사건 등의 연속적인 공공 부분 개인정보 침해사고 등의 2차 피해를 의식한 것으로 풀이된다. 이에 공공부문 개인정보 유출 방지대책에 따라 공공시스템 운영기관에 대한 안전조치 특례가 신설될 예정이다.

그동안 공공기관이 관리하는 개인정보 파일이 내부적 업무처리 목적인 경우에는 등록 대상에서 제외했으나 앞으로는 일시적 처리 등 관리의 필요가 없는 경우 외에는 모두 등록해 관리하도록 했다. 또한 공공기관의 투명한 개인정보 관리를 위하여 개인정보 영향평가를 수행해야 하는 시점을 개인정보 파일 운용 또는 변경 전으로 명확히 하고, 영향평가서 요약본을 공개할 수 있도록 할 예정이다. 나아가 법 개정으로 글로벌 스탠다드에 맞게 개인정보의 국외 이전 요건을 다양화하고, 국외 이전 중지 명령을 도입해 세부적인 절차와 기준 등을 구체화했으며, 해외사업자의 국내 대리인 지정 기준을 개정법 취지에 맞게 정비했다.

고학수 개인정보위 위원장은 “이번 개정안에 정보 주체의 권리와 공공부문의 안전조치를 강화하고 불합리한 규제는 정비하는 내용을 담았다”며 “개정된 ‘개인정보 보호법’이 현장에서 차질 없이 시행될 수 있도록 입법예고 이후에도 다양한 의견을 들어 시행령에 반영해 나갈 것”이라고 밝혔다.

국민 보호 명목의 개인정보 침해 정당화, 과연 괜찮은가?

하지만 일각에서는 국민의 생명 등을 보호하기 위한 목적으로 이동형 영상정보처리기기를 사용할 수 있다는 개정안 내용에 대해 문제를 제기하고 있다. 개정안의 이동형 영상정보처리기기(영 제27조의2, 제27조의3)에 따르면 범죄·재난·화재 등의 상황에서 이동형 영상정보처리기기를 운영할 수 있도록 하고, 촬영 방법 특성상 촬영 사실을 알리기 어려운 경우에는 홈페이지 공지로 알릴 수 있도록 했다. 즉 정부에서 ‘국민 보호’라는 명분을 갖다 붙일 경우 CCTV 정보를 제한 없이 열람하고 제한 없이 수집할 수 있다는 해석이 가능하다는 것이다.

최근 국회입법조사처는 현행 공직선거법이 선거의 공정성을 명목으로 개인정보를 무단 수집하면 안 된다는 취지의 보고서를 발표한 바 있다. 현행법상 선거운동 기간 인터넷 등 정보통신 서비스를 이용해 허위 정보 등을 유통할 경우 판사의 승인 없이 정보를 합법적으로 수집할 수 있다. 이렇다 보니 선거기관은 개인정보의 열람과 제출에 대해 어떠한 통제장치도 없어 국가의 행위가 인신에 불이익이 되더라도 합법적으로 기본권 침해가 가능하게 된다. 따라서 입법처는 선거기관의 막중한 권한이 선거운동의 자유나 선거에 관련된 표현의 자유를 위축시킬 수도 있어 주의해야 한다고 지적했다. 또 헌법상 영장주의에 따라 개인정보를 요구할 때는 판사의 승인을 받는 절차를 추가하고, 공직선거법 전반에 걸쳐 정치적 표현에 대한 과도한 제한 여부에 대해서도 전향적으로 검토해야 한다고 제언했다.

세월호 참사나 이태원 참사처럼 국가적인 재난 상황에서는 정상화를 위해서라도 영상정보처리기기를 적극 이용해야 할 수 있다. 하지만 국민 보호라는 명분에는 정확한 기준도, 명확한 정의도 없어 자칫 귀에 걸면 귀걸이, 코에 걸면 코걸이 꼴이 날 수 있다. 한 전문가는 개인정보위에서 이에 대해 따로 가타부타 언급하지 않았지만 보완할 필요가 있다고 강조했다.